Das Phantom im Netz

wartete dort der komplette Quellcode für Motorolas brandneues Erfolgsprodukt. In der Zeit, die ich benötigt hatte, um durch den Schnee nach Hause zu stapfen, hatte ich Alisa dazu gebracht, mir eines der bestgehüteten Unternehmensgeheimnisse ihres Arbeitgebers zu verraten.
    Ich rief sie in den folgenden Tagen noch mehrmals an, um mir verschiedene Versionen des TAC-Ultra-Lite-Quellcodes geben zu lassen. Als hätte die CIA einen Maulwurf in der iranischen Botschaft, der nicht einmal wusste, dass er Informationen an einen Staatsfeind weitergab.
    Wenn es so einfach war, an den Quellcode für ein einzelnes Handy zu kommen, dachte ich, könnte ich doch vielleicht auch an die Server von Motorolas Entwicklungsabteilung kommen und sämtlichen Quellcode kopieren, ohne die Hilfe von Alisa oder einem anderen Firmenmitarbeiter zu benötigen. Alisa hatte schon den Hostnamen des Datenservers erwähnt, auf dem sämtliche Quellcodes gespeichert waren: »lc16«.
    Einer Eingebung folgend, checkte ich die Wetterlage in Schaumburg in Illinois. Dort saß Motorolas Cellular Subscriber Group. Und tatsächlich. »Der gestern begonnene Schneesturm wird heute und auch morgen bis zur Tagesmitte andauern, mit Windstärken von bis zu 48 Stundenkilometern.«
    Bestens.
    Ich ließ mir die Nummer von Motorolas Network Operations Center (NOC) geben. Meinen Erkundungen nach verlangten Motorolas Sicherheitsmaßnahmen von einem Mitarbeiter, der sich von außen einwählte, mehr als nur einen Nutzernamen und ein Passwort.
    Man benötigte eine Zweifaktor-Authentifizierung – in diesem Fall die schon früher beschriebene SecurID, ein Produkt der Firma Security Dynamics. Jeder Mitarbeiter, der sich von außen einloggt, bekommt eine geheime PIN und einen Schlüsselanhänger mit Display, auf dem ein sechsstelliger Zahlencode erscheint. Dieser Code ändert sich alle sechzig Sekunden und macht es einem Eindringling angeblich unmöglich, diesen herauszufinden. Jedes Mal, wenn sich ein Nutzer von außen in Motorolas Netzwerk einwählen möchte, muss er oder sie eine PIN eingeben, gefolgt von dem Zifferncode auf dem SecurID-Gerät.
    Ich rief im Netzwerkbetriebszentrum an und erreichte jemanden, den ich mal Ed Walsh nenne. »Hallo«, sagte ich. »Hier spricht Earl Roberts von der Cellular Subscriber Group« – ich gab ihm Namen und Abteilung eines echten Mitarbeiters an.
    Ed fragte, wie die Dinge stünden, und ich antwortete: »Na ja, nicht so gut. Ich kann nicht ins Büro kommen, wegen des Schneesturms. Ich möchte mich von zu Hause in meine Workstation einloggen, habe aber meine SecurID im Büro in meiner Schreibtischschublade liegen lassen. Könnten Sie sie für mich holen? Oder irgendjemand sonst? Und mir dann den Code vorlesen, damit ich mich einloggen kann? Mein Team hat einen dringenden Termin, und ich kriege meine Arbeit nicht fertig. Ins Büro zu fahren ist viel zu gefährlich. Die Straßen sind dicht.«
    Er erwiderte: »Ich kann das NOC nicht verlassen.«
    Hier hakte ich sofort ein: »Haben Sie eine SecurID für die Betriebszentrale?«
    »Ja, wir haben hier eine im NOC«, sagte er. »Für die EDV-Operatoren, falls es ein Problem gibt.«
    »Könnten Sie mir einen Gefallen tun, bitte?«, fragte ich. »Könnten Sie mir den Code von Ihrer SecurID ablesen, wenn ich mich ins Netzwerk einwählen möchte? Nur solange die Straßensituation so gefährlich ist.«
    »Wer sind Sie noch mal?«, fragte er.
    »Earl Roberts.«
    »Für wen arbeiten Sie?«
    »Für Pam Dillard.«
    »Ach ja, die kenne ich.«
    Wenn er damit rechnen muss, hart abgefragt zu werden, holt ein guter Social Engineer mehr als die üblichen Erkundigungen ein. »Ich sitze im zweiten Stock«, sagte ich. »Neben Steve Littig.«
    Auch diesen Namen kannte er. Jetzt konnte ich ihn weiter bearbeiten. »Es wäre viel einfacher, wenn Sie einfach an meinen Schreibtisch gehen und meine SecurID holen.«
    Walsh wollte einem Kollegen, der Hilfe brauchte, nichts abschlagen, aber er wollte auch nicht einfach Ja sagen. Also umging er die Entscheidung: »Ich muss meinen Chef fragen. Moment.« Er legte den Hörer ab, und ich hörte, wie er ein weiteres Telefon abnahm, wählte und meine Bitte erläuterte. Dann tat Walsh etwas Unglaubliches. Er sagte zu seinem Boss: »Ich kenne ihn. Er arbeitet für Pam Dillard. Können wir ihm vorübergehend unsere SecurID geben? Wir sagen ihm den Code übers Telefon an.«
    Er verbürgte sich doch tatsächlich für mich! Beeindruckend!
    Kurz danach kam Walsh zurück an den Apparat