Hacker E-Book

Dieses Buch ist Julian Assange und Edward Snowden gewidmet.

Die beiden Helden haben unter Einsatz ihres Lebens aufgedeckt,

dass die dreckigste Cyberspionage weder von kriminellen

Hacker- banden noch von habgierigen Cyberdieben betrieben wird,

sondern von staatlichen Regierungen. Diejenigen, die uns

eigent-lich vor Angriffen auf unser digitales Privatleben beschützen

sollten, gehören in Wahrheit selbst zu den aktivsten Hackern.

Anonyme Autoren

Bei den Recherchen zu diesem Buch haben die Autoren zuhauf erleben müssen, wie Personen, Institutionen und Unternehmen ins Visier krimineller Hacker geraten, sobald sie sich ersichtlich mit dem Thema beschäftigen. Es reizt „die Szene“ offenbar, all diejenigen anzugreifen, die sich ihr nähern.

Aus diesem Grund haben sich die Autoren entschieden, ihre Namen nicht preiszugeben. Andernfalls müssten sie befürchten, dass ihre E-Mails entschlüsselt, ihre Webseiten manipuliert, ihre Konten gehackt, ihre digitalen Identitäten kompromittiert und ihre Spuren im Internet verfolgt werden. Es wäre nicht einmal nachzuverfolgen, ob es sich dabei „nur“ um „Spaßhacker“, kriminelle Banden oder „legale Hacker“ im behördlichen Auftrag handelt.

Daher hätten die Autoren bei Nennung ihrer Klarnamen möglicherweise vorsichtiger recherchieren und sogar zurückhaltender schreiben müssen, um sich und ihre Angehörigen zu schützen. Erst durch die Anonymität wird es möglich, die Hackerszene aus der Dunkelheit zu holen, in ihrer ganzen Dimension zu beleuchten, die Missstände schonungslos aufzudecken und dabei auch die staatlichen Versäumnisse und Angriffe an den Pranger zu stellen. Gerade die Rolle der Hacker im Staatsauftrag wird häufig totgeschwiegen; in diesem Buch nicht.

Inhalt

Vorwort

Hacker im Wandel

Hackerethik

Drei Millionen Straftaten im Internet pro Jahr

Warnung

Identitätsdiebstahl/Phishing

Einsatz von Schadsoftware

Infizierung des Computers

Schadsoftware für mobile Endgeräte

Social Engineering

Digitale Erpressung

Massenhafte Fernsteuerung von Computern

Virtuelle Gewalt: Cybermobbing

Daten und Hacken sind ein- und dieselbe Medaille

Von „Blackout“ bis „Outbreak“

Gefahr einer IT-Pandemie

Von autonomen Autos und digitalen Identitäten

Unser Recht auf unsere Daten

Ausspähen ist strafbar

Datenschutz – was ist das?

Grundrecht auf eigene Persönlichkeit

Der Große Lauschangriff

Handy-Zugriff bei Brieftaschenraub

Von den Anfängen zum Milliardenmarkt

Vater des Hackens: Captain Crunch

Hackertypen mit unterschiedlichen Motiven

Liebeserklärung mit Folgen

Die berüchtigtsten Hacker

Hackerlegende Kevin Mitnick

Die 414er

Arpanet-Pionier „Dark Dante“

Das Hacker-Manifest

Jugendhacker Jonathan James

Tron: Mord oder Selbstmord?

Dmitry Fedotov startet den Hacking-Massenmarkt

Kreditkartendieb Dmitry Smilianets

Lucky12345 und Slavik infizieren eine Million Computer

Phishing-Experte Alesey Belan

Homeless Hacker mit Asperger

Doppel-Hacker „Suppen-Nazi“ Albert Gonzalez

Der dritte Weltkrieg wird (beinahe) ausgelöst

Der Nacktfoto-Hack

Jeanson James Ancheta baut eine Computerarmee

Iceman kassiert die längste Haftstrafe

Mafiaboy weckt die Staaten auf

Polit-Hacker Guccifer

Hacker ohne Internet

Der syrische Präsident Bashar al-Assad

Astra, der Unbekannte

Anonymous für soziale Gerechtigkeit

Milliardenmarkt Cybercrime

Hilfreiche Hacker

Die spektakulärsten Fälle

Drei Milliarden Konten geknackt

Der Super-GAU

50 und 533 Millionen Facebook-Konten betroffen

WannaCry – Warnung für die Digitalgesellschaft

Der Stuxnet-Angriff auf die Industrie

Die verheerendste Cyberattacke aller Zeiten

Angriffsziel Smartphone – Hackernation Israel

Immer neue Tricks

Größter Hackerangriff auf die USA in der Krise 2020

Die Cloud – das Paradies für Hacker

Standardsoftware als Einfallstor für Verbrecher

Angriff auf die Impfstoffe

Computerpiraten greifen die Seefahrt an

Megaleak 2021

Emotet: gefährliche Freunde

Wie sicher sind unsere Daten?

Zweckentfremdung vorprogrammiert

Der Staat will alles von uns wissen

Heimlicher Eingriff in die Privatsphäre

Datenspeicher für die Weltbevölkerung

Die Staaten können sich und uns nicht schützen

Kommunen verkaufen ihre Bürger

Wir geben den Firmen unsere Daten freiwillig

Spionage als Geschäftsmodell

Ein digitales Nervensystem umspannt die Welt

Wenn sich Cloud und KI verbünden

Kampf um die Daten

Das Internet der Dinge umschlingt uns alle

Kritische Infrastrukturen

Hackerangriff auf die Energieversorger

Sicherheitsgesetz 2.0 – strikter als China

Wahlcomputer – der große Betrug

Gewaltigstes Überwachungssystem der Welt

Apple und Google gegen die Bundesregierung

Ein Leben in der Smart City

Intelligente Infrastrukturen

Der Wunschtraum von der lebenswerten Stadt

Satelliten überwachen uns

Staatsschnüffelei im All

Eingebaute Sicherheit – oder nicht?

Sicherheit von Anfang an

Automobilbranche im Dilemma

Einladung an die Hacker

Die KI-Hacker kommen

Welt am Abgrund

Wir werden gedacht

Biometrie: Wir machen uns angreibar

Der Fingerabdruck – vom Verbrecher zum Normalbürger

Automatische Gesichtserkennung

Unser Gesicht verrät unsere politische Gesinnung

Smart Home – wir holen uns die Spione ins Haus

Gesichtserkennung überall

Biometrische Vermessung unseres Gesichts

Gesichtskennung in Deutschland auf dem Vormarsch

Gestensteuerung

Der Fall Billie Hoffmann

Von den Lippen ablesen

Venen im Visier

Überwachung im Schlaf

Personalausweis funkt die Daten

Gefahr des Irrtums

Terror-Biometrie

Umkehrung der Beweislast

Der Bio-Mensch

Hacker gegen Cyborgs

Wir werden bei der Geburt „gechipt“

Humanoide im Anmarsch

Social Media Meinungs-Hacker

Alternative Wahrheiten

Sternstunde der Storyteller

Dunning-Kruger und Social Bots

„Mit eigenen Augen gesehen“

Zukunft der Medien

Angriff auf Europa

Cyber War

China versus USA

China marschiert nach vorne

Chinesische Tauben

USA rüsten zum Cyberkrieg

China greift mit Spionagechips die USA und die Welt an

Russland wird beschuldigt

Kein Hack ohne Nordkorea

Wir werden bespitzelt

Deutschland im Fokus der NSA

Edward Snowden im Interview

Firmen sind die besten Geheimdienste

Wir sind Hacker

Mit List zum staatlichen Hacking

Das deutsche Spionage-Startup ZITiS

Kryptowährungen – Geld in Gefahr

Wer ist Satoshi Nakamoto?

2009: das Geburtsjahr der Bitcoin

Schwachstellen sorgen für Schwankungen

Sichere Elemente

„Riders on the Storm“

Kurzer Ausflug nach China

Europa wird China folgen

Unsere digitale Identität ist in Gefahr

Die Mär vom globalen Datenschutz

Ist die EU naiv?

Digitale Identität

Projekt ID2020

Quantenpunkt-Tattoo

„The Known Traveller Digital Identity”

Digitale biometrische Identität auf Lebenszeit

Wenn Cyberterror und Biochips zusammenkommen

Neue Regeln für die Digitalgesellschaft

Wie man sich schützen kann

Im privaten Bereich

Unternehmerische Sicherheit

Lexikon der Cyberkrimininalität

Nachwort

Bücher im DC Verlag

Quellenangaben und Anmerkungen

Vorwort

Unsere zivilisierte Welt wird immer stärker von Computern durchdrungen – und damit zunehmend abhängiger. Stromversorgung, Telefonsystem, Gesundheitswesen, Transportlogistik, Polizei und Feuerwehr – nichts geht mehr ohne Computer, die alle miteinander verbunden sind.

Durch diese allumfassende Digitalisierung hat sich unsere zivilisierte Gesellschaft in eine gefährliche Abhängigkeit begeben. Denn die weltumspannenden Computernetze sind angreifbar.

Daher war es uns beim Verfassen des vorliegenden Buches wichtig, nicht nur die Hackerszene im engsten Sinne aus dem Dunkeln zu holen. Ebenso wichtig sind die Daten, die Hacker im Visier haben. Doch am allerwichtigsten sind Entwicklungen der digitalen Disruption, der Kryptowährungen, der Eroberung des Weltraums durch Datennetze, die „Versmartung“ unserer Umgebung, die fortschreitende Digitalisierung des Gesundheitswesens, das Internet der Dinge, die zunehmende Abhängigkeit unserer kritischen Infrastrukturen von Computern und Software, die Künstliche Intelligenz, die biometrische Vermessung der Menschheit, das atemberaubende Wachstum der Datensilos mit Dossiers über jeden von uns, die Doppelmoral der staatlichen Behörden und Regierungen, die uns vorgeblich schützen wollen, aber in vielen Fällen ihre eigenen Bürger und andere Staaten gleichermaßen ausspionieren.

