Editorial: Facebooks Gegenangriff
Facebooks Dienste werden regelmäßig auch von Menschen benutzt, die böses im Sinn haben
Bild: dpa
Facebooks Dienste werden regelmäßig auch von Menschen benutzt,
die böses im Sinn haben. Ein besonderes Problem ist dabei
insbesondere die sexuelle Belästigung von Frauen. Gerade junge
Frauen schalten aus diesem Grund ihre Profile auf nicht öffentlich
sichtbar, um der dauernden Belästigung zu entgehen. Auf dem Weg
verschwinden sie aber zumindest teilweise aus der
Internet-Öffentlichkeit, was in einer gleichberechtigten
Gesellschaft aber eigentlich nicht sein sollte.
Ein besonders krasser Fall wurde jüngst in den Medien diskutiert: Buster H., der sich online "Brian Kil" nannte, suchte gezielt pubertierende Mädchen, die freizügige Fotos von sich posteten. Er klagte sie dann in privaten Nachrichten an, "schmutzige Bilder" von sich an Jungs geschickt zu haben. Er behauptete gegenüber den Opfern wahrheitswidrig, einige dieser Bilder weitergeleitet bekommen zu haben und verlangte weitere sexuell explizite Fotos und Videos. Für den Fall, dass das Opfer das verweigerte, drohte er damit, die Bilder, die er bereits hat, zu veröffentlichen. Als Medien für seine Terror-Nachrichten benutzte er neben Facebook auch private Chats und E-Mail.
Doch damit nicht genug: H. lies von den Opfern nicht ab, sondern verlangte unter immer grausameren Drohungen immer mehr Bilder und Videos. Opfern drohte er mit Vergewaltigungen, Mord oder einem Bombenanschlag auf ihre Schule. Viele Mädchen ließen sich so wohl gefügsam machen. Andere erstatteten Anzeige oder leiteten Chat-Protokolle an die Admins weiter.
Die US-Bundespolizei (FBI) tappte bei ihren Ermittlungen gegen H. hingegen lange im Dunkeln: Er verwischte alle Spuren seiner Online-Tätigkeit, indem er das auf Sicherheit optimierte Linux-Betriebssystem "Tails" von einem USB-Stick bootete. Für sämtliche Online-Zugriffe verwendete er das TOR-Netzwerk, das die originalen IP-Adressen verbirgt.
Der Gegenangriff
Facebooks Dienste werden regelmäßig auch von Menschen benutzt, die böses im Sinn haben
Bild: dpa
Für soziale Netzwerke wie Facebook sind Täter wie H. ein
doppeltes Problem: Zum einen bereiten sie den Admins jede Menge
Arbeit, die immer wieder Chat-Protokolle prüfen und dann Accounts
blockieren oder löschen müssen. Zum anderen ramponieren sie das
Ansehen der Netzwerke, wenn es Tätern dort immer wieder gelingt,
sich mit neuen Fake-Accounts einzuschleichen. In der Folge werden
die Anmeldehürden immer höher - aber nicht nur für Kriminelle,
sondern auch für legitime Nutzer.
Im Fall von H. entschloss man sich daher bei Facebook offenbar, nicht nur mit technischen Gegenmaßnahmen seine Anmeldungen möglichst frühzeitig zu erkennen und Accounts dann zu blocken, sondern blies zum Gegenangriff: Facebook schaltete "für einen sechsstelligen Betrag" eine Cyber-Sicherheitsfirma ein, die im Gegenzug einen Zero-Day-Exploit für Tails lieferte, eine noch nicht öffentlich bekannte Sicherheitslücke.
Ein Opfer, das sich an die Polizei gewandt hatte, schickte in Zusammenarbeit mit dem FBI ein mit dem von Facebook besorgten Exploit präpariertes Video via Dropbox an den Täter. Der Exploit, der einen Fehler im Videoplayer von Tails ausnutzte, machte dann die IP-Adresse des Täters sichtbar. Der Rest der Geschichte ist dann wohl mehr oder weniger normale Polizeiarbeit, bei der der Täter noch eine Zeit lang bei seinen illegalen Aktivitäten observiert und dann verhaftet wurde. Er hat sich vor Gericht bereits in 41 Anklagepunkten als "schuldig" bekannt. Angesichts der harten Strafen im US-Recht wird H. wohl längere Zeit in Gefängnissen verbringen können.
Legal?
Ein m.E. vergleichbarer Fall aus der "analogen" Welt ist der eines Entführers, der mit Mord an der Geisel droht, wenn man ihm kein Lösegeld zahlt. Das Lösegeld wird dann tatsächlich bezahlt, doch im Lösegeldkoffer befindet sich nicht nur das versprochene Bargeld, sondern auch ein versteckter Peilsender, mit dem der Täter verfolgt und nach Freilassung der Geisel verhaftet werden kann. Der Peilsender im Geldkoffer ist das Gegenstück zum Trojaner in der Videodatei. Nun gilt ein solcher versteckter Peilsender allgemeinen als angemessene und legale Gegenwehr gegen die illegalen Taten des Erpressers. Das gilt auch dann, wenn die Polizei leider schlecht ausgestattet ist und ein Fürsprecher des Entführungsopfers (oder der Lösegeldzahler) den Peilsender an die Polizei spendet.
