Eine Million Kundendaten wurden aus der Datenbank von Sony gestohlen (1). Im April war es zunächst das Hackerkollektiv Anonymous, das DDoS-Angriffe gegen das Unternehmen durchführte, um gegen die justizielle Verfolgung von Crackern zu protestieren, die den Kopierschutz der Playstation 3 geknackt haben sollen (2).
 

Jetzt taucht ein neuer Name auf: LulzSec. Diese Gruppe ist erstmals in diesem Jahr in Erscheinung getreten und bislang ist unbekannt, wer sich hinter dem Namen verbirgt (3). Der Spiegel widmet ihr eigene Fotostrecken (4) und ein nettes Schaubild, das den Angriff gegen das Firmennetz von Sony verbildlicht (5).

Schlag auf Schlag folgten weitere Angriffe (6). Christian Stöcker spricht völlig zu Recht davon, dass hier strategisch operierende Angreifer zu Gange <seien>, die Geduld haben, jede Menge Zeit und offenbar ausreichende Ressourcen, um Sicherheitssysteme nach Schwachstellen abzusuchen (7). Sie passen nicht in das Bild vom lustigen Hacker, der doch nur spielen will. Jedenfalls was die Angriffe gegen RSA (8) und Lockheed-Martin (9) betrifft, vermutet Stöcker Profis am Werk, Fachleute für IT-Sicherheit, die methodisch und organisiert vorgehen, um bestimmte Informationen in ihren Besitz zu bringen. Bezahlte, womöglich festangestellte Cyber-Kriminelle, vielleicht im Dienste eines ausländischen Geheimdienstes (10).
 

 
Tatsächlich ist es geboten, nicht einfach nur von Hackern zu sprechen. Davon gibt es viele und ganz verschiedene (11). Ihnen ist gemeinsam, dass sie tiefe technische Kenntnisse haben und bereit und in der Lage sind, diese auch praktisch anzuwenden.

	Die, die an anderer Stelle als "gute" oder "weiße" Hacker bezeichnet werden, nenne ich wegen ihrer universitären Herkunft die akademischen Hacker. Sie suchen nach technischen Schwachstellen sowie anderen Schwächen in der IT-Organisation und entwickeln sogar Lösungen, um mehr Sicherheit zu schaffen. Sie verursachen keine böswilligen Schäden, allenfalls unbedachte Flurschäden, streben nicht nach persönlicher Bereicherung, sondern mehr nach Anerkennung, Geltung und Bewunderung.
	Aus materieller Not, zynischem Gewinnstreben oder sozialer Entwurzelung sind die kriminellen Hacker entstanden. Sie agieren in der Underground Economy, liefern Malware und das technische Knowhow für Botnetze, veranstalten DDoS-Angriffe oder drohen damit, um Geld zu erpressen, und dringen in fremde IT-Systeme ein, um Informationen zu stehlen, die sich zu Geld machen lassen. Für sie gilt die Aussage von Balduan aus dem Jahr 2008: Keiner hackt mehr heute zum Spaß, das ist knallhartes Business geworden (12).
	Nicht minder begabt und häufig nicht weniger skrupellos sind die IT-Söldner, die die Hacking-Methoden zum gewerblichen Einsatz verfeinern und einsetzen, sich dazu lautere Ziele auf die Fahnen schreiben und in der offenen Wirtschaft ihr Geld verdienen. Sie kommen erst nach und nach in das Gesichtsfeld der Öffentlichkeit (13). HB Gary Federal, das französische Unternehmen Vupen (14) und die jüngsten Angriffsziele von LulzSec (15) liefern die Beispiele für die gewerblichen Söldner, die "gutes" Geld verdienen.
	Weniger aus Spaß als aus Überzeugung handeln die Hacktivisten. Sie widmen sich dem Defacement, also dem Verschandeln gegenerischer Webseiten, führen DDoS-Angriffe durch und stehlen Daten. Auch sie unterscheiden sich nach ihren Motiven und Zielen.
	Noch wenig in Erscheinung getreten sind IT-Terroristen. Sie verfolgen politische Ziele und sind häufig von politischen oder religiösen Heilsvorstellungen geprägt, skrupellos und unbarmherzig.
	Viele Ähnlichkeiten mit den IT-Söldnern und -Terroristen dürften die regimetreuen Handlanger aufweisen. Sie übernehmen Auftragsarbeiten, bei denen die politischen Hinterleute im Dunkeln bleiben, und erlangen Anerkennung und wahrscheinlich auch Einkommen. Sie lassen sich im Zusammenhang mit DDoS-Angriffen in den GUS-Staaten und im Zusammenhang mit Spionageangriffen aus China erwarten.
	Anonymous und LulzSec stehen eher in der Tradition der Spaß-Guerilla. Sie scheinen keinen politischen Programmen, aber individuellen, mehr moralischen Politikvorstellungen von Gut und Böse zu folgen. Auch wenn ihre Programmatik spontaneistisch und unprofessionell wirken mag, so sind das ihre Handlungen keineswegs (16), wie die Angriffe gegen Sony und HB Gary Federal anschaulich bewiesen haben.

