Mit dem BKA ins hacktivistische Dunkelfeld

In einer dritten Studie zum Phänomen „Hacktivismus“ findet das Bundeskriminalamt als Bedrohungspotential vor allem „Shitstorms“ sowie Informationskampagnen – und damit in der Regel legitime Meinungsäußerungen.

Cover der BKA-Studie. Seriöslich.

Das ist ein Gastbeitrag von Theresa Züger und Adrian Haase.

Die Forschungs- und Beratungsstelle Cybercrime des Bundeskriminalamtes (BKA) hat erneut zugeschlagen. Neben den Studien zum hacktivistischen Hellfeld und zum cyberkriminellen Tätertyp präsentierte das BKA eine Dunkelfeldstudie zu Hacktivisten. Damit geht ein bereits im Jahre 2013 gestartetes Projekt zu Ende, dass „vor dem Hintergrund der zunehmenden medialen Präsenz von hacktivistischen Aktivitäten und Taten und einem uneinheitlichen Verständnis der Bedrohungslage sowie des Gefährdungspotenzials dieses Phänomens, die Materie grundlegend auf[zu]schließen und dar[zu]legen“ (S. 1) soll. Dazu strebte das BKA insbesondere „eine klare begriffliche Abgrenzung des Phänomens [Hacktivismus] zu verwandten und ähnlichen phänomenologischen Strömungen“ (S. 1) an. Dass dieser Versuch bereits mehrfach gescheitert ist, haben wir und andere schon zu den vorangegangenen Teilstudien (u. a. hier, hier und hier) gezeigt. Obwohl das BKA abermals eine klare Abgrenzung zwischen legalem und illegalem Verhalten vermissen lässt und daher ein immens großes Spektrum von aktivistischen/hacktivistischen Verhaltensweisen im strafrechtlich relevanten Bereich verortet, kommt es nach drei Studien mit insgesamt deutlich über 200 Seiten zu einer entlarvenden Erkenntnis:

„Schon jetzt lässt sich feststellen, dass die Ergebnisse darauf hinweisen, dass es sich bei Hacktivismus weder im Hellfeld noch im Dunkelfeld um eine signifikante Bedrohung mit ausgeprägtem Schadenspotenzial handelt.“ (S. 35)

Letztlich sollte man dem BKA sogar dankbar für dieses Eingeständnis sein, da offensichtlich an einer verstärkten strafrechtlichen Verfolgung aktivistischer Handlungen kein Bedarf besteht. Gleichzeitig bleibt allerdings sowohl für Hacktivisten als auch für betroffene Unternehmen und Einrichtungen vollkommen unscharf, wo die Grenze zwischen straflosem Aktivismus und strafbarem Verhalten liegt – ein äußerst unbefriedigendes Ergebnis.

Dieses kommt jedoch nicht vollends überraschend, wenn man sich das Forschungsdesign der Dunkelfeldstudie anschaut, das von vornherein den Erkenntnisgewinn zum Thema Hacktivismus unwahrscheinlich macht. Von ca. 5.000 zufällig ausgewählten Unternehmen aus dem privaten und öffentlichen Sektor nahmen etwa 1.000 an der Dunkelfeld-Studie teil. Den 80 Fällen, in denen Unternehmen angeben, von Hacktivismus „betroffen“ gewesen zu sein, geht das BKA nicht weiter im Detail nach – womit völlig im Unklaren bleibt, ob und in welcher Weise es sich bei diesen Vorkommnissen tatsächlich um Hacktivismus, Cybercrime oder schlichte Meinungsäußerung handelte.

Da, wo es also eigentlich interessant werden könnte, tappt diese Studie anscheinend absichtlich im Dunkeln. Nur die tiefere Beschäftigung mit den lediglich numerisch erfassten Fällen hätte die Antworten auf die anvisierte Forschungsfrage liefen können. Dafür wäre es notwendig gewesen, die angedeuteten Fälle von Hacktivismus zu rekonstruieren und auf deren jeweilige Strafbarkeit zu überprüfen, sie auf ihr realistisches Gefahrenpotential hin zu analysieren, ggf. Schlüsse für den eigenen Umgang mit vergleichbaren Fällen zu ziehen und den Betroffenen wie den Hacktivisten Rechtssicherheit und ein klares Bild von strafrechtlichen Konsequenzen zu bieten. Nichts dergleichen wurde umgesetzt.

Woran sich die Studie, die sich Hacktivismus widmen will (!), jedoch überraschenderweise festbeißt, sind Shitstorms. Dieser Fokus der Betrachtung ist zweifach bemerkenswert. Erstens widerspricht er jenen Definitionen von Hacktivismus, die das BKA fortlaufend selbst anführt, z. B. als „Hochzeit von politischem Aktivismus und Computerhacking“ (BKA 2014: 21), womit Shitstorms offensichtlich gar nichts zu tun haben. Zweitens ist die Untersuchung von Shitstorms im Kontext der Studie verwunderlich, da die Beteiligung an einem solchen gegen ein Unternehmen oftmals keine Straftat darstellt. Abgesehen von falschen Tatsachenbehauptungen sind „Beleidigungen“ von juristischen Personen nur dann strafbar, wenn der sog. soziale Achtungsanspruch des Unternehmens verletzt wird. Im Gegensatz zur Beleidigung von natürlichen Personen, die vom allgemeinen Persönlichkeitsrecht des Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 Grundgesetz geschützt sind, ist in diesem Kontext das Grundrecht auf Meinungsäußerungsfreiheit daher erheblich weiter gefasst. Zusätzlich bedenklich ist, dass das BKA Shitstorms nicht weiter definiert, sondern die Unternehmen nach der Betroffenheit von „beleidigenden Kommentaren im Internet“ gefragt hat (S. 10), was ein sehr weites Feld in den Kontext der kriminalistischen Betrachtung rückt.