Es gibt allerdings einen wesentlichen Unterschied: Der Peilsender im Geldkoffer verändert nicht die Sicherheit der anderen vom Täter verwendeten Geräte und Einrichtungen (z.B. Fahrzeuge oder Wohnungen). Folglich haben normale Bürger keine Nachteile dadurch zu befürchten, dass die Polizei die Technologie zum Einbau von Peilsendern in Geldkoffer beherrscht. Anders bei der verseuchten Video-Datei: Eine solche kann auch zum Ausspionieren unbescholtener Bürger verwendet werden. Jeder, der den Tails-Videoplayer (oder denselben Videoplayer auf einem anderen Unix-Derivat) einsetzt, ist potenziell verwundbar.
Die vom Exploit verwendete Lücke im Tails-Videoplayer ist inzwischen geschlossen, sie war zum Zeitpunkt der Polizeiaktion wohl bereits in Fachkreisen bekannt und ein Fix in Vorbereitung. Das passt auch zu dem vergleichbar geringen "nur" sechsstelligen Preis, den Facebook bezahlt hat, da schon offizielle Ankaufspreise für wirklich neue Zero-Day-Exploits bis in den siebenstelligen Bereich reichen. Verkaufspreise einschlägiger Dienstleister sind dann natürlich noch höher.
Vergleich mit dem Bundestrojaner
In Deutschland ist die hier verwendete Form der Durchsuchung des vom Beschuldigten verwendeten PCs gesetzlich in § 100b StPO geregelt, der Volksmund spricht vom Bundestrojaner. Diese Ermittlungsmaßnahme ist in Deutschland nur nach gerichtlicher Zustimmung nach § 100e StPO zulässig.
In Deutschland ist der Einsatz des Bundestrojaners zudem an einen recht eng eingegrenzten Straftatenkatalog gebunden, der unter anderem räuberische Erpressung (also die Erpressung von Geld unter der Androhung einer Gefahr für Leib und Leben), die Erstellung von Kinderpornografie und Vergewaltigung umfasst. Wenn der Täter aber nicht Geld, sondern "nur" Bilder und Videos erpresst hat, alle Opfer 15 oder älter waren (was dann unter "Jugendpornografie" statt unter "Kinderpornografie" fällt) und kein Opfer zu Sex mit ihm genötigt hat, dann könnte es sein, dass der Täter haarscharf an der Anwendung des Bundestrojaners gegen ihn vorbeigeschrammt wäre. Allerdings ist es nicht unwahrscheinlich, dass der Gesetzgeber diese offensichtliche Gesetzeslücke füllt, sobald sie auffällt, und die Erpressung von intimen Fotos und Videos unter Androhung von Gefahr gegen Leib und Leben in die Liste des § 100b StPO aufnimmt.
In den USA gibt es ein dem Bundestrojaner vergleichbaren Datensammler namens CIPAV, dessen Existenz und Anwendung - anders als beim Bundestrojaner - bisher kaum in der Öffentlichkeit diskutiert wurde. CIPAV war wohl Vorbild für den Bundestrojaner und wird in den USA wohl vor allem vom FBI eingesetzt. Wahrscheinlich gibt es aber keinen Vektor, über den CIPAV das besonders gehärtete Tails-Linux infizieren kann. Hier kam dann Facebooks Hilfestellung.
Gibt es keine anderen Möglichkeiten?
Außer Frage steht, dass das Erpressen von Nacktbildern eine schändliche Tat ist und verfolgt gehört. Grundsätzlich haben die Polizeibehörden auch das Recht, zur Aufklärung solcher Taten die Computer der Täter zu hacken. Es bleibt aber dabei, dass die Nutzung der dazu erforderlichen Zero-Day-Exploits durch die Polizeibehörden fraglich ist. Denn dieselben Exploits können durch Industriespionage oder durch die Auskundschaftung persönlicher Details, die dann zur Erpressung verwendet werden, erheblichen Schaden anrichten.
Es ist davon auszugehen, dass dieselben "Sicherheitsunternehmen" die Zero-Day-Exploits für legitime Zwecke an die Polizei oder an Facebook verkaufen, diese auch illegitime Zwecke an andere verkaufen. Ebenso besteht immer die Gefahr, dass entsprechende Software, die zunächst für gute Zwecke bestimmt war, in dunkle Kanäle gerät und dann für böse Zwecke missbraucht wird.
Besser wäre daher, generell Sicherheitslücken öffentlich zu machen, statt sie für Ermittlungszwecke zu nutzen. Facebook hat den Exploit zwar gekauft, um seine Nutzerinnen und Nutzer vor einem Sex-Täter zu schützen. Sie haben dadurch aber den Handel mit ebensolchen Exploits befördert, was der öffentlichen Sicherheit aus den genannten Gründen abträglich ist.