Wie eine Fehde in einem Teleskopforum mit einer Gefängnisstrafe endete

Als das FBI im August 2016 bei David Goodyear vor der Tür stand, begannen sie, ihn über Teleskope auszufragen. Der 42-jährige IT-Spezialist und begeisterte Sternengucker hatte ein Astronomieforum namens „Cloudy Nights“ besucht. Nun hatte jemand das Forum mit einem Denial-of-Service-Angriff offline genommen, und die Beweise wiesen auf Goodyear hin.

Goodyear schwor zunächst seine Unschuld, aber nach immer gezielteren Befragungen gestand er. Eines seiner Konten sei vor ein paar Wochen gesperrt worden, sagte er. In einem plötzlichen Anfall von Wut habe er die Website mit Pornografie bespammt und dann die Adresse auf einer Website namens HackForums.net gepostet, um jemanden zu bitten, sie anzugreifen. „Ich habe mich gefragt, warum zum Teufel ich gesperrt wurde. Ich war einfach nur sauer“, erzählte er seinen Besuchern – einem vom Federal Bureau of Investigation und einem anderen vom Los Angeles Police Department. „

Seine Besucher schienen über das Forendrama leicht amüsiert zu sein, und er plauderte mit ihnen über seine 100.000-Dollar-Teleskopsammlung, bevor sie gingen. Doch ein Jahr später wurde Goodyear verhaftet. Im Dezember 2018 wurde er wegen Verstoßes gegen den Computer Fraud and Abuse Act zu mehr als zwei Jahren Gefängnis verurteilt.

Es ist eine Strafe, von der selbst Goodyears Opfer nicht wollen, dass er sie absitzt. Ein einziger Forenbeitrag reichte aus, um einen vorübergehend verheerenden Angriff auf ein kleines Unternehmen zu starten, während die Bundesgesetze für Computerkriminalität bedeuten, dass derselbe Beitrag nun lebensverändernde Folgen haben kann.

Distributed Denial of Service (DDoS)-Angriffe gehören zu den einfachsten Cyberangriffen: Sie überschwemmen eine Website mit riesigen Mengen an Datenverkehr, bis sie keine Seiten mehr für echte Benutzer bereitstellen kann. In großem Maßstab können diese Angriffe unglaublich störend sein. Der Mirai-DDoS-Angriff von 2016 legte große Teile des Internets lahm, indem er unsichere intelligente Geräte entführte, um eine Armee von Bots zu schaffen. Auch in kleinerem Maßstab können sie echten Schaden anrichten – wie die Anfrage von Goodyear bei den Betreibern des Cloudy Nights-Forums.

Cloudy Nights wird von Astronomics betrieben, einem in Oklahoma ansässigen Unternehmen, das Teleskope und andere astronomische Geräte verkauft. Der stellvertretende Vorsitzende Michael Bieler schätzt, dass das Forum rund 115.000 registrierte Benutzer hat, die Ratschläge, Weltraumfotos und Meinungen über Teleskope austauschen. Bieler beschreibt Cloudy Night im Allgemeinen als „eine nette, friedliche Ecke des Internets“, in der die Moderatoren in den über 15 Jahren ihres Bestehens weniger als ein Dutzend lebenslanger Sperren ausgesprochen haben. Politik ist verboten, außer in einem Forum, in dem Gesetze zur Lichtverschmutzung diskutiert werden.

Am 13. August postete jemand namens HawaiiAPUser einen Screenshot eines fehlgeschlagenen Anmeldeversuchs, der darauf hinwies, dass er unter einem anderen Namen gesperrt worden war. Darunter befand sich eine Reihe von sexuellen Beleidigungen und Pornolinks. „Mods und Admins können mich nicht aufhalten“, schrieb der Benutzer. „Ich denke, ich werde mit meinen Kontakten sprechen und diese Seite sowie A55stronomics einfach D0S machen“, eine offensichtliche Anspielung auf eine Denial-of-Service-Attacke.

Am nächsten Tag begannen Cloudy Nights und Astronomics‘ Website mit Datenverkehr überlastet zu werden, was die Foren unzuverlässig machte und Astronomics.com fast vollständig offline hielt. „Wir sind nur ein kleines Familienunternehmen, und er hat uns praktisch zwei Wochen lang lahmgelegt“, sagt Bieler gegenüber The Verge. „Ich hatte null Einkommen.

Als der Angriff weiterging, rief Bieler die örtliche Polizei und einen Anwalt an, der ihm riet, das FBI zu kontaktieren. „Ich dachte: ‚Die werden mich auslachen, wenn ich ihnen sage, dass jemand in einem Forum wütend geworden ist und beschlossen hat, meine Website abzuschalten'“, sagt er heute. Damals war es ihm aber todernst. Bieler erzählte der Agentur, dass er befürchtete, sein Unternehmen würde in Konkurs gehen, wenn die Angriffe andauerten, und dass sein Vater – der Gründer des Unternehmens – wegen des Stresses mit Herzproblemen ins Krankenhaus eingeliefert worden war. „Es bringt ihn buchstäblich um“, schrieb er in einer E-Mail.

