Zum Inhalt springen
6870002408_8492c5e858_o
01 März 2016

BKA: “Den Hacker gibt es nicht. Wir sollten ihn erfinden.”

Seit 2014 widmet sich das Bundeskriminalamt (BKA) mit einer Reihe von Studien der Erforschung von Hackern und Hacktivisten um, wie sie selbst schreiben, ihre Wissens- und Erkenntnisbasis über beide Phänomene zu erweitern. Die zweite Studie, die diesem Anliegen Folge leistet, postuliert das kühne Ziel, Täter des Bereichs Cybercrime zu typologisieren. Doch dadurch begibt sich das BKA mit seinen Prämissen auf wissenschaftliches Glatteis, denn für diese Beschäftigung wählt das BKA einen schillernden Begriff, in der Annahme, dass er alle Cyberkriminellen verbindet: den des Hackers. Das grundlegende Problem, welches sich das BKA selbst einbrockt, ist, dass es sich mit einem Phänomen beschäftigt, das gesellschaftlich quer zur Frage der Kriminalität steht: Hacker wie Hacktivisten sind soziale Kategorien, sie können strafrechtlich relevante Aktionsformen berühren – sie tun dies jedoch nicht kategorisch. Das BKA trägt mit seinen Studien nicht zur Klärung dieser Kategorien bei und genau so wenig zum besseren Verständnis von Cyberkriminalität, sondern lediglich zur Kriminalisierung von Hackern und Hacktivisten.

Das ist die Fortführung einer Replik zur Forschung des BKA zu Hackern und Hacktivisten von Theresa ZügerAdrian Haase und Theresa Behrendt. Dieser Blogpost erschien zuerst bei netzpolitik.org.

Vielsagend ist dabei nicht nur der kriminalisierende Bias, der sich durch sämtliche der Studien zieht, sondern vor allem auch, was in diesen Studien keine Erwähnung findet: Einerseits finden weder die Hacker des CCC, der in Deutschland durch sein Engagement und seine Expertise seit den 80er Jahren eine gesellschaftlich anerkannte und wertgeschätzte Position erfüllt, einen sichtbaren Platz im Hacker-Weltbild des BKA. Andererseits erhält die existierende Sozialforschung zur Figur des Hackers nicht mehr Raum als eine Randnotiz. Diese kam übrigens bereits vor Jahren zu dem Ergebnis, dass der Hacker aufgrund der “grundlegenden Ambivalenz der Figur zwischen einer subversiven und einer staatstragenden Variante” und “der Diversität seiner Aktionen und Zielsetzungen unfaßbar geworden” sei (Pias 2002: 248).

Als Definition bemüht das BKA eine Formulierung von Schell und Dodge, die unter Hackern „Personen mit einem Interesse für Technologie [verstehen], die ihr Wissen nutzen, um sich mit oder ohne [sic] Genehmigung Zugang zu Computern und anderen Geräten [zu] verschaffen” (S. 6). Eine Erklärung, weshalb auch mit Genehmigung handelnde Hacker zu kriminalisieren und vom BKA zu beobachten/verfolgen seien, bleibt die Studie schuldig. Eine Rechtsgutsgefährdung (als Grundlage jedes verfassungsgemäßen Strafens) ist bei solchen Sachverhalten jedenfalls nicht erkenntlich.

Aufbau und Niedergang der Studie

Die Studie teilt sich in zwei Teile. Zunächst erfolgt eine phänomenologische und tätertypologische Betrachtung bevor in einem zweiten Teil kriminologische Erklärungen und Handlungsmöglichkeiten beleuchtet werden.

Ziel der Studie war es, „zielgruppenorientierte Interventions- und Präventionsstrategien für unterschiedliche Tätergruppen zu entwickeln” (S. 3). Tatsächlich gibt die Studie lediglich Ergebnisse der analysierten deutsch- und englischsprachigen Literatur zum Thema Cybercrime im engeren Sinne, bezogen auf täterspezifische Erkenntnisse, seit dem Jahr 2000, wieder. Unter Cybercrime im engeren Sinne versteht das BKA solche Straftaten, „die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten” (BKA, 2014, S.3), ergo §§ 263a, 269, 270, 303a, 202a, 202b und 202c StGB.

Der argumentative Untergang der Studie konzentriert sich unter dem Kapitel der sogenannten “Hackerphänomenologie”. Mehrfach wird darauf hingewiesen, dass bislang kaum nach hohen wissenschaftlichen Standards durchgeführte kriminologische Untersuchungen zu Cybercrime-Tätern vorlägen (S. 5). Erstaunlicherweise werden dennoch gerade jene existierenden und als wissenschaftlich unverlässlich gesehenen Studien zur Herleitung der Hackerphänomenologie herangezogen.