Man muss das große Ganze betrachten, um die künftigen Gefahrenpotenziale der Entwicklungen zu verstehen, die vor uns liegen. Damit verbunden werden völlig neue Hackergenerationen auf uns zukommen – von Biohackern, die in unsere Körper eindringen, bis hin zu KI-Hackern, die uns mit Künstlicher Intelligenz und damit sozusagen mit Künstlicher Kriminalität ausrauben, manipulieren und missbrauchen werden.

Nur wer diese Entwicklungen genauer kennt, ist in der Lage, die Dimension zu begreifen, in die Hacking in den nächsten Jahren und Jahrzehnten hineinwachsen wird. Hacking wird künftig kein Randphänomen unserer Gesellschaft darstellen, sondern ein ebenso dominantes Phänomen wie das Coronavirus in den Jahren 2020/21.

Im vorliegenden Buch wollen wir diese Zusammenhänge herausstellen. Es geht nicht nur um pubertierende Jugendliche, die in Computer eindringen, um sich und der Welt zu beweisen, dass sie es können. Sondern es geht um mehr, um viel mehr!

Anonyme Autoren, im Frühjahr 2021

Hacker im Wandel

Der Begriff „Hacker“ hat mehrere Bedeutungen. Am bodenständigsten ist wohl der „Holzhacker“, für den sich eine Erklärung erübrigt. Vielleicht hat nicht jeder von uns in seinem Leben schon Holz gehackt, aber jeder weiß, was es damit auf sich hat.

In der Musik gibt es den Begriff im Sinne von „auf einem Klavier hacken“, das heißt, einzelne Töne hart und laut anschlagen, ohne zusammenhängend zu spielen. Auch in der Tierwelt wird das Wort verwendet: Vögel können mit ihren Schnäbeln hacken. Im Sport bezeichnet das Wort „Hacker“ einen groben, unfairen, rücksichtslosen Spieler. Ebenso gibt es die Redewendung „auf einer Tastatur hacken“, wenn man schnell und wiederum grob – früher auf einer Schreibmaschine, heute auf einer Computertastatur – einen Text eintippt.

In der Welt der Technik bezeichnet das Wort Hacker in seiner ursprünglichen Verwendung einen Tüftler im Kontext einer verspielten Hingabe im Umgang mit Technik und einem besonderen Sinn für Kreativität und Originalität. Der Computeraktivist Herwart Holland-Moritz, in der Szene besser bekannt als „Wau Holland“, Mitgründer des legendären Chaos Computer Clubs (CCC), prägte die Formulierung: „Ein Hacker ist jemand, der versucht einen Weg zu finden, wie man mit einer Kaffeemaschine Toast zubereiten kann“.1 Was er damit augenscheinlich zum Ausdruck bringen wollte, war das Kreative und Experimentelle am Hacken, der Versuch, die Grenzen des Machbaren zu erkunden.

Die letzten beiden Verwendungen kommen der Interpretation des Wortes im Sinne des vorliegenden Buches schon sehr nahe:

Ein Hacker im digitalen Zeitalter ist jemand, der durch Tricks unberechtigt in Computer oder wie man heute eher sagt in ITSysteme eindringt (IT steht für Informationstechnologie).

Übrigens: 1988 prägte der Chaos Computer Club auch die weibliche Form, die „Haeckse“. 2 Durchgesetzt hat sich dieser Begriff allerdings nicht – was möglicherweise damit zusammenhängt, dass die meisten Hacker männlich sind.

„Hacker-Angriffe auf den Bundestag“, „Schützen Sie Ihre Daten vor Hackern“, „Hacker knacken Konten“, „Hacker infizieren Computer und Smartphones“: Wann immer die Rede ist von illegalem Treiben rund um Computer, Smartphones, Internet oder sogar Industrieanlagen, ist die Rede von „Hackern“. Tatsächlich sind in allen diesen Fällen jedoch Kriminelle gemeint, die Rechtsverstöße begehen. Häufig wird daher auch von Cyberkriminalität und Cyberkriminellen gesprochen. Das Wort „Cyber“ drückt dabei aus, dass die Computer alle miteinander vernetzt sind und dadurch eine Art virtueller Raum bilden. Es ist ein technisches Netzwerk – in der Regel das Internet –, über das unzählige Computer miteinander verbunden sind. Jeder von uns kann mit seinem Computer oder Smartphone „ins Internet gehen“, aber nur wenige legen es darauf an, sich über das Netz Zugang zu fremden Computern zu verschaffen, um diese auszuspionieren oder sogar zu manipulieren. Genau das tun Hacker – jedenfalls heute.

Ursprünglich stand der Begriff „Hacker“ für etwas gänzlich anderes als Cyberverbrecher. Er bezeichnete Menschen, die mit Technikbegeisterung Gerätschaften und Software analysieren. Also von anderen Menschen entwickelte Produkte und Software in ihre Bestandteile zerlegen, um zu verstehen, wie sie funktionieren. Manchmal wurden sogar die „Erfinder“ des Internets als Hacker bezeichnet, da sie neue Wege suchten und entwickelten, um besser miteinander kommunizieren zu können. Dabei standen stets Kreativität und Wissensdurst im Mittelpunkt, und nicht das Bereichern auf Kosten anderer.3

Denn der Begriff Hacker hatte bis in die 1990er Jahre wenig mit IT-Sicherheitsthemen zu tun. Vielmehr ging es darum, durch geschicktes Ausprobieren und allerlei Tricks die Freiheit der damals neuen Computerwelt auszunutzen.

Hackerethik

Die Ursprünge des Hacking gehen auf Computerfreaks zurück, die die damals neu aufkommende Technik als eine Chance sahen, die Welt zu verbessern. An dieser, zunächst für Außenstehende weit hergeholten Vision, hielten viele Hacker fest, als sei es eine Religion. Einschränkungen, die den Umgang mit dieser Technik verhindern konnten, waren für sie nicht akzeptabel. Ihrer Meinung nach mussten die Systeme für jedermann zugänglich und veränderbar sein. Wirkliche Innovationen konnten für sie nur erfolgen, wenn man nicht gezwungen wurde, einem Gerät oder einer Software passiv zu begegnen, sondern wenn man seiner Kreativität freien Lauf lassen konnte. Der ungehinderte Zugang zu Informationen und deren freigiebiger Austausch wurden zu den wichtigsten Leitmotiven ihres Handelns.

Doch im Laufe der Zeit glaubten viele Hacker nicht nur einen gesellschaftlichen, sondern auch einen neuen wirtschaftlichen Trend entdeckt zu haben. Der Computer wurde für zahlreiche Hacker zur Eintrittskarte in eine gewinnbringende Karriere. Kooperationen mit Unternehmen und völlig neue Produktentwicklungen machten den Weg frei in eine kommerzielle Digitalwelt. Dieser neue Trend widersprach jedoch der anfänglichen Idee. Viele Hacker sprachen vom Ende der ursprünglichen Hackerethik und erklärten, die Verwandlung ihrer Mitglieder in Geschäftsleute sei mit den traditionellen Werten der Hacker nicht mehr vereinbar. Zwischenzeitlich ist ein Milliardenmarkt daraus geworden, an dem Hacker ebenso gut verdienen wie die IT-Sicherheitsbranche.

Drei Millionen Straftaten im Internet pro Jahr

Heute ist Cybercrime in der Mitte der Gesellschaft angekommen. Längst kann nicht mehr die Rede von Einzelfällen sein, die ausschließlich diejenigen treffen, die im Internet Risiken eingehen. Neben einer Vielzahl von Einzeltätern hat auch die organisierte Kriminalität die Möglichkeiten des World Wide Web für sich entdeckt. Im Jahr 2019 wurden in Deutschland 294.655 Straftaten im Zusammenhang mit dem Internet registriert. In gut drei Viertel aller Fälle ging es um Betrug, Diebstahl oder Fälschungen.4 Nach offiziellen Statistiken wurden 2019 rund 17,7 Millionen Menschen allein in Deutschland Opfer von Internetkriminalität.5

Experten schätzen, dass lediglich etwa ein Zehntel aller Cybercrimedelikte zur Anzeige gebracht werden. Die Dunkelziffer wird somit auf rund 90 Prozent veranschlagt.6 Damit kommt man hochgerechnet auf etwa drei Millionen Internetstraftaten pro Jahr.

Fazit: Es kann jeden treffen. Jeder kann zum Opfer werden. Aus diesem Grund sollte auch jeder geeignete Schutzmaßnahmen ergreifen – Privatpersonen, Unternehmen und öffentliche Verwaltungen.

Warnung

Nachdem 2020/21 die ganze Welt im Fieber eines biologischen Virus taumelte, ist die Wahrscheinlichkeit hoch, dass die nächste Pandemie von einem Computervirus ausgelöst wird.

In einem vom Bundesnachrichtendienst (BND) als geheime Verschlusssache „VS-Geheim“ klassifizierten Planungsdokument, das durch die Enthüllungen des Whistleblowers Edward Snowden bekannt wurde, hieß es bereits 2015:7

Cyber-Angriffe stellen durch mögliche Informationsabflüsse aus Staat und Wirtschaft, Beeinflussung, Störung oder Schädigung von Informations-‚ Kommunikations- oder Steuerungssystemen im öffentlichen wie im privaten Bereich hohes Bedrohungspotenzial dar und gefährden Deutschland als führendes Hochtechnologieland und wichtigen Wirtschaftsstandort. Mit den Cyber-Aufrüstungen zahlreicher Länder, darunter China und Russland, sowie krimineller und terroristischer Akteure haben die Bedrohungen deutlich an Professionalität und Quantität zugenommen. Das unaufhaltsam wachsende „Internet der Dinge“ wirkt verstärkend. Unscheinbare Dinge des täglichen Gebrauchs, wie zum Beispiel fernsteuerbare Glühlampen oder Internet-Fernseher, können plötzlich von einem Cyber-Angreifer „übernommen“ und zu digitalen Waffen umfunktioniert werden, und dies von jedem beliebigen Winkel des Erdballs aus.

