Seit 2014 widmet sich das Bundeskriminalamt (BKA) mit einer Reihe von Studien der Erforschung von Hackern und Hacktivisten um, wie sie selbst schreiben, ihre Wissens- und Erkenntnisbasis über beide Phänomene zu erweitern. Die zweite Studie, die diesem Anliegen Folge leistet, postuliert das kühne Ziel, Täter des Bereichs Cybercrime zu typologisieren. Doch dadurch begibt sich das BKA mit seinen Prämissen auf wissenschaftliches Glatteis, denn für diese Beschäftigung wählt das BKA einen schillernden Begriff, in der Annahme, dass er alle Cyberkriminellen verbindet: den des Hackers. Das grundlegende Problem, welches sich das BKA selbst einbrockt, ist, dass es sich mit einem Phänomen beschäftigt, das gesellschaftlich quer zur Frage der Kriminalität steht: Hacker wie Hacktivisten sind soziale Kategorien, sie können strafrechtlich relevante Aktionsformen berühren – sie tun dies jedoch nicht kategorisch. Das BKA trägt mit seinen Studien nicht zur Klärung dieser Kategorien bei und genau so wenig zum besseren Verständnis von Cyberkriminalität, sondern lediglich zur Kriminalisierung von Hackern und Hacktivisten.

Das ist die Fortführung einer Replik zur Forschung des BKA zu Hackern und Hacktivisten von Theresa Züger, Adrian Haase und Theresa Behrendt.

Vielsagend ist dabei nicht nur der kriminalisierende Bias, der sich durch sämtliche der Studien zieht, sondern vor allem auch, was in diesen Studien keine Erwähnung findet: Einerseits finden weder die Hacker des CCC, der in Deutschland durch sein Engagement und seine Expertise seit den 80er Jahren eine gesellschaftlich anerkannte und wertgeschätzte Position erfüllt, einen sichtbaren Platz im Hacker-Weltbild des BKA. Andererseits erhält die existierende Sozialforschung zur Figur des Hackers nicht mehr Raum als eine Randnotiz. Diese kam übrigens bereits vor Jahren zu dem Ergebnis, dass der Hacker aufgrund der “grundlegenden Ambivalenz der Figur zwischen einer subversiven und einer staatstragenden Variante” und “der Diversität seiner Aktionen und Zielsetzungen unfaßbar geworden” sei (Pias 2002: 248).

Als Definition bemüht das BKA eine Formulierung von Schell und Dodge, die unter Hackern „Personen mit einem Interesse für Technologie [verstehen], die ihr Wissen nutzen, um sich mit oder ohne [sic] Genehmigung Zugang zu Computern und anderen Geräten [zu] verschaffen“ (S. 6). Eine Erklärung, weshalb auch mit Genehmigung handelnde Hacker zu kriminalisieren und vom BKA zu beobachten/verfolgen seien, bleibt die Studie schuldig. Eine Rechtsgutsgefährdung (als Grundlage jedes verfassungsgemäßen Strafens) ist bei solchen Sachverhalten jedenfalls nicht erkenntlich.

Aufbau und Niedergang der Studie

Die Studie teilt sich in zwei Teile. Zunächst erfolgt eine phänomenologische und tätertypologische Betrachtung bevor in einem zweiten Teil kriminologische Erklärungen und Handlungsmöglichkeiten beleuchtet werden.

Ziel der Studie war es, „zielgruppenorientierte Interventions- und Präventionsstrategien für unterschiedliche Tätergruppen zu entwickeln“ (S. 3). Tatsächlich gibt die Studie lediglich Ergebnisse der analysierten deutsch- und englischsprachigen Literatur zum Thema Cybercrime im engeren Sinne, bezogen auf täterspezifische Erkenntnisse, seit dem Jahr 2000, wieder. Unter Cybercrime im engeren Sinne versteht das BKA solche Straftaten, „die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten“ (BKA, 2014, S.3), ergo §§ 263a, 269, 270, 303a, 202a, 202b und 202c StGB.

Der argumentative Untergang der Studie konzentriert sich unter dem Kapitel der sogenannten “Hackerphänomenologie”. Mehrfach wird darauf hingewiesen, dass bislang kaum nach hohen wissenschaftlichen Standards durchgeführte kriminologische Untersuchungen zu Cybercrime-Tätern vorlägen (S. 5). Erstaunlicherweise werden dennoch gerade jene existierenden und als wissenschaftlich unverlässlich gesehenen Studien zur Herleitung der Hackerphänomenologie herangezogen.

Das BKA, das selbst in seiner Literaturrecherche feststellt, dass es “den Hacker nicht gibt” (S. 8), lässt es sich nämlich nicht nehmen, den typischen Hacker als Täter zu beschreiben. Er wird (grob zusammengefasst) als junger, männlicher Schüler, Student oder Auszubildender klassifiziert, der seine Freizeit vor dem Computer verbringt. Das BKA kommt zum überraschenden Schluss, dass sich Hacker im Kern nicht vom Rest der Bevölkerung unterscheiden ließen (S. 15). Ungeachtet dessen und obwohl es oftmals kaum zu erkennen sei, welcher Akteur für einen Cybersicherheitsvorfall verantwortlich ist (S. 3), soll eine Klassifizierung von Tätertypen aufgrund der Hackerphänomenologie dennoch hilfreich sein. Historisch stellt das BKA dabei auf Franz von Liszt ab, der bereits Anfang des 20. Jahrhunderts Tätertypen im Hinblick auf ihre Rückfallgefährdung klassifiziert und passend dazu Reaktionsmodi mit dem Ziel der Rückfallverhinderung aufgezeigt habe (S. 1). Dass Franz von Liszt und die Pervertierung seiner Forschungen durch die Nationalsozialisten mit dem Gewohnheitsverbrechergesetz von 1933 zusammenhängen, lässt das BKA unerwähnt. Erfreulicherweise relativiert das BKA immerhin dergestalt, dass die Gefahren der Typologisierung bekannt seien und somit Kategorien von Tätertypen allenfalls als Orientierung genutzt würden, um Menschen nicht irgendwelchen Kategorien zuzuordnen (S. 1).

