Andreas Schmidt forscht am Department "Technologie, Politik und Management" der Technischen Universität Delft (Niederlande) zu Themen der Netzsicherheit und -politik. Gegenüber derStandard.at erläutert er die Zulässigkeit des Begriffs "Informationskrieg", die Einstellung in der Bevölkerung zu Hackern und die Folgen von Utöya.

derStandard.at: Der US-amerikanische Internet-Aktivist John Perry Barlow twitterte im vergangenen Dezember, dass wir uns seit den Cablegate-Depeschen von Wikileaks am Beginn des ersten Informationskrieges befinden. Schlägt Anonymous gerade die nächste Schlacht in diesem Krieg?

Andreas Schmidt: Es ist kein Krieg, es fehlen die Charakteristiken des Krieges, die Toten, die Verwüstungen. Krieg beinhaltet immer die Anwendung von organisierter Gewalt zwischen größeren Kollektiven. Was wir sehen, ist allerdings ein Konflikt darüber, wie die Vorteile der Informationstechnologie und des Internet verteilt werden. Es ist ein Konflikt darüber, wer welche Regeln im Internet setzen darf und ob und wie diese Regeln durchgesetzt werden, wer von diesen Regeln vorwiegend profitiert. Es ist auch ein Konflikt über die Rolle von Staatlichkeit und Zentralität von Macht. Idealtypisch betrachtet, stehen auf der einen Seite die Technolibertären und auf der anderen die Anhänger unbedingter staatlicher Souveränität über wichtige Kommunikationsinfrastrukturen. Was für den eigentlichen politischen Zündstoff sorgt, ist das Zusammenfallen von "klassischen" weltlichen Konflikten mit den großen Fragen der Internetpolitik wie Meinungsfreiheit, Privatheit und die Rechte an den eigenen Daten.

derStandard.at: Wenn wir bei diesen Auseinandersetzungen doch vom Arbeitsbegriff "Informationskrieg" oder "Cyberwar" ausgehen, wer wären hier analog zu bisherigen Kriegen die Generäle, die Taktik und Ziele vorgeben? Wie lassen sich die Fußsoldaten erkennen?

Schmidt: Fußsoldaten sind die, die nachher in den Gräben liegen. Zynismus beiseite. Bei Anonymous' Operation Payback waren es rechtsunkundige Teenies in Holland, die bald verhaftet wurden. Ähnlich in Estland 2007. Für einfache DDoS-Angriff brauchen sie keine Entscheidungshierarchien und komplexen Prozesse. Man trifft sich im IRC, stimmt über ein Ziel ab, legt die Zeit fest, jemand bastelt ein Skript oder ein Tool.

derStandard.at: Lässt sich das Vorgehen von Wikileaks mit jenem von Anonymous vergleichen?

Schmidt: Anonymous wählt ein völlig anderes Organisationsmodell als Wikileaks. Wikileaks folgt einem eher gewöhnlichen Organisationsmodell mit einer gewissen internen Hierarchisierung und Parzellierung, interner Geheimhaltung, bekannten Gesichtern für die Öffentlichkeitsarbeit. Im Konflikt mit mächtigeren Gegnern ist ein solches Modell leicht angreifbar, indem man wichtige Akteure etwa festsetzt oder umdreht. Anonymous dagegen ist keine feste Gruppe, Gang oder gar Organisation, sondern ein loses, verteiltes Netzwerk. Die Akteure bleiben auch untereinander anonym, es wird nicht personalisiert, die Kommunikation läuft öffentlich, es gibt keine Beitrittsbarrieren. Wie wir aus der Forschung zu Netzwerken und halbseidenen Organisationen oder Gangs wissen, hat auch dieses Modell seine Schwächen

derStandard.at: Wo liegen diese?

Schmidt: Die werden etwa dann sichtbar, wenn einzelne Anonyme dazu übergehen, öffentlich mit Pseudonymen hervorzutreten. Das erhöht die Chancen oder, je nach Sichtweise, die Gefahr der Identifizierung. Die extrem losen Verbindungen sind zum einen eine Stärke, weil sie die Resilienz, die Widerstandsfähigkeit, einer solchen Form der Zusammenarbeit erhöhen. Zugleich dürfte es schwierig sein, "Anonymous" als Marke gegen Verwendungen zu schützen, die von den bisherigen Anonymen nicht geteilt werden. Darunter dürften Außenwirkung und etwaige Sympathien leiden, was unter anderem die Fähigkeit zur Rekrutierung neuer Anonyma beeinträchtigen würde.

derStandard.at: Aktionen von Anonymous richten sich laut Eigenbeschreibung gegen "Regierungen, Banken und andere korrupte Institutionen, um Meinungs- und Pressefreiheit sowie Menschenrechte zu wahren." Vermuten Sie hinter den vermehrten Hacking-Angriffen der letzten Zeit noch andere Motive?

