Der Hash-Rebell: Was hinter dem „US-Hack“ von Julian Assange steckt

Die Metropolitan Police hat am 11. April den Wikileaks-Gründer Julian Assange in der Londoner Botschaft von Ecuador verhaftet. Vorher hatte ihm das südamerikanische Land seinen Asylstatus aberkannt und die Polizei in die Botschaft eingeladen. Der Haftrichter urteilte, dass Assange vor sieben Jahren mit seiner Flucht in die Botschaft gegen Kautionsauflagen verstoßen hatte. Dafür können nach britischem Recht bis zu zwölf Monate Haft verhängt werden. Das Strafmaß soll in einer Verhandlung vor dem Southwark Crown Court verkündet werden.

Unabhängig von der britischen Aktion schickte das US-amerikanische Justizministerium einen Auslieferungsantrag. Begründet wird der Antrag mit einer „Hacking Conspiracy“ von Julian Assange und dem Gefreiten Bradley Manning (heute Chelsea Manning). Manning wurde bereits vor zwei Monaten von den US-Behörden vernommen und in unbegrenzte Beugehaft genommen, weil sie sich weigerte, zu einer geheim gehaltenen Anklage eine Aussage zu machen. Mit dem Auslieferungsantrag der USA ist das Verfahren nun nicht mehr geheim. Am 2. Mai sollen die Verhandlungen über eine mögliche Auslieferung vor dem Amtsgericht Westminster beginnen.

Am Tag der Festnahme meldete sich auch die schwedische Justizbehörde: In Schweden wurde in zwei Verfahren gegen Assange ermittelt. Ein Fall ist inzwischen verjährt, die Anklage wegen „Vergewaltigung in einem minderschweren Fall“ (deutsches Äquivalent ist sexuelle Nötigung) wäre indes noch verhandel- und vollstreckbar. Die Rechtsanwältin des Opfers erklärte, man werde alles versuchen, damit Assange nach Schweden ausgeliefert wird. Sollte Schweden ebenfalls einen Antrag stellen, so muss nach britischem Recht Innenminister Sajid Javid entscheiden, welches Auslieferungsbegehren Vorrang hat.

Die „Hacking Conspiracy“, die Assange und Manning begangen haben sollen, beruht auf dem „Computer Fraud and Abuse Act“ (CFAA), der den Zugriff auf einen passwortgeschützten Computer unter Strafe stellt. Das ist bedeutsam, denn das britische Gericht muss zunächst einmal feststellen, ob die Tat auch in Großbritannien strafbar ist.

Was wird Manning und Assange vorgeworfen? Nachdem der Analyst Bradley Manning in Fort Hammer im Irak unter seinem eigenen Nutzernamen viele Videos (z. B. Collateral Murder) und Dateien auf eine CD kopierte und später an Wikileaks geschickt hatte, wollte er vorsichtiger vorgehen und keine Spuren mehr hinterlassen. Dazu bot sich der Account „FTP-User“ an, der seinerzeit auf allen Windows-Rechnern des militärischen SIPRNET eingerichtet war, um der Administration die Arbeit zu erleichtern. Also bootete Manning seinen Arbeitsplatzrechner unter Linux und suchte nach der SAM-Datei des Security Accounts Manager von Windows, um aus ihr den Hash-Wert für diesen „FTP-User“ zu extrahieren, von dem er wusste, dass er existiert. Das gelang ihm und er berichtete Assange im Chat davon. Dieser bot ihm an, den Hash-Wert zu einem „Rainbow Table Guy“ zu schicken, der das Passwort knacken könnte. Dieses Angebot bildet die Grundlage für die Anklage der USA, als Beweismittel gibt es nur das Chat-Protokoll.

Erfolgloser Versuch

Allerdings gelang es Manning nicht, mithilfe des Bekannten von Assange den Passwortschutz zu umgehen. Mit dieser „Hacking Conspiracy“ wurde also kein großer Schaden angerichtet, und so heißt es denn auch auf Seite 11.000 des Prozessprotokolls der Anklage gegen Manning vor dem US-Militärgericht: „Fortunately for the United States, PFC Manning’s attempts to gain access to the FPT user account would fail despite his requests for assistance from Julian Assange and WikiLeaks.“

Angesichts der dünnen Beweislage wird es vor Gericht darauf ankommen, wie die Richter mit dem Spezialisierungsgrundsatz umgehen, den auch das deutsche Recht kennt. Kurz gefasst besagt er, dass Assange nur für die Taten vor Gericht gestellt werden kann, die auch im Antrag auf seine Auslieferung genannt werden. Da US-Richter dies in der Vergangenheit häufig anders sahen, könnte das britische Gericht eine Klausel in den Auslieferungsbeschluss einbauen, dass der Spezialitätsgrundsatz beachtet werden muss – oder den Antrag auf Auslieferung abschmettern. Allerdings ist es möglich, dass die US-Behörden bis zur Verhandlung am 2. Mai die „Hacking Conspiracy“ um neue Anklagepunkte erweitern.

Mehr Infos

Hackerparagraf & Co: Die Rechtslage in Deutschland

Während das Verfahren in den USA gerade eingeleitet wird, stellt sich die Frage, ob sich Wikileaks-Gründer Assange auch in Deutschland strafbar gemacht hätte.

Zentrale Vorschriften sind dabei die Paragrafen 202a und 202b des Strafgesetzbuches (StGB). Während ersterer das Ausspähen von Daten unter Strafe stellt, regelt 202b StGB das Abfangen von Informationen. Die Strafrahmen sind mit Freiheitsstrafe von zwei beziehungsweise drei Jahren oder Geldstrafe vergleichbar hoch.

Beide Regelungen setzen voraus, dass es tatsächlich zu einem Zugriff auf die Daten kam. Soweit Assange laut Anklage der US-Behörden ausführt, „no luck“ beim Knacken der Passwörter gehabt zu haben, war dies offenbar nicht der Fall. Entsprechend wären beide Vorschriften nicht anwendbar.

Allerdings gibt es mit dem berüchtigten „Hackerparagrafen“ 202c StGB eine eigene Regelung, die bereits das „Vorbereiten des Ausspähens und Abfangens von Daten“ unter Strafe stellt. Danach wird mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe belangt, wer eine Straftat nach den oben genannten Paragrafen 202a oder 202b StGB vorbereitet, indem er unter anderem „Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ermöglichen (…) herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht“.

Aus der sehr vagen Beschreibung in der US-Anklage kann man entnehmen, dass Assange auf Basis der von Manning besorgten Hash-Werte tatsächlich Passwörter erzeugen, also „herstellen“ wollte. Dies ist auch in Zusammenarbeit mit einem Dritten möglich. Um nach Beginn des „Hackerangriffs“ noch straffrei aus der Sache herauszukommen, hätte Assange nach deutschem Recht nach Paragraf 149 StGB „die Ausführung der vorbereiteten Tat“ aufgeben und „eine von ihm verursachte Gefahr, dass andere die Tat weiter vorbereiten oder sie ausführen“, abwenden müssen. Dazu findet sich in den US-Aufzeichnungen nichts.

Auch wenn die Schilderung des Sachverhalts in der US-Anklage sehr oberflächlich ist, spricht einiges dafür, dass sich Assange auch nach deutschem Recht auf Basis eines Verstoßes gegen den „Hackerparagrafen“ 202c StGB strafbar gemacht haben könnte. (Rechtsanwalt Joerg Heidrich)

(hag)