Die Vereinigten Staaten gegen Tillie Kottmann
Einer Luzerner Hackerin und Anarchistin drohen in den USA über 20 Jahre Gefängnis. Sie hat Daten der Firma Intel und Sicherheitslücken von Überwachungskameras publik gemacht – und dem Überwachungskapitalismus den Kampf erklärt.
Von Daniel Ryser (Text) und Herbert Zimmermann (Bilder), 21.04.2021
Tillie Kottmann sitzt auf dem Sofa in ihrer Wohnung in der Luzerner Altstadt und wirkt erstaunlich unbekümmert. Dabei schwebt über ihr eine Anklage der USA. Vom Justizministerium eines Staates, der, wie Edward Snowden gezeigt hat, uns alle hackt, der alles abhört, mitliest. Und jene, die auf diese Missstände hinweisen, mit aller Härte verfolgt.
Julian Assange drohen für die Publikation von Kriegsverbrechen 175 Jahre Haft. Für Tillie Kottmann fordert das US-Justizministerium ein Strafmass zwischen mindestens zwei und mehr als zwanzig Jahren.
So steht es in der Anklageschrift:
United States of America
versus Till Kottmann
a/k/a «deletescape»
a/k/a «tillie crimew»
a/k/a Tillie Kottmann
Anklagepunkte:
Conspiracy to Commit Computer Fraud and Abuse
Conspiracy to Commit Wire Fraud
Wire Fraud
Aggravated Identity Theft
Kern des Vorwurfs: In einem Zeitraum zwischen 2019 und heute soll die «überaus produktive Schweizer Hackerin», so das Justizministerium der Vereinigten Staaten in einer Pressemitteilung, sich Zugang zu verschiedenen Firmen verschafft, dort Daten gestohlen und diese Daten dann via ihren Twitter-Account beziehungsweise ihre Website publiziert haben.
Damit soll sie sich der Verschwörung schuldig gemacht haben. Diese leite sich daher ab, so die Grand Jury in ihrer Anklage, in der Kottmann als ein «Mitglied einer kriminellen Gruppe von kriminellen Akteuren» bezeichnet wird, dass sie «aktiv mit Journalisten und über Social Media über das Eindringen in Computersysteme und Datendiebstahl kommuniziert» habe.
Somit habe sie versucht, einerseits Anhänger für ihre Sache zu gewinnen und andererseits ihren Bekanntheitsgrad zu vergrössern. Und dann habe sie auch noch T-Shirts verkauft: Der ging es doch ums Geld.
Schwerwiegendster Vorwurf ist ein Hack bei der Firma Intel, wo im Sommer 2020 zwanzig Gigabyte Daten, etwa Bauanleitungen für Computerprozessoren, gestohlen wurden. Diese hat Tillie Kottmann dann auf ihrem Twitter-Account und ihrer Website veröffentlicht. Auf ihrer ehemaligen Site prangt nun das Logo der amerikanischen Strafverfolgungsbehörde: «Diese Website wurde vom FBI beschlagnahmt.»
15 Polizisten in Wohnung der Eltern
«Es ist der Worst Case», sagt Martin Steiger, Rechtsanwalt mit Schwerpunkt IT-Recht, «wenn man von einer amerikanischen Bundesstaatsanwältin ins Visier genommen wird.» Er hat die Anklageschrift gelesen. «Ein solches Verfahren erledigt sich nicht von selbst. Man ist im Visier von als äusserst hartnäckig bekannten Strafverfolgungsbehörden mit globaler Reichweite.»
In der Schweiz würden Kottmann für das, was sie getan haben soll, im allerschlimmsten Fall voraussichtlich viereinhalb Jahre Gefängnis drohen. «In den USA stehen hingegen allein schon auf den einen Vorwurf des Wire Fraud zwanzig Jahre als Höchststrafe. Bei einer Verurteilung wegen schwerwiegenden Identitätsdiebstahls beträgt die Mindeststrafe zwei Jahre, unabhängig von weiteren Tatvorwürfen», sagt Steiger. «Am gravierendsten wären eine Kumulierung der einzelnen Tatvorwürfe und Strafmasse, wie sie in den USA üblich sind.»