Weitsichtiger könnte man die Gefahren einer künftigen digitalen Pandemie auch in den 2020ern Jahren kaum beschreiben. Das World Economic Forum hat in seinem „Global Risk Report 2020“ Cybercrime als das zweitgrößte Sicherheitsrisiko für die Weltwirtschaft bis zum Jahr 2030 bezeichnet.8

Die Bandbreite illegaler Aktivitäten im bzw. mittels des Internet ist groß und reicht von der Verbreitung von Kinderpornografie im Internet über das „Phishing“ persönlicher Zugangsdaten, den Handel mit Waffen und Rauschgift bis hin zu Netzwerkeinbrüchen und DDoS-Attacken, der Verbreitung von Schadsoftware und Betrug. Das Bundeskriminalamt (BKA) hat eine Klassifizierung der häufigsten Cyberstraftaten vorgenommen, die der nachfolgenden Auflistung zugrunde liegt.9

Identitätsdiebstahl/Phishing

Die digitale Identität umfasst alle Arten von Daten, Accounts und zahlungsrelevanten Informationen eines Nutzers. Dazu gehören beispielsweise Zugangsdaten in den Bereichen Kommunikation (E-Mail- und Messengerdienste), E-Commerce (Onlinebanking, Onlinebrokerage, Vertriebsportale aller Art wie zum Beispiel Online-Händler, Reiseportale), berufsspezifische Informationen (beispielsweise für den Online-Zugriff auf firmeninterne technische Ressourcen), E-Government (zum Beispiel die elektronische Steuererklärung), Cloud-Computing, Kreditkartendaten und Zahlungsadressen.

Cyberkriminelle versuchen, beispielsweise durch „Phishing“, Zugriff auf derartige Daten zu erhalten, um sie hinterher gewinnbringend zu verkaufen oder zur Begehung weiterer Straftaten einzusetzen. Unter „Phishing" versteht man alle Versuche, zum Beispiel durch gefälschte Websites, E-Mails oder Kurznachrichten, an persönliche Daten zu gelangen, um damit einen Identitätsdiebstahl zu begehen.

Einsatz von Schadsoftware

Für das Phishing setzen Cyberkriminelle in der Regel Schadsoftware, auch Malware genannt, ein. Neue Schadsoftwareprogramme entstehen im Sekundentakt und sind darauf ausgelegt, Virenschutz-Programme zu umgehen und Sicherheitslücken auszunutzen.

Die Verbreitung von Schadsoftware erfolgt beispielsweise wie folgt:

Herunterladen infizierter Anhänge, die meist als Bestandteil Interesse weckender E-Mails übermittelt werden;

„Drive-by-Infection“: Cyberkriminelle präparieren Webseiten im Internet, die Schadsoftware wird durch den Aufruf einer solchen präparierten Webseite automatisch heruntergeladen;

Verteilung über soziale Netzwerke, in denen infizierte Anhänge und entsprechende Links geteilt werden, oder

„Spear-Infection“: Cyberkriminelle nehmen mittels persönlich adressierter Phishing- oder Infektionsmails gezielt zu bestimmten Personen Kontakt auf, um auf diesem Wege an Daten zu gelangen bzw. den Rechner des Opfers zu infizieren.

Infizierung des Computers

Die Infizierung des Computers erfolgt über die durch den rechtmäßigen Anwender unbemerkte Installation der Schadsoftware auf dem Rechner. Die Software kann dabei auf unterschiedlichen Wegen auf das System gelangen – durch das Öffnen von E-Mail Anhängen, durch „Drive-by-Infection“ beim Aufruf infizierter Webseiten oder durch den Download von nicht verifizierten Dateien, beispielsweise in Tauschbörsen, wo die Schadsoftware, häufig als Video- oder Sounddatei getarnt, zum Download angeboten wird.

Zunehmend werden auch soziale Netzwerke zur Verteilung der Software eingesetzt. Dabei werden den Nutzern der Netzwerke von vermeintlichen Bekannten oder Freunden Nachrichten mit infizierten Anhängen zugesandt. Wenn diese aufgrund des mutmaßlich bestehenden Freundschaftsverhältnisses gutgläubig geöffnet oder entsprechende Links aktiviert werden, führt dies zur Infektion des Computers.

Schadsoftware für mobile Endgeräte

Aufgrund der rasant zunehmenden weltweiten Nutzung mobiler Endgeräte bringen Cyberkriminelle zunehmend auch speziell für Smartphones und Tablets entwickelte Schadsoftware in Umlauf, beispielsweise zur Umgehung des Mobile-TAN-Verfahrens im Onlinebanking.

Die Infektion mobiler Endgeräte erfolgt – ebenso wie beim PC – über das Herunterladen infizierter Anhänge und das Aufrufen infizierter Links und Webseiten oder aber über die Installation infizierter Apps. Es ist wohl abzusehen, dass künftig auch Schadprogramme für Wearables, also Computeruhren bzw. Smartwatches, auftauchen werden.

Social Engineering

Schwächstes Glied in einer Sicherheitskette ist meist der Mensch selbst. Dessen sind sich auch Cyberkriminelle bewusst. Durch geschickte psychologische Manipulation verleiten sie ihre Opfer zu Handlungen, die die Sicherheit ihrer Daten kompromittieren. Sie nutzen menschliche Eigenschaften wie Neugier oder Angst aus, um Zugriff auf Daten zu erhalten oder Rechner zu infizieren. Potenzielle Opfer werden beispielsweise anhand von Angaben in sozialen Netzwerken ausgewählt und gezielt kontaktiert. Beispiele für Social Engineering-Angriffe sind:

Versand sehr persönlicher und vertrauenserweckender E-Mails mit der Aufforderung, aus bestimmten Gründen vertrauliche Informationen preiszugeben (zum Beispiel Verifizierung des Onlinebanking-Accounts);

Gezielter Versand von E-Mails mit gefährlichen Anhängen an Personen, die zuvor beispielsweise über Informationen in sozialen Netzwerken als adäquates Ziel identifiziert wurden (zum Beispiel Mitarbeiter aus Finanzabteilungen in Unternehmen, Sicherheitsberater oder ähnlich);

Angebot einer Telefonbetreuung zur Lösung eines vermeintlichen Computerproblems: führen die Opfer die vom Täter beschriebenen Maßnahmen am Rechner oder Netzwerk durch, kann verschiedenste Schadsoftware installiert werden;

Anfertigung der Kopie eines bereits vorhandenen Nutzer-Accounts in sozialen Netzwerken und Versand von vertrauenserweckenden Nachrichten an dessen Freunde, beispielsweise mit der Bitte um Kontaktaufnahme über eine separate E-Mailadresse oder Handynummer: beim Klick auf die Mailadresse wird dann in der Regel Schadcode auf dem Rechner installiert, beim Versenden einer SMS an die Handynummer muss der Absender bezahlen (Bezahl- SMS).

Digitale Erpressung

Für digitale Erpressungen setzen Cyberkriminelle häufig sogenannte Ransomware ein. Dabei werden kryptografische Verfahren verwendet, um Dateien und Dokumente auf infizierten Computern zu verschlüsseln. Für die Wiederherstellung des Zugriffs wird die Zahlung eines Lösegeldes (engl. „Ransom“) gefordert. Entsprechende Schadsoftware oder die für eine solche Erpressung nutzbaren kriminellen „Dienstleistungen“ können in einschlägigen Foren der Underground Economy erworben werden. Somit ist für die Durchführung digitaler Erpressungen kein besonderer IT-Sachverstand mehr erforderlich.

Mittlerweile gibt es einige Varianten von Ransomware, die nicht nur lokale Dateien verschlüsseln, sondern auch Netzwerkordner angreifen. Diese Varianten zielen in erster Linie auf Unternehmen ab, in denen derartige Netzwerkordner vornehmlich genutzt werden. Während die ersten Schädlinge noch auf Zahlungsmethoden wie „Paysafecard“ oder „UKash“ setzten, geht der Trend seit längerem hin zur Forderung von anonymen digitalen Zahlungsmitteln, vor allem Bitcoins.

Massenhafte Fernsteuerung von Computern

„Botnet“ ist ein zusammengesetztes Wort aus den englischen Begriffen „robot“ und „network“ und bedeutet so viel wie „ein Netzwerk aus Robotern“ Man spricht von Botnetzen, wenn viele, meist mehrere Tausend Rechnersysteme mit einem Schadcode infiziert wurden und per Command & Control Server (C&C Server, Fernsteuerung) zusammengeschlossen werden, um dann von Kriminellen zur Durchführung bestimmter Aktionen genutzt zu werden.

Botnetze werden oftmals zu gezielten Angriffen auf die Verfügbarkeit von bestimmten Webseiten, sogenannte Distributed Denial of Service (DDoS)-Angriffe, oder zum massenhaften Versand von Spam-Nachrichten, also Werbemails eingesetzt. Gleichzeitig bietet der in der Regel unbemerkt für den Anwender aufgebrachte Schadcode die Möglichkeit, die kompromittierten Systeme auszuspähen, und liefert dem Kriminellen persönliche Informationen des Anwenders (zum Beispiel Zugangsdaten zum Onlinebanking, zu sozialen Netzwerken oder zu E-Mailanbietern).

Botnetze und ihre Kapazitäten sind fester Bestandteil der Infrastruktur von Cyberkriminellen und werden mittlerweile als Ware in einschlägigen Foren der Underground Economy angeboten. Für einen relativ günstigen Preis können dort selbst weniger IT-affine Täter Botnetze mieten und Cyberangriffe erfolgreich durchführen.