Das BKA, das selbst in seiner Literaturrecherche feststellt, dass es “den Hacker nicht gibt” (S. 8), lässt es sich nämlich nicht nehmen, den typischen Hacker als Täter zu beschreiben. Er wird (grob zusammengefasst) als junger, männlicher Schüler, Student oder Auszubildender klassifiziert, der seine Freizeit vor dem Computer verbringt. Das BKA kommt zum überraschenden Schluss, dass sich Hacker im Kern nicht vom Rest der Bevölkerung unterscheiden ließen (S. 15). Ungeachtet dessen und obwohl es oftmals kaum zu erkennen sei, welcher Akteur für einen Cybersicherheitsvorfall verantwortlich ist (S. 3), soll eine Klassifizierung von Tätertypen aufgrund der Hackerphänomenologie dennoch hilfreich sein. Historisch stellt das BKA dabei auf Franz von Liszt ab, der bereits Anfang des 20. Jahrhunderts Tätertypen im Hinblick auf ihre Rückfallgefährdung klassifiziert und passend dazu Reaktionsmodi mit dem Ziel der Rückfallverhinderung aufgezeigt habe (S. 1). Dass Franz von Liszt und die Pervertierung seiner Forschungen durch die Nationalsozialisten  mit dem Gewohnheitsverbrechergesetz von 1933 zusammenhängen, lässt das BKA unerwähnt. Erfreulicherweise relativiert das BKA immerhin dergestalt, dass die Gefahren der Typologisierung bekannt seien und somit Kategorien von Tätertypen allenfalls als Orientierung genutzt würden, um Menschen nicht irgendwelchen Kategorien zuzuordnen (S. 1).

Teil dieser Typologisierung sind auch Erkenntnisse bezüglich der möglichen Motivationen von Hackern. Hacker würden regelmäßig durch Motivbündel zur Tat bewegt: Entertainment, Nervenkitzel, Zugehörigkeit zu einer Gruppe, Ruhm und Status, Macht und Kontrolle, wirtschaftliche Gründe, politische Gründe, Schadensabsicht und Rache und Sucht (S. 17) spielen als Motivationen scheinbar eine Rolle. Dieser Motivationsvielfalt folgend, präsentiert das BKA eine wirre Zusammenfassung von unzähligen (wir glauben es sind 13) unterhaltsamen bis absurden bisherigen Versuchen Hacker zu klassifizieren. Besondere Beachtung finden dabei die Klassifizierungen von Rogers (2000) und die darauf aufbauenden Ansichten von Chiesa et al. (2009), die beispielsweise den “quite, paranoid and skilled”-Hackertyp entdeckt haben. Dieses scheue Tier ist der “[gefährlichste] der nicht Geld-orientierten Hacker. Mit Kompetenz ausgestattet, erforscht er – möglichst ohne entdeckt zu werden – Systeme. Hat keine Interesse daran, anderen zu imponieren und wird im seltenen Fall, dass seine Präsenz in einem System bekannt wird, sofort verschwinden” (S.33).

Durch die angestrebte und gleichzeitig als gefährlich erkannte Typologisierung von potentiellen Tätern haben sich die Urheber der Studie by design in ein Dilemma manövriert. Das Erfordernis zielgruppenorientierte Interventions- und Präventionsstrategien zu entwickelt wird, wie für jedes Kriminalitätsfeld, kaum zu bezweifeln sein. Allerdings erscheint dieses Ansinnen umso erstaunlicher, wenn man bedenkt, dass sich das BKA, wie auch bereits in der ersten Studie im Bereich “Hacktivisten” renitent weigert, zwischen Hackern, Hacktivisten und Cyberkriminellen zu differenzieren.

Im zweiten Teil der Studie erfolgen zunächst kriminologische Erklärungen für das Cybercrime-Phänomen nach Maßgabe einschlägiger Theorien. Angeführt werden die Bindungstheorie und die Theorie der Selbstkontrolle, Lerntheorien, Neutralisationstheorie, die Theorie des rationalen Wahlhandelns, die Routine-Aktivitätstheorie, Kriminalität als „verbotene Frucht”, der Flow-Theorie und der Space Transition Theory. Eine spezifische Bedeutung dieser kriminologischen Theorien für den Untersuchungsgegenstand wird nicht detailliert herausgearbeitet, stattdessen wird banaler Weise festgestellt, dass Cybercrime im engeren Sinne kein an sich neues menschliches Verhalten beschreibt, sondern dieselben menschlichen Antriebskräfte wirken, die Menschen auch in anderen Bereichen antreiben” (S.68).

Die täterorientierten Handlungsmöglichkeiten, die zuletzt angeführt werden, bleiben allgemein, wenn nicht sogar nichtssagend. Vorgeschlagen werden die Durchführung von sozialen Netzwerkanalysen, der Einsatz der Kriminalitätsskriptanalyse, eine wirksamere Strafverfolgung, Störung illegaler Märkte, Verringerung von Tatgelegenheiten und eine intensivierte Forschung zum Themenbereich. Auf das „wie” der Umsetzung der Handlungsmöglichkeiten wartet der Leser leider vergeblich.

