Dem FBI beim Hacken geholfen Facebooks teure Jagd auf den "schlimmsten kriminellen" Nutzer

Jahrelang hatte ein Mann auf Facebook junge Mädchen erpresst und bedroht. Seine Spuren verwischte er mit einem speziellen Betriebssystem. Dann ließ Facebook einen Hack entwickeln. Darf das Unternehmen so Polizei spielen?
Wie weit darf Facebook gehen, um Kindesmissbrauch auf seiner Plattform zu stoppen?

Wie weit darf Facebook gehen, um Kindesmissbrauch auf seiner Plattform zu stoppen?

Foto: Julian Stratenschulte/ picture alliance/dpa

Tails ist der Name eines Betriebssystems, das schon Edward Snowden verwendete , um sich zu tarnen. Es lässt sich auf einem USB-Stick installieren und von dort starten - und es verwischt die Spuren der Nutzer. Auf dem Computer bleibt, wenn der USB-Stick abgezogen wurde, nichts zurück. Und auch nach außen anonymisiert Tails nach Kräften: Zum Beispiel werden alle Internetverbindungen über das Tor-Netzwerk geleitet, wodurch auch der Betreiber einer aufgerufenen Website nicht erkennen kann, welcher Computer da gerade zugreift.

Buster H. hat Tails benutzt, um sich auf Facebook mutmaßlich jahrelang an Dutzende junge Mädchen heranzumachen, sie zu belästigen, Nacktfotos von ihnen zu erpressen und ihnen mit Vergewaltigung und Mord an ihnen und ihren Familien und Schulklassen zu drohen. Einem Mädchen schrieb er 2015 Gerichtsdokumenten zufolge beispielsweise: "Ich werde deine Klasse abschlachten und dich bis zum Ende aufsparen. Dann werde ich mich über dich beugen, wenn du schreist und weinst und um Gnade bettelst, und deine Scheißkehle von Ohr zu Ohr aufschlitzen." Einige Facebook-Mitarbeiter hielten ihn für den schlimmsten Kriminellen, der je ihre Plattform benutzt hat. So beschreibt es ein Artikel von "Vice" .

Ehemalige Mitarbeiter sagten demnach, die Taten von H. seien so extrem gewesen, dass sich das Unternehmen in die Ecke gedrängt sah - und zum Handeln verpflichtet. Was folgte, war eine beispiellose, nach Facebooks offiziellen Angaben einmalige Aktion, die von Erfolg gekrönt war, aber doch komplizierte Fragen aufwirft.

Zunächst setzte Facebook einen Mitarbeiter darauf an, H. auf der Plattform zu verfolgen. Es gelang ihm zwar, verschiedene pseudonyme Accounts ausfindig zu machen, über die H. seine Opfer kontaktierte. Aber selbst mit Hilfe des FBI gelang es zunächst nicht, H. zu enttarnen. Deshalb beauftragte Facebook eine externe IT-Sicherheitsfirma, einen sogenannten Exploit zu entwickeln, der auf Tails zugeschnitten ist. Die Firma lieferte, für eine sechsstellige Summe. Ihr Code war in der Lage, eine bis dahin öffentlich und auch den Entwicklern von Tails nicht bekannte Sicherheitslücke im Betriebssystem auszunutzen, die dessen Anonymisierungsfunktionen aushebelt. Zero-day-Exploit wird so etwas genannt.

Ein Exploit ist eine Schadsoftware, die eine Sicherheitslücke ausnutzt. Ist diese Sicherheitslücke dem betroffenen Hersteller nicht bekannt, spricht man von einem Zero-Day-Exploit: Der Hersteller hat null Tage Zeit, eine Abwehrmaßnahme zu entwickeln, bevor ein Angriff Erfolg hat.

Die Schwachstelle selbst wird dementsprechend als Zero-Day bezeichnet. Alternative Schreibweise: 0day.

Diesen Exploit ließ Facebook dann über Dritte dem FBI zukommen. Laut "Vice" ist unklar, ob das FBI wusste, woher der Exploit stammt. Aber die Behörde nahm ihn dankend an. Mit Hilfe eines Opfers schob sie H. die Schadsoftware unter: Er hatte Nacktaufnahmen von dem Mädchen verlangt, und sie schickte ihm eine präparierte Videodatei, in der sich der Exploit verbarg, an eine Dropbox-Adresse. Als H. das Video öffnete, nutzte der Schadcode die unbekannte Sicherheitslücke aus und offenbarte dem FBI seine wahre IP-Adresse. So steht es in Gerichtsdokumenten . Über die IP-Adresse gelang es den Ermittlern letztlich, H. auf die Spur zu kommen. 2017 wurde er verhaftet. Im September soll das Urteil verkündet werden .

