Das Erbe von Aaron Swartz: Ist Hacktivismus ein Akt des Protests oder ein Fall von Cyber-Kriminalität?

Als der Internet-Aktivist Aaron Swartz kürzlich Suizid beging, war er in 13 Punkten angeklagt, erwartete bis zu 50 Jahre Haft und eine Strafe in Millionenhöhe. Ihm wurde vorgeworfen, Millionen von wissenschaftlichen Artikeln aus dem digitalen Archiv JSTOR heruntergeladen zu haben. Handelte es sich dabei um einen Protestakt oder um eine kriminelle Straftat? Die Journalistin Christie Thompson geht dieser Frage nach, indem sie die Praxis und Philosophie des Hacktivismus beleuchtet.

*

Aaron Swartz sprach oft öffentlich über die Notwendigkeit, wissenschaftliche Forschungen frei verfügbar zu machen. Die Staatsanwälte glaubten, dass er die illegal heruntergeladenen Artikel des digitalen Archivs JSTOR online kostenlos zur Verfügung stellen wollte. Doch Swartz wurde gefasst bevor irgendein Artikel veröffentlicht wurde.

Auch andere Online-Aktivisten haben vermehrt Computer-Netzwerke und andere Technologien genutzt um politischen Protest auszuüben und nutzten dabei eine Reihe von Taktiken: vom temporären Ausschalten eines Servers bis zum Enthüllen privater und firmeninterner Informationen. Die meisten dieser Aktionen, so auch Swartz’ Downloads, stehen gemäß dem Computer Fraud and Abuse Act (CFAA) unter Strafe – ein Gesetz, das geschaffen wurde um Hacker strafrechtlich verfolgen zu können.

Doch der Fall Swartz und andere Hacktivisten zeigen, dass man nicht unbedingt ein Hacker sein muss um vor dem Gesetz als solcher angesehen zu werden. Begehen Aktivisten wie Swartz zivilen Ungehorsam oder Online-Straftaten? Im Folgenden werden ein paar Strategien des „Hacktivismus“ skizziert um herauszufinden, was der CFAA als kriminell bezeichnet.

Dokumente veröffentlichen: Der Fall Bradley Manning

Eine Strategie ist, Dokumente von privaten Servern oder hinter Paywalls anzusteuern und sie downzuloaden, mit dem Ziel, sie öffentlich verfügbar zu machen. Swartz verschaffte sich durch das MIT-Netzwerk Zugang zu JSTOR und lud Millionen von Dateien herunter – damit verletzte er die Nutzungsbedingungen von JSTOR (trotzdem lehnte JSTOR eine Klage gegen ihn ab). Swartz publizierte keine dieser Dateien als er rechtliche Probleme bekam.

Der berühmteste Fall von Veröffentlichung privater Dokumente ist wohl der noch immer andauernde Prozess gegen Bradley Manning. Während er als Analyst im Irak arbeitete, leitete er tausende von geheimen Berichten und Diplomaten-Depeschen an WikiLeaks weiter, die sie dann auf ihrer Webseite posteten. „I want people to see the truth… regardless of who they are… because without information, you cannot make informed decisions as a public,“ („Ich möchte den Menschen die Wahrheit zeigen… egal wer sie sind… denn ohne Information kann die Öffentlichkeit keine fundierten Entscheidungen treffen”), schrieb Manning in einem Online-Chat mit dem Ex-Hacker Adrian Lamo, der letztendlich Manning dem Verteidungsministerium meldete.

Der CFAA – ein stark umstrittenes Gesetz

Swartz und Manning wurden entsprechend eines Abschnitts des CFAA belangt, der denjenigen unter Strafe stellt, der “knowingly causes the transmission of a program, information, code, or command, and as a result of such conduct, intentionally causes damage without authorization, to a protected computer…” („wissentlich die Übermittlung eines Programms, einer Information, eines Codes oder eines Befehls ausführt und, als Resultat dieses Verhaltens, bewusst und ohne Autorisierung an einem gesicherten Computer Schaden verursacht…“).

Das neunte und vierte Berufungsgericht hat bemängelt, dass solch eine Interpretation des CFAA zu ungenau ist. Da sich die Berufungsgerichte uneinig sind darüber, ob eine weite Definition von „unautorisiert“ rechtsgültig ist, fällt es wohl dem Supreme Court zu, eine Entscheidung zu treffen. Der US-Staatsanwalt von Massachusetts Steve Heymann war der leitende Ankläger im Fall Swartz. Er hatte schon 2010 den Hacker Albert Gonzalez für 20 Jahre ins Gefängnis gebracht. Heymann bot Swartz an, sechs Monate ins Gefängnis zu gehen. Doch Swartz’ Verteidiger lehnten den Deal ab, denn eine Verurteilung als Straftäter und ein Gefängnisaufenthalt wären eine zu harte Strafe gewesen. Swartz’ Familie erklärte sich seinen Tod teilweise mit der „Einschüchterung und Übertreibung vor Gericht“.

