Wie Facebook dem FBI half, einen Mann zu fassen, der Mädchen terrorisierte

Ein Mann aus Kalifornien belästigte und terrorisierte jahrelang systematisch junge Mädchen über Chat-Apps, E-Mails und Facebook. Er erpresste sie um Nacktaufnahmen, drohte ihnen, sie umzubringen und zu vergewaltigen oder an ihren Schulen ein Massaker anzurichten.

Brian Kil, wie er sich im Internet nannte, war gut darin, seine Identität zu verstecken. Weil er eine derartig große Bedrohung war, tat Facebook etwas bis dahin Unvorstellbares: Der Konzern half dem FBI dabei, Beweise zu sammeln, die schließlich zur Überführung und Verhaftung des Mannes führten. Wie VICE in Erfahrung bringen konnte, arbeitete der Tech-Gigant dafür mit einem weiteren Unternehmen zusammen. Ob das FBI überhaupt von Facebooks Mitarbeit wusste, ist unklar. Quellen aus dem Social-Media-Konzern zufolge war es das erste und einzige Mal, dass Facebook einer Strafverfolgungsbehörde beim Hacken einer Zielperson geholfen hat.

Der Fall zeigt, welche technischen Möglichkeiten Facebook, die Hacking-Firma und Strafverfolgungsbehörden haben. Er wirft allerdings auch die schwierige Frage auf, wann – wenn überhaupt – es angemessen ist, dass Privatunternehmen helfen, die eigenen User zu hacken.

Das FBI und Facebook verwendeten eine kurzfristige Sicherheitslücke im Linux-Betriebssystem Tails, das dazu gemacht ist, die Anonymität seiner Nutzerinnen und Nutzer zu gewährleisten. So konnten sie Brian Kils IP-Adresse enttarnen, der in echt Buster Hernandez heißt.

Auch bei VICE: Wie ein Google-Treffer einen Waffenhändler lahmlegte

Eine Facebook-Sprecherin bestätigte gegenüber VICE die Zusammenarbeit des Unternehmens mit Sicherheitsexperten, um dem FBI zu helfen: "Das einzig akzeptable Ergebnis für uns war, dass Hernandez sich vor Gericht wegen des Missbrauchs junger Mädchen verantworten muss", sagte sie. "Es war ein einzigartiger Fall, weil er seine Identität mit derartig komplexen Methoden schützte, dass wir zu außerordentlichen Maßnahmen griffen und mit Sicherheitsexperten zusammenarbeiteten. So konnten wir dem FBI helfen, ihn vor Gericht zu bringen."

Ehemalige Facebook-Angestellte, die mit dem Fall vertraut sind, sagten VICE, durch Hernandez' extremes Verhalten habe sich das Unternehmen zum Handeln gezwungen gesehen.

"In diesem Fall bestand absolut kein Risiko für andere Nutzerinnen und Nutzer. Für eine Person gab es hingegen mehr als hinreichenden Verdacht. Wir hätten niemals etwas geändert, das andere Nutzerinnen und Nutzer betroffen hätte", sagte eine ehemalige Facebook-Mitarbeiterin. "Da kein Risiko für die Privatsphäre anderer bestand und die Folgen für die Betroffenen schwer waren, hatten wir meiner Meinung nach keine andere Wahl."

Die Entscheidung des Unternehmens war allerdings intern durchaus umstritten, wie aktuelle und ehemalige Facebook-Mitarbeitende VICE bestätigten. Damit sie trotz Verschwiegenheitsvereinbarungen frei über den Fall sprechen können, haben wir unseren Quellen Anonymität zugesichert.

Die Verbrechen, die Buster Hernandez beging, waren abscheulich. Er schrieb minderjährige Mädchen mit Nachrichten wie dieser an: "Hi, ich muss dich was fragen. Ist schon ein bisschen wichtig. Wie vielen Jungs hast du schmutzige Bilder geschickt? Ich habe nämlich ein paar von dir." Dieser und andere Chatverläufe lassen sich in den Gerichtsunterlagen nachlesen.