Teil dieser Typologisierung sind auch Erkenntnisse bezüglich der möglichen Motivationen von Hackern. Hacker würden regelmäßig durch Motivbündel zur Tat bewegt: Entertainment, Nervenkitzel, Zugehörigkeit zu einer Gruppe, Ruhm und Status, Macht und Kontrolle, wirtschaftliche Gründe, politische Gründe, Schadensabsicht und Rache und Sucht (S. 17) spielen als Motivationen scheinbar eine Rolle. Dieser Motivationsvielfalt folgend, präsentiert das BKA eine wirre Zusammenfassung von unzähligen (wir glauben es sind 13) unterhaltsamen bis absurden bisherigen Versuchen Hacker zu klassifizieren. Besondere Beachtung finden dabei die Klassifizierungen von Rogers (2000) und die darauf aufbauenden Ansichten von Chiesa et al. (2009), die beispielsweise den “quite, paranoid and skilled”-Hackertyp entdeckt haben. Dieses scheue Tier ist der “[gefährlichste] der nicht Geld-orientierten Hacker. Mit Kompetenz ausgestattet, erforscht er – möglichst ohne entdeckt zu werden – Systeme. Hat keine Interesse daran, anderen zu imponieren und wird im seltenen Fall, dass seine Präsenz in einem System bekannt wird, sofort verschwinden” (S.33).

Durch die angestrebte und gleichzeitig als gefährlich erkannte Typologisierung von potentiellen Tätern haben sich die Urheber der Studie by design in ein Dilemma manövriert. Das Erfordernis zielgruppenorientierte Interventions- und Präventionsstrategien zu entwickelt wird, wie für jedes Kriminalitätsfeld, kaum zu bezweifeln sein. Allerdings erscheint dieses Ansinnen umso erstaunlicher, wenn man bedenkt, dass sich das BKA, wie auch bereits in der ersten Studie im Bereich “Hacktivisten” renitent weigert, zwischen Hackern, Hacktivisten und Cyberkriminellen zu differenzieren.

Im zweiten Teil der Studie erfolgen zunächst kriminologische Erklärungen für das Cybercrime-Phänomen nach Maßgabe einschlägiger Theorien. Angeführt werden die Bindungstheorie und die Theorie der Selbstkontrolle, Lerntheorien, Neutralisationstheorie, die Theorie des rationalen Wahlhandelns, die Routine-Aktivitätstheorie, Kriminalität als „verbotene Frucht“, der Flow-Theorie und der Space Transition Theory. Eine spezifische Bedeutung dieser kriminologischen Theorien für den Untersuchungsgegenstand wird nicht detailliert herausgearbeitet, stattdessen wird banaler Weise festgestellt, dass “Cybercrime im engeren Sinne kein an sich neues menschliches Verhalten beschreibt, sondern dieselben menschlichen Antriebskräfte wirken, die Menschen auch in anderen Bereichen antreiben” (S.68).

Die täterorientierten Handlungsmöglichkeiten, die zuletzt angeführt werden, bleiben allgemein, wenn nicht sogar nichtssagend. Vorgeschlagen werden die Durchführung von sozialen Netzwerkanalysen, der Einsatz der Kriminalitätsskriptanalyse, eine wirksamere Strafverfolgung, Störung illegaler Märkte, Verringerung von Tatgelegenheiten und eine intensivierte Forschung zum Themenbereich. Auf das „wie“ der Umsetzung der Handlungsmöglichkeiten wartet der Leser leider vergeblich.

Fazit

Die Frage, die wir uns nach der Reflexion über diese BKA-Studie ernsthaft stellen, ist: Mit welchem Ziel ist die Rede von Hackern im Allgemeinen?

Zur Verdeutlichung folgendes Beispiel aus der analogen Welt: Wenn im Rahmen von Unfallursachen-Analysen im Straßenverkehr eine erhöhte Anzahl an manipulierten Fahrzeugen festgestellt werden könnte, sind kriminologische Studien zur Kfz-Tüftler-Szene und deren Kriminalisierungsgrad durchaus sinnvoll und auch rechtstaatlich unbedenklich. Wenig zielführend wäre hingegen die Kriminalisierung sämtlicher Kfz-Mechaniker, Oldtimer-Schrauber, Unfall-Gutachter etc. und die ausschließliche kriminologische Beschäftigung mit deren Handlungsmotiven. So aber geht das BKA bezüglich seiner Hacker-Studie vor.

An sich ist die Kategorie des Hackers für das BKA nicht relevant, allein Cyberkriminelle sind das eigentliche Untersuchungsinteresse des BKA. Diese grobe Gleichsetzung von Verallgemeinerung, die nahelegt, dass jeder Hacker bereits mit einem Bein im Sumpf der Kriminalität steckt, erscheint nur dann sinnvoll, wenn es eigentlich darum geht, die einflussreiche, unbequeme und für den Staat herausfordernde Praxis des Hackens allgemein zu sanktionieren und unter Beobachtung zu stellen.