{"id":26724,"date":"2016-03-01T16:07:12","date_gmt":"2016-03-01T15:07:12","guid":{"rendered":"https:\/\/www.hiig.de\/en\/?p=26724"},"modified":"2023-03-28T17:25:46","modified_gmt":"2023-03-28T15:25:46","slug":"bka-den-hacker-gibt-es-nicht-wir-sollten-ihn-erfinden","status":"publish","type":"post","link":"https:\/\/www.hiig.de\/en\/bka-den-hacker-gibt-es-nicht-wir-sollten-ihn-erfinden\/","title":{"rendered":"BKA: “The hacker does not exist. We should invent him.”"},"content":{"rendered":"

The german Federal Criminal Police Office (BKA) published a study that attempts to create a<\/em>\u00a0typology of cyber criminals by equating them with \u201chackers\u201d. This article is a comment and reply to this study deconstructing its premises and arguments.<\/em><\/p>\n

Seit 2014 widmet sich das Bundeskriminalamt (BKA) mit einer Reihe von Studien der Erforschung von Hackern und Hacktivisten um, wie sie selbst schreiben, ihre Wissens- und Erkenntnisbasis \u00fcber beide Ph\u00e4nomene zu erweitern. Die zweite Studie, die diesem Anliegen Folge leistet, postuliert das k\u00fchne Ziel, T\u00e4ter des Bereichs Cybercrime zu typologisieren. Doch dadurch begibt sich das BKA mit seinen Pr\u00e4missen auf wissenschaftliches Glatteis, denn f\u00fcr diese Besch\u00e4ftigung w\u00e4hlt das BKA einen schillernden Begriff, in der Annahme, dass er alle Cyberkriminellen verbindet: den des Hackers. Das grundlegende Problem, welches sich das BKA selbst einbrockt, ist, dass es sich mit einem Ph\u00e4nomen besch\u00e4ftigt, das gesellschaftlich quer zur Frage der Kriminalit\u00e4t steht: Hacker wie Hacktivisten sind soziale Kategorien, sie k\u00f6nnen strafrechtlich relevante Aktionsformen ber\u00fchren \u2013 sie tun dies jedoch nicht kategorisch. Das BKA tr\u00e4gt mit seinen Studien nicht zur Kl\u00e4rung dieser Kategorien bei und genau so wenig zum besseren Verst\u00e4ndnis von Cyberkriminalit\u00e4t, sondern lediglich zur Kriminalisierung von Hackern und Hacktivisten.<\/p>\n

Das ist die Fortf\u00fchrung\u00a0einer Replik<\/a>\u00a0zur\u00a0Forschung des BKA zu Hackern und Hacktivisten<\/a>\u00a0von\u00a0Theresa Z\u00fcger<\/a>,\u00a0Adrian Haase<\/a>\u00a0und\u00a0Theresa Behrendt<\/a>.<\/strong>\u00a0Dieser Blogpost erschien zuerst bei netzpolitik.org<\/a>.<\/strong><\/em><\/p>\n

Vielsagend ist dabei nicht nur der kriminalisierende Bias, der sich durch s\u00e4mtliche der Studien zieht, sondern vor allem auch, was in diesen Studien keine Erw\u00e4hnung findet: Einerseits finden weder die Hacker des CCC, der in Deutschland durch sein Engagement und seine Expertise seit den 80er Jahren eine gesellschaftlich anerkannte und wertgesch\u00e4tzte Position erf\u00fcllt, einen sichtbaren Platz im Hacker-Weltbild des BKA. Andererseits erh\u00e4lt die existierende Sozialforschung zur Figur des Hackers nicht mehr Raum als eine Randnotiz. Diese kam \u00fcbrigens bereits vor Jahren zu dem Ergebnis, dass der Hacker aufgrund der “grundlegenden Ambivalenz der Figur zwischen einer subversiven und einer staatstragenden Variante” und “der Diversit\u00e4t seiner Aktionen und Zielsetzungen unfa\u00dfbar geworden” sei (Pias 2002: 248).<\/p>\n

Als Definition bem\u00fcht das BKA eine Formulierung von Schell und Dodge, die unter Hackern \u201ePersonen mit einem Interesse f\u00fcr Technologie [verstehen], die ihr Wissen nutzen, um sich mit oder ohne [sic] Genehmigung Zugang zu Computern und anderen Ger\u00e4ten [zu] verschaffen” (S. 6). Eine Erkl\u00e4rung, weshalb auch mit Genehmigung handelnde Hacker zu kriminalisieren und vom BKA zu beobachten\/verfolgen seien, bleibt die Studie schuldig. Eine Rechtsgutsgef\u00e4hrdung (als Grundlage jedes verfassungsgem\u00e4\u00dfen Strafens) ist bei solchen Sachverhalten jedenfalls nicht erkenntlich.<\/p>\n

