Im Internet gibt es jetzt einen Markplatz für Cyberkriminelle: Auf Hackerslist.com kann man Hacker gegen Bezahlung engagieren. Längst ist Hacking keine Domäne der Geheimdienste oder privater Sicherheitsfirmen mehr.
Sony, JP Morgan Chase, das Kanzleramt – sie alle wurden zum Ziel eines Hackerangriffs. Die jüngsten Cyberattacken sind aber nur die Spitze des Eisbergs. Im Netz tummeln sich tausende Hacker, die gegen Geld in Sicherheitssysteme von Personen oder Firmen einbrechen.
Eine neue Website namens Hackerslist.com bietet deren Dienste nun kommerziell an, als ob es sich um eine ganz normale Dienstleistung handelte. «Finde professionelle Hacker zum Mieten», heisst es lapidar auf der Homepage. Die Site funktioniert im Prinzip wie ein Portal für Kleinanzeigen. Man kann in einer Datenbank gezielt nach Hackern suchen.
Oder man inseriert ein Hacking-Gesuch. Es finden sich zum Teil ganz harmlose Wünsche, wie etwa der eines Users, den Sicherheitscode des eigenen Smartphones zu knacken. Doch es gibt auch fragwürdige Begehren. Ein Nutzer, der Australien als seinen Wohnort angibt, bietet 2000 Dollar dafür, dass er Zugang zu der Datenbank eines Konkurrenten mit samt der Kundenliste erhält. «Ich will wissen, wer die Kunden sind, und wie viel sie bezahlen.» Der Nutzer «indonmafia», der ein possierliches Katzenbild als Profilfoto gewählt hat, bietet zwischen 10’000 und 20’000 US-Dollar, um die «Datenbank einer Zentralbank» zu hacken.
Die Frage ist, ob ein solches Portal Kriminalität Vorschub leistet.
Man weiss natürlich nicht, ob das ein Fake ist und wer dahinter steckt. Doch das klingt alles durchaus dubios. Eine Verifizierung des Angebots scheitert bei der Anmeldung. Bei Angabe einer anonymen E-Mail-Adresse vermeldet das System mehrmals in Folge «Error». Auf Anfrage erhält man den konspirativen Hinweis, keinerlei private Informationen preiszugeben und Transaktionen nur über das Portal abzuwickeln.
Man muss der Vollständigkeit halber erwähnen, dass es auch seriöse Hacker gibt, die im Auftrag von Unternehmen Sicherheitstests (sogenannte Penetrationstests) durchführen, um Schwachstellen in der IT zu erkennen. Solche Pen-Tester gibt es auch bei HackersList. Aber es gibt eben auch die Black-Hats, Cyberkriminelle, die auf HackersList angemeldet sind.
Die Frage ist, ob ein solches Portal Kriminalität Vorschub leistet. Die Initiatoren wollen sich nicht äussern – sie bleiben anonym. Impressum Fehlanzeige. Einem Reporter der New York Times gelang es, E-Mail-Kontakt mit einem der Gründer aufzunehmen. Der Mann, der sich als «Jack» ausgab, sagte, er hätte die Seite mit zwei Freunden gegründet und wohne in Colorado. Er habe einen Master in Business Administration und sei Anwalt. Dann müsste er sich eigentlich mit den juristischen Folgen auskennen.
«Illegale Zwecke verboten»
Ulrich Sieber, Direktor am Max-Planck-Institut für ausländisches und internationales Strafrecht in Freiburg, sagt im Gespräch mit der Tageswoche: «Wenn der Hacker den Auftrag annimmt und in ein fremdes Computersystem eindringt, kann er sich je nach Modus Operandi einer Vielzahl von Tatbeständen strafbar machen.» Der Auftraggeber kann je nach Tatumständen ebenso wie der Hacker als Mittäter oder Anstifter strafbar sein.
Die Frage ist nur, ob das Einbrechen in Computersysteme dem Portal zugerechnet werden kann. Auf der Startseite von HackersList heisst es: «Unser strikter Überprüfungsprozess stellt sicher, dass wir Betrüger ausschliessen.» In den zehnseitigen Geschäftsbedingungen ist zu lesen, dass die «Dienstleistung zu illegalen Zwecken verboten» sei. HackersList sieht sich lediglich als Mittler.
