ComputerkriminalitätDas Gesetz, das keine guten Hacker kennt

Andrew Auernheimer alias "Weev" muss für 41 Monate ins Gefängnis, weil er auf ungesicherte Daten zugriff. Das Problem ist weniger die Tat als das zugrundeliegende Gesetz. von 

Andrew Auernheimer

Andrew Auernheimer alias "Weev" soll für 41 Monate hinter Gitter.  |  © REUTERS/Fayetteville Police/Handout

In den USA ist gerade ein Hacker zu einer langen Haftstrafe verurteilt worden, der bekennende Troll Andrew Auernheimer, Spitzname "Weev". Auf den ersten Blick ist das ein alltäglicher Vorgang. Auernheimer hatte zusammen mit einem Freund im Jahr 2010 Daten von Kunden der Telefonfirma AT&T aus dem Netz gefischt – die Mailadressen von 114.000 iPad-Besitzern – und diese einem Journalisten gegeben. Der veröffentlichte den Hack dann.

Deswegen wurde Auernheimer am Montag zu 41 Monaten Haft und anschließenden drei Jahren Bewährung verurteilt. Außerdem sollen er und sein Freund Daniel Spitler an AT&T einen Schadenersatz in Höhe von 73.000 Dollar zahlen.

Anzeige

Zu Recht, ein böser Hacker, ließe sich da denken. Doch so einfach ist der Fall nicht. Es sieht vielmehr danach aus, als ob hier ein Exempel statuiert werden soll, dass hier mit Kanonen auf Menschen geschossen wird, die so böse gar nicht sind und eigentlich sogar Gutes wollen.

Grundlage für das harsche Urteil ist ein Gesetz, das nach Ansicht seiner vielen Kritiker ungerecht formuliert ist und überhart ausgelegt wird. Es geht um den Computer Fraud and Abuse Act (CFAA), der das unerlaubte Eindringen in Computer und Datenbanken unter schwere Strafe stellt. Wer sich gegen den Willen des Besitzers Zugang zu Daten verschafft, steht darin sinngemäß, kann für bis zu zwanzig Jahre ins Gefängnis gehen.

Kai Biermann
Kai Biermann

Kai Biermann ist Redakteur im Team Investigativ/Daten bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

Das klingt prinzipiell zumindest nachvollziehbar, doch legt das Gesetz die Begriffe "unerlaubt" und "Zugang verschaffen" sehr weit aus. Um das zu verdeutlichen, haben Kritiker folgenden Satz auf eine Website gestellt: "You have just violated the Computer Fraud and Abuse Act because we did not authorize you to look at our website." (Sie haben gerade gegen den Computer Fraud and Abuse Act verstoßen, denn wir haben ihnen nicht erlaubt, unsere Website anzuschauen.)

Die Website sammelt Spenden für nach dem CFAA Angeklagte, um ihnen die Anwaltskosten zu bezahlen. Sie ist nicht gesichert oder versteckt, jeder kann sie finden, jeder kann sie problemlos betrachten. Das Argument der Kritiker: Es genüge, dass der Besitzer dem Betrachten widerspreche, um im Zweifel angeklagt zu werden.

Nach Ansicht von Auernheimer hat er genau das mit den Daten von AT&T gemacht: Er habe sie gefunden und angeschaut. Denn sie waren nicht gesichert, nicht in einem nichtöffentlichen Bereich versteckt. Sie lagen auf einem über das Internet erreichbaren Server und konnten aufgrund eines Fehlers des Unternehmens von Auernheimer und Spitler ausgelesen werden. Ganz im Sinne der Hackertradition wollten sie damit auf einen gefährlichen Fehler im System der Telefongesellschaft hinweisen. Ermittler und Gericht sahen das anders. Auernheimer wurde nun unter anderem verurteilt wegen Verschwörung, um sich unerlaubt Zugang zu einem Computer zu verschaffen.

Der junge Mann ist offensichtlich kein einfacher Mensch. Alle Porträts über ihn beschreiben einen, der Spaß daran hat, zu provozieren, sich aufzulehnen, zu protestieren. Er sieht sich selbst als Troll, der andere auf die Palme bringt, um auf ihre bornierten Sichtweisen hinzuweisen. Doch ist das kein Grund, um für mehr als drei Jahre ins Gefängnis zu gehen.

In einem Text aus dem Magazin der New York Times von 2008 über Weev und andere Trolle steht dazu ein guter Vergleich: "To say that trolls pose a threat to the Internet at this point is like saying that crows pose a threat to farming." (Zu behaupten, Trolle seien derzeit wirklich eine Gefahr für das Internet, ist wie die Behauptung, dass Krähen die Landwirtschaft bedrohen.)