Diese heikle Tendenz der Studie schlägt in Absurdität um, wenn das BKA Unternehmen dazu auffordert zu erläutern, inwieweit sie sich als durch Demonstrationen oder Informationkampagnen gefährdet fühlen (S. 20). So sehr es die berechtigte Aufgabe des BKA ist, Unternehmen vor Kriminalität zu schützen, sollte kein Zweifel daran bestehen, dass grundrechtlich geschützte Bürgerrechte, wie die Versammlungsfreiheit und das Recht auf freie Meinungsäußerung auch durch das BKA als Organs des Rechtsstaats verteidigt und nicht in Frage gestellt werden dürfen.

Von den 1.000 Teilnehmern der Studie gaben, wie erwähnt, lediglich 80 an, bislang von hacktivistischen Tätigkeiten betroffen gewesen zu sein. Nur 43 Unternehmen oder Einrichtungen erlitten einen finanziellen Schaden (Kosten der Behebung der Störung, zusätzlicher Arbeitsaufwand und zusätzliche Investitionen in die Informationstechnik). Folgerichtig schätzt die große Mehrheit der befragten Unternehmen die Gefahr durch Hacktivismus als „eher gering“ oder sogar „sehr gering“ ein.

Weder untergeordnete Strafverfolgungsbehörden noch Hacktivisten können den Ergebnissen entnehmen, welche Verhaltensweisen strafbar sind und wann aktivistisches Handeln im erlaubten Bereich verbleibt. Letztlich wird das BKA in diesem Themenbereich seiner Rolle als Akteur der öffentlich Sicherheits- und Ordnungsgewalt nicht gerecht. Es weigert sich, Grenzen zu ziehen, geeignete Präventionsmaßnahmen vorzuschlagen oder auch nur Betroffenen zu signalisieren, ob sie Opfer einer zu verfolgenden Straftat oder Ziel einer hinzunehmenden aktivistischen Handlung geworden sind.

Gleichwohl darf man mit Spannung auf das offizielle und endgültige Fazit des BKA zu dieser Studienreihe warten. Leider ist schon jetzt offensichtlich, dass allein die jeweiligen Ansatzpunkte der Forschung und Studiendesigns die eigentlich relevanten und interessanten Fragen verfehlen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

11 Ergänzungen

    1. Nix, die sind eh da um solchen Unsinn haufenweise zu produzieren. Die braunen Haufen werden immer mehr und es stinkt schon zum Himmel.

  1. Wen interessiert das Steuergeld?
    Das BKA hat klar festgestellt, das dem deutschen Staat mehr Schäden durch „Shittstorm Attacken“ verursacht werden, als durch Hacktivismus!

    Also die freie Meinungsäußerung des gemeinen Bürgers (von denen viele die Eliten Wählen, aber langsam gerade wegen der freien Meinungsäußerung, wahltechnisch … Abtrünnig werden), stellt eine größere Gefahr für die Innenpolitik dar, als der bürgerliche „Cyberterrorismus“!
    Also, ein gut getimter Shittstorm … könnte … einen Tag vor der Wahl, bevor die etablierten Parteien dementieren könnten … z.B. einen nicht ungefährlichen Einfluss auf die Landtags- bzw. Bundestagswahl haben und das politische Kräfteverhältnis empfindlich stören, nicht?

    Die Studie ist ein voller Erfolg, finde ich!

  2. Hm, noch mehr Schäden entstehen durch unsinnige Prozessabläufe durch zerstörerische Programmierung im kaufmännischen Umfeld – Stichwort: Prozesskriminalität.
    Das sind unternehmensinterne Programmierer, die von Vorgesetzten falsche Informationen erhalten und dann den Betrieb in Grund und Boden programmieren :-)
    Wer dann Grund und Boden übernimmt, kann die Software erstmal löschen und von vorne anfangen.
    Lieben Gruß SUSI

  3. Ihr links/grünen Gesinnungswächter gebt denen ja auch eine Steilvorlage für ihre Maßnahmen. Selbst Schuld….

    1. … inclusive des Terrorismus, der in dem Film zum System gehört, weil der Bürger für seine Steuergelder auch etwas verlangen kann!
      Was das bedeutet?

      Nun, wenn der Staat Steuergelder für die Bekämpfung vom Bürger erhält, so hat der Bürger auch ein Anrecht darauf, das der Terrorismus ihm (Bürger) auch etwas (Gegenwehr/Entertainment) für sein Geld bietet!
      … also … ohne Terroristen/Terrorismus/Anschläge kein Geld für die Bekämpfung des selbigen vom Bürger für den Staat!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.