Der Tod des Online-Aktivisten Aaron Swartz in den USA konfrontiert auch das neue europäische Cybercrime-Zentrum EC3 mit unbequemen Fragen: Müssen sich Staaten mit strengeren Gesetzen vor Hackern schützen? Oder übertreiben Regierungen die Gefahr, um die Rechtsprechung in ihrem Sinn zu verschärfen? Eine Bestandsaufnahme über staatliche Willkür, mediale Panikmache und tatsächliche Bedrohungen.
An nur vier Buchstaben hat sich in den USA neuerdings ein heftiger Streit zwischen Gesetzgeber und Zivilgesellschaft entzündet, und wieder berührt er ein Kernproblem staatlichen Handelns: Er muss individuelle Freiheitsrechte und gesellschaftliche Schutzrechte gegeneinander abwägen. Grenzen ziehen, um Bürger vor Bürgern zu schützen. Mit dem Computer Fraud and Abuse Act (CFAA) hat der amerikanische Staat selbst diese Grenze überschritten und ein Todesopfer verantwortet – davon sind zumindest die Gegner des Gesetzes gegen Computerbetrug und -Missbrauch überzeugt. Der 26-jährige Aaron Swartz erhängte sich, bevor ihm der Prozess gemacht wurde. Die Anklage: Swartz habe sich illegal in die Zeitschriften-Datenbank JSTOR eingehackt und fast 5 Millionen heruntergeladene Artikel frei zugänglich gemacht. Ein Verbrechen, für das der Open-Source-Jünger mit der ganzen Härte des Gesetzes rechnen musste. Bis zu 35 Jahre Haft und eine Million US-Dollar Strafe hätten dem Hacker im Fall einer Verurteilung gedroht. An dem Hacker sollte ein Exempel statuiert werden, echauffieren sich derzeit weite Teile der Öffentlichkeit. Der Staat wollte, kurz gesagt, eine Grenze ziehen.
Feindbild Hacker
Die Causa Swartz ist symptomatisch für eine Entwicklung, in der gesellschaftliche Überzeugungen und gesetzliche Rahmenbedingungen auseinanderdriften. Die Bürger fordern freien Informations- und Ideenaustausch im Netz. Der Staat versucht, dies mit dem Verweis auf bestehende Eigentumsrechte zu unterbinden. Die Kampagnen in Europa und den USA gegen Acta (Anti-Counterfeiting Trade Agreement), Sopa (Stop Online Piracy Act) und Pipa (Protect IP Act) sind längst zum Synonym für den Kampf gegen gesetzliche Zensurversuche geworden. Im Gegenzug werden Onlineaktivisten wie Swartz als demokratiefeindliche Hacker dargestellt, als Bedrohung für die Allgemeinheit. Der neue US-Außenminister John Kerry (Demokraten) bezeichnete ausländische Hacker unlängst als “modern-day, 21st century nuclear weapons”.
Wie konkret diese Gefahr ist, ist schwer zu beurteilen. Noch unklarer ist, welche Schutzmaßnahmen gegen sie legitim sind. Im Januar eröffnete die EU-Kommissarin Cecilia Malmström das europäische Cybercrime-Zentrum EC3 in Den Haag, um den “vielfältigen Bedrohungen im Cyberspace” zu begegnen. Cyberattacken, diesen Eindruck vermitteln auch die Medien, sind an der Tagesordnung. Erst vor zwei Wochen haben die Sicherheitsexperten von Kaspersky Labs Operation Roter Oktober, einen massiven Fall von Cyberspionage, aufgedeckt. Und im Januar warnten die Virenexperten Eugene Kaspersky und Mikko Hypponen auf der Digital-Life-Design-Konferenz in München vor den Gefahren im Internet. Während Kaspersky die Cyberbedrohung als “nächstes Pearl Harbour” dramatsierte und als unausweichlich skizzierte, kritisierte Hypponen, wie undifferenziert Begriffe wie Cyberwar verwendet würden. Online-Betrug, Protestaktionen von Hacktivisten wie Anomynous, oder Wirtschaftsspionage würden oft gleichgesetzt mit Cyberkriegsführung.
