Seit 2014 widmet sich das Bundeskriminalamt (BKA) mit einer Reihe von Studien der Erforschung von Hackern und Hacktivisten um, wie sie selbst schreiben, ihre Wissens- und Erkenntnisbasis über beide Phänomene zu erweitern. Die zweite Studie, die diesem Anliegen Folge leistet, postuliert das kühne Ziel, Täter des Bereichs Cybercrime zu typologisieren. Doch dadurch begibt sich das BKA mit seinen Prämissen auf wissenschaftliches Glatteis, denn für diese Beschäftigung wählt das BKA einen schillernden Begriff, in der Annahme, dass er alle Cyberkriminellen verbindet: den des Hackers. Das grundlegende Problem, welches sich das BKA selbst einbrockt, ist, dass es sich mit einem Phänomen beschäftigt, das gesellschaftlich quer zur Frage der Kriminalität steht: Hacker wie Hacktivisten sind soziale Kategorien, sie können strafrechtlich relevante Aktionsformen berühren – sie tun dies jedoch nicht kategorisch. Das BKA trägt mit seinen Studien nicht zur Klärung dieser Kategorien bei und genau so wenig zum besseren Verständnis von Cyberkriminalität, sondern lediglich zur Kriminalisierung von Hackern und Hacktivisten.
Das ist die Fortführung einer Replik zur Forschung des BKA zu Hackern und Hacktivisten von Theresa Züger, Adrian Haase und Theresa Behrendt.
Vielsagend ist dabei nicht nur der kriminalisierende Bias, der sich durch sämtliche der Studien zieht, sondern vor allem auch, was in diesen Studien keine Erwähnung findet: Einerseits finden weder die Hacker des CCC, der in Deutschland durch sein Engagement und seine Expertise seit den 80er Jahren eine gesellschaftlich anerkannte und wertgeschätzte Position erfüllt, einen sichtbaren Platz im Hacker-Weltbild des BKA. Andererseits erhält die existierende Sozialforschung zur Figur des Hackers nicht mehr Raum als eine Randnotiz. Diese kam übrigens bereits vor Jahren zu dem Ergebnis, dass der Hacker aufgrund der “grundlegenden Ambivalenz der Figur zwischen einer subversiven und einer staatstragenden Variante” und “der Diversität seiner Aktionen und Zielsetzungen unfaßbar geworden” sei (Pias 2002: 248).
Als Definition bemüht das BKA eine Formulierung von Schell und Dodge, die unter Hackern „Personen mit einem Interesse für Technologie [verstehen], die ihr Wissen nutzen, um sich mit oder ohne [sic] Genehmigung Zugang zu Computern und anderen Geräten [zu] verschaffen“ (S. 6). Eine Erklärung, weshalb auch mit Genehmigung handelnde Hacker zu kriminalisieren und vom BKA zu beobachten/verfolgen seien, bleibt die Studie schuldig. Eine Rechtsgutsgefährdung (als Grundlage jedes verfassungsgemäßen Strafens) ist bei solchen Sachverhalten jedenfalls nicht erkenntlich.
Aufbau und Niedergang der Studie
Die Studie teilt sich in zwei Teile. Zunächst erfolgt eine phänomenologische und tätertypologische Betrachtung bevor in einem zweiten Teil kriminologische Erklärungen und Handlungsmöglichkeiten beleuchtet werden.
Ziel der Studie war es, „zielgruppenorientierte Interventions- und Präventionsstrategien für unterschiedliche Tätergruppen zu entwickeln“ (S. 3). Tatsächlich gibt die Studie lediglich Ergebnisse der analysierten deutsch- und englischsprachigen Literatur zum Thema Cybercrime im engeren Sinne, bezogen auf täterspezifische Erkenntnisse, seit dem Jahr 2000, wieder. Unter Cybercrime im engeren Sinne versteht das BKA solche Straftaten, „die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten“ (BKA, 2014, S.3), ergo §§ 263a, 269, 270, 303a, 202a, 202b und 202c StGB.
Der argumentative Untergang der Studie konzentriert sich unter dem Kapitel der sogenannten “Hackerphänomenologie”. Mehrfach wird darauf hingewiesen, dass bislang kaum nach hohen wissenschaftlichen Standards durchgeführte kriminologische Untersuchungen zu Cybercrime-Tätern vorlägen (S. 5). Erstaunlicherweise werden dennoch gerade jene existierenden und als wissenschaftlich unverlässlich gesehenen Studien zur Herleitung der Hackerphänomenologie herangezogen.
