Hacker: Gefährliches Spiel am Rande der Legalität

Kevin Finisterre gibt zu, dass er als Hacker gerne an den ethischen Grenzen arbeitet, die die Guten von den Bösen trennen. Er hatte jedoch keine Ahnung, dass die Aktivitäten seiner Firma eine Klageandrohung nach sich ziehen könnten.

Diesen Sommer teilte der Berater im Namen seiner Sicherheitsfirma Secure Network Operations dem Unternehmen HP mit, dass dessen Betriebssystem Tru64 beinahe 20 Sicherheitslücken aufwies. Dann machte jedoch Ende Juli, als HP die Fehlerkorrektur beinahe abgeschlossen hatte, ein anderer Mitarbeiter von Finisterre eine der Schwachstellen öffentlich bekannt und teilte mit, wie diese auszunutzen sei. Dies veranlasste den Technologieriesen gemäß dem Digital Millennium Copyright Act (DMCA) mit einer Klage zu drohen.

Finisterre, der nicht durch HP beauftragt war, sagt nun, dass er es sich zukünftig zweimal überlegen werde, bevor er ein anderes Unternehmen über ein von ihm entdecktes Sicherheitsrisiko informiere.

Was ist ein Hacker? Im weitesten Sinne ist ein „Hacker“ jemand, der Spaß daran hat, Zugriff auf technologische, bürokratische oder soziologische Systeme zu erlangen und diese zu manipulieren. Meist wird der Begriff für Personen verwendet, die sich ihr technisches Wissen durch das Zerlegen von Systemen erworben haben. In den letzten zehn Jahren wurde der Begriff jedoch immer mehr zu einem Synonym für Personen, die ein praktisches Interesse an Computersicherheit und dem Umgehen von Sicherheitsvorkehrungen haben.

„Die Rechtslage wird immer komplexer, und man muss sich entscheiden, auf welcher Seite des Gesetzes man stehen will – bei den White Hats oder den Black Hats“, so der 22-jährige Berater. In den vergangenen Monaten waren Hacker aus allen Bereichen gezwungen, ihr Vorgehen angesichts der Bestimmungen des DMCA, verstärkter Strafverfolgung und genauerer Prüfungen durch die Unternehmen zu überdenken.

Hier stehen sich zwei Extreme gegenüber: auf der einen Seite die Sicherheitsexperten der Unternehmen, die zu den Guten gehören, da sie sich streng an Bestimmungen halten und meist die Meinung vertreten, dass Software-Schwächen nur der Herstellerfirma oder vertrauenswürdigen Dritten mitgeteilt werden dürfen. Auf der anderen Seite stehen die Bösen, deren einziges Interesse darin besteht, Zugriff auf ein System zu erlangen und Sicherheitsvorkehrungen zu umgehen.

Zwischen allen Stühlen stehen die Gray Hats, denen ihr bislang akzeptiertes Tun, wie beispielsweise die Öffentlichkeit über Sicherheitslücken von Unternehmen zu unterrichten, nun einen Aufenthalt im Gefängnis bescheren kann.

Sogar das Weiße Haus hat sich in die Debatte eingemischt. Zwar bestätigt das von Präsident Bush eingesetzte Team für Cybersicherheit die Notwendigkeit der Fehleraufdeckung durch Dritte, es vertritt jedoch die Meinung, dass allgemein strengere ethische Maßstäbe angewandt werden müssen.