Sexuelle Nötigung

Editorial: Facebooks Gegenangriff

Face­book unter­stützt einen Hacking-Angriff auf den Computer eines Erpres­sers: Gute Hilfe oder ein Schritt zu weit?

Facebooks Dienste werden regelmäßig auch von Menschen benutzt, die böses im Sinn haben Facebooks Dienste werden regelmäßig auch von Menschen benutzt, die böses im Sinn haben
Bild: dpa
Face­books Dienste werden regel­mäßig auch von Menschen benutzt, die böses im Sinn haben. Ein beson­deres Problem ist dabei insbe­son­dere die sexu­elle Beläs­ti­gung von Frauen. Gerade junge Frauen schalten aus diesem Grund ihre Profile auf nicht öffent­lich sichtbar, um der dauernden Beläs­ti­gung zu entgehen. Auf dem Weg verschwinden sie aber zumin­dest teil­weise aus der Internet-Öffent­lich­keit, was in einer gleich­be­rech­tigten Gesell­schaft aber eigent­lich nicht sein sollte.

Ein beson­ders krasser Fall wurde jüngst in den Medien disku­tiert: Buster H., der sich online "Brian Kil" nannte, suchte gezielt puber­tie­rende Mädchen, die frei­zü­gige Fotos von sich posteten. Er klagte sie dann in privaten Nach­richten an, "schmut­zige Bilder" von sich an Jungs geschickt zu haben. Er behaup­tete gegen­über den Opfern wahr­heits­widrig, einige dieser Bilder weiter­ge­leitet bekommen zu haben und verlangte weitere sexuell expli­zite Fotos und Videos. Für den Fall, dass das Opfer das verwei­gerte, drohte er damit, die Bilder, die er bereits hat, zu veröf­fent­li­chen. Als Medien für seine Terror-Nach­richten benutzte er neben Face­book auch private Chats und E-Mail.

Doch damit nicht genug: H. lies von den Opfern nicht ab, sondern verlangte unter immer grau­sa­meren Drohungen immer mehr Bilder und Videos. Opfern drohte er mit Verge­wal­ti­gungen, Mord oder einem Bomben­an­schlag auf ihre Schule. Viele Mädchen ließen sich so wohl gefügsam machen. Andere erstat­teten Anzeige oder leiteten Chat-Proto­kolle an die Admins weiter.

Die US-Bundes­po­lizei (FBI) tappte bei ihren Ermitt­lungen gegen H. hingegen lange im Dunkeln: Er verwischte alle Spuren seiner Online-Tätig­keit, indem er das auf Sicher­heit opti­mierte Linux-Betriebs­system "Tails" von einem USB-Stick bootete. Für sämt­liche Online-Zugriffe verwen­dete er das TOR-Netz­werk, das die origi­nalen IP-Adressen verbirgt.

Der Gegen­an­griff

Facebooks Dienste werden regelmäßig auch von Menschen benutzt, die böses im Sinn haben Facebooks Dienste werden regelmäßig auch von Menschen benutzt, die böses im Sinn haben
Bild: dpa
Für soziale Netz­werke wie Face­book sind Täter wie H. ein doppeltes Problem: Zum einen bereiten sie den Admins jede Menge Arbeit, die immer wieder Chat-Proto­kolle prüfen und dann Accounts blockieren oder löschen müssen. Zum anderen rampo­nieren sie das Ansehen der Netz­werke, wenn es Tätern dort immer wieder gelingt, sich mit neuen Fake-Accounts einzu­schlei­chen. In der Folge werden die Anmel­de­hürden immer höher - aber nicht nur für Krimi­nelle, sondern auch für legi­time Nutzer.

Im Fall von H. entschloss man sich daher bei Face­book offenbar, nicht nur mit tech­ni­schen Gegen­maß­nahmen seine Anmel­dungen möglichst früh­zeitig zu erkennen und Accounts dann zu blocken, sondern blies zum Gegen­an­griff: Face­book schal­tete "für einen sechs­stel­ligen Betrag" eine Cyber-Sicher­heits­firma ein, die im Gegenzug einen Zero-Day-Exploit für Tails lieferte, eine noch nicht öffent­lich bekannte Sicher­heits­lücke.

Ein Opfer, das sich an die Polizei gewandt hatte, schickte in Zusam­men­ar­beit mit dem FBI ein mit dem von Face­book besorgten Exploit präpa­riertes Video via Dropbox an den Täter. Der Exploit, der einen Fehler im Video­player von Tails ausnutzte, machte dann die IP-Adresse des Täters sichtbar. Der Rest der Geschichte ist dann wohl mehr oder weniger normale Poli­zei­ar­beit, bei der der Täter noch eine Zeit lang bei seinen ille­galen Akti­vi­täten obser­viert und dann verhaftet wurde. Er hat sich vor Gericht bereits in 41 Ankla­ge­punkten als "schuldig" bekannt. Ange­sichts der harten Strafen im US-Recht wird H. wohl längere Zeit in Gefäng­nissen verbringen können.

Legal?

Ein m.E. vergleich­barer Fall aus der "analogen" Welt ist der eines Entfüh­rers, der mit Mord an der Geisel droht, wenn man ihm kein Löse­geld zahlt. Das Löse­geld wird dann tatsäch­lich bezahlt, doch im Löse­geld­koffer befindet sich nicht nur das verspro­chene Bargeld, sondern auch ein versteckter Peil­sender, mit dem der Täter verfolgt und nach Frei­las­sung der Geisel verhaftet werden kann. Der Peil­sender im Geld­koffer ist das Gegen­stück zum Trojaner in der Video­datei. Nun gilt ein solcher versteckter Peil­sender allge­meinen als ange­mes­sene und legale Gegen­wehr gegen die ille­galen Taten des Erpres­sers. Das gilt auch dann, wenn die Polizei leider schlecht ausge­stattet ist und ein Fürspre­cher des Entfüh­rungs­op­fers (oder der Löse­geld­zahler) den Peil­sender an die Polizei spendet.

