So tickt die Hackerin aus Luzern, die das FBI mit ihrem Angriff auf Trab hält
  • Gesellschaft
  • Justiz
  • Politik
Präsentiert sich auch gerne in den sozialen Medien: Die Luzerner Hackerin Tillie Kottmann. (Bild: Instagram)

Zugriff auf 150'000 Kameras verschafft So tickt die Hackerin aus Luzern, die das FBI mit ihrem Angriff auf Trab hält

5 min Lesezeit 5 Kommentare 16.03.2021, 05:04 Uhr

Die Spuren eines US-Hackerangriffs führen nach Luzern – zu einer Juso-Politikerin, die auch schon für den Luzerner Grossstadtrat kandidierte. Was hat sie dazu gebracht, sich Zugriff auf 150’000 Kameras zu verschaffen? Eine Annäherung.

Tillie Kottmann ist in den letzten Tagen in der breiten Öffentlichkeit praktisch über Nacht zu einer Berühmtheit geworden. Unter dem Hashtag #freetillie solidarisieren sich Menschen aus der ganzen Welt mit der Informatikerin aus Luzern. Dies, nachdem am Wochenende bekannt wurde, dass ihre Wohnung durchsucht wurde.

Das FBI ermittelt gegen die Juso-Politikerin, weil sie sich zusammen mit einem Hackerkollektiv Zugang zu rund 150’000 Überwachungskameras der US-Firma Verkada verschafft haben soll ­– unter anderem in Spitälern, Gefängnissen, Schulen und Polizeirevieren (zentralplus berichtete).

Was hat den jungen Mann, der aber als Frau lebt, dazu angetrieben? Viele denken bei einem Hacker wohl an einen Typen mit Kapuzenpulli und Sonnenbrille, der sich von einem abgedunkelten Raum aus Zutritt zu fremden IT-Systemen verschafft. So ist Tillie Kottmann nicht.

Sowohl mit ihrem bürgerlichen Namen als auch unter ihrem Pseudonym ist sie im Internet sowie in den sozialen Medien aktiv. Auch an ihrer Arbeit als Hackerin lässt Kottmann die interessierte Öffentlichkeit bereitwillig teilhaben.

Neugierde – und eine Prise Anarchismus

Personen aus ihrem persönlichen Umfeld bezeichnen Tillie Kottmann als ruhigen, unauffälligen und eher zurückhaltenden Typ. «Sie ist jetzt nicht die, die viel labert», sagt ein Bekannter. Und ein anderer hält fest, dass Kottmann schon immer ein «Nerd» (Computerfreak) gewesen sei, die dank ihres Talents schon als Jugendliche IT-Aufträge von Firmen erhalten habe.

Für die Bekannten ist Kottmanns jüngster Hackerangriff nicht unbedingt auf deren politische Überzeugung zurückzuführen. Dies, obwohl sich viele bekannte Gruppierungen der internationalen Hackerszene selbst in der linken bis linksradikalen Ecke verorten.

«So wie ich sie kenne, hätte sie das auch gemacht, wenn sie eher bürgerlich oder konservativ eingestellt wäre.» Damit spricht der Bekannte den Spass an, der Kottmann und ihre Mitstreiter bei ihren Aktivitäten antreibt. Kottmann selber sagte es gegenüber CBS so: «Neugierde, der Kampf für Informationsfreiheit, eine riesige Portion Antikapitalismus und ein Hauch von Anarchismus» (zentralplus berichtete).

Skeptisch gegenüber autoritären Systemen

Dem Luzerner Anwalt Roman Kost kommt das bekannt vor. Die Aussagen erinnern an das «Hackermanifest», das erstmals am 8. Januar 1986 im Hackermagazin Phrack veröffentlicht wurde. Kost hat sich beruflich auf Cyber-Security spezialisiert und beschäftigt sich in seinem Blog 143bis.ch intensiv mit dem Thema Hacking. Der Name seiner Website bezieht sich auf jenen Artikel im Schweizer Strafgesetzbuch, der das sogenannte «Unbefugte Eindringen in ein Datenverarbeitungssystem» regelt.

«Die Schweiz liefert – so wie die meisten anderen Staaten – eigene Staatsangehörige nicht gegen deren Willen aus.»