Virtuelle Gewalt: Cybermobbing

Neben Datendiebstahl oder Erpressung gibt es auch weniger greifbare Delikte wie zum Beispiel Cybermobbing: Die virtuelle Gewalt wird zu einem immer größeren Problem, da die digitalen Kanäle den Tätern Anonymität garantieren, die Hemmschwelle sinken lassen und eine rasend schnelle und umfassende Verbreitung ermöglichen. In der Altersgruppe der 12- bis 19- Jährigen gab 2020 jeder Dritte an, persönlich oder in seinem Umfeld bereits Erfahrungen mit Cybermobbing gemacht zu haben. Bei den älteren Teenagern unter ihnen waren es sogar knapp 40 Prozent.

Doch nicht nur unter Schülern wird gemobbt. Auch bei den Erwachsenen mehren sich die Fälle. Denn unter Mobbing fallen nicht nur Beschimpfungen und Beleidigungen oder das Verbreiten von Lügen und Gerüchten, sondern auch die Veröffentlichung peinlicher oder kompromittierender Bilder und Videos sowie Erpressung und Bedrohung. Knapp zwei Drittel der Fälle spielen sich im privaten Lebensraum ab; doch die Grenzen zum Arbeitsumfeld sind meist fließend.10

Daten und Hacken sind ein- und dieselbe Medaille

Die schier unbändige Datensammelwut von Staat und Wirtschaft auf der einen Seite und auf der anderen Seite das unbefugte Eindringen in Computernetze, um eben diese Daten zu stehlen, zu manipulieren und zu missbrauchen, sind zwei Seiten ein- und derselben Medaille. Wenn im vorliegenden Buch an vielen Stellen das unaufhaltsame Erfassen, Speichern und Verarbeiten unserer persönlichen Daten durch Behörden und Firmen kritisiert wird, dann dient das dem Schutz unserer Privatsphäre im doppelten Sinne: erstens vor eben diesen Behörden und Firmen, und zweitens vor Hackern, die diesen Verwaltungen und Unternehmen unsere Daten entreißen. Jedes Datensilo, das von staatlicher oder unternehmerische Seite errichtet wird – und sei es aus noch so gutem Grunde –, stellt geradezu eine Einladung an Hacker dar. Wie an vielen Stellen in diesem Buch gezeigt, ist es ein Irrglaube, dass Staat und Wirtschaft unsere Daten so gut speichern könnten, dass sie vor unbefugten Zugriffen geschützt sind. Vielmehr entstehen durch die Sammelwut immer größere Datensilos, wodurch die Verletzlichkeit unserer Privatsphäre und weit darüber hinausgehend letztlich unserer zivilisierten Gesellschaft immer mehr zunimmt. Wir steuern auf eine Computerzivilisation zu – andere sagen, wir seien schon mitten drin –, die zusammenzubrechen droht, wenn die Computernetze, die Software, die Algorithmen und die Datenberge gestört oder gar zerstört werden.

Von „Blackout“ bis „Outbreak“

Unsere zivilisationskritischen Infrastrukturen – Strom, Wasser, Gas, Polizei, Feuerwehr, Rettungsdienste, Krankenhäuser, Lebensmittelversorgung, Entsorgung, Internet und so weiter – sind heute schon nur noch mit Computerhilfe funktionsfähig. Der österreichische Erfolgsautor Marc Elsberg hat bereits in seinem 2017 erschienenen Bestseller „Blackout – Morgen ist es zu spät“ beunruhigend anschaulich beschrieben, wie unsere Zivilisation bei einem angenommenen großflächigen Stromausfall in Europa zerfällt.11 Natürlich handelte es sich dabei um eine Fiktion, aber wir sind gut beraten, es zugleich als eine Warnung zu verstehen, ähnlich dem Planungsdokument des Bundesnachrichtendienstes zwei Jahre zuvor.

Sind alle diese Überlegungen Hirngespinste, bestenfalls gut für einen spannenden Thriller? Mitnichten! Wie wahrscheinlich ist es, dass diese Szenarien eines Tages Realität werden? Mindestens so wahrscheinlich wie die Pandemie 2020/21. Ein Virus, das die ganze Welt überfällt und unsere Zivilisation zum Wanken bringt, kannte man zuvor eher aus Thrillern wie „Outbreak – Lautlose Killer“ des Regisseurs Wolfgang Petersen aus dem Jahr 1995. Und doch rief die Weltgesundheitsorganisation nur fünf Jahre nach Erscheinen des Films eine Pandemie aus; der unwahrscheinliche Fall war eingetreten.

Gefahr einer IT-Pandemie

Die Gefahr einer IT-Pandemie durch ein Computervirus, das unsere Zivilisation bedroht, ist mindestens ähnlich hoch. Und wie beim Coronavirus wird sich die Frage nach der Herkunft stellen: ein jugendlicher Hacker, eine kriminelle Hackerbande, vielleicht im Auftrag eines Staates, etwa Nordkorea, China, Russland oder gar die USA, ein digitaler Bankraub, der aus dem Ruder läuft, oder eine digitale Terrorattacke, ein Angriff auf die kritischen Infrastrukturen oder auf unsere digitalen Identitäten – wir wissen es so wenig, wie wir über den Ursprung des Coronavirus jemals Sicherheit erlangen werden. Doch die akuten Gefahrenherde, die potenziellen Folgen und die möglichen Schritte zur Eindämmung sind vorhersehbar. Genau wie es weit vor dem Jahr 2020 zahlreiche ernstzunehmende Warnungen vor einer globalen Virusausbreitung gab, mahnen weitsichtige Experten schon lange vor einer IT-Pandemie. Doch die Warnungen und Mahnungen werden überhört, kleingeredet oder schlichtweg nicht beachtet; die heranwachsende Generation selbstfahrender Automobile steht beispielhaft dafür.

Von autonomen Autos und digitalen Identitäten

Wenn wir bei künftigen Autogenerationen von „autonomem Fahren“ sprechen, dann meinen wir eigentlich „vernetztes Fahren“. Während wir bei Flugzeugen und Eisenbahnen längst davon ausgehen, dass ein Hackerangriff auf deren Infrastrukturen das jeweilige Verkehrsmittel lahm legt – kaum eine Weiche lässt sich noch ohne Computer stellen –, so fuhr das Auto bislang noch weitgehend ohne Anbindung an ein Computernetzwerk. Genau das wird sich mit dem selbstfahrenden Automobil ändern: eines unserer gebräuchlichsten Fortbewegungsmittel wird „ans Netz“ angeschlossen – und damit für Hacker großflächig erreichbar. Natürlich werden uns die Autohersteller versichern, dass ihre Wagen unangreifbar sind. Aber ist das glaubwürdig? Eher nicht! Vielmehr stellt dieser Schritt ein typisches Beispiel dafür dar, wie wir durch technologischen Fortschritt in eine immer größere Abhängigkeit von Computern, Computernetzen, Software und Algorithmen geraten. Diese Entwicklung macht uns immer angreifbarer – nicht nur beim Auto, sondern auf beinahe allen Gebieten. Je stärker unsere Computerzivilisation wächst, desto größer wird ihre Achillesferse: Hacking.

Nun mag ein Auto, das während des Fahrens von Hackern auf einmal ferngesteuert wird, schon eine Horrorvision darstellen. Doch es bleibt nicht beim Wagen, die Digitalisierung ist längst bei uns Menschen unmittelbar angekommen. Unsere biometrische Vermessung hat sich beinahe unbemerkt in unseren Alltag geschlichen. Wenn wir etwa einen Personalausweis beantragen, zwingt uns der Staat, ein biometrisches Passfoto abzuliefern, also ihm unser Gesicht in einer von Computern automatisch lesbaren digitalen Form anzuvertrauen. Wenn wir unser Smartphone mit dem Finger oder der Gesichtserkennung entsperren, vertrauen wir Apple, Samsung oder wer auch immer der Hersteller ist, unseren Fingerabdruck bzw. unser Digitalgesicht an. Milliarden von Menschen sind mittlerweile biometrisch erfasst, die computerlesbaren Informationen über unsere Finger und unser Gesicht lagern in den Datensilos der Behörden und Unternehmen. Sie versprechen uns, gut darauf aufzupassen; doch dieses Versprechen ist hohl, weil es letztendlich nicht haltbar ist: Digitale Daten sind vor Hackern nicht zu schützen. Schon ein Angriff auf die Einwohnermeldeämter, um die Datensätze dort durcheinander zu wirbeln, könnte ins Chaos führen. Wieviel ist unsere digitale Identität noch wert, wenn unsere Namen, unsere Geburtsdaten und unsere Passfotos willkürlich vertauscht werden? Wer, wie an anderer Stelle in diesem Buch beschrieben, eine weltweit gültige digitale Identität, die möglicherweise sogar auf einem Computerchip gespeichert ist, den wir unter der Haut in uns tragen, anstrebt, scheint sich der Gefahr eines Hackerangriffs nur wenig bewusst zu sein.

Die in diesem Buch beschriebenen spektakulärsten Fälle markieren lediglich den Anfang einer Hackerwelle, die – wenn wir nicht aufpassen – unsere computerbasierte Zivilisation ernsthaft gefährden wird. Die galoppierende Datenerfassung in beinahe allen Lebensbereichen, angetrieben vom staatlichen Kontroll- und Steuerungsinteresse bis zur Gewinnoptimierung der Wirtschaft, sorgt dafür, dass wir sehenden Auges in diese Welle hinein galoppieren. Daher ist es dringend geboten, sich nicht nur mit der Hackerwelt zu befassen, sondern mindestens ebenso stark mit der Datenwelt und vor allem mit dem Schutz unserer Daten vor der staatlichen und unternehmerischen Sammelwut zu beschäftigen. Das vorliegende Buch beleuchtet beides, Hacker und Daten, weil sie die beiden Seiten ein- und derselben Medaille sind.