In Tillie Kottmanns Wohnung liegen auf dem Wohnzimmertisch die WOZ und das «Megafon», die Zeitung der Berner Reitschule. Die Zimmertür ist vollgeklebt mit antifaschistischen Botschaften. Kottmann ist Mitglied der Luzerner Juso, sieht sich dort am anarchistischen Rand, wie sie sagt. Die 21-Jährige, die in der Anklageschrift der US-Behörden als «Till» geführt wird, versteht sich als queer, nennt sich Tillie und will als Frau gelesen werden.
«Dass ich queer bin, war schliesslich auch ein wichtiger Teil meiner politischen Radikalisierung», sagt sie. «Da erfährst du am eigenen Leib, dass rechte Menschen nicht wollen, dass du existierst. Und so hast du natürlich umso mehr Gründe, auf das System wütend zu sein.»
«Und das böse Internet, das war auch wichtig bei meiner politischen Radikalisierung», sagt sie dann und lächelt in ihrer pinken Robe vor dem neonleuchtenden pinken «Crime»-Schriftzug. Auch das Badezimmer ist pink gestrichen, und die Tastatur des neuen Computers ist pink. Den alten hat die Luzerner Kantonspolizei am 12. März beschlagnahmt. Sieben Beamte durchsuchten auf Ersuchen der US-Behörden Kottmanns Wohnung, fünfzehn die ihrer Eltern.
In der Schweiz selbst liegt bisher nichts gegen Tillie Kottmann vor, in den USA scheint es hingegen plötzlich sehr dringlich gewesen zu sein, gegen die junge Frau vorzugehen: Offenbar war bereits im Spätsommer 2020 beim Eidgenössischen Justizdepartement ein Rechtshilfegesuch eingegangen. Dann wurde am 9. März der «Verkada-Hack» publik, den Kottmann für sich reklamierte. Drei Tage später folgten die Hausdurchsuchungen. Eine Woche später die Anklage.
«Ich habe die Daten auf meiner Website und meinem Twitter-Kanal publiziert oder direkt mit Journalisten zusammengearbeitet, und das hat die Strafverfolgungsbehörden wohl provoziert: Da greift jemand unser System an – und steht auch noch dazu», sagt sie.
«Wir leiden an ADHS und haben nicht viel Geduld»
Durch den «Verkada-Hack» wurde Kottmann in den USA über Nacht eine Berühmtheit – und die Medien feierten sie für ihre Enthüllungen und schätzten diese von erheblichem öffentlichem Interesse ein.
«Massiver Hack von Kameras zeigt die zunehmende Reichweite und Intimität der amerikanischen Überwachung», titelte die «Washington Post» am 10. März 2021: Die Firma Verkada, ein Silicon-Valley-Start-up, das Überwachungstechnik an Unternehmen verkauft, die diese dann über das Internet steuern können, war Ziel eines Hacks geworden. Oder wie Tech-Journalisten es beschrieben: Die Firma hatte Zugänge zu den Administrationsrechten für ein zentralisiertes Überwachungsnetzwerk von 150’000 Kameras öffentlich im Internet deponiert.
Die «Washington Post» zitierte in ihrem Artikel Kottmann als Mitglied des Hacktivisten-Kollektivs «Advanced Persistent Threat 69420», wonach man im Netz zufällig auf die offen herumliegenden «Super Admin»-Rechte der Firma gestossen sei. «Wir arbeiten nicht gezielt», sagte Kottmann in der «Washington Post». «Wir alle leiden an ADHS und haben nicht viel Geduld.»
