Heute wird's geradezu fernöstlich. Ich habe in der letzten Woche mal wieder zu wenig geschlafen und mich zu tief in ein Code-Problem versenkt. Eigentlich war es kein richtiges Code-Problem, sondern mehr ein Weiterbildungsproblem. Jedenfalls bin ich zwischen man-pages, Google-Suchen und bash-Fehlermeldungen halb wahnsinnig geworden.

Einige werden das Gefühl vielleicht kennen: Man sitzt schon viel zu lange an einem Problem, kommt seit Ewigkeiten nicht voran und vermutet sogar selbst schon, dass man sich im Kreis dreht und es eigentlich nur schlimmer macht. Aber da ist so ein Schaben auf der Innenseite der Stirn, das einen zwingt, immer weiter und weiter zu machen.

Mit dem typisch verbohrten zugehörigen Gesichtsausdruck kroch ich also fast in den Monitor, als 0tt0 reinkam. Er sah sofort, dass ich auf einem sinnlosen Sisyphos-Trip eingerastet war und zenmeisterte ungefragt los: "Wenn du zu nah dran bist, kannst du das Gesamtbild nicht mehr sehen. Du musst den einen Schritt zurück machen, der der größte Schritt nach vorne ist."

Vor einigen Wochen hat der Bundesgerichtshof darüber geurteilt, ob der Betreiber eines WLANs für Urheberrechtsverletzungen haftbar gemacht werden kann, die über sein Funknetz begangen wurden, obwohl er behauptet, nicht selbst schuldig zu sein. Ergebnis: Der Betreiber kann auf Unterlassung in Anspruch genommen werden, nicht aber auf Schadensersatz. Zu diesem Urteil gibt es jetzt auch eine Begründung, aus der endlich höchstrichterlich gestützte Maximen zum Betrieb eines sicheren WLANs ergeben.

Erstens: Der Betreiber eines WLANs muss zunächst beweisen, dass nicht er selbst verantwortlich ist für die Gesetzesübertretung. Im konkreten Fall war der Beklagte zum fraglichen Zeitpunkt im Urlaub und sein Rechner stand in einem abgeschlossenen Büroraum. Es scheint also – zumindest für das technische Verständnis der Richter – erwiesen zu sein, dass er selbst nicht derjenige war, der über eMule Musikstücke zur Verbreitung angeboten hat. Dass es beispielsweise über eine VNC-Verbindung durchaus möglich ist, den eigenen Rechner vom Urlaubsort aus zu steuern, tat im verhandelten Fall nichts zur Sache.

Zweitens: Das fragliche WLAN muss zumindest soweit gesichert sein, wie es zum Zeitpunkt des Kaufs des WLAN-Routers üblich war. Im abgeurteilten Fall hieß das, dass die verwendete WPA-Verschlüsselung als hinreichend eingestuft wurde. Die Verwendung einer WPA2-Verschlüsselung wurde nicht für erforderlich gehalten. Dass aus technischer Sicht eine WPA-Schutz praktisch ebenso schwer zu brechen ist wie der WPA2-Nachfolger, wurde nicht relevant.

Drittens: Der Betreiber eines WLANs muss ein eigenes, ausreichend komplexes Passwort für sein Funknetz verwenden. Die im Router eingestellten Vorgaben dürfen nicht übernommen werden, wenn eine Haftung für fremde, rechtswidrige Nutzung des WLANs ausgeschlossen werden soll. Vor allem, weil das Vergeben eines eigenen Passwortes keine Kosten für den Betreiber verursacht, halten die Bundesrichter diese Sicherungsmaßnahme für zumutbar.

Aus diesen drei Punkten ergeben sich für den abmahnsicheren Betrieb eines WLANs drei Voraussetzungen:

• Die Verwendung eines eigenen, sicheren Passworts.
• Die Aktivierung der modernsten Verschlüsselung, zu der der eigene WLAN-Router im Stande ist: Wenn möglich, WPA2, sonst WPA und nur bei Routern, die nichts anderes können, WEP.
• Ein Alibi.

Die Punkte eins und zwei dürfte für jeden auch nur minimal versierten PC-Nutzer keine Hürde darstellen. Sie sollte im Gegenteil selbstverständlich sein. Punkt drei allerdings öffnet den Abmahnanwälten Tür und Tor. Nur wenige Szenarien sind denkbar, die es glaubhaft machen, dass man seinen Rechner zu einer bestimmten Zeit nicht selbst bedient hat. Der im BGH-Fall vorgetragene Urlaub ist eins davon. Danach wird es aber schon schwierig. Nur, wenn der eigene PC mit einem Passwort gesichert ist und niemand sonst ein Nutzerkonto auf ihm hat, kann man beispielsweise die eigene Berufstätigkeit als Alibi anführen. Wird dann eine Rechtsverletzung vorgeworfen, die in die eigene Arbeitszeit fällt, kann man einigermaßen glaubwürdig machen, nicht selbst der Täter gewesen zu sein.

