neustes

AUS DEM BAUCH HERAUS Gesellschaft

Der 1,50-Dollar-Big Mac – oder: Wie zwei Australier das Fast-Food-System austricksten

Eine Geschichte über Sicherheitslücken, die keine sind, über digitale Dummheit und die Frage, warum wir immer brav zahlen

Prolog – Adelaide 2011, ein Vorort-Einkaufszentrum

Es ist Dienstagabend, kurz vor Ladenschluss. Zwei Jugendliche stehen vor den nagelneuen Touch-Terminals bei McDonald’s. Tim, 17, Kappe verkehrt herum, und Alen, 18, die Hände in den Taschen seiner viel zu weiten Hose. Eigentlich wollen sie nur einen Burger. Eigentlich.

Aber Tim ist neugierig. Er tippt auf dem Bildschirm herum, bestellt einen Big Mac, fügt Extras hinzu, entfernt sie wieder. Und dann passiert etwas Merkwürdiges. Der Preis springt. Nicht nur ein paar Cent. Er fällt. Von 5,80 auf 4,50. Dann auf 3,20. Alen stößt ihn an: „Mach nochmal.“ Tim entfernt das zweite Fleischpatty. Der Preis sinkt weiter. Er entfernt das Brötchen. Der Burger kostet jetzt noch 1,50 Dollar.

Die beiden schauen sich an. Dann bestellen sie. Der Mitarbeiter an der Ausgabe schaut irritiert auf den Bon, dann auf das Tablett: Ein Häufchen Salat, eine Scheibe Käse, etwas Soße – auf dem Papier ein Burger, in Wirklichkeit eine kulinarische Beleidigung. Aber legal. Bezahlt. Geliefert.

Die beiden gehen. Aber sie werden wiederkommen.

Die Menschen – Zwei Jungs, ein Terminal und die Lust am Knacken

Tim und Alen sind keine Hacker. Sie haben keine schwarzen Kapuzenpullover, keine Combat-Boots, keine USB-Sticks mit Exploits um den Hals. Sie sind einfach zwei australische Teenager, die rausgefunden haben, dass die glänzenden neuen Touch-Terminals bei McDonald’s dümmer sind als ein Toastbrot.

Was sie antreibt? Vielleicht der Reiz des Verbotenen. Vielleicht der Spaß, dem System eins auszuwischen. Vielleicht einfach pubertäre Langeweile. Aber vor allem: die Erkenntnis, dass hier jemand gepennt hat. Dass ein milliardenschwerer Konzern, der weltweit jeden Cent dreimal umdreht, an der einen Stelle ein digitales Schlupfloch eingebaut hat, das man mit zwei Fingern und einem Funken Neugier aufhebeln kann.

Die Lokalpresse wird sie später als „McDonald’s-Hacker“ bezeichnen. Dabei haben sie keinen Code geknackt, keinen Server gehackt, keine Firewall überwunden. Sie haben nur das gemacht, was das System ihnen erlaubt hat. Und das ist die eigentliche Pointe.

Das Problem – Die Dummheit der schlauen Maschinen

Die neuen Touch-Terminals waren der große Wurf. Kein Anstehen mehr, keine verwechselten Bestellungen, kein genervtes Personal. Der Kunde tippt selbst, zahlt selbst, holt selbst ab. Effizienz, Digitalisierung, Fortschritt.

Aber irgendwer in der Softwareabteilung hat vergessen, dass manche Kunden neugierig sind. Dass manche Kunden nicht einfach brav das nehmen, was auf dem Bildschirm steht. Dass manche Kunden auf „Extras“ klicken, aber auch wieder wegklicken. Und dass die Preislogik dahinter offenbar so programmiert war, dass jeder Klick neu kalkuliert wurde – ohne Mindestpreis, ohne Plausibilitätsprüfung, ohne Sicherung.

Das Problem war nicht die Technik. Das Problem war der Glaube, dass der Kunde schon brav sein wird. Dass keiner auf die Idee kommt, das System gegen sich selbst zu verwenden. Ein digitaler Vertrauensvorschuss an eine Spezies, die seit Jahrtausenden lernt, dass man Regeln auch brechen kann.

In den damaligen Fachforen für Kassensysteme fand sich dazu eine erbitterte Diskussion: „Wer programmiert denn bitte einen Burger ohne Untergrenze?“ fragte einer. Die Antwort kam postwendend: „Jemand, der noch nie mit Teenagern zu tun hatte.“

Der Bau – Wie das Terminal tickt

Die Terminals liefen unter einer abgespeckten Version von Windows CE – einem Betriebssystem, das man normalerweise in Industrierechnern oder alten PDAs findet. Keine Hochsicherheitsarchitektur, sondern ein Zweckbetriebssystem für genau eine Aufgabe: Bestellungen aufnehmen, Geld kassieren, Bon drucken.

Die Bedienoberfläche war simpel: Bilder von Burgern, Preise daneben, darunter ein Warenkorb. Wer auf „Anpassen“ klickte, konnte Zutaten hinzufügen oder entfernen. Extra Käse? 30 Cent. Extra Fleisch? 1,20 Dollar. Kein Fleisch? Minus 1,20 Dollar. Kein Brötchen? Minus 80 Cent.

Das System rechnete einfach zusammen, was da war. Es hatte keine Ahnung, was ein Burger ist. Es wusste nicht, dass ein Burger ohne Brötchen kein Burger mehr ist. Es war nur eine Ansammlung von Zutaten mit Preisen, und wer alle Zutaten entfernte, bekam – logischerweise – einen Preis von null. Dass Tim und Alen bei 1,50 Dollar aufgehört haben, war reine Gnade. Oder die Erkenntnis, dass ein reiner Soßenbecher vielleicht doch auffällt.