Andererseits müsste es sich den Betreibern geradezu aufdrängen, dass auf ihrem Portal dubiose Dienstleistungen mit strafbaren Handlungen angeboten werden. Insofern trifft sie auch eine gewisse Prüfungspflicht. «Sobald eine Straftat des Hackers oder des Auftraggebers vorliegt, besteht dann auch die Möglichkeit, gegen den Portalbetreiber wegen Beihilfe zu den Delikten des Hackers oder des Auftraggebers vorzugehen», sagt Sieber. Das Problem: HackersList ist offiziell in Neuseeland registriert, was die Ermittlungen erschwert. Europäisches Recht läuft hier ins Leere – die Behörden wären auf Amtshilfe angewiesen.
Per Mausklick zur Cyberattacke
Der Kriminologe David S. Wall von der Universität Durham ist ein weltweit anerkannter Experte auf dem Gebiet der Cyberkriminalität. Im Gespräch sagt er: «Diese Seiten stellen ein potenzielles Problem für die Verfolgung von Cyberkriminalität dar, weil sie jedem, der eine kriminelle Absicht hegt, erlaubt, diese in die Tat umzusetzen, unabhängig von seinen IT-Kenntnissen.» Es sind nur ein paar Mausklicks bis zur Cyberattacke – darin besteht die grosse Gefahr.
Längst sind es nicht mehr die Geheimdienste oder kriminelle Organisationen wie die Syrische Elektronische Armee, die mit hochgerüsteter IT Cyberattacken durchführen, sondern kleine, gut ausgebildete Hackereinheiten, häufig Ein-Mann-Unternehmen, die in ihren Stuben die Sicherheitsarchitektur bedrohen. Die Hemmschwelle im anonymen Netz ist niedrig. Nach dem Erscheinen des New-York-Times-Artikels wurde die Seite von HackersList von Besuchern regelrecht überrannt. Die Server waren stundenlang überlastet. Das zeigt, dass es ein grosses Interesse und auch eine Nachfrage gibt.
Wie auf einem Bazar wird hier alles feilgeboten.
HackersList ist nicht die einzige Website, die derlei Hacking-Dienste offeriert. Im Netz kursieren dutzende Seiten, sogar ein Bewertungsportal gibt es. Die Seite HackerforHire.com bietet einen «Background Check» fremder Facebook-Profile an. «Finde heraus, ob dein Freund oder deine Freundin dich betrügt.» Wie auf einem Bazar wird hier alles feilgeboten: von der Schnüffelei im privaten Umfeld bis hin zum Spionageangriff auf Wettbewerber. Die Gefahr im Netz lauert überall – und sie kommt auf leisen Sohlen daher.
Das Problem ist, dass Angriffe in zahlreichen Fällen nicht gemeldet werden, weil sie entweder gar nicht bemerkt werden oder das Unternehmen einen Vertrauensverlust seiner Kunden befürchtet. Auf europäischer wie auf nationaler Ebene wird daher eine Meldepflicht für die Betreiber von kritischer Infrastruktur diskutiert. Strafrechtsexperte Sieber sagt: «Das Hautproblem der Computerkriminalität ist die Globalität dieser Delikte. Ein Angreifer kann innerhalb von Sekundenbruchteilen von seinem Schreibtisch aus eine Straftat am anderen Ende der Welt begehen.»
Strafverfolgungsbehörden gefordert
Dies erfordere völlig neue Wege der Zusammenarbeit zwischen Strafverfolgungsbehörden weltweit. Deutschland und die Schweiz haben das Übereinkommen über Computerkriminalität des Europarates (sog. Budapest Konvention) umgesetzt, in dessen Zentrum die Straftaten gegen die Vertraulichkeit, Unversehrtheit und Verfügbarkeit von Computerdaten und -systemen stehen.
Diese sehen etwa eine Strafbarkeit desjenigen vor, der sich – gegebenenfalls unter Umgehung von Sicherungsmassnahmen – unbefugten Zugang zu Computersystem verschafft. «Auch wenn hier in den letzten Jahren – insbesondere durch das Abkommen der Europarates – bereits viel erreicht wurde, muss in Zukunft noch weit mehr getan werden», fordert Siebert.