Die Sicherheitslücke, die Kottmann offenbart hatte, «sollte ein Weckruf sein für die Gefahren der Selbstüberwachung», zitierte die «Washington Post» den Rechtsprofessor Andrew G. Ferguson. «Wir bilden ein Überwachungsnetzwerk, dem wir nicht entkommen können, ohne über die Konsequenzen nachzudenken. Unser Wunsch nach einem falschen Gefühl von Sicherheit wird zur eigentlichen Bedrohung unserer Sicherheit.»
Der Hack der jungen Frau, in der «Washington Post» als «Schweizer Softwareentwicklerin» bezeichnet, zeige auf, so schrieben US-Medien, wie Firmen, Gefängnisse, Spitäler und Behörden ihre Selbstüberwachung billig an Silicon-Valley-Start-ups auslagerten, die sich aber aus Profitgier nicht um Datenschutz und Sicherheit kümmerten.
Stattdessen würden sie zentralisierte Überwachungssysteme schaffen, die offensichtlich leicht zu knacken seien und von jedem, der wisse, wie man im Netz recherchiert, angezapft werden könnten. Die Journalisten von «Bloomberg», denen Kottmann das Material übergab, konnten hochaufgelöst in Gefängnisräume blicken, Patientinnen in Spitälern beim Atmen zuhören, in eine Tesla-Fabrik schauen oder einen Vater beobachten, wie er daheim mit seinen Kindern spielt.
Der «Bloomberg»-Tech-Journalist William Turton, der als Erster berichtete, kontaktierte Verkada, nachdem er von Kottmann die Daten erhalten hatte. Die Firma fuhr danach ihr System herunter. Der Scoop mit weltweiter Reichweite war perfekt: «Hacker knacken Tausende von Sicherheitskameras und stellen Tesla, Gefängnisse und Spitäler bloss», titelte «Bloomberg». Kurz danach legte Turton mit einem Text nach über die «Bro Culture» und die schlechten Arbeitsbedingungen bei Verkada.
Obwohl es direkt nach dem Verkada-Hack zur Hausdurchsuchung und Anklage kam, ist jene Geschichte bisher nicht Teil der Vorwürfe gegen Kottmann. Aber sie hat damit das System blossgestellt und viele Sympathien auf ihrer Seite. Als Grund für die Aktion nannte sie gegenüber «Bloomberg» «grosse Neugier, der Kampf um Informationsfreiheit und gegen geistiges Eigentum, eine grosse Dosis Antikapitalismus, eine Prise Anarchismus – und schliesslich macht es einfach viel zu viel Spass, um es nicht zu tun.»
«Be gay, do crime»
Bereits nach dem Intel-Hack vom Sommer 2020 hatte Ars Technica, der grösste amerikanische Technologie-Blog, einen ausführlichen Artikel über Tillie Kottmann verfasst: «Inside Intel: Mehr als 20 GB Intel-Source-Code und geschützte Daten online gestellt». Nach der Verkada-Aktion im März und den Artikeln auf «Bloomberg» und in der «Washington Post» klopften dann fast alle an – auch jene, die sie als queere Anarchistin verabscheut: «Fox», «New York Post», «Newsweek».
«Was sollte ich denen erzählen?», fragt sie beim Treffen mit der Republik. «Diese ganzen Rechten fragten mich nach meinem Motiv. Ich antwortete: ‹Be gay, do crime.› Zu ‹Newsweek› sagte ich: ‹Wenn ihr unbedingt ein Statement wollt, dann folgendes: Ich fände es schön, wenn euer rechtsextremer Autor Andy Ngo mal wieder eine Milchshake-Dusche abkriegen würde.›»
Reuters schrieb nach dem Verkada-Hack von einer neuen Welle des Hacktivismus, der einen starken antifaschistischen und antirassistischen Bezug habe. Auch das Internetphänomen Anonymous, eine Art loses Hacktivismus-Kollektiv, sei nach der Tötung von George Floyd und als Unterstützerin der Black-Lives-Matter-Bewegung wieder aktiver geworden. Die US-Geheimdienste, so heisst es in dem Text, betrachteten die neue Hacktivismus-Welle als «grosses Sicherheitsrisiko».