Leserkommentare
    • Bashu
    • 19. März 2013 20:26 Uhr

    Die Arbeiten für den amerikanischen Staat und spionieren Menschen aus. Klar, dass ein autokratischer Staat wie der in den sich die USA gerade entwickeln keine Nebenbuhler akzeptiert.

    Aber Achtung: Die EU Kommission lanciert auch immer mal wieder zwielichte Gesetzesentwürfe, also aufgepasst dass wir nicht auch solche Zustände bekommen...

    18 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    "Wer sich gegen den Willen des Besitzers Zugang zu Daten verschafft, steht darin sinngemäß, kann für bis zu zwanzig Jahre ins Gefängnis gehen."

    gilt das eigentlich auch für Neugierige Internet Firmen?

    Btw unser aller Held julian assange (ironie) wirkt hier sicher noch nach mit seiner one man show, die ein bärendienst für die Freiheit im Netz war...

  1. dass die Richter und Staatsanwälte leider nicht so technisch versiert sind und nicht erkennen, dass sie falsch liegen.

    Der Kern des Problems liegt darin, dass aus einer URL nicht zwingend hervorgeht, ob der dahinter liegende Inhalt öffentlich ist oder nicht. Ob Inhalt schützenswert ist, kann man - sofern keine serverseitigen Sicherungsmechanismen implementiert sind - erst NACH Aufruf der URL erkennen. Dann ist aber laut Gesetzeslage die Straftat schon geschehen.
    Das ist ungefähr so, dass man in einem Bürogebäude alle Türen offen stehen lässt und erst innerhalb der entsprechenden Räume eine Notiz darauf hinweist, dass der Raum nicht betreten werden darf. Woran will man dann von außen erkennen, welcher Raum öffentlich ist und welcher nicht?

    Ein ziemlich unsinniges Gesetz und höchstwahrscheinlich wieder von Leuten verfasst, die keine Ahnung von der Materie haben.

    11 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Ein einfacheres Beispiel sind die im Slapstick auftauchenden Schilder auf denen steht "Keep of the gras", allerdings so weit innerhalb der Grasfläche aufgestellt, dass man sie von außen nicht sehen kann.

  2. Der Unterschied ist so klar wie Tag und Nacht.

    Übrigens, in Deutschland ist die Situation offenbar ähnlich schwierig.
    http://de.wikipedia.org/w...

    Damit ist der Besitz und die Herstellung von Software, die nach Schwachstellen sucht, strafbar. Eine Ausnahme, um Schwachstellen aufzudecken, selbst ein eigenen Systemen, gibt es nicht.

    Wie sicher sind unsere Daten, wenn wir die Sicherheit nicht prüfen dürfen?

    12 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Der 202c StGB ist noch nicht alles.

    Hinzu kommen z.B.

    Datenveränderung (§ 303a StGB)
    Computersabotage (§ 303b StGB)
    Ausspähen von Daten (§ 202a StGB)

    Aber Wirtschaftsspione aus Fernost interessieren sich für regionale Rechtsbefindlichkeiten nicht !

    Das steht auch im verlinkten Wikipedia-Artikel, weiter unten unter "Verfassungsrecht": Der Paragraph betrifft ausschließlich Software, die exklusiv für Straftaten entwickelt wurde; deshalb hat das Verfassungsgericht auch die Beschwerde abgelehnt, denn Software zur Schwachstellenanalyse ist gar nicht gemeint, und Dual-Use-Anwendungen wie Metasploit und Co. waren nie aufgrund von 202c illegal. Das deutsche IT-Recht ist vielleicht nicht das beste, aber ein wenig Differenzierung tut gut; Auftragshacker mussten sich nie Sorgen machen.

  3. mehr als 3 Jahre Gefängnis, nicht zu fassen.

    13 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Staatsanwälte in USA konstruieren daraus gerne eine Verschwörung (plot), und dafür gibt es dann statt 3 mal eben 15 Jahre. Was ist schon Wikileaks oder Anonymous, es musste unbedingt sein Name drunter stehen.

    Mag das Gesetz auch unsinnig sein, hat es hier trotzdem einmal den richtigen getroffen.

    Der im Artikel verlinkte Reddit-Thread ist die Lektüre wert.

    Interessant ist auch ein Artikel aus der NYT, im unteren Drittel befindet sich ein interessantes Interview mit "Weev", in dem er sich als soziopathischer Rassist outet, der sich am Leid anderer ergötzt.
    http://www.nytimes.com/20...