Schmidt: Die Motivation ergibt sich meist direkt aus den Aktionen. Sie sind häufig eine Reaktion auf Maßnahmen von Regierungen und Unternehmen, die darauf zielten, die Veröffentlichung und den Austausch von Informationen im Internet zu beschränken. Bei den technisch etwas anspruchsvolleren Aktionen von LulzSec oder AntiSec ging es häufig darum, die Schwachstellen bei einigen der Informationsfreiheit nicht immer wohlgesonnen Informations- und Sicherheitsanbietern aufzuzeigen. Man macht sich auf diese Weise über die IT-Sicherheits-Kompetenzen dieser Organisationen lustig und kratzt ein wenig an der Legitimität deren Handelns. Die Veröffentlichung privater Daten stößt natürlich auf Kritik, es ist illegal, es verstößt gegen die alten Hacker-Ethiken.

derStandard.at: Es scheint, als hätten die Aktivisten keine großen Probleme in ihrem Tun.

Schmidt: Dieses Bloßstellen weist auf ein grundlegendes Problem in IT-Organisationen hin: Lange Jahre galt die Devise "never change a running system"; heute müssen sie schon aus Sicherheitsgründen zeitnah jedes Update einspielen. Und gerade bei der Entwicklung von Anwendungen, die speziell für eine Organisation geschrieben werden, genießt Sicherheit häufig die geringste Priorität, zumal vor einigen Jahren als das Thema noch nicht ganz oben in den Medien war. In der IT-Sicherheitsszene weiß man seit Jahren, dass hier einiges im Argen liegt, dass aus Gründen der Sparsamkeit notwendige Erneuerungen unterbleiben.

derStandard.at: LulzSec benannte sich nach dem Netzterminus "Laughing Out Loud", Anonymous verwendet bei Defacements Ponys, Regenbögen und kitischige Midi-Sounds – sehen sich diese Gruppen aus ihrer Genese heraus als Spaßfraktionen und gleichzeitig als politische Gruppierungen?

Schmidt: Die historischen Wurzeln von Anonymous sind die Messageboards von 4chan, einer Website mit Foren zu verschiedenen Themen und teils sehr eigenen kulturellen Vorlieben. Dort wurden Memes wie Rick-Rolling und Lolcats popularisiert, bevor sie Internet-Mainstream wurden. Politisiert wurden diese Boards 2008, als Scientology Medienanbieter zwingen wollte, ein internes Scientology-Werbevideo mit einem befremdlich lobpreisenden Tom Cruise zu löschen. Die Church of Scientology (CoS) ist mit ihrer Propaganda und ihrem klagewütigen Vorgehen gegen Kritiker so was wie der natürliche Feind der freiheitsliebenden Geek-Kultur. Interessant war, dass man sich mit konventionellen Scientology-Kritikern verband und weltweite On- und Offline-Proteste gegen die CoS organisierte. Im Frühjahr 2010 kam dann Operation Titstorm, ein DDoS-Angriff gegen das australische Parlament, das ein Gesetz gegen bestimmte Formen von Pornografie zensieren wollte: solche, in denen Frauen mit flachen, kleinen Brüsten vorkommen. Dieselbe Protesttechnik, manuelle DDoS, wurde dann auch Ende 2010 gegen Mastercard und PayPal verwendet.

derStandard.at: Machen sich die Aktivisten mit ihren Angriffen tatsächlich Sympathien in der Bevölkerung? Geht deren Robin-Hood-Konzept – "Wir kämpfen im Namen der User gegen die Großen und Mächtigen" – auf, oder werden sie eher als Verbrecher wahrgenommen?

Schmidt: Diese Debatte zieht sich durch alle sozialen Bewegungen und Protestkulturen: Bedient man sich anerkannter, harmloser Protesttechniken oder möchte man hart am Rande der Legalität oder auch ein wenig darüber hinaus agieren? So etwas gab es auch in der Anti-Atom-Bewegung. Die Rechtmäßigkeit von Sitzblockaden wurde von einigen Opferbereiten über Jahre und mit großen persönlichen Entbehrungen gerichtlich durchgesetzt. Dass Aktionen etwa von Hackergruppen wie LulzSec oder AntiSec gegen bestehende Gesetze verstoßen, ist offenkundig.

Anonymous – und wohl auch LulzSec – hat sich häufig Gegner ausgesucht, die sich zuvor selbst so verhalten haben, dass das in Teilen der Öffentlichkeit als unschön bezeichnet wird. Mastercard und eBay haben ohne Gerichtsbeschluss Gelder eingefroren, die für eine gemeinnützige, in Deutschland sitzende Stiftung bestimmt waren. Der Sicherheitsdienstleister HB Gary hat für die Bank of America und das US-Justizministerium den Ratschlag erteilt, dass man versuchen sollte, die beruflichen Karrieren einiger Prominenter Anhänger von Wikileaks zu zerstören. Die Wahrnehmung und Bewertung dieser Aktionen in der Bevölkerung hängen natürlich vor allem von der Berichterstattung in den Nachrichtenmedien mit großer Reichweite ab.

derStandard.at: Könnte Anonymous eine etablierte politische Massenbewegung des 21. Jahrhunderts werden? Etwa analog zur Sozialdemokratie, deren Anliegen Anfang des letzten Jahrhunderts die Vertretung der vom Kapital ferngehaltenen Bevölkerungsmasse war? Wie plausibel ist die These, Anonymous würde die datenschutzrechtlich benachteiligten Massen dieses Jahrhunderts vertreten?