Das BKA, das selbst in seiner Literaturrecherche feststellt, dass es “den Hacker nicht gibt” (S. 8), lässt es sich nämlich nicht nehmen, den typischen Hacker als Täter zu beschreiben. Er wird (grob zusammengefasst) als junger, männlicher Schüler, Student oder Auszubildender klassifiziert, der seine Freizeit vor dem Computer verbringt. Das BKA kommt zum überraschenden Schluss, dass sich Hacker im Kern nicht vom Rest der Bevölkerung unterscheiden ließen (S. 15). Ungeachtet dessen und obwohl es oftmals kaum zu erkennen sei, welcher Akteur für einen Cybersicherheitsvorfall verantwortlich ist (S. 3), soll eine Klassifizierung von Tätertypen aufgrund der Hackerphänomenologie dennoch hilfreich sein. Historisch stellt das BKA dabei auf Franz von Liszt ab, der bereits Anfang des 20. Jahrhunderts Tätertypen im Hinblick auf ihre Rückfallgefährdung klassifiziert und passend dazu Reaktionsmodi mit dem Ziel der Rückfallverhinderung aufgezeigt habe (S. 1). Dass Franz von Liszt und die Pervertierung seiner Forschungen durch die Nationalsozialisten mit dem Gewohnheitsverbrechergesetz von 1933 zusammenhängen, lässt das BKA unerwähnt. Erfreulicherweise relativiert das BKA immerhin dergestalt, dass die Gefahren der Typologisierung bekannt seien und somit Kategorien von Tätertypen allenfalls als Orientierung genutzt würden, um Menschen nicht irgendwelchen Kategorien zuzuordnen (S. 1).
Teil dieser Typologisierung sind auch Erkenntnisse bezüglich der möglichen Motivationen von Hackern. Hacker würden regelmäßig durch Motivbündel zur Tat bewegt: Entertainment, Nervenkitzel, Zugehörigkeit zu einer Gruppe, Ruhm und Status, Macht und Kontrolle, wirtschaftliche Gründe, politische Gründe, Schadensabsicht und Rache und Sucht (S. 17) spielen als Motivationen scheinbar eine Rolle. Dieser Motivationsvielfalt folgend, präsentiert das BKA eine wirre Zusammenfassung von unzähligen (wir glauben es sind 13) unterhaltsamen bis absurden bisherigen Versuchen Hacker zu klassifizieren. Besondere Beachtung finden dabei die Klassifizierungen von Rogers (2000) und die darauf aufbauenden Ansichten von Chiesa et al. (2009), die beispielsweise den “quite, paranoid and skilled”-Hackertyp entdeckt haben. Dieses scheue Tier ist der “[gefährlichste] der nicht Geld-orientierten Hacker. Mit Kompetenz ausgestattet, erforscht er – möglichst ohne entdeckt zu werden – Systeme. Hat keine Interesse daran, anderen zu imponieren und wird im seltenen Fall, dass seine Präsenz in einem System bekannt wird, sofort verschwinden” (S.33).
Durch die angestrebte und gleichzeitig als gefährlich erkannte Typologisierung von potentiellen Tätern haben sich die Urheber der Studie by design in ein Dilemma manövriert. Das Erfordernis zielgruppenorientierte Interventions- und Präventionsstrategien zu entwickelt wird, wie für jedes Kriminalitätsfeld, kaum zu bezweifeln sein. Allerdings erscheint dieses Ansinnen umso erstaunlicher, wenn man bedenkt, dass sich das BKA, wie auch bereits in der ersten Studie im Bereich “Hacktivisten” renitent weigert, zwischen Hackern, Hacktivisten und Cyberkriminellen zu differenzieren.
Im zweiten Teil der Studie erfolgen zunächst kriminologische Erklärungen für das Cybercrime-Phänomen nach Maßgabe einschlägiger Theorien. Angeführt werden die Bindungstheorie und die Theorie der Selbstkontrolle, Lerntheorien, Neutralisationstheorie, die Theorie des rationalen Wahlhandelns, die Routine-Aktivitätstheorie, Kriminalität als „verbotene Frucht“, der Flow-Theorie und der Space Transition Theory. Eine spezifische Bedeutung dieser kriminologischen Theorien für den Untersuchungsgegenstand wird nicht detailliert herausgearbeitet, stattdessen wird banaler Weise festgestellt, dass “Cybercrime im engeren Sinne kein an sich neues menschliches Verhalten beschreibt, sondern dieselben menschlichen Antriebskräfte wirken, die Menschen auch in anderen Bereichen antreiben” (S.68).
