AT&T-Hacker: Dreieinhalb Jahre Haft

Der Hacker Andrew Auernheimer provoziert gerne. Vor drei Jahren fand er eine Sicherheitslücke in der Website des US-amerikanischen Telekommunikationsunternehmens AT&T. Statt AT&T die Lücke direkt zu melden, schrieb er mit einem Freund Daniel Spitler zusammen ein Skript, das personenbezogene Daten von 114.000 Kunden herunterlud. Diesen Datensatz spielte er dann der Nachrichten-Website Gawker zu. Nunmehr wurde Auernheimer zu dreieinhalb Jahren Haft und Geldstrafe verurteilt.

Der auch als "weev" bekannte Hacker hatte entdeckt, dass die Manipulation einer Zahl in einer URL ausreichte, um die Daten von Kunden auszulesen, die ihr iPad mit einem AT&T-Vertrag nutzten. Zu den Daten gehörten die Mail-Adresse und die Identifikationsnummer, mit der AT&T die Kunden in seinem Netz authentisierte. Auf diesem Weg fielen Auernheimer und Spitler unter anderem die Mail-Adressen des New Yorker Bürgermeisters Michael Bloomberg, diverser NASA-Angestellter und Mitarbeiter des US-Justizministeriums in die Hände.

Bereits im November hatte ein Gericht in New Jersey den 26-jährigen Auernheimer für schuldig befunden. Die Anklage lautete auf Identitätsbetrug und Verschwörung zum unbefugten Zugriff auf einen fremden Rechner. Nach Prozessende startete der Verurteilte eine mediale Offensive. Hierbei stellte sich Auernheimer konsequent als Opfer des Systems dar.

In einem von Wired veröffentlichten Essay agitierte Auernheimer unter der Überschrift "Vergiss die Offenlegung – Hacker sollten Sicherheitslücken für sich behalten". Darin vertritt er unter anderem die Ansicht, Sicherheitslücken müssten aus ethischen Gründen unbedingt direkt veröffentlicht werden, statt sie den jeweils betroffenen Firmen und Regierungen zu melden – diese seien nämlich durchweg moralisch kompromittiert.

Am Donnerstag hatten Auernheimers Rechtsanwälte dem Gericht eine Stellungnahme zukommen lassen, das statt der maximalen Haftstrafe von vier Jahren für sechs Monate auf Kaution plädierte. Der Angeklagte habe bei AT&T keine Sicherheitsvorkehrungen umgangen und auch keinen finanziellen Schaden verursacht. Diese Position untermauerte die Verteidigung durch Zitate aus E-Mails von AT&T-Angestellten.

Der Einspruch der Anwälte hat offensichtlich nicht geholfen; das Gericht verurteilte Auernheimer zu dreieinhalb Jahren Haft.. Zum Verhängnis wurde Auernheimer womöglich auch seine Entscheidung, am Vorabend der Urteilsverkündiung auf der Social-Media-Website Reddit eine "Ask-Me-Anything"-Sitzung (AMA) zu veranstalten. Darin stellte sich der Angeklagte als Märtyrer dar und provozierte mit Aussagen wie: "Ich bereue, dass ich nett genug war, AT&T eine Chance zum Stopfen der Lücke gegeben zu haben, bevor ich den Datensatz an Gawker weitergab. Das nächste Mal werde ich bei weitem nicht so nett sein."

Bei der Urteilsverkündung zitierte das Gericht mehrfach aus dem AMA. Auch auf Reddit wendete sich die Stimmung schnell gegen "weev": Nach seinen diversen wohldokumentierten Troll-Aktionen solle er jetzt nicht versuchen, sich als "Hacker fürs Volk" in Szene setzen. Vor zwei Monaten hatte Auernheimer in einem Interview noch groß verkündet, er hoffe, dass man ihn mit der Höchstrafe belege, damit sich "das Volk aufbäume und das Deck stürme". Nach der Urteilsverkündigung erklärten Auernheimers Anwälte, er werde Berufung gegen das Urteil einlegen.

Ganz abgesehen von Auernheimers umstrittener Vergangenheit und seinem unbestreitbaren Flair für Fettnäppfchen hinterlässt das Urteil ein ungutes Gefühl. Spätestens seit dem Freitod von Aaron Swartz steht die harte Gangart der amerikanischen Justiz gegenüber Hackern in der öffentlichen Kritik. Sicherheitsexperten stellen im AT&T-Fall die Entscheidung der Jury in Frage, Zugriffe auf ein offenes System als strafbaren Einbruch zu werten.

Auch hatten Auernheimer und Spitler keine vertraulichen Daten wie Kennwörter und Adressdaten erbeutet, lediglich Mail-Adressen. Zusätzlich zur Haft kommt noch eine finanzielle Strafe auf Auernheimer zu: Das Gericht verurteilte die beiden Angeklagten zur Zahlung einer Entschädigung an AT&T in Höhe von 73 000 US-Dollar (ca. 56 000 Euro). (ghi)