Unser Recht auf unsere Daten

Konten geknackt, Daten gestohlen, persönliche E-Mails veröffentlicht, staatliche Institutionen und Firmen über das Internet angegriffen – das Spektrum der Cyberattacken ist breit. Was kaum bekannt ist: Bereits das Ausspionieren von Informationen ist strafbar.

Ausspähen ist strafbar

Das Ausspähen von Daten ist ausweislich Paragraf 202a des deutschen Strafgesetzbuches ein Vergehen, das mit Freiheitsentzug bis zu drei Jahren oder Geldbuße bestraft wird.12 Das Gesetz schützt die sogenannte Verfügungsbefugnis über Daten, es dient der Abwehr des „elektronischen Hausfriedensbruchs“.

Im Mittelpunkt geht es dabei um das Beschaffen von Daten, völlig gleichgültig, ob diese privat oder geschäftlich erhoben werden und gleichgültig, ob diese wichtig oder weniger relevant sind, ob ein Schaden entsteht oder nicht. Laut dem neuesten Wortlaut genügt nach Einschätzung der meisten Juristen bereits der Zugang zu diesen Daten; überdies will der Gesetzgeber künftig diesbezüglich noch mehr Klarheit schaffen.

Indes steht zu befürchten, dass unabhängig von der Gesetzeslage wir alle mehr oder minder rund um die Uhr abgehört, belauscht oder gefilmt werden, und zwar vom Staat genauso wie von der Wirtschaft. Genau genommen bilden Digitalwirtschaft und Regierungen eine unheilige Allianz der Datenschnüffelei, die nur ein Ziel verfolgt: den gläsernen Kunden bzw. Bürger. George Orwells Horrorvision 1984 schreitet mit großen Schritten seiner Realisierung entgegen, Erich Mielke, Hauptverantwortlicher für den Aufbau des flächendeckenden Kontroll-, Überwachungs- und Unterdrückungssystems in der DDR und Leiter des dortigen Ministeriums für Staatssicherheit (Stasi), hätte mutmaßlich seine wahre Freude daran. Der Stasi- Minister setzte damals vor allem auf menschliche Spione, die sogenannten „Informellen Mitarbeiter“ oder IM.13 Bis zu zwei Millionen der insgesamt neun Millionen DDR-Bürger im erwerbsfähigen Alter sollen in den 1980er-Jahren im weiteren Sinne in das staatliche Sicherheitsnetz von SED-Chef Erich Honecker und Stasi-Minister Erich Mielke eingebunden gewesen sein.

Heute ist diese Art von Stasi-Spitzel überflüssig, die moderne Digitaltechnik besorgt die Bespitzelung besser als jeder Mensch: Diese „Stasi 2.0“ verfügt heute schon über Milliarden von Mikrofonen, Videokameras, Sensoren und sonstige Überwachungseinheiten überall auf der Welt und wird von einer immer ausgereifteren künstlichen Intelligenz geführt, die vor allem ein Ziel verfolgt: uns alle immer gläserner zu machen.

Zur Klarstellung: In vielen Fällen haben wir uns mit der Bespitzelung einverstanden erklärt, indem wir den Allgemeinen Geschäftsbedingungen von Apple, Amazon, Google, Facebook und wie sie alle heißen zugestimmt haben. Bei staatlichen Stellen wurden wir in der Regel per Gesetz zur Zustimmung verpflichtet oder es bedarf nicht einmal unseres Einverständnisses. Doch in allen Fällen werden unsere persönlichen Daten erhoben, analysiert und gespeichert. Je mehr dieses digitale Dossier über uns wächst und je umfangreicher diese Datensilos werden, desto begehrlicher und desto leichter zugänglich sind unsere Daten für Hacker. Erst die wachsende Menge an Daten, die wir selbst freiwillig herausgeben und die der Staat von uns verlangt, schaffen einen Nährboden für Hacker, die sich zu eben diesen Daten Zugang verschaffen, sie manipulieren, stehlen und uns damit Schaden zufügen. Natürlich entstehen in unserer digitalen Gesellschaft weit über persönliche Informationen hinausgehend Datenberge in den Unternehmen, den Institutionen und den öffentlichen Verwaltungen, die Hacker ebenfalls als lohnende Angriffsziele ins Visier nehmen. Man kann heutzutage keine Firma, keine Forschungsstätte und auch keine Behörde mehr betreiben, ohne Datenberge anzuhäufen. Doch so beklagenswert der Verlust von Firmen- und Verwaltungsdaten sein mag, wenn persönliche Daten gestohlen oder missbraucht werden, ist das Desaster in der Regel besonders groß. Deshalb ist es äußerst wichtig, dass nicht nur jeder Einzelne seine Daten sorgfältig schützt, sondern auch die Unternehmen und die Behörden die persönlichen Daten ihrer Kunden sicher aufbewahrt. Damit sind wir beim Datenschutz angelangt.

Datenschutz – was ist das?

Der Begriff „Datenschutz“ entstand in der zweiten Hälfte des 20. Jahrhunderts. Ein interessanter Aspekt dabei ist, dass er bis heute nicht einheitlich verstanden wird. Ob diese durchaus schwammige Auslegung dieses Begriffes so gewollt ist oder nicht, bleibt an dieser Stelle reine Spekulation. Der Schutz des Rechts auf informationelle Selbstbestimmung, der Schutz vor missbräuchlicher Datenverarbeitung, der Schutz des Persönlichkeitsrechts und der Schutz der Privatsphäre gehören dabei zu den gängigen Interpretationen. Die dahinterstehende Forderung ist hingegen ziemlich klar: Datenschutz steht für die Idee, dass jeder Mensch grundsätzlich selbst entscheiden kann, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Genau diese Idee wird indes jeden Tag millionenfach missachtet, verhöhnt und mit Füßen getreten – und die meisten von uns merken es nicht einmal oder es kümmert uns im Grunde auch nicht. Das wird angesichts der unaufhaltsamen rasanten Digitalisierung unserer Welt und der damit wachsenden Gefahr einer IT-Pandemie fatale Folgen nach sich ziehen.

Ausgangspunkt der weltweiten Debatte über Datenschutz waren die Pläne der US-Regierung unter Präsident John F. Kennedy, Anfang der 1960er Jahre ein nationales Datenzentrum zur Verbesserung des staatlichen Informationswesens einzurichten.14 Das war damals in den USA durchaus dringend notwendig, denn bis heute existieren in den USA kein flächendeckendes Meldewesen und keine bundesweit geltenden Ausweise. Vor diesem Hintergrund wollte Kennedy erstmals die Daten ausnahmslos aller US-Bürger im neuen Datenzentrum erfassen. Die Pläne wurden allerdings in den nachfolgenden politischen Diskussionen als Verstoß gegen das verfassungsrechtlich postulierte „Right to be alone“ betrachtet, also das „Recht auf Einsamkeit“. Eine erhebliche Rolle spielte damals auch schon das im Jahre 1890 von Samuel D. Warren und dem späteren Bundesrichter Louis D. Brandeis entwickelte „Right to Privacy“, nach dem jedem Menschen das Recht zusteht, selbst zu bestimmen, inwieweit seine „Gedanken, Meinungen und Gefühle“ anderen mitgeteilt werden sollen.15 Das Vorhaben scheiterte im Kongress, woraufhin die Forderung nach einer gesetzlichen Grundlage für die Verarbeitung personenbezogener Daten in den USA aufkam. Erst 1974 wurde der Privacy Act verabschiedet, der Regeln für die Bundesbehörden für den Umgang mit personenbezogenen Daten einführte und bereits die Grundprinzipien des Datenschutzes enthielt: Erforderlichkeit, Sicherheit und Transparenz. Allerdings galt das neue Gesetz nur für Bundesbehörden, nicht etwa für Unternehmen in den USA.16

Die amerikanische Debatte wurde in Europa verfolgt und Ende der 1960er Jahre suchte die deutsche Politik nach einem passenden Begriff. Dabei sollte die direkte Übersetzung des Wortes „Privacy“ – allgemeines Persönlichkeitsrecht – vermieden werden. Erstens wegen der kontroversen Diskussionen, die seit dem 19. Jahrhundert darüber geführt wurde, und zweitens wegen seiner Sperrigkeit. In Anlehnung an den Begriff „Maschinenschutz“ (Gesetzgebung zur Sicherheit von Arbeitsgerät) wurde das Wort „Datenschutz“ ersonnen. Es wurde zunächst scharf kritisiert, weil schließlich nicht die Daten geschützt werden sollen, sondern die Menschen, setzte sich aber dennoch durch und ist inzwischen international gebräuchlich (Data Protection).

