bedeckt München 21°

IT-Sicherheit:Warum die US-Justiz einen mutmaßlichen Pädophilen laufen lässt

FBI nimmt 16 US-Hacker fest - Weitere Festnahmen in Europa

Ermittler des FBI spielten Schadsoftware auf den Rechner des Angeklagten.

(Foto: picture alliance / dpa)
  • Das US-Justizministerium hat eine Anklage gegen einen mutmaßlichen Pädophilen fallengelassen.
  • Die Regierung will wohl jene Software schützen, mit der das FBI den Angeklagten enttarnte.
  • Dieser operierte im Darknet. Das FBI ermittelte seine IP-Adresse per Hacking-Angriff.

Von Jannis Brühl und Hakan Tanriverdi

Jay M. muss vorerst nicht ins Gefängnis, obwohl er mehr als hundert Stunden auf einer Kinderporno-Seite verbracht haben soll. Der Mann aus dem US-Bundesstaat Washington soll Bilder, die Kindesmissbrauch zeigen, im Darknet heruntergeladen haben. Das ist jener Teil des Internets, der nur mit einem speziellen Browser und anonym anzusurfen ist.

Jetzt gab das US-Gericht bekannt, dass die Klage fallen gelassen wurde. Der Fall führt offenbar nicht nur in die Abgründe der Sexualität, sondern auch in die Untiefen der Ermittlungsmethoden. Er zeigt, wie die Polizei selbst zum Hacker geworden ist und im Netz mit den gleichen digitalen Waffen unterwegs ist wie ihre Gegner.

Das Justizministerium will offenbar seine geheime Software schützen

Dass das Justizministerium jetzt seine Anklage fallen lässt, hat wohl seinen Grund: Das Justizministerium will die geheime Software schützen, mit der das FBI Jay M. enttarnte, während er 2015 auf der Seite Playpen surfte, auf der Kinderpornos getauscht wurden. Der Richter hatte die Regierung aufgefordert, den Programmcode offenzulegen. Lässt das Ministerium lieber einen mutmaßlichen Pädophilen laufen, als öffentlich darüber zu sprechen, wie genau die US-Behörde einen Verdächtigen im Internet schnappt?

Zugang zu Webseiten im Darknet erhalten Internetnutzer über das Tor-Netzwerk. Zu dem gehört ein Web-Browser, der es Nutzern ermöglicht, online anonym unterwegs zu sein. Die Verbindung zwischen Rechner und Webseite wird über Umwege geleitet: Webseiten-Betreiber wissen damit nie, aus welcher Region ihre Gäste kommen.

FBI nutzt Schadsoftware bereits seit 2002

Um an die tatsächliche IP-Adresse und damit die Identität der Verdächtigen zu gelangen, die etwa eine Kinderporno-Seite besuchen, muss das FBI die Rechner der Nutzer also direkt angreifen. Zu diesem Zweck setzt das FBI seit 2002 Schadsoftware ein, die Schwachstellen in Rechnern ausnutzt. Diese Schwachstellen erlauben es Angreifern, Befehle auf den Rechnern ihrer Opfer auszuführen.

Auf diese Art übernahm das FBI 2015 auch die Kontrolle über die Playpen-Seite, sie hätte also die Seite abschalten können. Man entschied sich dagegen, so konnte 13 Tage lang weiter Kinderpornografie verbreitet werden. Zudem hat das Gericht festgestellt, dass das FBI die Seite auch noch als "watering hole" genutzt hat: So nennen Fachleute einen Hacker-Angriff, bei dem eine Webseite infiziert wird, die bestimmte Nutzer immer wieder aufsuchen - wie Tiere eine Wasserstelle in der Steppe.

Wer Playpen ansurfte, dessen Rechner wurde mit Schadsoftware infiziert. So konnten Ermittler die Nutzer der Seite identifizieren. Bis heute ist nicht bekannt, welche Schwachstelle sie dafür ausgenutzt haben. Denn die Regierung stufte den Programmcode als geheim ein, um ihn vor den Blicken kritischer Juristen zu schützen.

"US-Regierung trägt indirekt zu IT-Unsicherheit bei"

Ein "riesiges Problem" nennt Sven Herpig die Offensive der Ermittler. Herpig arbeitet für den Thinktank "Stiftung Neue Verantwortung" und beschäftigt sich mit staatlichen Hackerangriffen. "Das FBI hat Tausende Rechner angegriffen, ohne zu wissen, in welchen Ländern sich die Nutzer befinden."

Damit könnten die US-Ermittler gegen die Gesetze dieser Länder verstoßen haben. Zeitweise sollen 8000 Computer in 120 Ländern den US-Ermittlern durch die Lücke offengestanden haben. Ein riesiges Ausmaß an staatlicher Überwachung. Staatliches Hacking geschieht unter Ausschluss der Öffentlichkeit. Die mehr als hundert Verfahren gegen mutmaßliche Pädophile aus den Playpen-Ermittlungen sind nur die Spitze des Eisbergs.

Herpig arbeitete früher für das Bundesamt für Sicherheit in der Informationstechnik (BSI). Er findet es problematisch, dass Behörden wie das FBI Sicherheitslücken für sich behalten. "Diese Lücken werden zum Beispiel auch von Kriminellen genutzt. Somit trägt die US-Regierung indirekt zur IT-Unsicherheit bei." Die Schwachstellen könnten zum Beispiel auch von Kriminellen oder ausländischen Hackern ausgenutzt werden. Die US-Behörde argumentiert jedoch, die Ermittler würden die Technologie mit Augenmaß einsetzen. Herpig hingegen sagt: "Regierungen haben Angst davor, Sicherheitslücken preiszugeben, die sie selbst nutzen können."

Bürgerrechte würden oft in Verfahren gegen Pädophile erkämpft, sagt ein Aktivist

Auch Ulf Buermeyer, Vorsitzender der Bürgerrechtsorganisation Gesellschaft für Freiheitsrechte, sagt: "Das eigentliche Problem ist, dass geheime Ermittlungsmethoden eingesetzt werden, die sich rechtsstaatlich nicht kontrollieren lassen." Das FBI hatte die Methode bereits eingesetzt, ohne zu wissen, ob sie legal war - mittlerweile wurde ein entsprechendes Gesetz erlassen. In Deutschland existiert das Problem ebenfalls: "Auch hier wurde mit Trojanern experimentiert, ohne dass es dafür eine Rechtsgrundlage gab", sagt Buermeyer.

Die brisante FBI-Operation führte schon zu ungewöhnlichen Allianzen. Christopher Soghoian, bis Ende 2016 Technologie-Experte der Bürgerrechtsorganisation ACLU, ließ sich im Prozess gegen Jay M. als Fach-Zeuge für die Verteidigung einspannen - aber nicht aus Sympathie für einen mutmaßlichen Pädophilen. Ihm ging es darum, dass er in dieser Rolle nicht-öffentliche Regierungsdokumente und den geheimen Code der Software einsehen durfte, erzählte er Ende Dezember auf dem Kongress des Chaos Computer Clubs in Hamburg.

Bürgerrechte würden oft in Verfahren gegen Dealer oder Pädophile erkämpft: "Wartet man, bis die Regierung die Gesetze gegen Journalisten und Freiheitskämpfer einsetzt, ist die Rechtsprechung dazu schon fertig." Und zwar nicht im Sinne der Freiheit.

© SZ vom 07.03.2017/sih

Lesen Sie mehr zum Thema

Zur SZ-Startseite