Die Moderatoren von Cloudy Nights hatten inzwischen eine gute Vorstellung davon, wer hinter dem Angriff steckte. Goodyear war bis 2013 ein regelmäßiger Besucher, als er wegen – wie er es ausdrückte – „Anpöbeleien“ gegenüber den Moderatoren gesperrt wurde. (Gerichtsdokumente zeichnen ein noch düstereres Bild, denn es heißt, dass er einen von ihnen mit einer Drohbotschaft zum Kampf aufforderte). Seitdem hat er mehrere weitere Konten erstellt, die von den Moderatoren immer wieder gesperrt wurden. Der Screenshot von HawaiiAPUser hatte einen Zeitstempel, also wurde überprüft, welche Konten zu diesem Zeitpunkt aktiv waren und ob sich andere Personen von derselben IP-Adresse aus angemeldet hatten. Goodyears alte Konten tauchten auf.

Am 31. August besuchten das FBI und das LAPD das Haus von Goodyear in El Segundo, Kalifornien. Goodyear zeigte sich verwundert darüber, warum sie gekommen waren, und behauptete, er stecke nicht hinter der Post. „Ich habe meine Hände in Unschuld gewaschen“, sagte er und deutete an, dass ein Angestellter oder ein Hacker sein Netzwerk benutzt haben könnte.

Die Agenten drohten damit, Durchsuchungsbefehle zu beantragen. „Das FBI weiß, was es tut“, warnte einer bedrohlich. „Wir haben Osama bin Laden erwischt, richtig? Wir können auch jemanden erwischen, der einen DDoS ausführt.“

Das Argument überzeugte Goodyear offenbar. „Ich habe den Mist über die Angriffe auf sie gepostet. Ich habe auch in einem Hackerforum gepostet: ‚Hey, könnt ihr diese Seite ausschalten?'“, gab er zu. „Ich denke, das ging vielleicht weiter, als es hätte sein sollen. Er betonte jedoch, dass er keine Erfahrung mit dem Hacken habe und niemanden für den Angriff bezahlt habe. Auf die Frage, ob er die Angriffe stoppen könne, sagte er, er wisse es nicht gut genug.“

Es ist nicht ganz klar, wie die DDoS-Kampagne endete. Einem Screenshot von Goodyears HackForums.net-Konto vom September 2016 zufolge hat er sich – zumindest unter seinem ursprünglichen Benutzernamen – am 29. August das letzte Mal angemeldet. Der letzte erfolgreiche DDoS-Versuch fand am 30. August statt, einen Tag bevor Goodyear mit dem FBI sprach. Möglicherweise haben die Angreifer danach freiwillig aufgehört, oder sie wurden durch die neuen Verteidigungsmaßnahmen von Astronomics in die Enge getrieben, da Bieler einen Cybersecurity-Experten zu Hilfe genommen hatte.

In einer Pressemitteilung betonte das Justizministerium „die Bedeutung der Abschreckung von ausgeklügelten Cyberverbrechen, die schwer zu verfolgen und daher besonders wichtig zu bestrafen sind.“ Aber die Art und Weise, wie Goodyear sein Verbrechen beschrieb, war geradezu lächerlich einfach. In seiner FBI-Befragung sagte er, er habe bei Google nach Möglichkeiten gesucht, sich an Cloudy Night zu rächen. „Ich habe nach anderen Möglichkeiten gesucht, um zu sehen, ob ich sie ausschalten kann, ob ich mich hacken kann… ein Botnet oder so etwas bekommen kann. Er fand HackForums.net, sagte „scheiß drauf“ und meldete sich an.

So oder so, ein Geschworenengericht befand Goodyear für verantwortlich wegen „vorsätzlicher Beschädigung eines geschützten Computers“. Ein Richter verurteilte ihn zu einer Geldstrafe von 2.500 Dollar, 27.352 Dollar Rückerstattung und 26 Monaten Gefängnis.

Bieler hatte angenommen, der Fall sei abgeschlossen, bis das FBI Goodyear ein Jahr später verhaftete und Bieler vor Gericht zitierte. Er war schockiert, als er von der Länge des Strafmaßes erfuhr. Er habe nie gewollt, dass Goodyear überhaupt inhaftiert werde, schon gar nicht für zwei Jahre. „Ehrlich gesagt, finde ich es extrem, was passiert ist“, sagt er. „Wir haben in unserem Brief eigentlich darum gebeten, dass er nicht ins Gefängnis kommt. Wir wollten nur, dass er aufhört, unsere Website anzugreifen.“

Das 34 Jahre alte Gesetz gegen Computerbetrug und -missbrauch (Computer Fraud and Abuse Act, CFAA), das der Tech-Politikexperte Tim Wu als „das schlimmste Gesetz der Technik“ bezeichnet hat, ist aus vielen Gründen umstritten. Einer der häufigsten ist die strenge Strafzumessung.

