Liebe Leserïnnen,

die Gesellschaft hat ein konkretes Bild von Hackerïnnen: Sinistre Kellerkinder, die in fremde Computer eindringen, um dort Daten zu verschlüsseln und Lösegeld für die Entschlüsselung zu verlangen. Oder wenigstens Daten zu entwenden und an den nächstbesten Geheimdienst zu verticken. Auf jeden Fall kriminell.

Nur Hackerïnnen haben ein anderes Bild von Hackerïnnen. Da geht es um den Spaß am Gerät, die Freude am Verstehen von Systemen und am kreativen Zweckentfremden. Abgesehen von der Frage, inwiefern ein Selbstbild immer auch ein Zerrbild ist, ist es glaubich einigermaßen sicher anzunehmen, dass das Selbstbild der Hackerïnnen eher der Realität entspricht als das Fremdbild. Hackerïnnen haben sich eine eigene „Ethik (Öffnet in neuem Fenster)“ gegeben und nehmen in Deutschland über den Chaos Computer Club positiv Einfluss auf die Gesellschaft.

Das Negativbild der Hackerïn ist so tief eingegraben, dass böse Hackerïnnen medial einfach nur "Hackerïnnen" genannt werden, während die guten Hackerïnnen das Attribut "ethische Hackerïnnen" erhalten. Wenn solche ethischen Hackerïnnen auf IT-ferne Menschen, die alle Hackerïnnen für kriminell halten, treffen, ist der Hackerïnnencultureclash programmiert.

Folgendermaßen:

Lilith Wittmann ist IT-Sicherheitsexpertin und im CCC engagiert. In ihrer Freizeit sucht sie also ehrenamtlich nach Sicherheitslücken in Computersystemen. Tüftlerïnnen macht so etwas Spaß und am Ende hat das Ganze einen guten Zweck, nämlich wenn gefundene Sicherheitslücken nach Bekanntwerden geschlossen werden. Hierfür hat sich international ein bestimmtes Vorgehen unter der Bezeichnung "Responsible Disclosure" eingebürgert. Hackerïnnen veröffentlichen Sicherheitslücken nicht einfach, sondern melden diese an die betreffenden Unternehmen. Die haben in der Regel drei Monate Zeit, um die Lücken zu schließen. Ist die Lücke geschlossen oder läuft die Zeit ab, werden die Details veröffentlicht, nicht selten von der betroffenen Firma selbst. Manche Firmen zahlen als Dank für die gefundene Lücke sogar ein Honorar. Völlig ahnungslose Firmen fühlen sich angegriffen und verklagen die Hackerïnnen.

Völlig ahnungslos in diesem Sinne ist die Christlich-Demokratische Union Deutschlands. Die benutzt für ihren Wahlkampf eine App mit dem Namen „CDU connect“. Darin geben Wahlkampfhelfende an, wie sie die Partei am besten unterstützen können, etwa durch Bereitschaft zum Plakatehängen oder auch Social-Media-Kenntnisse. Wer im Wahlkampf von Tür zu Tür geht, kann in der App Punkte sammeln. Das ist ein Bisschen lustig, weil die CDU unter anderem damit wirbt, in der Pandemie „digitalen Wahlkampf“ machen zu können, aber das Ermuntern an viele Haustüren zu Klopfen weder besonders digital ist noch dabei hilft, in der Pandemie Kontakte zu reduzieren. Eher im Gegenteil. Ob die CDU hier ahnungslos oder zynisch oder beides ist, ist nicht ganz klar aber Nebensache.