Aufbau und Niedergang der Studie<\/h3>\n

Die Studie teilt sich in zwei Teile. Zun\u00e4chst erfolgt eine ph\u00e4nomenologische und t\u00e4tertypologische Betrachtung bevor in einem zweiten Teil kriminologische Erkl\u00e4rungen und Handlungsm\u00f6glichkeiten beleuchtet werden.<\/p>\n

Ziel der Studie war es, \u201ezielgruppenorientierte Interventions- und Pr\u00e4ventionsstrategien f\u00fcr unterschiedliche T\u00e4tergruppen zu entwickeln” (S. 3). Tats\u00e4chlich gibt die Studie lediglich Ergebnisse der analysierten deutsch- und englischsprachigen Literatur zum Thema Cybercrime im engeren Sinne, bezogen auf t\u00e4terspezifische Erkenntnisse, seit dem Jahr 2000, wieder. Unter Cybercrime im engeren Sinne versteht das BKA solche Straftaten, \u201edie sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten” (BKA, 2014, S.3), ergo \u00a7\u00a7 263a, 269, 270, 303a, 202a, 202b und 202c StGB.<\/p>\n

Der argumentative Untergang der Studie konzentriert sich unter dem Kapitel der sogenannten “Hackerph\u00e4nomenologie”. Mehrfach wird darauf hingewiesen, dass bislang kaum nach hohen wissenschaftlichen Standards durchgef\u00fchrte kriminologische Untersuchungen zu Cybercrime-T\u00e4tern vorl\u00e4gen (S. 5). Erstaunlicherweise werden dennoch gerade jene existierenden und als wissenschaftlich unverl\u00e4sslich gesehenen Studien zur Herleitung der Hackerph\u00e4nomenologie herangezogen.<\/p>\n

Das BKA, das selbst in seiner Literaturrecherche feststellt, dass es “den<\/i> Hacker nicht gibt” (S. 8), l\u00e4sst es sich n\u00e4mlich nicht nehmen, den typischen Hacker als T\u00e4ter zu beschreiben. Er wird (grob zusammengefasst) als junger, m\u00e4nnlicher Sch\u00fcler, Student oder Auszubildender klassifiziert, der seine Freizeit vor dem Computer verbringt. Das BKA kommt zum \u00fcberraschenden Schluss, dass sich Hacker im Kern nicht vom Rest der Bev\u00f6lkerung unterscheiden lie\u00dfen (S. 15). Ungeachtet dessen und obwohl es oftmals kaum zu erkennen sei, welcher Akteur f\u00fcr einen Cybersicherheitsvorfall verantwortlich ist (S. 3), soll eine Klassifizierung von T\u00e4tertypen aufgrund der Hackerph\u00e4nomenologie dennoch hilfreich sein. Historisch stellt das BKA dabei auf Franz von Liszt ab, der bereits Anfang des 20. Jahrhunderts T\u00e4tertypen im Hinblick auf ihre R\u00fcckfallgef\u00e4hrdung klassifiziert und passend dazu Reaktionsmodi mit dem Ziel der R\u00fcckfallverhinderung aufgezeigt habe (S. 1). Dass Franz von Liszt und die Pervertierung seiner Forschungen durch die Nationalsozialisten \u00a0mit dem Gewohnheitsverbrechergesetz von 1933 zusammenh\u00e4ngen, l\u00e4sst das BKA unerw\u00e4hnt. Erfreulicherweise relativiert das BKA immerhin dergestalt, dass die Gefahren der Typologisierung bekannt seien und somit Kategorien von T\u00e4tertypen allenfalls als Orientierung<\/i> genutzt w\u00fcrden, um Menschen nicht irgendwelchen Kategorien zuzuordnen (S. 1).<\/p>\n

Teil dieser Typologisierung sind auch Erkenntnisse bez\u00fcglich der m\u00f6glichen Motivationen von Hackern. Hacker w\u00fcrden regelm\u00e4\u00dfig durch Motivb\u00fcndel zur Tat bewegt: Entertainment, Nervenkitzel, Zugeh\u00f6rigkeit zu einer Gruppe, Ruhm und Status, Macht und Kontrolle, wirtschaftliche Gr\u00fcnde, politische Gr\u00fcnde, Schadensabsicht und Rache und Sucht (S. 17) spielen als Motivationen scheinbar eine Rolle. Dieser Motivationsvielfalt folgend, pr\u00e4sentiert das BKA eine wirre Zusammenfassung von unz\u00e4hligen (wir glauben es sind 13) unterhaltsamen bis absurden bisherigen Versuchen Hacker zu klassifizieren. Besondere Beachtung finden dabei die Klassifizierungen von Rogers (2000) und die darauf aufbauenden Ansichten von Chiesa et al. (2009), die beispielsweise den “quite, paranoid and skilled”-Hackertyp entdeckt haben. Dieses scheue Tier ist der “[gef\u00e4hrlichste] der nicht Geld-orientierten Hacker. Mit Kompetenz ausgestattet, erforscht er – m\u00f6glichst ohne entdeckt zu werden – Systeme. Hat keine Interesse daran, anderen zu imponieren und wird im seltenen Fall, dass seine Pr\u00e4senz in einem System bekannt wird, sofort verschwinden” (S.33).<\/p>\n