    Der Fall "Weez" steht in keinem Vergleich zu Aaron Swartz u.ä.

    Der kleinkriminelle Angeber Auernheimer ist wahrlich nicht der Richtige, um im Mittelpunkt eines solchen Artikels zu stehen. Da hätte man ruhig noch ein paar Minuten in die Tiefe recherchieren können.

  4. Wir hatten einen Mitarbeiter, der sich auch sensible Daten über eine Schwachstelle aus dem firmeneigenen System gezogen hat. Er hätte unsere Abteilung auch darauf hinweisen können. Aber er war einer "der Spaß daran hat, zu provozieren, sich aufzulehnen, zu protestieren.... zu trollen" Das hat ihn den Job gekostet und ein Verfahren hat er kostenpflichtig dazubekommen. Sicherlich ist die Strafe für Auernheimer unangemessen, weil zu hoch, aber er hätte die Firma einfach auf die Lücke im System hinweisen können, aber die Daten rauszuziehen und an einen Reporter zu geben ist mit der Begründung, "die standen da ja so rum und ich wusste nicht, dass ich das nicht darf" nicht so richtig plausibel zu machen.

    5 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    Er hätte sich - selbstverständlich kostenlos - auf die Suche nach den Fehlern des Unternehmens machen sollen, selbstverständlich kostenlos diese Fehler an das Unternehmen übermitteln sollen und das ebenso selbstverständlich so diskret, dass keiner davon etwas mitbekommt, nicht die möglicherweise schon geschädigten Kunden, nicht die Öffentlichkeit.

    Ob dann die Firma mit dem Erkenntniszuwachs etwas macht oder alles beim Alten lässt?! Ist schließlich das alleinige Recht der Firma, das zu entscheiden. Genauso, wie die dann weitere Behauptung, ein gutes, sicheres Produkt anzubieten. Hauptsache die Kunden werden über die Realität im Unklaren gelassen.

    Ähm: Hier hat in aller erster Linie eine Firma ganz extrem geschlampt! Hätte sie nicht geschlampt, hätte es erst gar nicht zu dieser "Entdeckung" kommen können. Und nun sollen andere büßen, weil sie die Schlamperei entdeckt haben und gegenüber denjenigen kommuniziert haben, die den Schaden von dieser Schlamperei haben?

    Wenn solche Firmen wenigstens dann noch ihre Kunden für derartigen Schlampereien entschädigen würden. Aber Fehlanzeige!

    Es geht den Firmen also nur um den "Imageschaden" aus dem Ganzen - dessen Ursache sie aber selbst gesetzt haben.

    • Demo4
    • 19. März 2013 22:31 Uhr

    ein bisschen ähnlich liegt die Sache auch bei Abmahnungen wegen Internet-Downloads,
    und das ist nun wirklich ein weitaus bekanntes Thema

    es kann nicht sein dass man einem weit verbreiteten technisch kinderleichten Vorgang Strafen zuordnet, die in den USA ganze Leben zerstören (>100.000 Dollar Strafe), in Deutschland auch eine Lizenz zum Gelddrucken sind,

    man muss Downloads nicht erlauben, aber wenn dann wie einfachen Ladendiebstahl eines Kaugummis verfolgen, kein Anwalt darf daran Gebühren verdienen,

    das zu erkennen hätte keine 4 1/2 Stunden an Tag 1 gebraucht,
    aber seit Jahren und Jahrzehten tut sich nichts und Millionen Menschen in Deutschland sind schon betroffen

    Eine Leserempfehlung
  5. Staatsanwälte in USA konstruieren daraus gerne eine Verschwörung (plot), und dafür gibt es dann statt 3 mal eben 15 Jahre. Was ist schon Wikileaks oder Anonymous, es musste unbedingt sein Name drunter stehen.

  6. Kaum Kommentare, dabei geht es um Bürgerrechte!
    Aber außer den Piraten versteht das niemand oder es will keiner verstehen, weil die Verantwortlichen lieber einen Hacker wegsperren und die Fehler im System belassen anstatt sich um Fehlerbeseitigung zu kümmern - schließlich wurde im Mittelalter auch der Bote der schlechten Nachricht geköpft, damit Ruhe war...

    6 Leserempfehlungen
    Reaktionen auf diesen Kommentar anzeigen

    genau,
    nur die Piraten die ja immerhin damals das Internet erfunden haben können uns dummen Durchschnittsbürgern nun helfen.
    Sieg den Piraten 11!!!!1111elf

Bitte melden Sie sich an, um zu kommentieren

Service