Zitiert wird in dem Reuters-Artikel von Ende März auch die US-Bundesstaatsanwältin Tessa Gorman, die gegen Kottmann vorgeht: «Ein angeblich selbstloses Motiv vor sich herzutragen, das wird den Gestank des Kriminellen nicht von dieser Art von Einbruch, Diebstahl und Betrug waschen», sagte Gorman in Bezug auf die junge Luzernerin.
Tillie Kottmann lacht. Sie wirkt unbekümmert.
Ihr Anwalt in der Schweiz ist Marcel Bosonnet, ein sehr erfahrener Mann, der schon für Edward Snowden tätig war (und sich momentan nicht äussern will).
Einen wie ihn wird sie brauchen.
Denn die junge Luzernerin steht in der Tradition von Hackern wie Jeremy Hammond oder Aaron Swartz. Hacker, die sich als Hacktivisten verstehen, die häufig mit linken und anarchistischen Motiven im Netz schauen, was möglich ist. Die aus idealistischen Motiven entweder gegen jegliche Form von geistigem Eigentum kämpfen oder gegen Korruption und Kriminalität, gegen die Intransparenz der Geheimdienste – oder halt einfach nur das System ärgern wollen.
Was sich dabei als Muster durchziehe, sei, dass die US-Regierung seit den Achtzigern «unverhältnismässig aggressiv» gegen solche Hacktivisten vorgehe: harte Verfolgung, lange Strafen. So sagte es in Bezug auf Kottmann die Anthropologie-Professorin Gabriella Coleman, Autorin des Buchs «Hacker, Hoaxer, Whistleblower, Spy. The Many Faces of Anonymous».
«Einige Leute realisieren, dass sie im öffentlichen Interesse handelten und dass einige der früheren Hacking-Eskapaden in gewissem Sinne nützlich waren», sagte Coleman gegenüber «Bloomberg». «Viele Sicherheitsexperten, die für namhafte Firmen arbeiten, können sich damit identifizieren, denn sie haben in der Vergangenheit ebenfalls solche Systeme untersucht, damit herumexperimentiert und manchmal auch Mist gebaut.»
«Der Fall erinnert mich entfernt an jenen von Aaron Swartz», sagt auch der Schweizer IT-Anwalt Martin Steiger. «Was ich damit ausdrücken möchte: Solche Verfahren haben für die Beschuldigten erhebliche Auswirkungen.»
Swartz hat sich 2013 das Leben genommen, nachdem ihn eine Grand Jury wegen Wire Fraud und Computer Fraud angeklagt hatte. Er hatte Datensätze des digitalen Archivs Jstor heruntergeladen mit der Absicht, das Wissen zugänglich zu machen. Jstor verzichtete zwar auf rechtliche Schritte, die US-Behörden zeigten sich aber unnachgiebig. Die Trauerrede an der Beerdigung von Swartz – der junge Mann galt als eine Art Computer-Wunderkind – hielt Tim Berners-Lee, der Erfinder des World Wide Web.
Oder Jeremy Hammond: Der Anarchist aus Chicago hackte sich 2011 in das System des privaten Geheimdienstes Stratfor und entlarvte ein Schattensystem fern jeglicher demokratischen Kontrolle: Hammond wurde nach einem Schuldeingeständnis wegen Computer Fraud zu zehn Jahren Haft verurteilt – gefordert worden waren Dutzende Jahre Gefängnis.