Nach Swartz’ Suizid fordern manche gesetzgebende Personen eine Überarbeitung des CFAA. Am 15. Januar schlug die Abgeordnete Zoe Lofgren, Demokratin aus Kalifornien, einen Gesetzesentwurf mit dem Namen „Aaron‘s Law“ vor. Dieser besagt, dass allein die Verletzung der Nutzungsbedingungen einer Seite nicht unter den staatlichen CFAA fallen darf.

Distributed Denial of Service: Server-Attacke als Sitzstreik

Ein Distributed Denial of Service (Verteilte Dienstblockade), oder DDoS-Attacke überflutet einen Webseiten-Server mit Traffic, der aus einem Netzwerk von bis zu tausenden individuellen Computern generiert wird und ihn damit lahmlegt. 2010 unternahm Anonymous einen Angriff auf die Webseiten von PayPal, Visa und Mastercard nachdem die Unternehmen sich weigerten, Spenden an WikiLeaks weiterzuleiten. Anonymous postete ihre Low Orbit Ion Canon-Software online. Ungefähr 6000 Menschen luden sich die Software herunter und waren damit in der Lage, die Webseiten mit Traffic zu überfluten.

Eine DDoS-Attacke kann unter dem CFAA als Delikt angesehen werden, da sie „Schaden verursacht“ und die Nutzungsbedingungen einer Seite verletzen kann. Die Besitzer der Seite könnten auch auf Basis des CFAA einen Zivilprozess anstoßen, wenn sie eine temporäre Serverüberlastung, die ihnen Geldeinbußen einbrachte, nachweisen können. 16 mutmaßliche Mitglieder von Anonymous wurden wegen ihrer Rolle im PayPal-DDoS festgenommen und könnten mehr als zehn Jahre Gefängnis und 250.000 Dollar Strafe bekommen. Sie wurden einer Verschwörung und der „bewussten Schädigung eines gesichterten Computers“ nach dem CFAA angeklagt. Der Fall dauert an.

Einige Web-Aktivisten sprachen sich dafür aus, DDoS als Form des Protests zu legalisieren, denn einen Web-Traffic durch die Okkupierung eines Servers zu unterbrechen wäre mit der Besetzung einer Straße duch Sitzstreiks gleichzusetzen. Eine Petition, die ein paar Tage vor Swartz’ Tod auf We the People, einer Seite des Weißen Hauses, gestartet wurde, erhielt mehr als 5000 Unterschriften. „Distributed denial-of-service (DDoS) is not any form of hacking in any way,” beschreibt die Petition. „It is the equivalent of repeatedly hitting the refresh button on a webpage. It is, in that way, no different than any ‘occupy’ protest.“ („Distributed denial-of-service (DDoS) ist keine Form des Hackens. Es ist das Äquivalent zum ständigen Aktualisieren einer Webseite. In diesem Sinne ist es nichts anders als irgendein Besetzungsstreik.“)

Doxing: Hacken von Daten als Ausdruck des Protests

Doxing meint das Finden und Veröffentlichen von persönlichen oder firmeninternen Informationen einer bestimmten Quelle. 2011 knackten Anonymous und die Hacker-Gruppe Lulzsec die Stratfor Global Intelligence Service-Datenbank und veröffentlichten Passwörter, Adressen und Kreditkarteninformationen berühmter Firmenkunden. Die Gruppe behauptete, die Kreditkarten verwenden zu wollen um eine Million Dollar für gemeinnützige Zwecke zu spenden.

Anonymous hat kürzlich auch Mitglieder der Westboro Baptist Church gedoxt nachdem einige auf Twitter ankündigten, bei Beerdigungen von Opfern der Sandy Hook Elementary School zu demonstrieren. Die Hacker waren in der Lage, auf Twitter-Accounts der Kirchenmitglieder zuzugreifen und veröffentlichen ihre privaten Informationen, wie Telefonnummern, E-Mails und Details ihrer Hotelreservierungen.

Jeremy Hammond könnte ein Leben im Gefängnis bevorstehen, da er mutmaßlich den Stratfor-Hack sowie eine Attacke auf die Webseite des Arizona Department of Safety geleitet hat. Der ehemalige Pressesprecher von Anonymous Barrett Brown wurde ebenso der Computerkriminalität beschuldigt – nicht für das Hacken des Systems, sondern für das Verlinken der gehackten Informationen in einem Chatroom.

Die Strafen für Doxing hängen davon ab, wie an die Daten erlangt worden sind und welcher Natur die veröffentlichte Information ist. Einfach öffentlich zugängliche Informationen zu publizieren, wie beim Googeln gefundene Telefonnummern, wird wahrscheinlich nicht unter dem CFAA geahndet. Doch das Hacken privater Computer, oder die gehackten Infos gar zu verbreiten, könnte gemäß dem CFAA bestraft werden.

Anm.d.Red.: Das Foto oben zeigt Aaron Swartz (cc by 2.0), das Foto unten zeigt das Weiße Haus (cc by 2.0). Der Text erschien in englischer Sprache auf ProPublica und wurde von Sarah Curth ins Deutsche übersetzt.