Die Crux an der Sache liegt darin, dass der Betreiber des WLANs im Zweifel nachweisen muss, zu einer bestimmten Zeit nicht an seinem Rechner gewesen sein zu können. Gelingt ihm das nicht, wird angenommen, dass er der Übeltäter ist. Ärgerlicherweise ist dieser Beweis aber kaum zu führen. Selbst ein Routerprotokoll hat hier nur begrenzte Aussagekraft: Wenn überhaupt ein Log geführt wird, speichern die Geräte WLAN-Zugriffe meist anhand der MAC-Adresse des anfragenden Rechners und die lässt sich leicht fälschen. Ein versierter Angreifer könnte mühelos die MAC-Adresse des PCs des rechtmäßigen WLAN-Eigners duplizieren und würde damit jeden Verdacht auf ihn zurück lenken. Und für den Fall, dass der Router anhand von IP-Adressen Zugriffe speichert, macht der nebenher laufende DHCP-Server eine eindeutige Zuordnung auch unmöglich. Das Routerprotokoll nützt also nur in Fällen, in denen sich der Angreifer durch seine eigene, nicht verschleierte MAC-Adresse eindeutig als Fremder verrät.

Anders, als der eine oder andere Raubkopierer vielleicht gehofft hatte, erleichtert der BGH das illegale Filesharing also nicht. Die Ausrede "Ich habe ein WLAN, was weiß ich, wer sich da reingehackt hat." bringt auch in Zukunft keine Punkte. Wer nicht nachweisen kann, dass jemand anders sein WLAN gekapert hat, wird auch in Zukunft nach dem Prinzip "Anschlussinhaber haftet" zur Verantwortung gezogen werden. Und da dieser Nachweis – gelinde gesagt – schwierig ist, wird es wohl auch weiterhin gelegentlich Unschuldige treffen.

Diese Geschichte hat alles, was eine BILD-fähige Hackerstory braucht: Einen fiesen Computerkriminellen, unschuldige Mädchen, die rücksichtslos erpresst werden und, am wichtigsten: Sex. Die Rede ist von der Verhaftung von Luis Mijangos, den das FBI am 22. Juni in Kalifornien festgenommen hat. Ihm wird vorgeworfen, über 100 Computer gehackt zu haben auf der Jagd nach intimen Privatfotos und -videos.

Mijangos hat die Rechner seiner Opfer über Filesharing-Netzwerke infiziert und sie dann nach unanständigem Bildmaterial durchforstet. Insbesondere auf junge Frauen hatte er es abgesehen. Wenn er auf deren Rechnern Nacktbilder gefunden hat, lud er sie sich herunter und begann sein Erpressungsschema: Er präsentierte dem Opfer einige seine Funde und drohte, sie öffentlich zu machen, wenn nicht weitere Schmudddelbildchen für ihn angefertigt werden würden. Dem FBI-Bericht zufolge ist Mijanogs in vielen Fällen mit seiner Erpressungsmethode erfolgreich gewesen und hat sich wohl eine beachtliche Amateurporno-Sammlung zusammengegaunert. Deswegen steht er jetzt vor Gericht und sieht einer möglichen Haftstrafe von zwei Jahren entgegen.

Ich kann mir vorstellen, dass diese Geschichte eine ziemliche Delle ins Liebesleben so mancher Fernbeziehung machen könnte. Denn wenn Susie Soziologiestudentin aus Schwerin befürchten muss, dass die unanständigen Skype-Videosessions mit ihrem Freund Paul Pädagogikbachelor in Paderborn von einem bösen Hacker mitgeschnitten werden, nur weil sie sich über eMule Lenas "Satellite" aufs papagesponsorte Mac-Book geladen hat, wird sie wohl die Enthaltsamkeit vorziehen. Armer Paul.

Eine der gängigen Definitionen dafür, was ein Hacker ist, lautet: Jemand, der Dinge auseinander baut, um zu sehen wie sie funktionieren. Um sie dann – vielleicht etwas modifiziert – wieder zusammen zu bauen. Wenn diese Definition stimmt, ist LEGO das ultimative Spielzeug für Junior-Hacker. Bei einer wohlsortierten LEGO-Sammlung gehen auseinander- und zusammenbauen fließend ineinander über. Obendrein sind viele Hacker Waffennarren, nicht unbedingt wegen der ganzen Gewaltgeschichte, sondern weil Schusswaffen oft Maschinen von faszinierender Eleganz und Effizienz sind.

Und nachdem ich diese Einleitung so rabiat an den Haaren herbeigezogen habe, folgt nun das Ziel meiner etwas holprigen Hackerhinführung: Das G36 aus LEGO. Sein Erbauer Jack Streat hat es in verschiedensten Varianten konstruiert und das Beste ist: Es schießt sogar.