Schmidt: Noch scheinen mir die Techniken von Anonymous dafür ein wenig zu elaboriert. Sie sind weniger Massenbewegung, sondern allenfalls eine Avantgarde. Unklar ist, ob sie in die Sackgasse oder zu etwas Neuem führt. Massenbewegungen erfordern ein weithin ähnlich empfindendes Unrecht. Bei der einstigen Sozialdemokratie war es die als ungerecht empfundene Verteilung von Kapital und den daraus resultierenden Einkommens- und Machtverhältnissen. In der Anti-Atom-Bewegung war es die Bedrohung, die von einer Technologie mit einem extrem hohen Schadenspotential ausgeht. In der Umweltbewegung die Sozialisierung der Gefahren, die aus nicht-nachhaltiger Produktion entstehen. Einige Entwicklungen in der Internetpolitik lassen beim Betrachter das Gefühl aufkommen, dass die Vorteile von IT-Systemen asymmetrisch verteilt sind; dass das Datensammeln weiten Teilen der Bevölkerung nicht zum Vorteil gereichen wird; dass neue Technologien bislang nicht gekannte Eingriffe in Kommunikation erlauben und diese irgendwann gegen die Menschen verwendet werden.

derStandard.at: Die Aktivisten agieren oft unabhängig von Staatsgrenzen – sind nationalstaatliche Konzepte hier überhaupt noch praktikabel?

Schmidt: China ist offenbar ganz erfolgreich damit, den Protest gegen Freiheitsbeschränkungen und für Transparenz auszuschalten. Wenn man ein offeneres Internet bevorzugt, dann kommt man ohne internationale Kooperation nicht umhin. Da läuft sehr viel und die Dinge sind im Fluss. Es gibt eine zunehmende Zusammenarbeit zwischen Strafverfolgungsbehörden, Internetsicherheitsdienstleister, Sicherheitssoftwareproduzenten, internationalen Organisationen, um gegen Internetkriminalität vorzugehen.

derStandard.at: Wie wahrscheinlich erachten Sie es, dass Hackergruppen irgendwann aus den reinen Netzaktivitäten heraussteigen und gewalttätigen Widerstand leisten werden? Oder läuft das einem Nur-Online-Konzept zuwider?

Schmidt: Aussagen über die Wahrscheinlichkeiten einer Vermengung mit gewalttätigen oder gar terroristischen Formen des Widerstands sind Spekulation. Denkbar ist alles. In der Phantasie kann man aggressives Hacking mit allen möglichen Formen und Zielen von Organisationen zusammenbringen, mit legalen oder illegalen, mit fremden Großmächten oder schlecht erzogenen Mobs, mit Sorge um die Armen und Entrechteten oder mit kriminellem Gewinnstreben. Offen ist, wie wahrscheinlich welches Szenario ist und welche Rolle aggressives Hacking darin spielen kann.

derStandard.at: Nils Minkmar bezeichnete Anders Behring Breivik in der FAS überspitzt als "ersten Open-Source-Naziterroristen 2.0". Der Attentäter legte Spuren im Netz, veröffentlichte ein aus Internetquellen gebasteltes Manifest nach den Regeln der Remix- oder Mashup-Kultur. Ihn als "Cyberkrieger" zu bezeichnen wäre für Sie unangebracht?

Schmidt: Es waren kleine Bleikugeln in Hochgeschwindigkeit, die die Leiber der Kinder und Jugendlichen auf der Insel Utöya durchlöcherten – keine digitalen Nullen und Einsen.

derStandard.at: Nach der Tat wurden zwar nicht in Norwegen, dafür aber in Deutschland und Österreich Stimmen laut, netzrelevante Gesetze zu verschärfen. Können Terroranschläge durch die lückenlose Überwachung unseres Online-Verhaltens verhindert werden?

Schmidt: In Norwegen würde es möglicherweise als Verhöhnung der Opfer aufgefasst, ein trauriges Ereignis als Anlass für politische Forderungen zu nehmen, deren Umsetzung das Ereignis gar nicht hätte verhindern können. In Deutschland fällt ein Sack Kartoffeln um und Sie können sicher sein, dass jemand Vorratsdatenspeicherung, Zensur oder sonst was fordert, um so etwas künftig zu verhindern. Vieles in der Internetsicherheitspolitik ist Symbolpolitik. (Michael Matzenberger, derStandard.at 7.10.2011)