Die größte Bedrohung geht von staatlicher Sabotage aus
Malware wie Stuxnet oder Flame, die gezielt zur Verfolgung außenpolitischer Ziele im Nahen Osten eingesetzt worden sind, bergen das größte Sicherheitsrisiko. Von der Verwundbarkeit “kritischer Infrastruktur” – das zeigt die Lahmlegung von Steuerelementen iranischer Atomanlagen durch Stuxnet – geht eine tatsächliche Gefahr für die Menschheit aus. Angreifbar sind Nuklearanlagen, Strom- und Verkehrsnetze. Ob Spionage und Sabotage schon als kriegerische Akte zu werten seien, ist unter Experten umstritten. Jedenfalls verfügen bereits 120 Staaten “offensiv” über Cyberwarprogramme, verriet IT-Sicherheitsexperte Sandro Gaycken Ende Januar in der 3-Sat-Sendung scobel. Und Hacker Felix Lindner, der Berühmtheit erlangte, als er das von der CIA als sicher eingestufte Blackberry hackte, spricht bei der Cyber-Entwicklung von der “Professionalisierung eines militärischen Waffenentwicklungsprozesses”.
Über die technisch-finanziellen Kapazitäten und die strategischen Interessen an Cyberwaffen verfügen nur Staaten – nicht Protesthacker wie der gerade verurteilte Brite, der unter dem Pseudonym “Nerdo” Firmen wie Paypal mit DDoS-Attacken beträchtlich schadete, weil sie Geldtransfers der Enthüllungsplattform Wikileaks boykottiert hatten. Das Kernproblem der Cyberattacken sei die Attribution, stellte Völkerrechtler Robin Geiß in der scobel-Sendung fest. “Denn wenn Sie nicht wissen, wer der Gegner ist, ist die Eskalationsgefahr enorm und dem Missbrauch Tür und Tor geöffnet”.
Beschneidung der Bürgerrechte im Namen der Landesverteidigung
In Deutschland wehrt das seit 2011 operierende nationale Cyberabwehrzentrum in Bonn nach eigenen Angaben jeden Tag 2.500 Attacken auf IT-Systeme der Bundesverwaltung ab, darunter im Schnitt fünf Spionageangriffe. Die USA verdächtigen bei Angriffen auf ihre Sicherheitssysteme pauschal China, Russland und den Iran. Doch das Problem liegt nicht nur in der vagen Benennung vermeintlicher Feinde, sondern auch im Umgang mit den eigenen Bürgern. Nach einer vom EU-Parlament in Auftrag gegebenen Studie warnen Forscher vor der Nutzung US-amerikanischer Cloud-Dienste wie Google, Facebook oder Dropbox. Der Grund: US-Geheimdienste können auch die Daten der User aus EU-Staaten einsehen. Dazu berechtigt sie der “Patriot Act”, der den Geheimdienstbehörden nach den Anschlägen vom 11. September weitgehende Überwachungsrechte eingeräumt hatte. “Deshalb ist es so bedenklich, wenn wir versuchen, Cybersicherheit über militärische Verteidigung und Abschreckung zu verstehen”, urteilt der Jurist Geiß.
Dass solche Überwachungsszenarien auch in Deutschland möglich sind, hat 2011 die Aufdeckung des Staatstrojaners gezeigt, der von verschiedenen Landeskriminalämtern zur Bespitzelung unter Terrorverdacht stehender Bürger eingesetzt wurde. Seither wird eine intensive Debatte um Datenschutz und den Ausbau von Anti-Terrorgesetzen geführt. Vergangene Woche nahm die Regierungskommission zur Überprüfung der Anti-Terrorgesetze ihre Arbeit auf. Bundesinnenminister Hans-Peter Friedrich erwartet Hinweise darauf, “welche zusätzlichen gesetzlichen Grundlagen und Werkzeuge unsere Sicherheitsbehörden im Kampf gegen jede Form des Terrorismus noch benötigen”.
In den USA kämpfen Organisationen wie die Electronic Frontier Foundation (EFF) gegen die stete Aushöhlung der Bürgerrechte. Unter anderem bemängeln sie die unpräzisen Formulierungen des Gesetzes CFAA, die Online-Aktivisten unter Generalverdacht stellten und drakonische Strafen erlaubten. Die EFF arbeitet an einem Zusatz für das Gesetz CFAA, um Bürger vor willkürlichen Auslegungen zu schützen. Es soll in Ahnlehnung an den tragischen Todesfall “Aaron’s Law” heißen.