Ingrid Ryser, Sprecherin des Eidgenössischen Justiz- und Polizeidepartement (EJPD)

«Der Urgeist des Hackers ist ein sportlicher: Man will ein System knacken, seine intellektuelle Leistung demonstrieren und so auf Sicherheitslücken aufmerksam machen», sagt Kost im Gespräch mit zentralplus. Die Hackercommunity sei im Allgemeinen eher skeptisch gegenüber autoritären Systemen und den Zwängen des kapitalistischen Systems. Sie setze sich gegen Überwachung und für den Schutz der Privatsphäre ein. Dass die Szene generell links sei, bezweifelt Kost jedoch. «Es gibt unter den Hackern sicherlich Mitglieder unterschiedlicher Parteien», meint er.

Wenn Sicherheitslücken ausgenützt werden, wird es gefährlich

Fallen die altruistischen Motive des Hackens weg, könne es aber durchaus gefährlich werden. Dann nämlich, wenn die Sicherheitslücken ausgenützt werden, um sich zu bereichern oder andere Menschen unter Druck zu setzen.

«In den heutigen Computersicherheitskreisen wird häufig zwischen Hackern und Crackern unterschieden. Letztere haben eine bösartige Gesinnung», schreibt der Luzerner Anwalt in seinem Blog. Rechtlich macht es allerdings keinen Unterschied.

Auch wer keinen Schaden anrichtet, wird bestraft

Wer sich unbefugt Zutritt zu einem Datenverarbeitungssystem verschafft, kann wegen Hackens verurteilt werden – auch wenn die Motive edel gewesen sein mögen. Es droht eine Freiheitsstrafe von bis zu drei Jahren oder eine Geldstrafe. Auch wer keinen Schaden anrichtet, wird also bestraft.

Wie das Strafverfahren im Fall Kottmann ausgehen wird, ist völlig offen. In den USA wird Hacking mit einer Gefängnisstrafe von 1 Jahr bis zu 20 Jahren bestraft – je nach dem, wie schwerwiegend das Vergehen ist.

Damit braucht Tillie Kottman allerdings nicht zu rechnen. «Die Schweiz liefert – so wie die meisten anderen Staaten – eigene Staatsangehörige nicht gegen deren Willen aus», bestätigt Ingrid Ryser, Sprecherin des Eidgenössischen Justiz- und Polizeidepartement (EJPD) auf Anfrage von zentralplus.

Wie sollten Hacker bestraft werden?

Die Polizei hat letztes Jahr 610 Hackerangriffe registriert – das sind fast doppelt so viele wie noch vor fünf Jahren. In Luzern waren es 14 Fälle von «unerlaubtem Eindringen in eine Datenverarbeitungsanlage», welche die Polizei registriert hat.

Dass Hacker auch bestraft werden, wenn sie keine böse Absichten hegen, ist eine Praxis, die aus Sicht des Luzerner Anwalts Roman Kost durchaus infrage gestellt werden kann. «Die Diskussion, ob man das Hackerstrafrecht revidieren müsste, könnte in den nächsten Jahren durchaus aufkommen», meint er. Heisst: Wer den Nachweis erbringt, dass niemandem geschadet wurde, könnte straflos davonkommen. «Dann könnten Sicherheitsfirmen diese Leute an Bord holen – was auch eine Chance sein könnte», meint Kost. Allerdings sei die IT-Sicherheitsbranche möglichen Strafmilderungen gegenüber skeptisch eingestellt. «Die meisten glauben, dass sich die Strafandrohungen positiv auf die Sicherheit auswirken.»

zentralplus fragt
Aktuelle Meinungsumfrage
Ist es richtig, dass Hackerinnen unabhängig vom Motiv bestraft werden?
Danke für Deine Stimme. Du hast bereits teilgenommen.

War dieser Artikel nützlich für Dich?

Ja

Nein

Dieser Artikel hat uns über 800 Franken gekostet. Löse ein freiwilliges Abo und hilf uns, Artikel wie diesen auch in Zukunft anzubieten.

CHF

Deine Meinung ist gefragt!

Um kommentieren zu können, musst Du auf zentralplus eingeloggt sein. Bitte logge dich ein oder registriere dich jetzt und profitiere von den Vorteilen für z+ Community Mitglieder.

Deine Meinung ist gefragt!