Die täterorientierten Handlungsmöglichkeiten, die zuletzt angeführt werden, bleiben allgemein, wenn nicht sogar nichtssagend. Vorgeschlagen werden die Durchführung von sozialen Netzwerkanalysen, der Einsatz der Kriminalitätsskriptanalyse, eine wirksamere Strafverfolgung, Störung illegaler Märkte, Verringerung von Tatgelegenheiten und eine intensivierte Forschung zum Themenbereich. Auf das „wie“ der Umsetzung der Handlungsmöglichkeiten wartet der Leser leider vergeblich.
Fazit
Die Frage, die wir uns nach der Reflexion über diese BKA-Studie ernsthaft stellen, ist: Mit welchem Ziel ist die Rede von Hackern im Allgemeinen?
Zur Verdeutlichung folgendes Beispiel aus der analogen Welt: Wenn im Rahmen von Unfallursachen-Analysen im Straßenverkehr eine erhöhte Anzahl an manipulierten Fahrzeugen festgestellt werden könnte, sind kriminologische Studien zur Kfz-Tüftler-Szene und deren Kriminalisierungsgrad durchaus sinnvoll und auch rechtstaatlich unbedenklich. Wenig zielführend wäre hingegen die Kriminalisierung sämtlicher Kfz-Mechaniker, Oldtimer-Schrauber, Unfall-Gutachter etc. und die ausschließliche kriminologische Beschäftigung mit deren Handlungsmotiven. So aber geht das BKA bezüglich seiner Hacker-Studie vor.
An sich ist die Kategorie des Hackers für das BKA nicht relevant, allein Cyberkriminelle sind das eigentliche Untersuchungsinteresse des BKA. Diese grobe Gleichsetzung von Verallgemeinerung, die nahelegt, dass jeder Hacker bereits mit einem Bein im Sumpf der Kriminalität steckt, erscheint nur dann sinnvoll, wenn es eigentlich darum geht, die einflussreiche, unbequeme und für den Staat herausfordernde Praxis des Hackens allgemein zu sanktionieren und unter Beobachtung zu stellen.
Vermutlich ängstigt das BKA, dass man zum Hacken keine Ausbildung braucht und die Art des Hackens nicht als Berufsbezeichnung übernommen wird. Hacker gehen ihrer – guten, grauzonenhaften oder bösartigen –Beschäftigung einfach nach. Um zu erfahren, womit sie sich identifizieren, ist eine Auseinandersetzung mit ihrer Materie notwendig, auch die Aktionen an sich sind teils ohne Fachhintergrund nicht verständlich und werden dann phantasievoll ausgelegt. (Oder Gegenbeispiel: Bekannte IT-Konzerne, deren kriminelle Geschäftsmethoden eben nicht verstanden und nicht erkannt werden.)
Durch diese und weitere Eigenschaften entziehen sie alle Arten der Hacker staatlicher Kontrollierbarkeit. Ob gut oder schlecht ist nicht sofort zu sagen. Eigentlich müsste also die Unschuldsvermutung gelten. Ich hoffe, dass es dabei bleibt, und uns in der Praxis nicht alles in Richtung Kriminalisierung und Verfolgung/Beobachtung umkippt.
PS: Nein, ich *fordere* keine Ausbildung zum staatl. geprüften Hackermeister und auch keine andere Art der Kontrolle – es soll alles bleiben wie es ist. ;)
Hinzu kommt das wer als „Hacker“ längere Zeit ohne Ausbildung und Studium gearbeitet hat auch keinen geregelten, Sozialversicherungspflichtigen Job bekommt. Denn hey, ohne irgendwelche Ausbildungspapiere und Studienabschlüsse brauch ich mich heutzutage nirgends mehr bewerben. Und Berufserfahrung die man so als Torrent Distributor oder bei diversen Bot Projekten gesammelt hat, die sollte man besser auch nicht in der Bewerbung erwähnen. Also bleibt da am Ende eben nichts als einfach so weiter zu machen.
Als bleibt man dann in der „Grauzone“ hängen. Leute die nicht in die Hirarchie der Lohnarbeit und Sozialsysteme gefesselt sind, also Leute die irgendwie „frei“ sind. Davor hat die Obrigkeit eben immer Angst, weil dies die Klasse derjenigen ist welche nichts mehr zu verlieren hat, wohl aber viel zu gewinnen ohne dabei in der Loyalität oder Verpflichtung von irgendjemandem zu stehen. Also unberechenbar zu sein.
