„Projekt Hacktivismus“: BKA befragt Unternehmen nach Shitstorms und digitalen Angriffen

Vor drei Jahren startete das Bundeskriminalamt (BKA) das „Projekt Hacktivismus“ (in manchen Veröffentlichungen auch als „Projekt Hacktivisten“ bezeichnet). Zusammen mit dem Bundesamt für Verfassungsschutz, dem Verteidigungsministerium und dem „Nationalen Cyber-Abwehrzentrum“ soll das Projekt ein „Verständnis der Bedrohungslage sowie des Gefährdungspotenzials“ des Phänomens liefern. Ziel sei laut dem BKA eine „klare begriffliche Abgrenzung“ gegenüber ähnlichen phänomenologischen Strömungen herzustellen.

Zunächst führte das BKA eine sogenannte Hellfeld-Studie durch. Eine eher willkürliche Literaturstudie trug Veröffentlichungen aus dem deutschsprachigen und angelsächsischen Raum zusammen und versuchte eine begriffliche Abgrenzung hinsichtlich „Cyber“-Phänomenen, darunter „Cybercrime“, „Hacking“, „Cyberterrorismus“, „Cyberwar“. Vorgeschlagen werden Maßnahmen, um vor allem jugendliche ErsttäterInnen mit drakonischen Maßnahmen abzuschrecken.

Nun hat das BKA auch seine Dunkelfeldstudie zu „Hacktivisten“ veröffentlicht (Download beim BKA hier). Die Delinquenten werden darin folgendermaßen definiert:

Anders als finanziell motivierte Hacker veröffentlichen Hacktivisten aus ideologischen Gründen bspw. gestohlene Daten wie Zugangspasswörter, persönliche und vertrauliche Informationen, E-Mail-Adressen usw. im Internet. Hacktivistische Aktivitäten müssen nicht in jedem Fall strafrechtlich relevant sein. Da bei dem zum Hacktivismus unabdingbaren Einsatz von Online-Tools jedoch häufig Systeme manipuliert und/oder Daten ausgespäht werden, werden in solchen Fällen verschiedene Straftatbestände erfüllt (§ 303 a StGB (Datenveränderung), § 303 b StGB (Computersabotage), § 202 a StGB (Ausspähen von Daten), § 202 b StGB (Abfangen von Daten).

971 Unternehmen und öffentliche Einrichtungen haben einen Fragebogen ausgefüllt, die Rücklaufquote betrug damit 21% der ursprünglich Angeschriebenen. Von Interesse war, inwiefern digitale Infrastrukturen der Teilnehmenden bereits von „Aktivismus, Shitstorms, Hacktivismus und digitalen Angriffen“ betroffen waren. Das BKA wertet die Ergebnisse als repräsentativ.

364 befragte Unternehmen waren bereits Opfer von einem oder mehreren digitalen Angriffen, hier erlebten insbesondere größere Unternehmen mehrere Angriffe. Einrichtungen, die schon öfters Ziele digitaler Angriffe waren, wurden auch schon mehrmals Opfer von Hacktivismus. Es lässt sich festhalten, dass alle Angriffsformen (aktivistische, Shitstorms, digitale Angriffe) sowohl mit Hacktivismus als auch untereinander korrelieren.

Von 971 antwortenden Einrichtungen gaben 35 an, in der Vergangenheit bereits mehrmals Opfer von Hacktivismus geworden zu sein und 45 gaben an, einmal von Hacktivismus betroffen gewesen zu sein. D. h. insgesamt wurden 80 Einrichtungen in den letzten Jahren ein- oder mehrmals Opfer hacktivistischer Aktivitäten, wobei größere Einrichtungen eher und auch häufiger von Hacktivismus betroffen waren als kleinere. 818 Einrichtungen konnten keine hacktivistischen Angriffe ausmachen (ggf. könnten diese stattgefunden haben, wurden aber nicht bemerkt bzw. als sonstiger Systemausfall/-fehler gewertet).