Antwortete eines der Mädchen, verlangte Hernandez sexuell explizite Videos und Fotos. Wenn sie sich weigerte, drohte er, er würde die anderen Bilder an ihre Freunde und Familie schicken. In Wahrheit hatte er gar keine Fotos der Mädchen. Danach terrorisierte Hernandez die Mädchen über Monate oder sogar Jahre hinweg. Er schickte seinen Opfern lange und detaillierte Vergewaltigungsdrohungen. Er drohte, den Familien der Mädchen wehzutun oder sie umzubringen, Bomben an ihren Schulen zu legen oder dort Amok zu laufen. In einigen Fällen schrieb er, dass er Nacktfotos auf ihren Gedenkseiten posten würde, falls die Mädchen sich umbringen sollten.

Hernandez sagte den Mädchen, er wolle "der schlimmste Cyber-Terrorist sein, der je gelebt hat".

"Ich will eine Spur des Todes und des Feuers an deiner Schule hinterlassen", schrieb er 2015. "Ich werde einfach MORGEN UNBEMERKT REINGEHEN … Ich werde deine ganze Klasse abschlachten und dich bis zum Schluss aufheben. Ich werde mich über dich beugen, während du schreist und um Gnade bettelst, bevor ich dir deinen beschissenen Hals von einem Ohr zum anderen aufschlitze."

Hernandez schrieb seinen Opfern wiederholt, dass die Polizei ihn nie fassen werde: "Du dachtest wohl, die Polizei müsste mich inzwischen ausfindig gemacht haben. Hat sie aber nicht. Die sind planlos. Die Polizei ist nutzlos", schrieb er. "Betet besser alle fürs FBI, die werden den Fall nie lösen … Ich stehe über dem Gesetz und das werde ich für immer."

Hernandez verwendete das Linux-Betriebssystem Tails, das starken Gebrauch von der Anonymisierungssoftware Tor macht. Tails verschlüsselt den Internetverkehr seiner User und versteckt die echte IP-Adresse.

Auf diese Weise kontaktierte und belästigte Hernandez jahrelang Dutzende Mädchen auf Facebook, wie es in Gerichtsunterlagen heißt. Das Betriebssystem wird auch von Journalisten, Aktivistinnen und Dissidenten verwendet, die eine Überwachung durch Behörden oder Regierungen befürchten. Einem Tails-Sprecher zufolge wird das Programm "täglich von über 30.000 Aktivisten, Journalisten, Überlebenden häuslicher Gewalt und Bürgerinnen und Bürgern verwendet, die um ihre Privatsphäre besorgt sind".

Hernandez war bei Facebook so berüchtigt, dass Mitarbeitende des Unternehmens ihn als einen der schlimmsten Kriminellen sahen, die die Plattform je benutzt haben, so zwei ehemalige Facebook-Angestellte zu VICE.

Mehrere FBI-Büros waren an der Jagd auf "Brian Kil" beteiligt, aber an Tails gescheitert. Einen Hacking-Versuch bemerkte Hernandez und verhöhnte das FBI daraufhin, wie zwei ehemalige Mitarbeitende berichten.

Facebooks Sicherheitsteam, damals unter der Leitung von Alex Stamos, wollte mehr tun und entschied sich, dem FBI zu helfen. Das Unternehmen beauftragte eine Cybersecurity-Beratungsfirma, um für einen sechsstelligen Betrag ein Hacking-Tool zu entwickeln. Unsere Quellen beschreiben das Tool als einen Zero-Day-Exploit, also eine Sicherheitslücke, von der das Entwicklerteam des betroffenen Programms noch nichts weiß. Das Cybersecurity-Unternehmen arbeitete mit einem Softwareingenieur von Facebook zusammen und schrieb ein Programm, das sich eine Schwachstelle in Tails' Videoplayer zunutze machte, um die echte IP-Adresse des Nutzers anzuzeigen. Das Tool gab Facebook an einen Mittelsmann, der es an das FBI weiterreichte, wie drei unserer Quellen bestätigten.

