Das FBI besitzt ein mächtiges Werkzeug, um Kriminelle im Tor-Netzwerk – umgangssprachlich auch Darknet genannt – zu enttarnen. So mächtig, dass die US-Bundespolizei die Kriminellen mitunter laufen lässt, um seine genaue Funktionsweise geheim zu halten.

Zu beobachten ist das derzeit im Fall Playpen. So hieß ein Forum, auf der Bilder und Videos von sexuellem Missbrauch an Kindern verbreitet wurden. Es war nur über den Anonymisierungsdienst Tor zugänglich. Das FBI hatte es 2015 geschafft, die Kontrolle über den Server zu übernehmen. Statt ihn sofort abzuschalten, betrieb das FBI ihn 13 Tage lang weiter und verteilte eine Schadsoftware an die Besucher des Forums mit den illegalen Bildern und Videos. Diese Malware ist das eingangs erwähnte Werkzeug. Sie infiziert einen Computer und verrät dem FBI dessen wahre IP-Adresse, hebt also den Schutz des Anonymisierungsdienstes auf und enttarnt die Nutzer.

Mehr als 8.000 Verdächtige aus 120 Ländern hackte das FBI im Laufe der Operation Pacifier genannten Ermittlung. Gegen rund 180 US-Bürger wurde mittlerweile Anklage erhoben. Aber das FBI würde sie offenbar wieder fallen lassen, als Details zu seiner Network Investigative Technique (NIT) zu verraten – und damit auch mögliche Schutzmaßnahmen. NIT ist der euphemistische Begriff für die Malware der US-Strafverfolger.

Ohne Quellcode werden die Beweise nicht zugelassen

Das jedenfalls scheint der Fall von Jay Michaud zu zeigen. Michaud gehört zu den ersten, denen nach der Operation Pacifier der Prozess gemacht wird. Ihm drohen bis zu 20 Jahre Haft. Seine Anwälte verlangten jedoch Einblick in die Malware, um nachvollziehen zu können, wie das FBI zu seinen angeblichen Beweisen kam. Das Gericht ordnete daraufhin die Offenlegung des Quellcodes an.

Die Strafverfolger lehnten das kategorisch ab, woraufhin der Richter alle Beweise, die aus dem staatlichen Hack stammen, ausschloss. Die Staatsanwaltschaft legte zunächst Berufung ein, im Juni 2016. Ende Dezember zog sie den Antrag jedoch zurück, wie nun bekannt wurde. Die Anklage gegen Michaud ist damit zwar noch nicht fallen gelassen, aber da es offenbar keine anderen Beweise für seine Schuld gibt als jene aus dem Hack seines Computers, kommt er möglicherweise ohne Strafe davon.

Ist die Methode zu wertvoll, nimmt das FBI eine Niederlage in Kauf

Wieso nimmt das FBI dieses Szenario in Kauf? IT-Experten mutmaßen, dass die Behörde einen sogenannten Zero-Day-Exploit gegen den Tor-Browser besitzt, oder gegen den Firefox-Browser, auf dessen Code der Tor-Browser basiert. Zero-Day-Exploit heißt, der Anbieter der Software kennt die Schwachstelle selbst nicht, kann sie also auch nicht schließen. Das Wissen um solche Sicherheitslücken und wie man sie ausnutzen kann, ist viel Geld wert, mitunter werden Zero-Days für sechs- oder siebenstellige Summen gehandelt. Gut funktionierende Zero-Days gegen den Tor-Browser dürften zur teureren Kategorie gehören.

Die Weigerung des FBI, irgendwelche Details dazu zu verraten und damit Hinweise auf die Sicherheitslücke zu geben, erscheint deshalb einerseits nachvollziehbar. Sobald zu viel darüber bekannt ist, dürfte die Lücke auch von den Tor- und Firefox-Entwicklern gefunden und geschlossen werden. Dann wäre die mächtige FBI-Malware bald wirkungslos.

Andererseits ist die Verschwiegenheit des FBI mit mehreren Problemen behaftet. Problemen, die jeder Strafverfolgungsbehörde drohen, die Verdächtige hackt, ob in den USA oder in Deutschland.

  • So lange die Sicherheitslücke besteht, können auch andere sie finden und ausnutzen, Kriminelle und ausländische Geheimdienste zum Beispiel. Die Polizei, die eigentlich die Bürger beschützen soll, gefährdet deren Sicherheit, wenn sie Zero-Days nicht offenlegt.
  • So lange niemand außerhalb der Strafverfolgungsbehörde oder sogar nur deren Hackingeinheit weiß, was genau ihre Malware tut, wissen die Richter nicht, was für Durchsuchungsbeschlüsse sie unterzeichnen. Wissen Anwälte nicht, ob Beweise gegen ihre Mandanten auf legalem Wege gesammelt wurden. Weiß die Öffentlichkeit nicht, ob eine Polizeisoftware wirklich nur das kann, was sie laut Gesetz können darf. Der 2011 vom Chaos Computer Club entdeckte Staatstrojaner der Firma Digitask etwa, den deutsche Behörden eingesetzt hatten, verstieß unter anderem gegen das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Ein anderes Beispiel wäre der rechtlich jahrelang nicht geregelte Einsatz von sogenannten IMSI-Catchern in Deutschland.
  • So lange Strafverfolger nicht über ihre ge- und misslungenen Hackingversuche und die möglichen Nebenwirkungen der eingesetzten Technik reden, erfahren unschuldige Betroffene nicht, dass sie gehackt wurden. Der IT-Sicherheitsexperte Christopher Soghoian hat auf dem 33. Chaos Communication Congress (33C3) in seinem Vortrag Stopping law enforcement hacking über solche Fälle berichtet.

Sollte die Anklage gegen Jay Michaud nun zusammenbrechen, dürften ähnliche Verteidigungsversuche schnell folgen. Die Anwälte vieler im Zuge der Operation Pacifier Angeklagten werden ebenfalls auf Offenlegung des FBI-Malware-Quellcodes bestehen und darauf hoffen, dass die Richter das FBI immer wieder vor die Wahl stellen: Geheimhaltung ihrer Hackingmethoden oder Verurteilung der Gehackten.