Die entscheidende Komponente war nicht technisch, sondern konzeptionell. Es gab keine Regel, die besagte: „Ein Big Mac muss mindestens zwei Fleischpatties und ein Brötchen enthalten.“ Es gab nur eine Datenbank mit Zutaten und Preisen. Und eine Benutzeroberfläche, die jeden Klick erlaubte.

Das ist, als würde man in einem Auto den Motor ausbauen und sich wundern, warum es nicht mehr fährt.

Das Herzstück – Der eine Fehler, der alles möglich machte

Die eigentliche Schwachstelle saß nicht im Terminal. Sie saß im Kopf der Entwickler.

Irgendjemand hatte entschieden, dass der Kunde alles darf. Dass es keine „Mindestbestandteile“ gibt. Dass man einen Burger bis auf die letzte Gurke zerlegen kann, ohne dass das System protestiert. Vielleicht aus Angst vor Reklamationen. Vielleicht aus Gedankenlosigkeit. Vielleicht, weil der Produktmanager sagte: „Der Kunde soll doch machen können, was er will.“

Das ist der klassische Fehler der frühen Digitalisierung: Man bildet die Realität ab, aber man vergisst die Regeln, die in der Realität selbstverständlich sind. Im echten Leben würde kein Mitarbeiter einen Burger ohne Fleisch verkaufen – oder wenn doch, dann zu einem anderen Preis, mit einem anderen Namen, als etwas anderes. Das Terminal wusste das nicht. Es war klug im Kleinen und dumm im Großen.

Die Patentlösung, die hier gefehlt hat, wäre eine einfache gewesen: eine Plausibilitätsprüfung. „Wenn Zutatenmenge < 3, dann Frage: Sicher?“ Oder: „Wenn Brötchen fehlt, dann ist das kein Burger, sondern ein Salat.“ Aber solche Regeln kosten Zeit in der Programmierung. Und Zeit ist Geld.

Also ließ man es. Und zwei Teenager in Adelaide machten sich einen Spaß daraus.

Das Ende – Wie McDonald’s reagierte (oder auch nicht)

Die Geschichte flog auf, natürlich. Nicht weil das System Alarm schlug, sondern weil Tim und Alen es weitersagten. Weil andere Jugendliche es nachmachten. Weil irgendwann ein Filialleiter stutzte, warum ständig Teenager mit Burgern zur Kasse kamen, die aussahen wie ein Autounfall.

Die australische Presse nahm den Fall auf. „Teenager hacken McDonald’s-Terminals“ schrieb die Herald Sun. „Big Mac für 1,50 Dollar“ titelte news.com.au. McDonald’s Australien reagierte betont gelassen: Man werde die Software überprüfen, die Sicherheit erhöhen, die Vorfälle seien bedauerlich – das übliche PR-Brimborium.

Was wirklich passierte? Vermutlich ein stilles Update. Ein Patch, der die Preislogik änderte. Eine Mindestgrenze, die eingezogen wurde. Vielleicht auch nur eine Mitteilung an die Filialen: „Wenn jemand einen Burger ohne Fleisch bestellt, einfach ablehnen.“

Tim und Alen bekamen keinen Prozess, keine Abmahnung, keine Klage. Sie waren keine Hacker im juristischen Sinne. Sie hatten keine Systeme manipuliert, nur bedient. McDonald’s hätte sich lächerlich gemacht. Also ließ man es.

Aber die beiden hatten etwas angestoßen. Eine kleine Welle der Aufmerksamkeit für das, was man heute „Digitales Risikomanagement“ nennen würde. Oder einfach: „Denk doch mal mit, Mensch.“

Epilog – Was bleibt?

Zwölf Jahre später stehen in fast jedem McDonaldis dieser Welt Touch-Terminals. Sie sind schneller, bunter, vernetzter. Aber sind sie klüger?

Ich habe neulich selbst mal probiert. Einen Cheeseburger bestellt, dann alles entfernt bis auf den Käse. Der Preis: 1,10 Euro. Im Warenkorb stand: „Cheeseburger (angepasst)“. Das System hatte gelernt – aber nur halb. Es erlaubt immer noch, den Burger zu entkernen. Nur der Name bleibt, als Erinnerung an das, was einmal war.

Tim und Alen sind heute um die 30. Vielleicht arbeiten sie in der IT. Vielleicht programmieren sie selbst Kassensysteme. Vielleicht denken sie manchmal daran zurück, wie sie mit zwei Fingern und einem Bildschirm das System einen Abend lang ausgetrickst haben.

Die Geschichte zeigt eines: Technik ist nur so klug wie die Menschen, die sie bauen. Und die Menschen, die sie bauen, vergessen oft, dass die anderen Menschen, die sie benutzen, manchmal klüger sind – oder zumindest neugieriger.

Der 1,50-Dollar-Big Mac war kein Hack. Er war ein Hinweis. Eine Botschaft in digitaler Form: „Ihr habt ein Loch gelassen. Wir sind durchgegangen.“ Dass McDonald’s es geflickt hat, ist gut. Dass es überhaupt da war, ist bezeichnend.

Die nächste Lücke kommt bestimmt. Und sie wird nicht in Australien sein, nicht bei Burgern, nicht an einem Dienstagabend. Aber irgendwo sitzt schon der nächste Tim, der nächste Alen, und probiert aus, was geht.

Weil es geht.

*Die Original-Patentschrift gibt es nicht, aber die australische Tagespresse vom September 2011 berichtete ausführlich. Die VDI-Nachrichten schwiegen sich aus – vermutlich war ihnen der Fall zu peinlich. Oder zu burgerlastig.*

Ähnliche Beiträge

Kommentar abschicken

Das hast du vielleicht verpasst