Sony, JPMorgan Chase, das Kanzleramt – sie wurden alle zum Ziel eines Hackerangriffs. Die jüngsten Cyberattacken sind aber nur ein Teil einer neuen Hackerbewegung. Im Netz tummeln sich Tausende Hacker, die gegen Geld in Sicherheitssysteme von Personen oder Firmen einbrechen. Eine neue Website möchte sie vermitteln.

Hackerslist.com bietet Hacking-Dienste kommerziell an, als ob es sich um eine ganz normale Dienstleistung handelt. "Finde professionelle Hacker zum Mieten", heißt es lapidar auf der Homepage. HackersList funktioniert im Prinzip wie ein Portal für Kleinanzeigen. Wer möchte, kann in einer Datenbank gezielt nach Hackern suchen. Oder er inseriert ein spezielles Gesuch. Es finden sich zum Teil ganz harmlose Wünsche, wie etwa der eines Users, den Sicherheitscode des eigenen Smartphones zu knacken.

Doch es gibt aber auch fragwürdige Begehren. Ein Nutzer, der Australien als seinen Wohnort angibt, bietet 2.000 Dollar dafür, dass er Zugang zu der Datenbank eines Konkurrenten mitsamt der Kundenliste erhält. "Ich will wissen, wer die Kunden sind, und wie viel sie bezahlen." Ein Nutzer namens indonmafia, der ein possierliches Katzenbild als Profilfoto gewählt hat, bietet zwischen 10.000 und 20.000 US-Dollar, um die "Datenbank einer Zentralbank" zu hacken.

Es ist unklar, ob das Gesuch echt ist und wer dahinter steckt. Eine Verifizierung des Angebots scheitert bei der Anmeldung. Bei Angabe einer anonymen E-Mail-Adresse vermeldet das System mehrmals in Folge einen Fehler. Auf Anfrage erhält man den Hinweis, keinerlei private Informationen preiszugeben und Transaktionen nur über das Portal abzuwickeln.

HackersList will Betrüger ausschließen

Natürlich gibt es auch seriöse Hacker, die im Auftrag von Unternehmen Sicherheitstests, die sogenannten Penetrationstests, durchführen, um Schwachstellen in der IT zu erkennen. Solche Pen-Tester finden sich auch bei HackersList. Aber es gibt eben auch die Black Hats: Cyberkriminelle, die es auf Daten oder die Beschädigung eines Systems abgesehen haben.

Die Frage ist, ob ein Portal wie HackersList der Cyberkriminalität Vorschub leistet. Die Initiatoren wollen sich nicht äußern – sie bleiben anonym. Ein Impressum gibt es nicht. Einem Reporter der New York Times gelang es, über mehrere Wochen E-Mail-Kontakt mit einem der Gründer aufzunehmen. Der Mann, der sich als Jack ausgab, sagte, er hätte die Seite mit zwei Freunden gegründet und wohne in Colorado. Er habe einen Master in Business Administration und sei Anwalt. Dann müsste er sich eigentlich mit den juristischen Folgen auskennen.

Der Betreiber eines Portals, der Hacker und Auftraggeber mit Schädigungsabsicht eines Dritten zusammenbringt, macht sich grundsätzlich strafbar. Doch kann das Einbrechen in Computersysteme dem Portal zugerechnet werden? Auf der Startseite von HackersList heißt es: "Unser strikter Überprüfungsprozess stellt sicher, dass wir Betrüger ausschließen." In den zehnseitigen Geschäftsbedingungen ist zu lesen, dass die "Dienstleistung zu illegalen Zwecken verboten sei."

HackersList sieht sich lediglich als Vermittler. Andererseits müsste es sich den Betreibern geradezu aufdrängen, dass auf ihrem Portal dubiose Dienstleistungen mit strafbaren Handlungen angeboten werden. Insofern träfe sie auch eine gewisse Prüfungspflicht. HackersList ist offiziell in Neuseeland registriert, was eine Kontrolle schwierig macht. Europäisches oder amerikanisches Recht läuft hier ins Leere.