Gegenüber VICE hieß es, Facebook spezialisiere sich keineswegs auf die Entwicklung von Hacking-Schwachstellen. Man wolle bei Ermittlungsbehörden nicht die Erwartung wecken, so etwas regelmäßig zu machen. Facebook habe den Ansatz zwar identifiziert, aber nicht das Tool entwickelt. Die Entscheidung, den User zu hacken, fiel erst, nachdem man alle anderen Möglichkeiten ausgeschöpft hatte.

2017 besorgte sich das FBI eine richterliche Anordnung und schickte mithilfe eines betroffenen Mädchens ein modifiziertes Video an Hernandez, eine sogenannte Booby Trap. Im Februar dieses Jahres plädierte der heute 29-jährige Angeklagte in 41 Punkten auf schuldig – darunter die Produktion von Kinderpornografie, Nötigung und Verführung von Minderjährigen sowie Tötungs- und Entführungsdrohungen. Das Urteil steht noch aus, aber Hernandez dürften mehrere Jahre Gefängnis erwarten.

Das FBI wollte sich zu der Story nicht äußern, da der Fall noch nicht abgeschlossen sei. Man verwies auf das Büro der zuständigen Staatsanwaltschaft. Hier blieben alle Anfragen unbeantwortet.

Facebook ermittelt regelmäßig gegen mutmaßliche Kriminelle auf seiner Plattform: typische Cyberkriminelle, Stalker, Erpresser oder Menschen, die Kinder ausnutzen. Mehrere Teams in der Facebook-Zentrale im kalifornischen Menlo Park und anderen Büros des Unternehmens gehen Hinweisen von Nutzerinnen und Nutzern nach.

Zudem gehen die Teams auch proaktiv gegen Verdachtsfälle vor. Viele Sicherheitsspezialistinnen und -spezialisten in diesen Teams haben davor beim FBI, der Polizei und anderen Regierungsbehörden gearbeitet, wie sich aus LinkedIn-Profilen entnehmen lässt.

Aktuelle und ehemalige Facebook-Angestellte berichten, dass die Sicherheitsteams so stolz auf ihre Arbeit sind, dass ein Konferenzraum mit Fotos von Verhafteten und Zeitungsausschnitten über behandelte Fälle dekoriert wurde.

Aber die Zusammenarbeit mit dem FBI war umstritten. Eine Quelle sagte VICE: "Der Präzedenzfall eines privaten Unternehmens, das einen Zero-Day-Exploit kauft, um einem Kriminellen auf die Spur zu kommen. Das ist doch abgefuckt. Und totel sketchy."

Eine andere Quelle sagte: "Alles, was wir getan haben, war legal, aber wir sind keine Strafverfolgungsbehörde." Und weiter: "Ich würde mich nicht wundern, wenn es unter den gleichen Umständen wieder passieren würde."

Andere Mitarbeitende hielten die Zusammenarbeit für gerechtfertigt. "Ich finde, sie haben hier genau das Richtige getan. Sie geben sich sehr viel Mühe mit der Sicherheit von Kindern", sagte eine Person, die früher bei Facebook gearbeitet hat. "Mir fällt kein anderes Unternehmen ein, das so viel Zeit und Ressourcen eingesetzt hat, um den Schaden, den ein böser Typ anrichtet, zu begrenzen."

Auch wenn hier nur gegen einen bestimmten Kriminellen vorgegangen werden sollte, besteht immer die Gefahr, wenn Sicherheitslücken an Strafverfolgungsbehörden weitergegeben werden, dass diese auch in anderen, weniger schweren Fällen eingesetzt werden. Die Sicherheit der Programme ist in dem Augenblick nicht nur für eine Person beeinträchtigt, sondern für alle. Zero-Day-Exploits sind in der Regel streng gehütete Geheimnisse, die gegen hohe Summen verkauft werden. In den falschen Händen können sie fatal sein.