Es gibt aller­dings einen wesent­li­chen Unter­schied: Der Peil­sender im Geld­koffer verän­dert nicht die Sicher­heit der anderen vom Täter verwen­deten Geräte und Einrich­tungen (z.B. Fahr­zeuge oder Wohnungen). Folg­lich haben normale Bürger keine Nach­teile dadurch zu befürchten, dass die Polizei die Tech­no­logie zum Einbau von Peil­sen­dern in Geld­koffer beherrscht. Anders bei der verseuchten Video-Datei: Eine solche kann auch zum Ausspio­nieren unbe­schol­tener Bürger verwendet werden. Jeder, der den Tails-Video­player (oder denselben Video­player auf einem anderen Unix-Derivat) einsetzt, ist poten­ziell verwundbar.

Die vom Exploit verwen­dete Lücke im Tails-Video­player ist inzwi­schen geschlossen, sie war zum Zeit­punkt der Poli­zei­ak­tion wohl bereits in Fach­kreisen bekannt und ein Fix in Vorbe­rei­tung. Das passt auch zu dem vergleichbar geringen "nur" sechs­stel­ligen Preis, den Face­book bezahlt hat, da schon offi­zi­elle Ankaufs­preise für wirk­lich neue Zero-Day-Exploits bis in den sieben­stel­ligen Bereich reichen. Verkaufs­preise einschlä­giger Dienst­leister sind dann natür­lich noch höher.

Vergleich mit dem Bundestro­janer

In Deutsch­land ist die hier verwen­dete Form der Durch­su­chung des vom Beschul­digten verwen­deten PCs gesetz­lich in § 100b StPO gere­gelt, der Volks­mund spricht vom Bundestro­janer. Diese Ermitt­lungs­maß­nahme ist in Deutsch­land nur nach gericht­li­cher Zustim­mung nach § 100e StPO zulässig.

In Deutsch­land ist der Einsatz des Bundestro­ja­ners zudem an einen recht eng einge­grenzten Straf­ta­ten­ka­talog gebunden, der unter anderem räube­ri­sche Erpres­sung (also die Erpres­sung von Geld unter der Andro­hung einer Gefahr für Leib und Leben), die Erstel­lung von Kinder­por­no­grafie und Verge­wal­ti­gung umfasst. Wenn der Täter aber nicht Geld, sondern "nur" Bilder und Videos erpresst hat, alle Opfer 15 oder älter waren (was dann unter "Jugend­por­no­grafie" statt unter "Kinder­por­no­grafie" fällt) und kein Opfer zu Sex mit ihm genö­tigt hat, dann könnte es sein, dass der Täter haar­scharf an der Anwen­dung des Bundestro­ja­ners gegen ihn vorbei­ge­schrammt wäre. Aller­dings ist es nicht unwahr­schein­lich, dass der Gesetz­geber diese offen­sicht­liche Geset­zes­lücke füllt, sobald sie auffällt, und die Erpres­sung von intimen Fotos und Videos unter Andro­hung von Gefahr gegen Leib und Leben in die Liste des § 100b StPO aufnimmt.

In den USA gibt es ein dem Bundestro­janer vergleich­baren Daten­sammler namens CIPAV, dessen Exis­tenz und Anwen­dung - anders als beim Bundestro­janer - bisher kaum in der Öffent­lich­keit disku­tiert wurde. CIPAV war wohl Vorbild für den Bundestro­janer und wird in den USA wohl vor allem vom FBI einge­setzt. Wahr­schein­lich gibt es aber keinen Vektor, über den CIPAV das beson­ders gehär­tete Tails-Linux infi­zieren kann. Hier kam dann Face­books Hilfe­stel­lung.

Gibt es keine anderen Möglich­keiten?

Außer Frage steht, dass das Erpressen von Nackt­bil­dern eine schänd­liche Tat ist und verfolgt gehört. Grund­sätz­lich haben die Poli­zei­be­hörden auch das Recht, zur Aufklä­rung solcher Taten die Computer der Täter zu hacken. Es bleibt aber dabei, dass die Nutzung der dazu erfor­der­li­chen Zero-Day-Exploits durch die Poli­zei­be­hörden frag­lich ist. Denn dieselben Exploits können durch Indus­trie­spio­nage oder durch die Auskund­schaf­tung persön­li­cher Details, die dann zur Erpres­sung verwendet werden, erheb­li­chen Schaden anrichten.

Es ist davon auszu­gehen, dass dieselben "Sicher­heits­un­ter­nehmen" die Zero-Day-Exploits für legi­time Zwecke an die Polizei oder an Face­book verkaufen, diese auch ille­gi­time Zwecke an andere verkaufen. Ebenso besteht immer die Gefahr, dass entspre­chende Soft­ware, die zunächst für gute Zwecke bestimmt war, in dunkle Kanäle gerät und dann für böse Zwecke miss­braucht wird.

Besser wäre daher, gene­rell Sicher­heits­lü­cken öffent­lich zu machen, statt sie für Ermitt­lungs­zwecke zu nutzen. Face­book hat den Exploit zwar gekauft, um seine Nutze­rinnen und Nutzer vor einem Sex-Täter zu schützen. Sie haben dadurch aber den Handel mit eben­sol­chen Exploits beför­dert, was der öffent­li­chen Sicher­heit aus den genannten Gründen abträg­lich ist.

Weitere Edito­rials