Durch die angestrebte und gleichzeitig als gef\u00e4hrlich erkannte Typologisierung von potentiellen T\u00e4tern haben sich die Urheber der Studie by design <\/i>in ein Dilemma man\u00f6vriert. Das Erfordernis zielgruppenorientierte Interventions- und Pr\u00e4ventionsstrategien zu entwickelt wird, wie f\u00fcr jedes Kriminalit\u00e4tsfeld, kaum zu bezweifeln sein. Allerdings erscheint dieses Ansinnen umso erstaunlicher, wenn man bedenkt, dass sich das BKA, wie auch bereits in der ersten Studie im Bereich “Hacktivisten<\/a>” renitent weigert, zwischen Hackern, Hacktivisten und Cyberkriminellen zu differenzieren.<\/p>\n

Im zweiten Teil der Studie erfolgen zun\u00e4chst kriminologische Erkl\u00e4rungen f\u00fcr das Cybercrime-Ph\u00e4nomen nach Ma\u00dfgabe einschl\u00e4giger Theorien. Angef\u00fchrt werden die Bindungstheorie und die Theorie der Selbstkontrolle, Lerntheorien, Neutralisationstheorie, die Theorie des rationalen Wahlhandelns, die Routine-Aktivit\u00e4tstheorie, Kriminalit\u00e4t als \u201everbotene Frucht”, der Flow-Theorie und der Space Transition Theory. Eine spezifische Bedeutung dieser kriminologischen Theorien f\u00fcr den Untersuchungsgegenstand wird nicht detailliert herausgearbeitet, stattdessen wird banaler Weise festgestellt, dass “<\/b>Cybercrime im engeren Sinne kein an sich neues menschliches Verhalten beschreibt, sondern dieselben menschlichen Antriebskr\u00e4fte wirken, die Menschen auch in anderen Bereichen antreiben” (S.68).<\/p>\n

Die t\u00e4terorientierten Handlungsm\u00f6glichkeiten, die zuletzt angef\u00fchrt werden, bleiben allgemein, wenn nicht sogar nichtssagend. Vorgeschlagen werden die Durchf\u00fchrung von sozialen Netzwerkanalysen, der Einsatz der Kriminalit\u00e4tsskriptanalyse, eine wirksamere Strafverfolgung, St\u00f6rung illegaler M\u00e4rkte, Verringerung von Tatgelegenheiten und eine intensivierte Forschung zum Themenbereich. Auf das \u201ewie” der Umsetzung der Handlungsm\u00f6glichkeiten wartet der Leser leider vergeblich.<\/p>\n

Fazit<\/h3>\n

Die Frage, die wir uns nach der Reflexion \u00fcber diese BKA-Studie ernsthaft stellen, ist: Mit welchem Ziel ist die Rede von Hackern im Allgemeinen?<\/p>\n

Zur Verdeutlichung folgendes Beispiel aus der analogen Welt: Wenn im Rahmen von Unfallursachen-Analysen im Stra\u00dfenverkehr eine erh\u00f6hte Anzahl an manipulierten Fahrzeugen festgestellt werden k\u00f6nnte, sind kriminologische Studien zur Kfz-T\u00fcftler-Szene und deren Kriminalisierungsgrad durchaus sinnvoll und auch rechtstaatlich unbedenklich. Wenig zielf\u00fchrend w\u00e4re hingegen die Kriminalisierung s\u00e4mtlicher Kfz-Mechaniker, Oldtimer-Schrauber, Unfall-Gutachter etc. und die ausschlie\u00dfliche kriminologische Besch\u00e4ftigung mit deren Handlungsmotiven. So aber geht das BKA bez\u00fcglich seiner Hacker-Studie vor.<\/p>\n

An sich ist die Kategorie des Hackers f\u00fcr das BKA nicht relevant, allein Cyberkriminelle <\/i>\u00a0sind das eigentliche Untersuchungsinteresse des BKA. Diese grobe Gleichsetzung und Verallgemeinerung, die nahelegt, dass jeder Hacker bereits mit einem Bein im Sumpf der Kriminalit\u00e4t steckt, erscheint nur dann sinnvoll, wenn es eigentlich darum geht, die einflussreiche, unbequeme und f\u00fcr den Staat herausfordernde Praxis des Hackens allgemein zu sanktionieren und unter Beobachtung zu stellen.<\/p>\n

Photo:\u00a0User: Brian Klug<\/a>\u00a0\/\u00a0Flickr<\/a>,\u00a0CC BY-NC 2.0<\/a><\/p>\n