Rund 37 Millionen Nutzer soll Ashley Madison zählen. © Chris Wattie/Reuters

Die Zeit sei abgelaufen, schrieben die unbekannten Hacker, die sich selbst Impact Team nennen. Vor einem Monat hatten sie die Nutzerdaten des englischsprachigen Seitensprungportals Ashley Madison entwendet und vom kanadischen Betreiber gefordert, dass das Portal dichtgemacht wird. Nun sind die Daten auf einer anonymisierten Onion-Seite im Tor-Netzwerk aufgetaucht und landen vermutlich bald im offenen Internet. Ein Datensatz mit einer Größe von 9,7 Gigabyte, der knapp 33 Millionen Nutzerdaten, Kreditkartentransaktionen, verschlüsselte Passwörter, interne E-Mails, Chatlogs und Admin-Logins enthält. Gab es zunächst Zweifel und Dementi, sind inzwischen auch Sicherheitsforscher wie Brian Krebs von der Echtheit überzeugt.

Der Angriff auf Ashley Madison reiht sich ein in eine Serie prominenter Hacks in den vergangenen zwölf Monaten, wie die Angriffe auf das Filmstudio Sony, die US-Bundesverwaltung OPM und den deutschen Bundestag. Dennoch ist der Fall besonders, schließlich legt er ein Dilemma offen, in dem unterschiedliche Parteien stecken: die Plattformbetreiber, die Hacker und nicht zuletzt auch die von den Enthüllungen Betroffenen und ihre Partner, Angehörige oder feindlich gesinnte Dritte.

Das Geschäft mit den Seitensprüngen

"Das Leben ist kurz, gönn dir eine Affäre". Mit diesem Slogan präsentiert sich Ashley Madison im Netz, das Gesicht einer jungen Frau mit der verstohlenen "Pssst"-Geste ist das Markenzeichen des Portals. In den USA und Kanada zählt Ashley Madison zu den größten Angeboten, das sich nicht bloß auf Onlinedating, sondern gezielt auf Seitensprünge spezialisiert hat. Betreiber ist das kanadische Unternehmen Avid Life Media, das auch die beiden ähnlichen Portale Established Men und CougarLife verwaltet. 37 Millionen Nutzer soll allein Ashley Madison haben, wobei die Zahl der aktiven Nutzer deutlich niedriger ausfallen dürfte.

Wie viele Dating-Portale baut auch Ashley Madison auf einem trickreichen Geschäftsmodell auf. Zwar ist die Anmeldung kostenlos, doch um anderen Mitgliedern schreiben zu können, müssen die Initiatoren des Gesprächs – das ist in den meisten Fällen der Mann – zunächst Credits kaufen. Das Portal wirbt mit einer Geld-zurück-Garantie für alle Nutzer, die keine Partner finden, doch das Kleingedruckte in den Geschäftsbedingungen bietet den Betreibern zahlreiche Schlupflöcher, um entsprechende Ansprüche abzuwehren.

Dazu kommt, dass mutmaßlich der Großteil der aktiven Nutzer männlich ist. 2013 gab es ein Verfahren in Kanada, das die Betreiber von Ashley Madison beschuldigte, weibliche Profile in großem Stil zu fälschen. Das würde bedeuten, dass männliche Mitglieder in die Irre geführt werden. Und selbst das Abmelden ist nicht so einfach: Wer nämlich die hinterlegten persönlichen Daten endgültig gelöscht haben will, muss einmalig 20 US-Dollar zahlen. Abkassiert wird also beim Austritt, und für viele Nutzer endet das Abenteuer Seitensprung folglich nicht in fremden Betten, sondern in der eigenen Brieftasche.

Der Hacker als Hüter der Moral

Geht es nach Hackergruppen wie dem Impact Team, gehören die Betreiber solcher Plattformen bestraft. Mit entsprechenden  Motiven haben sie sich bereits nach dem Hack im Juli für ihren Einbruch gerechtfertigt: Sie könnten beweisen, dass die persönlichen Informationen nach der Abmeldung weiterhin auf den Servern gespeichert blieben und der Großteil der weiblichen Profile tatsächlich gefälscht sei, hieß es. Anders gesagt: Damit die mutmaßlich betrügerische Masche der Seitensprungportale auffliegt, müssten Hacker her. Es tut ja sonst keiner.

Tatsächlich stehen die Hacker von Ashley Madison weder in der Tradition der sogenannten White-Hat-Hacker, die professionell und im Rahmen des Gesetzes arbeiten, noch in der Tradition der Grey-Hat-Hacker, die das Gesetz zwar überschreiten, um an Daten zu gelangen, zumindest aber ein höheres Ziel verfolgen. Denn dieses Ziel ist entweder, auf technische Lücken hinzuweisen, um mehr Datensicherheit für alle zu erreichen. Oder aber, echte Verbrechen aufzudecken, wie beispielsweise das sogenannte Collateral-Murder-Video, das US-Piloten zeigt, wie sie im Irak auf Unbewaffnete schießen.

Die Hacker von Ashley Madison hingegen verstecken sich hinter moralischen Ansprüchen, denen sie selbst nicht genügen. Sie folgen keiner Hackerethik, sondern viel einfacheren Motiven, wie sie der Sicherheitsexperte Robert Graham beschreibt: Sie tun es, weil sie Spaß dran haben – und weil sie es können. Sie tun es "for the lulz", wie es im Netz gern heißt.

So stellten die Angreifer dem Betreiber Avid Life Media (ALM) im Anschluss an den Hack ein Ultimatum: Wenn die beiden Portale Ashley Madison und Established Men nicht komplett vom Netz genommen werden, landen die Nutzerdaten ebendort. Es ging offenbar von Anfang an nie darum, dass das Unternehmen seine Praktiken überdenkt, den Datenschutz verstärkt und sich bei seinen Nutzern für falsche Versprechen und falsche Profile entschuldigt. Es ging darum, dem Unternehmen möglichst großen Schaden anzurichten – notfalls eben auf Kosten unschuldiger Mitglieder.