Meinung: Digitale Selbstjustiz
In den USA wollen Politiker Opfern von Cyberkriminalität erlauben, mit Hacker-Methoden selbst zurückzuschlagen. Eine schlechte Idee.
- Martin Giles
Giles leitet das Büro der US-Ausgabe von Technology Review in San Francisco.
Trotz der Milliarden von Dollar, die Unternehmen gemeinsam jedes Jahr für Cyberabwehr ausgeben, gewinnen die Hacker immer wieder. Jüngstes Opfer: Clarkson, eine der größten Reedereien weltweit, gab Anfang Dezember bekannt, Ziel eines Cyberangriffs gewesen zu sein. Es scheint, als wären die Straf-verfolgungsbehörden hoffnungslos überfordert. Das hat ein erneutes Interesse an "Hacking Back" geweckt. Opfer von Übergriffen wollen Angreifer selbst durch das Netz verfolgen und zurückschlagen.
Wilder Westen im Netz
Bisher verstößt solch eine digitale Bürgerwehr auch in den USA gegen das Gesetz – genauer gegen den Computer Fraud and Abuse Act (CFAA). Ein Gesetzentwurf, der derzeit durch das Repräsentantenhaus geht, soll das ändern.
Der Active Cyber Defense Certainty (ACDC) Act würde es Opfern von Cyberkriminalität ermöglichen, ihrerseits auf Computer zuzugreifen, die ihnen nicht gehören, um digitale Angreifer und gestohlene Daten aufzuspüren. Der Republikaner Tom Graves hat den Gesetzentwurf eingeführt. Kyrsten Sinema, Abgeordnete der Demokratischen Partei, unterstützt ihn. Sie hat vor Kurzem zusätzliche Unterstützer auf beiden Seiten des politischen Spektrums gewonnen.
Bislang sind Bemühungen, die digitale Selbstjustiz zu legalisieren, gescheitert, größtenteils aus Sorge um Kollateralschäden. Denn Hacker verwischen normalerweise ihre Spuren, indem sie Angriffe über die Computer anderer Leute leiten – ohne Wissen der Besitzer. In manchen Fällen sind es viele Tausende von ihnen. Unternehmen, die digitalen Eindringlingen nachjagen, müssen schnell auf diese Geräte zugreifen können, von Baby-Cams über Heimrouter bis hin zu empfindlichen medizinischen Geräten. Aber in dem Bemühen, schnell gegen die Angreifer vorzugehen, könnten sie diese Geräte offline schalten – oder Schlimmeres.
Schwammige Regeln zur Selbstverteidigung
Garrett Hawkins, Sprecher des Abgeordneten Graves, betont, der ACDC Act enthalte mehrere "Leitplanken", die solche Probleme verhindern sollen. Der Gesetzentwurf würde die Straffreiheit im Rahmen der CFAA nur "qualifizierten Verteidigern" gewähren, die die Identität ihrer Angreifer "mit einem hohen Maß an Sicherheit" kennen. Es besagt auch, dass die Opfer bei der Verfolgung von Angreifern keine Technik anwenden dürfen, die "leichtfertig körperliche Verletzungen oder finanzielle Verluste verursacht".
Zudem dürfen beim Zugriff auf fremde Computer keine Methoden angewandt werden, die "absichtlich über das hinausgehen", was nötig ist, um die Schuldigen zu ermitteln. Zudem müssen die Verteidiger das FBI über ihre Pläne informieren. Allerdings müssen sie nicht auf grünes Licht warten, um gestohlene Dateien zu löschen oder Hacker-Server anzugreifen, um einen laufenden Angriff zu unterbrechen.
Es gibt jedoch viele Gründe, die "offensive Abwehr" von Cyberangriffen für eine ausgesprochen schlechte Idee zu halten. Das Gesetz ist so vage formuliert, dass es so ziemlich jedem, der einen Cyberangriff vermutet, eine Entschuldigung für den Zugriff auf die Geräte anderer Leute liefern würde. Diejenigen, die dabei Schaden angerichtet haben, könnten immer behaupten, es handele sich um einen Unfall.
Ausrede zum Schnüffeln auf fremden Geräten
Robert Chesney von der University of Texas weist zudem darauf hin, dass clevere Hacker Fallen für unerfahrene Verfolger legen könnten. Beispielsweise könnten Opfer dazu verleitet werden, Material zu löschen, das ihnen nicht gehört. "Es ist, als ob man einem Kriminellen nach einer Tat zurück in sein Versteck folgt", sagt Mark Weatherford, ein ehemaliger leitender Beamter des Department of Homeland Security, der jetzt bei der Cloud-Sicherheitsfirma vArmour arbeitet. "Sie wissen einfach nicht, welchen Feinden Sie gegenüberstehen und wie gut die bewaffnet sind." Weatherford ist wie viele andere Experten auch der Meinung, dass die Aufgabe, Hacker zu verfolgen, Regierungsbehörden überlassen werden sollte.
Die müssten allerdings über die entsprechenden Ressourcen verfügen. Zum ACDC Act gehört ein Abschnitt, der das Justizministerium dazu verpflichten würde, einen Jahresbericht zu erstellen, in dem unter anderem die Gesamtzahl der Ermittlungen zu Computerbetrug aufgelistet wird, zusammen mit der Zahl der Ermittler, die mit diesen Fällen betraut sind. Die Idee, mehr Transparenz herzustellen, ist der einzige Teil eines ansonsten zutiefst fehlerhaften Gesetzentwurfs, der es wert ist, unterstützt zu werden.
(bsc)