Fazit

Die Frage, die wir uns nach der Reflexion über diese BKA-Studie ernsthaft stellen, ist: Mit welchem Ziel ist die Rede von Hackern im Allgemeinen?

Zur Verdeutlichung folgendes Beispiel aus der analogen Welt: Wenn im Rahmen von Unfallursachen-Analysen im Straßenverkehr eine erhöhte Anzahl an manipulierten Fahrzeugen festgestellt werden könnte, sind kriminologische Studien zur Kfz-Tüftler-Szene und deren Kriminalisierungsgrad durchaus sinnvoll und auch rechtstaatlich unbedenklich. Wenig zielführend wäre hingegen die Kriminalisierung sämtlicher Kfz-Mechaniker, Oldtimer-Schrauber, Unfall-Gutachter etc. und die ausschließliche kriminologische Beschäftigung mit deren Handlungsmotiven. So aber geht das BKA bezüglich seiner Hacker-Studie vor.

An sich ist die Kategorie des Hackers für das BKA nicht relevant, allein Cyberkriminelle  sind das eigentliche Untersuchungsinteresse des BKA. Diese grobe Gleichsetzung und Verallgemeinerung, die nahelegt, dass jeder Hacker bereits mit einem Bein im Sumpf der Kriminalität steckt, erscheint nur dann sinnvoll, wenn es eigentlich darum geht, die einflussreiche, unbequeme und für den Staat herausfordernde Praxis des Hackens allgemein zu sanktionieren und unter Beobachtung zu stellen.

Foto: User: Brian Klug / FlickrCC BY-NC 2.0

Dieser Beitrag spiegelt die Meinung der Autorinnen und Autoren und weder notwendigerweise noch ausschließlich die Meinung des Institutes wider. Für mehr Informationen zu den Inhalten dieser Beiträge und den assoziierten Forschungsprojekten kontaktieren Sie bitte info@hiig.de

Theresa Züger, Dr.

Forschungsgruppenleiterin Public Interest AI | AI & Society Lab

Adrian Haase, Dr.

Ehem. Doktorand: Globaler Konstitutionalismus und das Internet

Theresa Behrendt

Ehem. Studentische Mitarbeiterin: Globaler Konstitutionalismus und das Internet

Forschungsthema im Fokus

Du siehst eine Tastatur auf der eine Taste rot gefärbt ist und auf der „Control“ steht. Eine bildliche Metapher für die Regulierung von digitalen Plattformen im Internet und Data Governance. You see a keyboard on which one key is coloured red and says "Control". A figurative metaphor for the regulation of digital platforms on the internet and data governance.

Digitale Plattformregulierung und Data Governance

Von sozialen Netzwerken, über Videoplattformen bis hin zu Messenger-Apps: digitale Plattformen und ihre Dienste prägen unser Alltagsleben.Am HIIG untersuchen wir, wie neue digitale Öffentlichkeiten reguliert werden können. Neben der Sicherung von Rechtsstaatlichkeit und demokratischen Werten in der stehen auch die riesigen Datenmengen im Fokus, die von den Plattformunternehmen verwaltet werden.
Forschungsthema entdecken

HIIG Monthly Digest

Jetzt anmelden und  die neuesten Blogartikel gesammelt per Newsletter erhalten.

Weitere Artikel

Man sieht mehrer Spiegel, die in unterschiedlichen Formen angeordnet sind und verschiedene Oberflächen, wie den Himmel, eine Hauswand und so weiter widerspiegeln. Das Bild steht sinnbildlich für die vielen verschiedenen Bedeutungen von autonomen Systemen in unserer Gesellschaft. You see several mirrors arranged in different shapes reflecting different surfaces, such as the sky, a house wall and so on. The image is emblematic of the many different meanings of autonomous machines in our society.

Im Zeitalter der autonomen Systeme und Maschinen?

Können Maschinen autonom sein – oder ist das ein Privileg des Menschen? Diese kategorische Frage dominiert viele Diskussionen über unser Verhältnis zu den (vermeintlich) intelligenten Maschinen.

remote work is moving towards the city

Arbeiten aus der Ferne? Wie Remote Work in die Städte abwandert

Fernarbeit ermöglicht es uns, von "überall" aus zu arbeiten. Warum also werden ausgerechnet die Städte zu den neuen Mega-Hubs für die digitale Arbeit? Geraten ländliche Regionen ins Hintertreffen?

Content Moderation auf digitalen Plattformen: Eine intensivere Drittwirkung der Meinungsfreiheit?

Inwieweit können und sollten digitale Plattformen an die Meinungsfreiheit gebunden sein, obwohl sie private Unternehmen sind?