Die Hauptsache ist, dass die oben genannte Lilith Wittmann sich die CDU-App einmal näher angesehen hat. Und dabei auf Sicherheitslücken stieß. Und diese Sicherheitslücken mustergültig der CDU meldete. Der Kontakt muss eher unangenehm verlaufen sein: Die CDU bot ihr einen Vertrag über eine Beratungstätigkeit an, was Lilith Wittmann ablehnte. Das ist üblich, damit Sicherheitsforschende nicht von den Firmen beeinflusst werden, deren Systeme sie untersuchen. Oft enthalten solche Verträge auch Schweigeklauseln, die eine Veröffentlichung unter Responsible Disclosure unmöglich machen, allerdings ist nicht überliefert, ob das Vertragsangebot der CDU eine solche Schweigeklausel enthielt. Offenbar ist aber Lilith Wittmann gedroht worden, dass die Angelegenheit rechtliche Konsequenzen haben würde, wenn sie das Angebot ausschlägt.

Sie schlug es aus und es hatte rechtliche Konsequenzen.

Lilith Wittmann erhielt Post vom zuständigen LKA, dass ein Strafantrag gegen sie vorliege, den sie öffentlich machte. Als ein Imageschaden drohte, ruderte der Bundesgeschäftsführer der CDU schnell zurück.

Das Problem an der Entschuldigung: Wenn Lilith Wittmann wirklich ein Vertragsangebot erhielt und ihr rechtliche Konsequenzen angedroht wurden, dann hat Hennewigs Entschuldigung keine Glaubwürdigkeit. Und die polizeiliche Ermittlung ist mit so einer Entschuldigung auch nicht aus der Welt. Die Polizei muss nämlich in einer Strafsache ermitteln, wenn eine Straftat vorzuliegen scheint und sie Kenntnis davon erlangt – unabhänig davon, ob jemand die Straftat anzeigt oder nicht anzeigt oder eine Anzeige zurückzieht. Ein Verfahren wird nicht einfach so eingestellt, solange die Polizei sich nicht ein Bild gemacht hat.

Entschuldigung hin oder her: Lilith Wittmann halt also erst einmal Ärger mit den Ermittlungsbehörden und muss Geld sammeln, um einen Anwalt bezahlen zu können (Öffnet in neuem Fenster). Der Chaos Computer Club gibt eine Pressemitteilung heraus, wonach er unter diesen Umständen leider keine Sicherheitslücken mehr an die CDU melden (Öffnet in neuem Fenster) wolle. Menschen, die die CDU im Großen und Ganzen für unfähig, zynisch oder beides halten, haben einen weiteren Beleg für ihre Annahme gefunden. Menschen, die an das Gute in der CDU glauben, aber Hackerïnnen grundsätzlich für böse und kriminell halten, werden in der Affaire einen Angriff auf die CDU sehen. Und letztere werden ersteren natürlich nicht glauben, egal was diese erzählen.

Wo es eine Hackerïnnenkultur gibt, gibt es eben irgendwann auch einen Hackerïnnencultureclash.

Ach so: Die Datenschutzbeauftragte des Landes Berlin hat ein Prüfverfahren gegen die CDU eingeleitet (Öffnet in neuem Fenster), weil jene durch den Betrieb der unsicheren "CDU connect"-App schlampig mit personenbezogenen Daten umgegangen sei. Am Ende eines solchen Verfahrens kann ein Bußgeld für die Partei stehen. To be continued.

Und damit, liebe Leserïnnen, wünsche ich ein schönes Restwochenende.

Enno Park

P.S. in eigener Sache: Wer diesen Newsletter oder meinen sonstigen Output auf Twitter (Öffnet in neuem Fenster) und anderswo (Öffnet in neuem Fenster) hilfreich oder unterhaltsam findet und meine Arbeit gerne unterstützen möchte, kann das hier tun (Öffnet in neuem Fenster). Als Dankeschön erhältst du zusätzlich zum kostenlosen Newsletter "Technik, Kultur und Katzencontent" noch regelmäßig eine sorgfältig ausgewählte und kommentierte Zusammenstellung aktueller Links zu Beiträgen in Technikkultur, Digitalität, Netzpolitik und angrenzenden Themen. Und ganz nebenbei unterstützt du mich bei meiner Arbeit. Ich danke herzlich!