von Martin Schmetz
Cybersecurity wird zunehmend als Herausforderung wahrgenommen und Leaks sind ein nicht unerheblicher Teil davon. Begegnet wird diesem Problem aber oftmals in Wildwest-Manier: Jeder ist sich selbst der nächste, allgemein verbindliche Regelungen werden nicht angestrebt. Verschiedene staatliche und nicht-staatliche Akteure nutzen dabei die ihnen zur Verfügung stehenden Mittel konsequent aus und überschreiten dabei mal mehr, mal weniger rechtliche Grenzen.
Die USA sind und waren von den WikiLeaks-Veröffentlichungen am stärksten betroffen. Dementsprechend harsch fielen die Reaktionen der Obama-Administration aus: Sprecher Julian Assange wurde als Terrorist und Verräter gebrandmarkt, Geldflüsse an WikiLeaks über westliche Finanzinstitutionen wurden teilweise gestoppt, das Netzwerk der Unterstützer wurde ausgekundschaftet. Aber mit welchen Mitteln genau widmete man sich dieser Herausforderung?
In der International Strategy for Cyberspace gibt sich die US-amerikanische Regierung (noch) versöhnlich. Der Cyberspace wird dort zwar bereits als Sicherheitsproblem definiert, aber man betont den Bedarf an internationaler Zusammenarbeit und verweist auf zivile Stakeholder.
Von Wikileaks öffentlich gemachte Dokumente und Botschaftsdepeschen legen allerdings nahe, dass die USA tatsächlich wenig Interesse an einer internationalen Verregelung von Offensivpotenzial im Netz hat:
Das Vorgehen gegen Bedrohungen im Netz soll also nicht Gegenstand von Einschränkungen sein, man möchte sich eine möglichst große Bandbreite an Offensivoptionen offen halten. Und unter diesen Vorzeichen kann man auch das Vorgehen gegen WikiLeaks durch verschiedene Parteien sehen:
So identifizierte bereits 2008 ein Report der US-Army WikiLeaks als Problem. Hier werden auch mögliche Reaktionen aufgezählt, vom direkten Vorgehen gegen die Leaker bis zum physischen Zugriff auf die WikiLeaks-Internet-Server, etwa durch die Kooperation mit ausländischen Geheimdiensten oder lokal zuständigen Strafverfolgungsbehörden.
Das Vorgehen gegen die Leaker selbst – sowohl die interne Ermittlung als auch das Schaffen von Abschreckungsstrukturen in der US-Verwaltung um Leaking selbst zu verhindern – scheint in den USA hingegen weiter zu gedeihen. Die Logik scheint zu sein: Säht man genügend Zweifel über die Authentizität der Dokumente und erhöht die Angst beim Leaker, erwischt zu werden, minimiert man die Gefahr weiterer Leaks.
Auch private Akteure gehen gegen WikiLeaks vor, im prominenten Fall der Bank of America auch deutlich aggressiv – oder versuchen dies jedenfalls. Im Falle der Bank of America wurden die Dokumente geleakt bevor die Pläne umgesetzt werden konnten. Die Bank beauftragte drei Unternehmen (HBGary, Berico und Palantir), gemeinsam Strategien zur Unterwanderung oder gar Zerstörung der WikiLeaks-Plattform zu entwickeln. Diese Strategien reichten dabei von der Verbreitung von Desinformationen, der publizistischen Attacke prominenter Unterstützer in den Medien über das Überwachen von Mitarbeitern in sozialen Netzwerken, bis hin zu Cyberattacken auf die Infrastruktur und individuelle Personen. Dies deckt sich zumindest teilweise mit dem staatlichen Vorgehen: Überwachung der Mitarbeiter und das Anfertigen detaillierter Profile wird in beiden Fällen angestrebt. Während die staatlichen Pläne aber vor allem auf physische Zugriffe durch Strafverfolgungsbehörden abzielen und Cyberangriffe wenn überhaupt nur implizit erwähnen, werden Cyberangriffe bei den nichtstaatlichen Akteuren ganz klar als mögliches Werkzeug erwähnt. Rechtliche Bedenken diesbezüglich tauchen nur am Rand auf: In einigen der geleakten Mails wird die Rechtsabteilung konsultiert, allerdings scheint dies keine weiteren Konsequenzen nach sich zu ziehen.
Leaking wird zunehmend als ein erstzunehmendes Problem wahrgenommen, gegen das staatliche und auch nichtstaatliche Akteure vorgehen wollen. Eingeschränkt werden wollen sie in ihrem Vorgehen aber nicht, jedenfalls nicht mehr, als sie es momentan sowieso schon sind. Ein zivilgesellschaftlicher Akteur wie WikiLeaks wird so zum Feind staatlicher und nicht-staatlicher Stellen. Zur Verteidigung der Informationshoheit scheint beiden Akteursgruppen die Selbsthilfe das Mittel der Wahl, um die Kontrolle über die eigenen Informationen sicherzustellen, auch gegenüber den eigenen Mitarbeitern. Eine Zusammenarbeit mit Akteuren außerhalb der Sicherheitsorgane oder –firmen, um den Phänomen Leaking oder Cybersecurity zu begegnen, wird dabei offensichtlich nicht angestrebt.
Nicht nur hat das Leaking von vertraulichen Dokumenten und Informationen und wie die betroffenen Akteure darauf reagieren weitreichende Implikationen für jeden demokratischen Rechtsstaat, sondern fördert eine Selbstermächtigung der Betroffenen. Sollte sich dieses Verhalten als akzeptabel durchsetzen, so können wir uns tatsächlich auf den Wilden Westen im Netz freuen. Beim High Noon Duell gewinnt bekanntlich derjenige mit der größeren Pistole oder den schnelleren Reaktion . Und irgendwo ist im Netz immer High Noon
Ich denke es sollte klarer unterschieden werden zwischen Whistleblower Leaks und gehackten Leaks – letzteres ist digitaler Diebstahl und wie du es schön dargestellt hast, Waffe gegen unliebsame Gegner. Whistleblower hingegen wollen eher auf Missstände hinweisen, in der Hoffnung, sie dadurch beseitigen zu können.
Aber ich frage mich.. hat WikiLeaks jemals einen Leak gehackt?
WikiLeaks (bzw. damit assoziierte Personen) selbst hat meines Wissens nie selbst Leaks gehackt. Ich bin mir nicht mal sicher, ob WikiLeaks jemals etwas veröffentlicht hat, was durch einen Hack an die Öffentlichkeit kam. Spontan fiele mir jedenfalls nichts ein, allerdings ist der Katalog von WikiLeaks auch sehr umfangreich.
Was die Unterscheidung zwischen Hacks und Whistleblowing angeht: Ich stimme zu, dass eine derartige Unterscheidung Sinn macht. Betrachtet man aber die anschließende Diskussion um die Daten (und zwar nicht normativ), bin ich mir nicht so sicher – wenn in der Diskussion die Herkunft selbst keine entscheidende Rolle spielt, wäre die Herkunft in der Betrachtung auch eher unwichtig.
Dennoch verwundert es doch sehr: In der Podiumsdiskussion wurde eindeutig Leaking als “schlecht” und Whistleblowing als “gut” dargestellt. Bei WikiLeaks wurde kaum nach der Legitimität einzelner Leaks gefragt: entweder die Plattform an sich war eine Gefahr, oder eine neue Institution für transparentere Politik. Warum gab es diese grundlegende Diskussion eigentlich erst bei WikiLeaks und nicht bspw schon bei Cryptome?