Im Jahre 1970 verabschiedete das Bundesland Hessen das weltweit erste Datenschutzgesetz. 1977 folgte das Bundesdatenschutzgesetz (BDSG).17 Bis 1981 hatten alle Bundesländer eigene Landesdatenschutzgesetze. Im Zusammenhang mit der Volkszählung wurde 1983 mit der Prägung des informellen Selbstbestimmungsrechts ein Meilenstein gelegt, also dem Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. 1995 wurde die Europäische Datenschutzrichtlinie 1995/46/EG verabschiedet. Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) in Kraft. 18 Die europäische ePrivacy-Verordnung ist für die 2020er Jahre geplant.19

Allen Paragrafen zum Trotz werden heute jeden Tag mehr personenbezogene Daten rund um den Globus gesammelt, erfasst, verarbeitet, analysiert und zu Werbe- und Vertriebszwecken verwendet sowie gestohlen und missbraucht, als jemals zuvor. Das hat zahlreiche Gründe. Einer der wesentlichen Ursachen für diese Entwicklung liegt darin, dass der Schutz der Privatsphäre in der US-Wirtschaft bis heute keine große Rolle spielt – und damit auch bei den US-amerikanischen Digitalgiganten. Aktuell (Stand: 2021) ist der Datenschutz in den USA kaum durch gesetzliche Vorschriften geregelt. Das Hauptargument dagegen findet sich im ersten Zusatzartikel zur Verfassung der Vereinigten Staaten (First Amendment) zur Meinungsfreiheit. Zudem könnte man darauf verweisen, dass in vielen Staaten der Welt der Datenschutz als Instrument zur Unterdrückung der Meinungsfreiheit eingesetzt wird. Zwar hat der Oberste Gerichtshof der Vereinigten Staaten 1965 im Fall Grisworld gegen Connecticut entschieden20, dass dem Einzelnen sehr wohl ein Recht auf Privatsphäre zusteht, allerdings erkennen bis heute nur sehr wenige US-Bundesstaaten dieses Recht an. Als eine der wenigen Ausnahmen gilt Kalifornien, wo das Recht auf Privatsphäre gesetzlich ausdrücklich festgelegt ist. Befinden sich nicht die Zentralen der meisten Digitalkonzerne, wie etwa Google oder Facebook, in Kalifornien und müssten daher unter diese Gesetzgebung fallen? Das trifft zwar zu, jedoch ist diese Gesetzgebung aus europäischer Sicht nahe an der Lächerlichkeit. So verpflichtet der California Online Privacy Protection Act (OPPA) die Betreiber kommerzieller Internetseiten und Onlinedienste, die über ihre Webseiten personenbezogene Informationen über Bürger aus Kalifornien sammeln, auf ebendiesen Seiten einen auffälligen Hinweis über den Umgang mit diesen Daten zu platzieren.21 Wie die Firmen mit den personenbezogenen Daten umzugehen haben, beschreibt das Gesetz nicht, es bleibt den Unternehmen frei überlassen. Das Gesetz regelt einzig und allein, dass ein deutlicher Hinweis auf die selbstgesetzten Datenschutzrichtlinien platziert werden muss. Viel deutlicher kann man den Grundgedanken des Datenschutzes kaum mit Füßen treten. Google & Co halten sich natürlich an diese Vorgaben und nehmen sie zugleich als Masterplan für ihre Vorstellungen von Datenschutz für die ganze Welt. Das Fatale daran: Diese Datensammelwut macht uns nicht nur den Digitalkonzernen und wie an anderer Stelle in diesem Buch dargestellt wird auch den Staaten gegenüber zu gläsernen Bürgern, sondern schafft darüber hinaus auch den Nährboden für Hacker jedweder Coleur. Denn Daten, die – von wem auch immer – einmal digital erfasst und gespeichert sind, können auch gestohlen, manipuliert und missbraucht werden.

Grundrecht auf eigene Persönlichkeit

Das Recht auf die Entfaltung der eigenen Persönlichkeit (Persönlichkeitsrecht) wird als ein Grundrecht angesehen, also als ein von der Verfassung geschütztes Recht. Es sieht den Schutz der Persönlichkeit einer Person vor Eingriffen in ihren Lebens- und Freiheitsbereich dar. Außerdem definiert es zugleich die Basis für die Annahme eines Rechtes auf Privatsphäre. Die Allgemeine Erklärung der Menschenrechte der Vereinten Nationen umfasst neben mehreren grundlegenden Schutzartikeln einen eigenen Artikel zur Bewahrung des Privatlebens.

In der UNO-Resolution 217 A (III) der Generalversammlung vom 10. Dezember 1948 zur allgemeinen Erklärung der Menschenrechte, heißt es wie folgt:22

Resolution 217 A (III) der Generalversammlung vom 10. Dezember 1948

Präambel

Da die Anerkennung der angeborenen Würde und dergleichen und unveräußerlichen Rechte aller Mitglieder der Gemeinschaft der Menschen die Grundlage von Freiheit, Gerechtigkeit und Frieden in der Welt bildet, da die Nichtanerkennung und Verachtung der Menschenrechte zu Akten der Barbarei geführt haben, die das Gewissen der Menschheit mit Empörung erfüllen, und da verkündet worden ist, daß einer Welt, in der die Menschen Rede- und Glaubensfreiheit und Freiheit von Furcht und Not genießen, das höchste Streben des Menschen gilt, da es notwendig ist, die Menschenrechte durch die Herrschaft des Rechtes zu schützen, damit der Mensch nicht gezwungen wird, als letztes Mittel zum Aufstand gegen Tyrannei und Unterdrückung zu greifen,

da es notwendig ist, die Entwicklung freundschaftlicher Beziehungen zwischen den Nationen zu fördern,

da die Völker der Vereinten Nationen in der Charta ihren Glauben an die grundlegenden Menschenrechte, an die Würde und den Wert der menschlichen Person und an die Gleichberechtigung von Mann und Frau erneut bekräftigt und beschlossen haben, den sozialen Fortschritt und bessere Lebensbedingungen in größerer Freiheit zu fördern,

da die Mitgliedstaaten sich verpflichtet haben, in Zusammenarbeit mit den Vereinten Nationen auf die allgemeine Achtung und Einhaltung der Menschenrechte und Grundfreiheiten hinzuwirken,

da ein gemeinsames Verständnis dieser Rechte und Freiheiten von größter Wichtigkeit für die volle Erfüllung dieser Verpflichtung ist,

verkündet die Generalversammlung diese allgemeine Erklärung der Menschenrechte als das von allen Völkern und Nationen zu erreichende gemeinsame Ideal, damit jeder einzelne und alle Organe der Gesellschaft sich diese Erklärung stets gegenwärtig halten und sich bemühen, durch Unterricht und Erziehung die Achtung vor diesen Rechten und Freiheiten zu fördern und durch fortschreitende nationale und internationale Maßnahmen ihre allgemeine und tatsächliche Anerkennung und Einhaltung durch die Bevölkerung der Mitgliedstaaten selbst wie auch durch die Bevölkerung der ihrer Hoheitsgewalt unterstehenden Gebiete zu gewährleisten.

Artikel 1

Alle Menschen sind frei und gleich an Würde und Rechten geboren. Sie sind mit Vernunft und Gewissen begabt und sollen einander im Geiste der Brüderlichkeit begegnen.

Artikel 2

Jeder hat Anspruch auf alle in dieser Erklärung verkündeten Rechte und Freiheiten, ohne irgendeinen Unterschied, etwa nach Rasse, Hautfarbe, Geschlecht, Sprache, Religion, politischer oder sonstiger Anschauung, nationaler oder sozialer Herkunft, Vermögen, Geburt oder sonstigem Stand.

Des Weiteren darf kein Unterschied gemacht werden aufgrund der politischen, rechtlichen oder internationalen Stellung des Landes oder Gebietes, dem eine Person angehört, gleichgültig ob dieses unabhängig ist, unter Treuhandschaft steht, keine Selbstregierung besitzt oder sonst in seiner Souveränität eingeschränkt ist.

Artikel 3

Jeder hat das Recht auf Leben, Freiheit und Sicherheit der Person.“

...

Artikel 12: Niemand darf willkürlichen Eingriffen in sein Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr ... ausgesetzt werden. Jeder hat Anspruch auf rechtlichen Schutz gegen solche Eingriffe oder Beeinträchtigungen.“

Die Europäische Menschenrechtskonvention des Europarats, die 1953 in Kraft trat, stellte hierzu fest, es hat „jedermann ... Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs“. Dieser Satz ist noch heute gültig und steht in Deutschland einem Bundesgesetz gleich.23

Im Grundgesetz (GG) der Bundesrepublik Deutschland hingegen kommen Begriffe wie Privatleben oder Persönlichkeitsrecht kein einziges Mal vor. Genauer gesagt: Im deutschen Recht ist das Persönlichkeitsrecht als solches nicht ausdrücklich geregelt. Lediglich Teilgebiete, wie die Achtung der Ehre, das Namensrecht und das Recht am eigenen Bild, sind gesetzlich geschützt.

Aus der Erkenntnis heraus, dass hier eine eklatante Rechtslücke besteht, wurde seit den 1950er Jahren in richterlicher Rechtsfortbildung – also durch eine übereinstimmende und ständige Rechtsprechung – ein allgemeines Persönlichkeitsrecht (APR) aus Artikel 1 GG (freie Entfaltung der Persönlichkeit) in Verbindung mit Artikel 1 GG (Menschenwürde) abgeleitet. Es gibt eine Fülle von Urteilen zu diesem Thema und heute gilt das APR als Gewohnheitsrecht.

Insbesondere erkannte das Bundesverfassungsgericht in einem Grundsatzurteil vom 5. Juni 1973 das Persönlichkeitsrecht als verfassungsrechtlich gewährleistetes Grundrecht an.24 Wörtlich und durchaus weitsichtig formuliert sah es das Bundesverfassungsgericht als die Aufgabe des allgemeinen Persönlichkeitsrechts an, „im Sinne des obersten Konstitutionsprinzips der Würde des Menschen (Art. 1 Abs. 1 GG) die engere persönliche Lebenssphäre und die Erhaltung ihrer Grundbedingungen zu gewährleisten, die sich durch die traditionellen konkreten Freiheitsgarantien nicht abschließend erfassen lassen; diese Notwendigkeit besteht auch im Blick auf moderne Entwicklungen und die mit ihnen verbundenen neuen Gefährdungen für den Schutz der menschlichen Persönlichkeit.“

Fazit: Das Grundgesetz kennt kein Persönlichkeitsrecht, das Bundesverfassungsgericht hingegen schon.