Ich denke, die haben sich einfach wegen der historischen Entwicklung verrannt. Es gab einmal eine Zeit, da haben sich so wenig Leute intensiv mit Computern befasst, dass es im Fall von Computerstraftaten nicht abwegig gewesen wäre, sie erst einmal alle unter Verdacht zu haben. (Damals hatten Polizei, Staatsanwaltschaften und Richter allerdings ihrerseits so wenig Ahnung von Computern, dass die Verfolgung von solchen Straftaten meist sowieso schon im Ansatz scheiterte.)
Inzwischen ist es ein Massenphänomen, aber da es das nicht plötzlich geworden ist sondern schleichend, gab es nie den Anlass, zu sagen: „Heute gibt es 1000-mal so viel ‚Hacker‘ wie letztes Jahr, da müssen wir wohl jetzt genauer hingucken.“
Dazu kommt natürlich noch das allgemeine Problem, dass zu einer Tätigkeit beim BKA in vielerlei Hinsicht die entgegengesetzte Mentalität wie zur Tätigkeit als Computer-Experte gehört (ob nun beruflich, als Hobby oder kriminell). Die Bereitschaft, alle in einen Topf zu werfen, weil man wegen kognitiver Verzerrungen (siehe Wikipedia) die Unterschiede nicht richtig wahrnehmen *kann*, ist da eben sehr groß. Genauso, wie das ja auch von anderweitig ‚abweichenden‘ Bevölkerungsgruppen wie z.B. Ausländern oder Deutschen mit dunkler Hautfarbe oder Migrationshintergrund bekannt ist. Selbst die Unterscheidung zwischen EU-Ausländern aus dem Norden und „Südosteuropäern“ bekommen diese Leute sicher nicht konsequent gebacken. Teilweise ist das auf Grund ihrer berufsbedingten sehr speziellen Erfahrungen sogar verständlich.
Schuster bleib bei deinem Leisten.
Das BKA und Studien über Dinge anfertigen, von denen sie keine Ahnung haben. Extrem vorbelastet einseitige und wenig zielführende Sicht- und Bewertungsweise, da kann nichts mit Hand und Fuß bei ‚rauskommen. Das BKA täte gut daran, sich um korrekte Ausführung ihrer eigentlichen Aufgaben zu kümmern.
mfg R.K.
„…der mit oder ohne Genehmigung in fremde Systeme eindringt…“
Da hat das BKA aber Glück, dass man wieder den Bundestrojaner genehmigt hat. Sonst müssten sich die Damen und Herren eigendlich alle selbst verhaften…
„Wir sollten ihn erfinden.“
Die leben ihn ihrer eigenen Filterblase.
Wenn die irgendwas (er)finden müssten, dann die Mörder der jungen Polizistin M.Kiesewetter.
Was denken deutsche Polizisten denn so über einen sakrosankten *hüstel* Arbeitgeber, dem die Tötung eines seiner Arbeitnehmer so vorbildlich am Hintern vorbeigeht.
Stimmt es, dass das FBI der Regierung, den Bundesbehörden nähere Informationen dazu geben wollen, die Regierung dies offiziell nicht ‚wissen‘ möchte? Es war auch etwas von einer Operation des us-militärischen. Geheimdienstes zu lesen?
ist wohl eine Definitions Frage ;) und manchmal wirkt das alles ein bissche „blauäugig“ von den offiziellen Stellen
Hm, gibt es in dieser umfangreichen und hochinteressanten Studie auch eine Ausführung zum Phänomen: IT GIRL?
Ich weiß ja nicht wie sich das in Zukunft alles weiterentwickelt, aber wenn nun Mädchen auch noch in die tieferen Spären des Computers eindringen, oder aber wie in Matrix zu Helferinnen der Cyberaktivisten werden, dann kann dies auch in Deutschland zu Verwerfungen der Bildungskultur führen, oder nicht?
Wie ist die Stellungnahme der Bundesbildungsministerien zu diesen riskanten Entwicklungen im Bereich IT und der Förderung von Mädchen im Rahmen von MINT?
Im ungünstigsten Fall entstehen dann ganze Familien die sich dem HACK aus Sympathie und Neigung verschreiben. Wie sieht hier die Regelung des Gewohnheitsverbrechergesetzes aus dem Jahre 1933 aus?
Also, der Artikel war supergut geschrieben. Vielleicht gibt es ja bald etwas zu den IT GIRLS und deren Nachwuchs, den PEPPERMINTGIRLS.
Lieben Gruß SUSI