 
Wie sind die Aktivisten bei LulzSec einzuschätzen? Nehmen es da tatsächlich gerade ein paar Halbstarke mit dem FBI auf? Ist das eine neue Form von "apolitischem" Terrorismus? Vandalismus? Wie soll man das überhaupt nennen? wurde ich unlängst gefragt (16a).

Der Chaos Computer Club - - und der Cult of the Dead Cow (17) liefern Beispiele dafür, dass aus der akademischen Hackerkultur immer wieder mutige - aber auch tollkühne - Aktivitäten entstanden sind, die an die Sponti-Aktionen aus den 70er und 80er Jahren des letzten Jahrhunderts erinnern. Sie richten sich gegen das Establishment, die politischen Eliten und staatlichen und wirtschaftlichen Einrichtungen, die als Unterdrückungswerkzeuge verstanden werden. Besonders Anonymous zeigt dabei Rückgrat und Zielgenauigkeit, LulzSec eher Unverfrorenheit und dreisten, aber auch unbedachten Mut. Beide Gruppen zeigen spontaneistische Züge und tiefes professionelles Wissen.

Ihre Politik ist libertär, aber nicht streng programmatisch und keineswegs unpolitisch. Sie leisten systematischen Vandalismus, also keinen Vandalismus im klassischen Sinne. Ihre Destruktion ist präzise und deshalb nicht mit dem klassischen Terrorismus vergleichbar.

Sie sind moralisch selbstlegitimierte Hacktivisten in der Tradition der Spontibewegung. Aus dieser sind inzwischen anerkannte politische Parteien entstanden. Dabei dürfte der Begriff "Tradition" falsch gewählt sein. Vermutlich hat die neue Bewegung keine politische Erinnerung, die dreißig oder mehr Jahre zurückreicht, sondern ein selbstgestricktes, libertäres, frisches und jedenfalls von Selbstzweifeln freies Schwarz-Weiß-Bild von Gut und Böse.

Solche politischen Vorstellungen sind nicht ungefährlich, weil sie meistens wenig Reflexion und Selbstkritik verheißen. Ihre Ziele lassen sich jedoch nachvollziehen, eine sachliche Diskussion dürfte möglich sein und die gewählten Mittel könnten wohl diskutiert werden. Gegenüber den Gefahren, die von skrupellosen Kriminellen, Terroristen, Söldnern oder herrschaftlichen Dienern drohen, dürften die Gefahren, die von Sponti-Hackern ausgehen, eher gering sein.
 

 
Man mag es mir nachsehen: Soweit ich die Jugendkulturen der letzten 25 Jahre mitbekommen habe, wirkten sie auf mich stark ich-bezogen, unprogrammatisch und letztlich unpolitisch in dem Sinne, dass sie keine gesellschaftlichen Perspektiven vermittelten. Auch der Rückzug ins private oder klein-kollektive Schneckenhaus ist sicherlich "politisch". Er ist aber der Rückzug in eine Nische und keine weltverbesserische Mission.

Bei allen Vorbehalten bin ich nicht unglücklich über die Sponti-Hacker. Die von ihnen verursachten Kollateralschäden halten sich bislang in Grenzen und ihre Aktionen fordern von der Zivilgesellschaft klare Bekenntnisse und Ausrichtungen, um mit der neuen Gegenkultur umzugehen. Sie übernehmen Verantwortung und fordern Beachtung. Besonders deutlich ist das im Zusammenhang mit den DDoS-Angriffen von Anonymous gegen Amazon und die Banken geworden, die den Hostspeicher für WikiLeaks und die Konten für Assange gesperrt hatten. Die Gegenkultur aus der Zivilgesellschaft hat ihnen demonstriert, dass sie eigene Normen durchzusetzen bereit ist. Das selbstgerechte Lavieren und obrigkeitliche Buckeln der New Economy hat jedenfalls von Anonymous einen herben Stich versetzt bekommen.

Der Sponti-Hacktivismus liefert der Zivilgesellschaft eine Chance zu Neuorientierung und Rückbesinnung auf gesellschaftliche Verantwortung. Seine Akteure kommen nicht von außen, sondern sie sind Teil der existierenden Gesellschaften. Gleichzeitig sind sie Profis im technischen Sinne und sendungswillige Eiferer, die für ihre moralischen Vorstellungen einstehen - jedenfalls solange wie es darum geht, sich für sie einzusetzen. Sie werden sicherlich nicht reuemütig zu Kreuze kriechen, wenn es ihnen persönlich an den Kragen geht.

Staaten, Gesellschaften und Wirtschaft werden sich der Herausforderung stellen müssen. Ich glaube, das wird ihnen deshalb guttun, weil erstmals wieder eine moralische, ganz und gar unwirtschaftliche Dimension in die politische Debatte kommt. Man muss sie nicht uneingeschränkt teilen, aber anerkennen, dass wirtschaftlicher Wachstum, die Sicherung von Pfründen und Gewinn nicht alleinentscheidend sind.
 