Ebenso weitsichtig zeigte sich das Bundesverfassungsgericht in einem Urteil vom 15. Dezember 1983, in dem es ein Grundrecht auf informationelle Selbststimmung postulierte. 25 Das Gericht begründete sein Urteil mit der Gefährdung der freiheitlichen Grundordnung durch vom Betroffenen unbeherrschte Datensammlungen unter den Bedingungen moderner Informationstechnik. Insbesondere wies das Gericht auf die Gefahr des Panoptismus hin. Dieser wenig geläufige Begriff, der Mitte des letzten Jahrhunderts von dem französischen Philosophen Michel Foucault eingeführt wurde, bezeichnet das Phänomen, dass eine Gesellschaft durch Überwachungs- und Kontrollmechanismen immer gleichförmiger wird. Fourcault sprach von einer sozialen Konformität des Individuums. Michel Foucault schrieb: „Derjenige, welcher der Sichtbarkeit unterworfen wird und dies weiß, übernimmt die Zwangsmittel der Macht und spielt sie gegen sich selbst aus; er internalisiert das Machtverhältnis, in welchem er gleichzeitig beide Rollen spielt; er wird zum Prinzip seiner eigenen Unterwerfung.“26

Bezeichnenderweise prägte er den Begriff „Panoptimus“ (übrigens angelehnt an den architektonischen Entwurf eines perfekten Gefängnisses, des „Panopticon“, des englischen Philosophen Jeremy Bentham) lange vor der allgegenwärtigen Videoüberwachung der heutigen Zeit. Fourcault stellte das Phänomen der zunehmenden Gleichförmigkeit der Gesellschaft seit dem 18. Jahrhundert fest. Schule, Militärdienst und eine durch den aufkommenden Kapitalismus geförderte Anpassung des Einzelnen an eine vorgegebene Arbeitsumgebung führen zu einer Vereinheitlichung der Gesellschaft, in der die Anpassung an die Normen wichtiger wird als die eigene Individualität.

Dabei reicht es offenbar, wenn wir damit rechnen müssen, beobachtet und bewertet zu werden, unabhängig davon, ob uns tatsächlich jemand zusieht oder ein Video von uns angefertigt wird. Schon die potenzielle Beobachtung führt dazu, dass die meisten Menschen ihr Verhalten an die normativen Erwartungen anpassen. Über einen längeren Zeitraum hinweg kommt es dadurch zu einer Verinnerlichung der erwarteten Normen. Derjenige, der die Normen aufstellt – egal, ob Staat oder Unternehmen –, muss also in der Regel gar keinen Zwang mehr ausüben, damit die Normen eingehalten werden. Wir verinnerlichen die Regeln, wenn man sie uns nur lange genug vorgibt und wir uns der Gefahr bewusst sind, dass wir möglicherweise ständig überwacht werden, und halten uns dann „von ganz allein“ an diese Normen.

Daraus leitete das Bundesverfassungsgericht für sein Urteil zum Grundrecht auf informationelle Selbststimmung ab. „Wer nicht weiß oder beeinflussen kann, welche Informationen über sein Verhalten gespeichert werden, passt sein Verhalten aus Vorsicht an. Das beeinträchtigt nicht nur die individuelle Handlungsfreiheit, sondern auch das Gemeinwohl, da ein freiheitlich demokratisches Gemeinwesen der selbstbestimmten Mitwirkung der Bürgerschaft bedarf“, urteilten die Richter am höchsten deutschen Gericht.

Die zentrale Stelle lautete im Wortlaut: „Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. ... Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist. Hieraus folgt: Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus. Dieser Schutz ist daher von dem Grundrecht des Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG umfasst. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“27

Einschränkungen der informationellen Selbstbestimmung sind nur auf gesetzlicher Grundlage erlaubt. Ausdrücklich stellte das Bundesverfassungsgericht fest, dass es „kein belangloses Datum“ gibt. Vielmehr bedarf die Verwendung aller personenbezogenen Daten einer besonderen Rechtfertigung. Das richtungsweisende Urteil des Bundesverfassungsgerichts von 1983 hatte entscheidenden Einfluss auf das Bundesdatenschutzgesetz, das 1990 novelliert wurde, auf die Datenschutzgesetze der Länder und bildet auch wesentliche Eckpfeiler der heutigen Gesetzgebung wie die Datenschutz-Grundverordnung und die e- Privacy-Verordnung. Halten wir also fest, dass der Schutz persönlicher Daten rechtlich eine solide Grundlage aufzuweisen hat. UNO, EU, Deutschland – überall wird entweder durch Gesetze oder Rechtsprechung der Privatheit eine hohe und schützenswerte Bedeutung zugemessen. Immerhin, möchte man meinen, aber sicherlich kein Schutz gegen kriminelle Hacker.

Wenn heute dennoch mehr persönliche Daten von uns erfasst, verarbeitet, gespeichert und analysiert werden als jemals zuvor in der Menschheitsgeschichte, liegt das nicht am Gesetzgeber. Es zeigt eher dessen Hilflosigkeit angesichts der aktuellen Digitalisierungswelle. Schutzgesetze kommen an ihre Grenzen, wenn die Menschen selbst überall Mikrofone und Kameras aufstellen, ihr Privatleben selbst in den sozialen Netzen ausbreiten und moderne Technologien wie die Videoüberwachung mit größter Selbstverständlichkeit zum Einsatz gelangen, um dem Ruf der Bevölkerung nach mehr Sicherheit nachzukommen. In einer digitalen Welt gibt es immer wieder und immer mehr „gute Gründe“, warum persönliche Daten erfasst und – wenn man sie sowieso schon hat – auch gespeichert werden, und damit auch für Missbrauch aller Art sozusagen bereitliegen.

Dabei will uns Amazon die besten Vorschläge unterbreiten, was wir einkaufen sollten; bei selbstfahrenden Autos ist es wohl besser, möglichst vielen und präzise arbeitenden Kameras die Route erfassen zu lassen, um uns sicher ans Ziel zu bringen; um Schwerverbrechern habhaft zu werden, bietet sich die automatische Gesichtserkennung auf öffentlichen Plätzen geradezu an und vieles mehr. Bereits diese wenigen Beispiele zeigen, dass im Zeitalter der Digitalisierung ständig neue Argumente aufkommen, um mehr Daten von mehr Menschen noch besser zu analysieren. Es ist wie eine endlose Datenspirale und der Gesetzgeber scheint allen Bemühungen zum Trotz alldem eher hilflos gegenüber zu stehen. Der Digital Services Act (DSA) und der Digital Markets Act (DMA) aus dem Jahr 2020 stellten immerhin Versuche der EU-Kommission dar, wenigstens den großen Digitalkonzernen Schranken aufzuzeigen. Die 2020 aufgekommenen Monopolvorwürfe gegen Facebook & Co in den USA markierten einen ähnlichen Widerstand des Gesetzgebers gegen die scheinbar unaufhaltsame Macht der Digitalriesen. „Facebook hat seine Monopolmacht genutzt, um kleinere Rivalen zu vernichten und die Konkurrenz auszulöschen, alles auf Kosten alltäglicher Nutzer“, sprach New Yorks Justizministerin Letitia James 2020 aus, was sich schon länger als Stimmungslage nicht nur in Bezug auf Facebook, sondern auch bezüglich anderer Digitalriesen wie Apple, Amazon oder Google abzeichnete.28

Denn es sind nicht nur die Staaten, die unsere Daten wollen, sondern in noch viel stärkerem Maße seit Jahren die Unternehmen der Digitalwirtschaft, die mit unseren Daten zu Milliardenkonzernen heranwachsen und natürlich mit immer neuen Konzepten weiterwachsen wollen. Daten sind der Rohstoff der Digitalwirtschaft. Mussten in der Vergangenheit die klassischen Rohstoffe wie Erdöl oder Holz noch der Erde entrissen werden, so stecken die neuen Rohstoffe in unseren Köpfen und werden von Digitalkonzernen somit unseren Köpfen „entrissen“. Mit jeder Eingabe bei Amazon, Facebook oder Google geben wir ein Stück unseres Gehirns zur kommerziellen Weiterverarbeitung frei. In diesem Sinne produzieren wir allein für Google weit über fünf Milliarden Gedanken-Rohstoffe pro Tag – so viele Suchanfragen verarbeitet das Unternehmen täglich. Schon im Jahr 2016 verkündete Sridhar Ramaswamy, Senior Vice President Ads and Commerce (Vizepräsident für Anzeigen und Kommerzialisierung) bei Google stolz: „Jedes Jahr erhalten wir Milliarden von Suchanfragen.“ Das war eine Untertreibung: Seit 2018 erhält Google Jahr für Jahr mehr als zwei Billionen Suchanfragen, beinahe fünf Milliarden Anfragen pro Tag – Tendenz weiter steigend.29 Im gleichen Maße, wie wir die Digitalmaschine mit unseren Eingaben füttern, wächst ihr Geschäft: Allein das Werbevolumen von Google lag 2019 bei knapp 134 Milliarden Dollar. und auch hier ist ein Ende des Wachstums nicht in Sicht.

Dieses Konzept – bei dem die Konsumenten aktiv dazu beitragen, den Erfolg von Unternehmen zu steigern – ist keinesfalls neu, denn es existierte bereits vor der Digitalisierung. So entwickelten etwa Supermarktketten ein vergleichbares System, indem die Kunden ihre gewünschten Produkte selbst aus den Regalen nehmen und mit zur Kasse bringen – und nicht mehr so individuell bedient werden, wie es bei „Tante Emma“ der Fall war (seit langem sterben diese Tante-Emma-Läden immer mehr aus). Ob bei Bankgeschäften, an der Tankstelle oder im Rahmen der Reiseplanung – überall sind wir inzwischen selbst gefordert, Dienstleistungen zu erbringen, die früher die Anbieter für uns erledigten. Prosumer oder Prosument – also „Produzent“ und „Consumer“ bzw. „Konsument“ in einer Person nennt man dieses Konzept.