Als „aktivistische Aktionen“ im digitalen Raum gelten laut dem BKA „Demonstrationen, Bedrohungen und Sachbeschädigung“. Auf Seiten der Behörden seien hiervon außer den Firmen vor allem Einrichtungen der öffentlichen Verwaltung, Verteidigung und Sozialversicherung betroffen. Beispiele nennt die Studie nicht. Während größere Firmen mit mehreren Standorten außer „Aktivismus“ auch mit Shitstorms konfrontiert gewesen seien, erlitten kleinere Firmen mehr Sachbeschädigungen.

bka_hacktivismus_shitstorms

Die Erhebung bleibt unpräzise, um welche Angriffe oder Sachbeschädigungen es sich gehandelt haben soll. Unternehmen oder Einrichtungen, die Ziele digitaler Angriffe geworden sind, seien meist auch von Shitstorms betroffen gewesen.

Unternehmen, die bereits Opfer von Shitstorms waren, waren auch eher von einem oder mehreren hacktivistischen Angriffen betroffen. Die Nutzung sozialer Medien begünstigt die Betroffenheit von Shitstorms. Diese auf der Hand liegende Verknüpfung konnte hier auch empirisch belegt.

Insgesamt lässt sich festhalten, dass Aktivismus, Shitstorms, Hacktivismus und digitale Angriffe untereinander und miteinander korrelieren, d. h. Einrichtungen, die von dem einen Phänomen betroffen waren auch viel eher von einer oder mehrerer der anderen Varianten betroffen waren.

Die Studie errechnet eine Häufigkeit von 8%, dass Unternehmen und öffentliche Einrichtungen in Deutschland Ziel von Hacktivismus werden. Es bestehe „ein positiver Zusammenhang zwischen der Betroffenheit von Aktivismus und der Betroffenheit von Hacktivismus“. Wegducken hilft: Unter den Einrichtungen, die „keinen Hacktivismus erlebt haben“, nutzt die Mehrheit laut dem BKA keine sozialen Medien.

Besonders gravierend ist das Phänomen jedoch nicht: So ließe sich laut dem BKA feststellen, „dass es sich bei Hacktivismus weder im Hellfeld noch im Dunkelfeld um eine signifikante Bedrohung mit ausgeprägtem Schadenspotenzial handelt“.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

5 Ergänzungen

  1. „Vorgeschlagen werden Maßnahmen, um vor allem jugendliche ErsttäterInnen mit drakonischen Maßnahmen abzuschrecken.“

    Ich wette, die angesprochenen Personen machen sich bestimmt schon ins Hemd.
    Als ob man ernsthaft vor diesen grenzdebilen Berufsversagern und Witzfiguren Angst haben müsste.

    Ganz im Gegenteil sogar, das uniformierte Ermittlungsbehördengesindel sollte zutiefst dankbar sein, dass es kein digitales Fukushima erlebt.

    Nach all dem Scheiß, den es sich erlaubt, wären Vergeltungsmaßnahmen endlich mal angebracht.

    Wer auf das Recht auf Privatsphäre anderer Menschen scheißt, darf sich nicht wundern, wenn diese irgendwann mal die Schnauze voll haben.

  2. Sehr verwirrender Artikel.
    Zum einen heißt es: Vorgeschlagen werden Maßnahmen, um vor allem jugendliche ErsttäterInnen mit drakonischen Maßnahmen abzuschrecken.
    Das aber wieder „dass es sich bei Hacktivismus weder im Hellfeld noch im Dunkelfeld um eine signifikante Bedrohung mit ausgeprägtem Schadenspotenzial handelt.“.
    Soll die Strafe nicht der Tat angemessen sein?

    Ich dreh die Befragung einfach mal um:
    Das Budget für Sicherhitsmaßnahmen beträgt idR weniger als 4%.
    Man kommt durch Home Office Mitarbeiter leichter in Unternehmen als durch die Vordertür. Beschränkten Zugriff gibt es aus dem Home Office nicht.
    Logfiles werden nicht gelesen.
    Passwortrichtlinien vorhanden (vage formuliert)
    Richtlinien im Umgang mit IT (zur Kenntnis genommen)
    Modi Operandi Spam Mails (Bezug zu Hacktivismus unklar!? siehe Richtlinien im Umgang mit IT :) )
    Unternehmen verfolgen „Hacktivismus“ nicht.

  3. Unsere (sog.) Chefcyberermittler vom BKA haben das Netz mit seinen unendlich vielen Facetten scheinbar noch immer nicht begriffen.

    Aktivismus, Hacktivismus und Shitstorming wird munter in eine Topf geworfen, da ja „Korrelationen“ vorhanden wären.