Möglicherweise rechtlich, sicherlich aber ethisch ist Facebooks Vorgehen diskussionswürdig. Dass Strafverfolger einen Zero-Day-Exploit entwickeln oder kaufen, um Verdächtige zu hacken, ist insbesondere in den USA nichts Neues. Aber dass ein privates Unternehmen einen Exploit in Auftrag gibt und bezahlt, und damit Polizeiarbeit übernimmt, ist mindestens heikel. Man könnte argumentieren, dass das nicht Facebooks Aufgabe sei. Als zum Beispiel in Deutschland die Einführung des Netzwerkdurchsetzungsgesetzes (NetzDG) debattiert wurde, argumentierten Juristen, Plattformen wie Facebook sollten nicht zur Hilfspolizei gemacht werden.

Facebook warnte die Tails-Entwickler nicht vor

Hinzu kommt, dass Facebook und die beauftragte IT-Sicherheitsfirma die Entwickler von Tails nicht vorgewarnt haben. Das bedeutet erstens, die Tails-Entwickler wussten nichts von der Schwachstelle in ihrer Software. Jeder andere, der sie bis dahin gefunden hat, hätte sie ausnutzen können. Tails wird von Journalisten, Dissidenten und anderen gefährdeten Personen verwendet, es ist deshalb von höchstem Interesse für die Entwickler, dass das Betriebssystem so sicher wie möglich bleibt.

Zweitens hat Facebook den Exploit dem FBI überlassen. Die Behörde hätte damit also jeden Tails-Nutzer enttarnen können - was Facebook klar gewesen sein muss und in Kauf genommen wurde. Das war es Facebook wert. Eine Sprecherin teilte dazu mit: "Der einzige für uns akzeptable Ausgang war, dass Buster H. für seinen Missbrauch junger Mädchen zur Rechenschaft gezogen wird."

Laut "Vice" war die Entscheidung intern nicht unumstritten. Erleichtert worden sei sie durch die Tatsache, dass ein Update für Tails bevorgestanden habe, mit dem die Sicherheitslücke geschlossen wurde, wenn auch unbeabsichtigt. Gemeint ist vermutlich, dass Facebook in einer Betaversion von Tails einen veränderten Code erkannt hat, mit dem der Exploit nicht mehr funktionieren würde. Mit der fertigen Version wäre die Lücke dann für alle, die ihr Tails aktuell halten, aus der Welt geschafft, der Exploit hatte sozusagen ein absehbares Verfallsdatum. Andernfalls, berichtet "Vice", habe Facebook vorgehabt, die Entwickler zumindest nach Abschluss der FBI-Aktion gegen H. zu warnen.

Internetdienste unter politischem Druck

Facebook hat den Exploit extern in Auftrag gegeben, weil man bei den Strafverfolgungsbehörden keine Erwartungshaltung wecken wollte, so etwas sei eine Facebook-eigene Spezialität. Die Aktion war einmalig, das ist die Botschaft von Facebook.

Aber öffentlich wird der Vorgang nun in einer Zeit, in der Facebook und andere Plattformbetreiber in den USA und auch in Deutschland von der Politik gedrängt werden, verstärkt gegen Kindesmissbrauch vorzugehen. Der US-Senat hat mit dem EARN IT Act  einen Gesetzentwurf auf den Weg gebracht, der den Unternehmen offen mit dem Entzug ihrer Haftungsbefreiung droht, sollten sie Strafverfolgern nicht mehr bei den Ermittlungen gegen Sexualstraftäter helfen als bisher - auch durch das Aushebeln der eigenen Sicherheitsmaßnahmen wie Verschlüsselung.

Facebook hat zwar keinen echten Präzedenzfall geschaffen, weil es ja nicht zugelassen hat, dass die eigenen Sicherheitsvorkehrungen ausgehebelt werden, sondern die von Tails. Dennoch dürfte der Fall als Beispiel herangezogen werden, wenn es darum geht, wie viel Polizeiarbeit die Internetdienste in Zukunft übernehmen sollen. Der Ansatz ist zumindest sehr viel handfester als das, was Facebook, Google, Twitter und andere Tech-Unternehmen am Donnerstag vorstellten: einen mehrstufigen Plan gegen Kindesmissbrauch , der unter anderem aus Investitionen in Erkennungstechnik, verbesserter Koordination, Geld für unabhängige Forschung und regelmäßigen Fortschrittsberichten besteht.