5 Kommentare
  1. ChristianHuber, 16.03.2021, 15:40 Uhr

    Es handelt sich bei Till Kottmann um einen Mann der sich halbwegs (aber eben doch nicht ganz) als Frau fühlt (Selbstbezeichnung Genderfaer). Es wäre schön, wenn Zentralplus dies in seinem Bericht so vermerkt hätte, und ihn nicht einfach unhinterfragt als Frau aufgeführt hätte.

    1. Redaktion Redaktion zentralplus, 16.03.2021, 16:11 Uhr

      Danke für den Hinweis. Im Artikels steht: «Was hat den jungen Mann, der aber als Frau lebt, dazu angetrieben?» Diese Erklärung reicht aus unserer Sicht, um nachvollziehen zu können, weshalb wir bei einem männlichen Namen von einer Frau schreiben.

    2. Redaktion Lena Berger, 16.03.2021, 16:29 Uhr

      Vielen Dank für den kritischen Kommentar und die Präzisierung. Tillie Kottmann hat sich dazu auf Instagram geäussert und geschrieben, dass sie sich als non-binär identifiziert, derzeit aber mit dem Namen Tillie experimentiere, weshalb wir im Text diesen Namen und das weibliche Geschlecht verwendet haben. Weiter stand in der Insta-Story, dass ihr Pronomen auf deutsch egal seien.

  2. JN, 16.03.2021, 11:28 Uhr

    «In den heutigen Computersicherheitskreisen wird häufig zwischen Hackern und Crackern unterschieden. Letztere haben eine bösartige Gesinnung»

    Ein Cracker muss nicht grundsätzlich bösartig sein.
    Nur weil man den DRM-Schutz einer CD für den Privatgebrauch crackt ist man noch lange nicht bösartig. Kevin Mitnick, gilt heute auch nicht als «bösartig» obwohl er ein verurteilter Verbrecher ist. Hätte er den Stromversorger SCE dazu gebracht die Versorgung auszusetzen oder die ATMs zum Geldbrunnen umgeschrieben, wäre es bösartig gewesen.

    Beim ausländischen Rechtshilfegesuch und der übereifrigen Luzerner Polizei ,die jetzt mit dem FBI zusammenarbeiten dürfen (huiii Pilatus157/158), verliert man gerne das wesentliche aus dem Auge. Das Admin-Passwort war im Internet frei zugänglich. Frei zugänglich wie Filme & Serien die über googlesearch gesucht werden, z.B: site:drive.google.com devs
    Das Betrachten solcher Filme & Serien, ist nach CH-Recht ebenfalls legal.

    Dass überhaupt ein übergreifender Admin- bzw. Masterzugang, für die 150’000 Kameras bei TESLA, Spitäler etc., existierte sollte der eigentliche Skandal sein…

    1. JN, 16.03.2021, 13:23 Uhr

      Im Vergleich dazu. Ein Rekrut hatte kürzlich eine Lücke im e-learning (LMS) der Armee entdeckt. Zusätzlich hatte der Rekrut sich über einen zweiten account als ‹Gast› eingeloggt. Das FBI würde bei diesem Fall die gleichen Anklagepunkte anzeigen wie bei T.K.
      Die Meldung dieser Lücke wurde mit 100sFr. honoriert.
      Für den Rekruten gab es keine Strafrechtlichen Konsequenzen.

      Wenn aber eine US-Sicherheitsfirma die Kameras inkl. Gesichtserkennung an Firmen, Spitäler, Gefängnisse und Polizeireviere verkauft. Dabei (un)absichtlich über masterlogins der verschiedenen Institutionen verfügt und jene für jeden frei zugänglich im web speichert. Droht der Person die dies meldet, strafrechtliche Konsequenzen.
      Wäre ich ein staatlicher oder privater Kunde dieser Sicherheitsfirma, hätte ich erwartet dass die US-Bundespolizei gegen die US-Firma Verkada ermittelt.

      Man stelle sich vor, das Gesetzt zur E-ID wäre durchgekommen und sämtliche userdaten der privaten Provider wären mit einem frei zugänglichen Login für jeden sichtbar..

      rm ‹Hackerangriff›

Die zentralplus Redaktion wünscht Dir einen schönen Tag!

Wir möchten einfach kurz Danke sagen. Danke, dass du zentralplus liest.