    Ich bin amüsiert.

    Natürlich gibt es solche Korrelationen in einer umfangreich vernetzten Welt, in der Nachrichten und Informationen global in Echtzeit ausgetauscht werden, in der es nur ein paar Mausklicks auf dem heimischen Sofa bedarf um seine Meinung zu einem Thema abzugeben.

    Und dies findet in der Regel völlig öffentlich statt.
    Um wirkliche Zusammenhänge zu eruieren, lege ich den Ermittlern des BKA nahe, die zeitliche Abfolge der korrelierenden Ereignisse zu studieren.

    Shitstorm, Hacktivismus & Aktivismus sind Ausprägungsformen wie auch immer gearteten Protests. Allerdings mit jeweils unterschiedlichen Zugangshürden.

    Am einfachsten ist die Teilnahme an einem Shitstorm in einem sozialen Netzwerk. Hier bedarf es weder einer gesteigerten Aktivität, noch sind besondere technische Hürden zu überwinden.
    Dementsprechend hoch ist in der Regel die Anzahl der partizipierenden Personen.

    Hacktivismus ist da schon ein wenig Anspruchsvoller. Technische Hürden wollen gemeistert werden, außerdem müssen sich die Teilnehmer organisieren und zeitlich abstimmen. Da fallen schon 99% der üblichen Shitstormer aus dem Raster. Hacktivisten sind also „radikaler“ als Teilnehmer eines Shitstorms.
    Nichtsdestotrotz muss man für Hacktivismus trotzdem nicht das heimische Sofa verlassen.

    Echten Aktivismus sieht man am allerwenigsten. Hier muss offensichtlich ein starker Antrieb vorhanden sein um seinen Arsch vom Sofa zu bekommen.

    Meistens folgen Hacktivismus und Aktivismus auf einen Shitstorm, weil der Shitstorm als Protest in der digitalen Öffentlichkeit stattfindet und auf ein spezifisches Problem hinweist.

    Diese Öffentlichkeit kann dazu führen, dass Hacktivisten auf diese Problematik aufmerksam werden und sich ihrer „annehmen“.

    Spätestens jetzt folgt oftmals ein mediales Echo, dass die Aktivisten erreicht und auf den Plan ruft.

    Ein gutes Beispiel ist hier die Operation Chanology von Anonymous.

    Erst gab es Diskussionen unter Anons, es wurden Shitstorms und Trollaktionen gegen Scientology initiiert. Die nächste Stufe waren DDOS Attacken und andere Hacks auf Targets, die mit Scientology assoziiert waren.
    Aktiv haben Anons weltweit letztendlich persönlich vor den jeweiligen Niederlassungen der Sekte protestiert, was sie übrigens bis zum heutigen Tage noch tun.

    Allerdings kann man auch hier sher schön die Abnahme der Teilnehmerzahlen mit jeder Stufe des Protests beobachten.

    Waren an den Diskussionen und Shitstorms noch viele Tausend User beteiligt, schrumpfte der hacktivistische Part auf ein paar hundert, während vor der Niederlassung nur noch ein paar dutzend Aktivisten standen und stehen.

    Allerdings ist Chanology eine halbwegs organisierte Aktion und damit eher die Ausnahme, denn die Regel.

    In diesem Zusammenhang von drakonischen Strafen für Ersttäter zu fabulieren ist wenigstens kontraproduktiv, wenn nicht sogar juristisch unhaltbar.

    In den USA werden schon seit längerem drakonische Strafen für das Hacking verhängt. Ich frage allerdings, ob das auch nur einen Hacktivisten oder Aktivisten davon abgehalten hat, zu seiner Überzeugung zu stehen?

    Echter Hacktivismus passiert nicht aus niederen Motiven, sondern um gegen einen Missstand zu protestieren (vgl. Aktionen gegen VISA und Amex wg. WikiLeaks).

    Ich meine, man sollte politisch motivierten Hacktivismus und Aktivismus nicht mit rein destruktiven Straftaten auf ein Niveau stellen, dies ist meiner Meinung nach nicht mit unseren Grundrechten vereinbar.

    Auch fallen in meinen Augen „Onlinepranger“ und Diebstähle von Kreditkartendaten o.Ä. nicht unter den Begriff „Hacktivismus“ und sollten daher getrennt betrachtet werden.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.