Aber erst durch die Digitalisierung gelang es vielen Unternehmen – allen voran den Digitalkonzernen – den Verbraucher als Produzenten einzuspannen und den produzierten Rohstoff in Form von Persönlichkeitsprofilen an die werbetreibende Wirtschaft zu verkaufen. Plattformkapitalismus ist die wohl höchste Stufe dieses Konzepts: Der Anbieter stellt eine technische Plattform zur Verfügung, auf der sich Anbieter und Nutzer zusammenfinden. Dabei verdient dieser Anbieter entweder daran, indem er eine Nutzungsgebühr verlangt (etwa einen Monatsbeitrag) oder er verlangt im Falle eines Geschäftsabschlusses eine Provision oder er verkauft Nutzerdaten an Unternehmen, die dadurch wiederum passgenau Angebote entwickeln können. Dieses Konzept ist in seinen Grundzügen ebenfalls nicht neu, es hieß in früheren Zeiten Marktplatz. Schon im antiken Griechenland war die Agora der zentrale Fest-, Versammlungs- und Marktplatz einer Stadt – und zog übrigens schon damals Trick- und Taschendiebe an. Aber erst die Digitalwirtschaft führte dieses Konzept zu einer bislang nie da gewesenen Perfektion. Über die Online-Marktplätze, die Plattformen, wird alles und jedes angeboten: Lebenspartner, Meinungen, Waren aller Art. Damit sind die Marktplätze längst auch zu einem Tummelplatz für Hacker geworden.

Der Große Lauschangriff

Am 16. Januar 1998 gab der Deutsche Bundestag den Startschuss für den „Großen Lauschangriff“ und am 6. März desselben Jahres genehmigte ihn der Bundesrat.30 Die Bespitzelung ihrer Bürger war den Politikern so wichtig, dass sie hierfür eine Änderung des Grundgesetzes herbeiführten, nämlich durch Einfügung der Absätze 3 bis 6 in den Artikel 13 GG. Der Zweck dieser Änderung – besser: das Ziel – galt der akustischen Wohnraumüberwachung zu Zwecken der Strafverfolgung. Am 12. Mai 2005 erklärte das Bundesverfassungsgericht die Ausführungsbestimmungen dazu zwar für verfassungswidrig, bestätigte aber zugleich das Gesetz als grundsätzlich verfassungskonform. Demzufolge hat der Staat ein Recht darauf, seine Bürger in ihren eigenen vier Wänden zu belauschen, wenn er es für richtig hält. Genau dies war nämlich die Neuerung am „Großen Lauschangriff“: die Überwachung in der eigenen Wohnung. Schon lange zuvor sah die Strafprozessordnung einen „Kleinen Lauschangriff“ vor, der sich nur auf Gespräche im öffentlichen Raum sowie an allgemein zugänglichen Büro- und Geschäftsräumen bezog.

Es möge an dieser Stelle wahlweise als lustig, tragisch oder schlichtweg nur als vorausschauend anmuten, denn der Begriff „Lauschangriff“ fand sich erstmals 1968 in der Donald-Duck- Geschichte „Irrungen und Wirrungen mit einem Werwolf“ in der Übersetzung von Erika Fuchs.31 In die Politik hielt der Begriff erstmalig Einzug mit der „Lauschaffäre Traube“, eine Abhöraktion des Bundesamtes für Verfassungsschutz (BfV), die den Manager und Umweltaktivisten Klaus Traube verdächtigte, mit Terroristen in Verbindung zu stehen. Diese Abhöraktion begann daher am 30. Dezember 1975 mit der Installation von Abhörwanzen in seiner Wohnung. Die Aktion war vom damaligen Bundesinnenminister Werner Maihöfer persönlich genehmigt worden. Am 28. Februar 1977 flog die Aktion auf, als das Nachrichtenmagazin Spiegel titelte: „Verfassungsschutz bricht Verfassung – Lauschangriff auf Bürger T.“ 32 Minister Maihofer erklärte im Zuge des Skandals am 8. Juni 1978 seinen Rücktritt. Damals wurde deutlich: Der Begriff „Lauschangriff“ hatte längst den Weg von Donald Duck hinter sich gebracht und Einzug in das Behördendeutsch der Nachrichtendienste und Ministerien gehalten – allerdings noch nicht in die Hackerszene.

Es dauerte bis Juni 2013, als der US-amerikanische Whistleblower und ehemalige Gemeindienstmitarbeiter Edward Snowden enthüllte, dass die National Security Agency (NSA) der Vereinigten Staaten von Amerika längst den „Globalen Lauschangriff“ auf die ganze Welt durchführte.33 Schnell wurde klar: Die Überwachung umfasste praktisch alle Länder, war unabhängig von irgendeinem Verdacht und die Erkenntnisse wurden „auf Vorrat“ gespeichert. Vertretungen der Europäischen Union, der Vereinten Nationen, führende Politiker, Spitzenbeamte, Führungskräfte aus der Wirtschaft – die NSA scheute beim „Globalen Lauschangriff“ vor nichts und niemandem zurück. Später sollte sich Bundeskanzlerin Angela Merkel mit den Worten: „Ausspähen unter Freunden, das geht gar nicht“ dagegen wehren. Aber schon am 7. Juli 2015 gab Edward Snowden in einem Interview zu Protokoll, dass die NSA „unter einer Decke mit den Deutschen“ steckt.34

Vom Fall Traube bis zur NSA-Affäre: Das Interesse des deutschen Staates, seine Bürger abzuhören, ist kaum zu leugnen.

Dabei scheint ein Grundpfeiler des staatlichen Abhörens – zumindest in Deutschland – nämlich die vorherige richterliche Genehmigung nach sorgfältiger Prüfung der Sachlage in jedem Einzelfall, auf tendenziell wackeligen Füßen zu stehen. In der Praxis hält sich die richterliche Kontrolle oft in Grenzen, wie Rechtsanwälte verrieten, die sich auf IT-Recht spezialisierten. Dazu ein einfaches Beispiel: Gewiefte Ermittler stellen den Antrag auf Überwachung beim Amtsgericht am Freitagnachmittag. Dann ist in der Regel kein mit der Materie vertrauter Richter mehr verfügbar, sondern nur noch der richterliche Notdienst, der meist mit jüngeren Kollegen besetzt ist. Der Jungrichter hat bei einer solchen Anfrage zwei Möglichkeiten: Entweder zeichnet er die Abhörgenehmigung ab oder am Montagmorgen fragt der Oberstaatsanwalt beim Amtsgerichtspräsidenten an, warum die Anfrage abgelehnt wurde. Daher ist anzuregen, dass jeder Richter, der eine Abhörmaßnahme genehmigt, diese nachhalten muss und einmal jährlich eine Statistik vorzulegen hat, aus der hervorgeht, ob aufgrund der Maßnahme ein Verfahren eingeleitet wurde und ob es zu einer Verurteilung kam. Dann würden die Abhörgenehmigungen sorgfältiger geprüft und für die Öffentlichkeit wäre das Verhältnis zwischen den Eingriffen in die Grundrechte der Bürger einerseits und dem Ertrag andererseits transparenter. Erfahrungen zeigen, dass es derzeit in über 80 Prozent aller Fälle, in denen Abhörmaßnahmen auf richterliche Anordnung genehmigt werden, nicht einmal zu einer Anklage kommt.

Handy-Zugriff bei Brieftaschenraub

Der Zugriff auf persönliche Mobilfunkdaten galt bis 2018 nur bei schweren Straftaten als erlaubt. Diese Rechtslage änderte der Europäische Gerichtshof (EuGH) allerdings mit einem Urteil vom 2. Oktober 2018. Demnach können die Strafverfolgungsbehörden auch bei Straftaten, die nicht von besonderer Schwere sind, auf Handydaten zugreifen.35 Im konkreten Fall ging es um den Raub einer Brieftasche und eines Mobiltelefons. Die spanische Kriminalpolizei wollte herausfinden, mit welchen Telefonnummern das Handy nach dem Diebstahl genutzt worden war und welche Personen sich dahinter verbargen. Der zuständige spanische Ermittlungsrichter lehnte das Ansinnen der Polizisten zunächst ab, die EuGH entschied später anders.36

Immerhin führten die EuGH-Richter aus, dass dieser Zugang bei einer leichteren Straftat nicht zu einer schweren Beeinträchtigung des Privatlebens führen dürfe. Bei der in diesem Fall geforderten bloßen Identifikation des Diebes mit Namen und Adresse geht es hingegen nicht um besonders schützenswerte persönliche Informationen, befanden die Richter. Auf diese Daten dürfe die Polizei für den Zweck der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten im Allgemeinen zugreifen. So nachvollziehbar das Urteil ist, verschiebt es dennoch einmal mehr die Abwägung zwischen Sicherheit und Privatsphäre zugunsten des Staates. Es steht zu befürchten, dass sich diese Verschiebung in genau diese Richtung in den kommenden Jahren immer weiter fortsetzen wird. Das Urteil markierte zugleich den Weg für das Ringen zwischen Kriminalität und Strafverfolgung im Digitalzeitalter. Der Staat sieht sich – und das ist nachvollziehbar – gezwungen, im Kampf gegen Kriminelle zusehends digitale Verfolgungsmethoden zu verwenden, weil die dunkle Seite schließlich ebenfalls ständig hochrüstet.

Wenn sich der Staat schon bei minimalen Vergehen Zugang zu den intimsten Daten seiner Bürger verschafft, ist die Riege der Hacker nicht weit entfernt. Denn der Staat erhebt diese Daten nicht nur, er sammelt und speichert sie auch – und baut damit Datensilos auf, die auf viele Hacker geradezu wie eine Einladung wirken. So werden die staatlichen Behörden zu Erfüllungsgehilfen der Cyberverbrecher – ungewollt, aber nicht unschuldig, denn man hätte es besser wissen müssen.

Von den Anfängen zum Milliardenmarkt

Zum ersten Mal tauchte der Begriff „Hacker“ in den 1960er-Jahren am renommierten Massachusetts Institute of Technology (MIT) auf. Eine Gruppe von Studierenden, die Maschinenmodelle auseinander- und umbauten, um deren Leistung zu steigern, nannte sich so. Diese Pioniere des Hackens ließen sich von Experimentierfreude leiten, sie verfolgten weder subversive noch rebellische Ziele.

Vater des Hackens: Captain Crunch