Die Richter legen bei der Festsetzung von Gefängnisstrafen eine Spanne zugrunde, die in der Rubrik „United States Sentencing Guideline“ definiert ist, die eine Zahl für die Schwere eines Verbrechens berechnet. Das CFAA macht es ungewöhnlich einfach, diese Zahl aufzublähen. Staatsanwälte können die geschätzten Kosten eines Hacks mit locker verbundenen Ausgaben in die Höhe treiben oder sie herunterspielen, wenn ein Angeklagter kooperiert. Sie können zusätzliche Strafen für den Einsatz „ausgeklügelter Mittel“ und „besonderer Fähigkeiten“ verhängen, selbst für relativ einfache Handlungen wie das Ausführen eines Skripts.

„Das ist meiner Meinung nach eine unverhältnismäßig hohe Strafe“, sagt Anwalt Tor Ekeland über Goodyears 26-monatige Haftstrafe. „Leider ist das ziemlich typisch.“ Ekeland hat Persönlichkeiten wie den Sicherheitsforscher Justin Shafer und den Journalisten Matthew Keys in Fällen von Cyberkriminalität vertreten und ist einer der schärfsten Kritiker des CFAA. Seiner Meinung nach gibt es keinen eindeutigen rechtlichen Rahmen für die Verurteilung von Personen wegen DDoS-Angriffen, da das Verbrechen noch relativ neu ist. Er ist jedoch der Meinung, dass Staatsanwälte selbst eindeutig schwache Fälle oft vor Gericht bringen, weil sie relativ leicht zu argumentieren sind und weil Computerverbrechen einen „Sexiness-Faktor“ haben.

Das Justizministerium hat sich unter Trump als besonders geschickt bei der Verfolgung von DDoS-Angriffen erwiesen, indem es die Urheber des Mirai-Botnetzes und in jüngster Zeit den Mann hinter mehreren Angriffen auf große Gaming-Netzwerke strafrechtlich verfolgt hat. Diese führen nicht immer zu langen Haftstrafen, aber wie die Pressemitteilung des Justizministeriums andeutet, bestrafen die Gerichte einige individuelle Cyberverbrechen zur Abschreckung hart, da nur ein Bruchteil der Täter gefasst wird.

Online-Verbrechen lassen sich nur schwer zurückverfolgen, und das ist ein echtes Problem für die Menschen, die gegen Online-Bedrohungen, Hackerangriffe oder Ransomware-Operationen vorgehen. Und weit davon entfernt, auf alle Internetverbrechen übermäßig zu reagieren, können Strafverfolgungsbehörden und Gerichte beispielsweise Online-Belästigungen ignorieren oder herunterspielen.

Ekeland ist jedoch der Meinung, dass Gerichte viele „Hacker“-Verbrechen als unangemessen bedrohlich behandeln, verglichen mit Nicht-Computerverbrechen, die finanzielle Schäden verursachen – oder mit schlechtem Verhalten von Unternehmen. Die Behauptung über die Raffinesse des DDoS-Angriffs sei besonders „absurd“, sagt er. „Dies war kein ausgeklügeltes Computerverbrechen. Und die Tatsache, dass das Gericht das dachte, unterstreicht das Problem mit dieser Art von Fällen.“

Das CFAA ist natürlich nur eine Facette der Probleme des amerikanischen Justizsystems. Neben Cyberkriminalität können auch viele andere Delikte zu unverhältnismäßigen Strafen führen. Und das Problem sind nicht nur die überlangen Haftstrafen. Es sind die unmenschlichen Bedingungen in amerikanischen Gefängnissen, von denen Millionen von Menschen betroffen sind, die bei weitem nicht so privilegiert sind wie Goodyear, und von denen einige noch nicht einmal eines Verbrechens überführt wurden.

Fast alle, die an der Verhaftung Goodyears beteiligt waren, schienen von der ganzen Geschichte ein wenig verwirrt. „Wie kommt es, dass ihr von einer Astronomieseite verbannt werdet?“, fragte sich der FBI-Agent, der kam, um ihn zu befragen. „Gibt es eine Debatte über einen zehnten Planeten oder so?“ Nach Goodyears Einschätzung hatte er sich lediglich in ein Forum eingeloggt, gefragt: „Hey, könnt ihr das hacken?“, und war dann in sein normales Leben zurückgekehrt. Er stimmte zu, dass sein Verhalten falsch war, aber er schien überrascht zu sein, als er hörte, dass er dafür echte Probleme bekommen könnte.

Heute findet Bieler es „verrückt“, dass ein Mann einen dreijährigen Groll gegen ein Astronomieforum so bitter hegt, dass er aus Rache tatsächlich versucht, ein Unternehmen in den Bankrott zu treiben. „Wenn die Leute nur fünf Sekunden von ihren Tastaturen wegbleiben könnten, würde vieles davon nicht passieren“, sagt er. Aber jetzt, wo der Fall zu Ende geht, tut es ihm einfach nur leid für alle Beteiligten – auch für Goodyear.

„Geld zu verlieren ist scheiße. Ein paar Wochen lang nicht arbeiten zu können, ist auch nicht gut. Nicht zu wissen, wie es weitergeht, weil man kein Einkommen hat, um die Gehälter der Mitarbeiter zu bezahlen, ist beschissen“, sagt Bieler. „Zwei Jahre seines Lebens zu verlieren, weil man etwas Dummes getan hat, ist noch schlimmer.“

anzeigen