Der Hack ist ethisch umso problematischer, weil er über Tails stattfand und nicht über Facebook. Ein Sprecher von Tails schrieb in einer E-Mail, dass die Entwickler des Projekts nichts von Hernandez' Geschichte wussten. Die Sicherheitslücke sei dem Tails-Entwicklungsteam nie bekanntgemacht worden. "Wir wissen nicht, welche Sicherheitslücke genutzt wurde, um ihn zu enttarnen". Das alles seien "neue und potenziell sensible Informationen", sagte der Sprecher.

Menschen, die nach Sicherheitslücken in Programmen suchen – auch solche, die für große Firmen wie Google arbeiten –, informieren die Unternehmen in der Regel über die entdeckten Schwachstellen. Sie geben ihnen Zeit, die Lücke zu schließen – bevor Details an die Öffentlichkeit geraten.

In diesem Fall ist das nicht passiert, weil das FBI die Schwachstelle gegen ein Ziel ausnutzen wollte.

Seit Jahren warnen Strafverfolgungsbehörden vor dem sogenannten "Going Dark"-Problem, einem Szenario, bei dem sich Kriminelle und Terroristen mithilfe von starker Verschlüsselung einer Verfolgung und Verhaftung entziehen. Da sich Verschlüsselung immer weiter verbreitet, greifen Ermittelnde und Regierungen immer öfter auf Hacking zurück, um Zugang zur Kommunikation und den Daten ihrer Zielpersonen zu bekommen.

Das Sicherheitsteam von Facebook hielt das eigene Vorgehen für vertretbar, weil ein Update von Tails den für die Sicherheitslücke anfälligen Code nicht mehr enthielt. Das versah die Sicherheitslücke automatisch mit einem Verfallsdatum.

Allerdings ging man bei Facebook auch davon aus, dass niemand bei Tails die Schwachstelle kannte. Einer der ehemaligen Facebook-Mitarbeiter sagte, dass man ursprünglich geplant hatte, Tails über den Zero-Day-Exploit in Kenntnis zu setzen. Da der Code aber ohnehin überarbeitet wurde, sah man dazu keinen Anlass mehr.

Die Juristin und leitende Direktorin des Silicon Flatirons Center an der University of Colorado, Amie Stepanovich, sieht den Fall kritisch. Sie ist eine anerkannte Expertin für Privatsphäre und Internet-Sicherheit. "Eine Schwachstelle kann gegen jeden eingesetzt werden. Tails mag von Kriminellen verwendet werden, aber es ist auch ein Tool für Aktivisten, Journalistinnen oder Regierungsmitarbeitende und andere Menschen, die sich schützen wollen", sagte Stepanovich. "Deswegen sind transparente Prozesse zum Umgang mit Schwachstellen wichtig – inklusive einer Strategie, wie diese einem Unternehmen gemeldet werden."

Für Senator Ron Wyden, der sich intensiv mit Hacking durch Strafverfolgungsbehörden beschäftigt, stellt sich vor allem die Frage, wie das FBI mit dem Hacking-Tool umgegangen ist.

"Hat das FBI das Tool in anderen Fällen wiederverwendet? Hat es die Schwachstelle mit anderen Behörden geteilt? Hat es den Zero-Day-Exploit zur Begutachtung dem zwischenbehördlichen Vulnerabilities Equity Process vorgelegt?", so Wyden in einem Statement. Mithilfe dieses Verfahrens soll entschieden werden, ob ein Zero-Day-Exploit den Entwicklern der betroffenen Software mitgeteilt wird. "Es ist eindeutig, dass viel offener damit umgegangen werden muss, wie die Regierung Hacking-Tools verwendet – und ob die vorhandenen Regeln einen adäquaten Schutz bieten."

Die Entwickler und Sicherheits-Expertinnen, die damals die Entscheidung trafen, sagten, sie hätten keine andere Wahl gehabt.

"Wir wussten, dass es gegen kriminelle Leute eingesetzt wird", sagte eine Quelle zu VICE. "Da war ein böser Typ, der schlimme Dinge tat, und wir wollten etwas dagegen unternehmen."

Folge VICE auf Facebook, Instagram und Snapchat.