 
Böse! Böse! Der Cyberfahnder bekundet Sympathie für kriminelle Handlungen?

Nein! DDoS, Hacking und Datenklau sind Straftaten, die ich nicht kleinreden werde und nicht kleinreden will. Wenn es um politische Prozesse geht, dann ist aber auch eine gewisse Gelassenheit gefordert. Bei der Diskussion um den Hacktivismus geht es bislang nicht um Menschenopfer, Brandstiftung oder ganz schwere wirtschaftliche Schäden (die durch Prävention hätten begrenzt werden können). Es geht um eine selbstprovozierte Pleite (HB Gary Federal) und Rücktritte von Politikern (diplomatische Depeschen der USA auf WikiLeaks), fragwürdige staatliche Überwachungsmaßnahmen in den USA, die Unterstützung von Volksbewegungen in Nordafrika und dem Nahen Osten und wirtschaftliche Muskelspiele im Zusammenhang mit gewerblichen Schutzrechten. Den Nachweis der großartigen Gefährdung von Menschen durch WikiLeaks ist die US-Regierung bislang schuldig geblieben. Mit Verlaub: Die Entrüstung erinnert an das hohle Säbelgerassel zur Begründung des zweiten Irak-Krieges. Die seinerzeit präsentierten Beweise haben sich ganz überwiegend als übertrieben oder schlichte Lügen erwiesen.

Anonymous und LulzSec müssen Grenzen gesetzt werden. Das geht aber nicht, indem der große Knüppel geschwungen wird, weil ihr moralischer Appell nicht von vornherein falsch ist. Ihre Aktivisten werden ihre gerechte Strafe bekommen müssen. Sie sind nur ein bisschen Helden nach Art von Robin Hood, in erster Linie aber Straftäter, die wissen, dass sie gegen Normen verstoßen und deswegen bestraft werden können, wenn sie erwischt werden.

Die Diskussionen und Auseinandersetzungen um Kernkraft und Umweltschutz vor 30 Jahren sind zunächst fast wirkungslos an der etablierten Gesellschaft vorbei gegangen. Das hat die Grünen nicht aufhalten und die Piratenpartei nicht verhindern können. Beide sind nicht meine politischen Heimaten. Dennoch wünsche ich mir, dass die Signale des spontaneistischen Hacktivismus ankommen: Mehr Demokratie wagen (Willy Brandt) und wirtschaftliche und gesellschaftliche Interessen in Waage halten. Das ist etwas in Vergessenheit geraten.
 

(1) Erica Ogg, Anita Klingler, Sony Pictures bestätigt Angriff des Hackerkollektivs LulzSec, zdnet 06.06.2011

(2) Botnetze und Hacktivismus, 08.04.2011

(3) Susanne Kirchhoff, Erneuter Sony-Hack: Noch mehr Nutzerdaten veröffentlicht, mobil.teltarif.de 03.06.2011

(4) Ole Reißmann, Hacker lieben Sony, spiegel.de 03.06.2011;
Sony: So kamen Hacker an Kundendaten; Website-Angriff: LulzSec verhöhnt Sony.

(5) Intrusion route to the system, spiegel.de 03.06.2011

(6) Hacker dringen in US-Sicherheitskreise vor, spiegel.de 06.06.2011;
LulzSec hackt FBI-Liaison und Sicherheitsunternehmen, Heise online 04.06.2011.
15.06.2011 LulzSec hackt Website des US-Senats, Heise online 14.06.2011
16.06.2011 LulzSec legt sich mit der CIA an, Heise online 16.06.2011

(7) Christian Stöcker, Auf dem Schlachtfeld der Cyber-Krieger, spiegel.de 09.06.2011

(8) RSA-Hack, 08.04.2011

(9) Datendiebe greifen US-Rüstungskonzern an, spiegel.de 28.05.2011

(10) Ebenda (7).

(11) Eskalationen. Mangelnde Entrüstung, 19.02.2011

(12) Botnetz-Software und -Betreiber, 13.07.2008;
Gordon Bolduan, Digitaler Untergrund, Technology Review 4/2008, S. 26 ff.

(13) IT-Söldner im Kampfeinsatz, 15.02.2011

(14) Luigi, das kostet Dich etwas! 14.02.2011

(15) LulzSec hackt FBI-Liaison und Sicherheitsunternehmen, Heise online 04.06.2011

(16) Beides spiegelt sich in dieser Meldung wider: US-Sender wegen WikiLeaks-Bericht gehackt, Heise online 31.05.2011.

(16a) Wegen der Quelle habe ich mich zunächst geirrt. Weitere Informationen:
Felix Knoke, Was will LulzSec? orf.at 16.06.2011

(17) Eine kurze Geschichte der Cybercrime, 03.11.2010