«Die Artikel in den Medien auch über meine Aktionen sind häufig positiv, und das ist sicherlich ein Problem für die Amerikaner oder das kapitalistische System», sagt Tillie Kottmann. «Weil wir oft Missstände aufzeigen. Oder einen Einblick geben, wie diese Computersysteme überhaupt funktionieren. Wir werden mit jedem Tag von diesen Systemen abhängiger, wir werden jeden Tag mehr überwacht, und wir wissen praktisch nichts über das Innenleben der Systeme. Was sich darin verbirgt. Wie die Algorithmen programmiert werden. Was mit unseren Daten passiert, wer alles mitliest und mitschaut. Oder dass ärmere Länder keine Möglichkeit haben, gewisse Dinge ebenfalls zu produzieren, weil man die Bausätze nicht kennt. Ich kämpfe für Open Source. Und für Transparenz.»
«Nehmen wir Verkada: Wir haben gezeigt, wie krass selbstüberwacht wir inzwischen sind. Und wie schlecht die Dinge geschützt sind. Jeder Experte wird das bestätigen: Ausser einer hohen Risikotoleranz brauchte man keine besonderen Kenntnisse, um in diese Systeme zu gelangen.»
In der Anklageschrift wird ihr unter dem Punkt «Manners and Means of the Conspiracy» vorgeworfen, sie habe nicht aus idealistischen Gründen gehandelt, sondern sie habe sich bereichern wollen, und zwar durch den Verkauf von T-Shirts (es handelt sich offenbar um ein paar Dutzend), auf denen eine Ideologie des Kampfes gegen «geistiges Eigentum» verherrlicht werde.
Zum Verstoss gegen die Geschäftsbedingungen von Twitter, den das Justizdepartement als Bundesverbrechen qualifizieren will, sagt Kottmann: «Das wäre ja ein krasser Präzedenzfall. Tatsächlich ist es ja auch so: Wenn man in den USA Leute erreichen will, braucht man Twitter.»
Transparenz im allmächtigen System
Die Anklage lese sich ziemlich hingepfuscht, sagt Computerlinguist Hernâni Marques, Vorstandsmitglied des Chaos Computer Club Schweiz. Ein Punkt aber werde nicht wegzukriegen sein, sofern er Tillie Kottmann zugeschrieben werden könne: die Veröffentlichung der Intel-Daten im Sommer 2020.
«Allerdings wäre vieles von dem, was Tillie Kottmann getan hat, in der Schweiz nicht strafbar», sagt Marques. Wichtig etwa der Umstand, dass die Daten von Intel wie auch jene von Verkada entweder in Telegram-Chats oder offen im Netz zu finden gewesen seien: «Das kann man ihr nicht vorwerfen. Das ist kein Hacking. Das braucht auch keine kriminelle Energie. Es gab 2001 einen vergleichbaren Fall in der Schweiz, als sich ein Hacker Zugriff auf die Daten des World Economic Forum verschaffte. Das Gericht sah keine Bereicherungsabsicht. Zudem habe der WEF-Server offen gestanden wie ein Scheunentor. Man konnte einfach reinspazieren.»
«Nehmen wir mal den Verkada-Hack, der im Moment noch nicht Teil der Anklage ist, aber die Behörden offensichtlich in Aufregung versetzt hat», sagt Marques. «Die Firma kann eigentlich froh sein, dass jemand wie Tillie Kottmann diese Zugänge entdeckt hat. Eine Hackerin, die keine finanziellen Interessen verfolgt und das verantwortungslose Leck Journalisten zuspielt. Was sie entdeckt hat, ist von öffentlichem Interesse: ein allmächtiges System von 150’000 Kameras, aus kapitalistischen Gründen aufgezogen, aus Profitinteresse nicht geschützt, wobei man von einer zentralen Stelle aus die Kameras aller Kunden einsehen kann. Und der Zugang liegt offen rum im Netz. Es ist legitim und für die Gesellschaft nützlich, solches aufzudecken.»
Eine riesige Sicherheitslücke, die zu weltweiten Schlagzeilen führt: Das alles aufgedeckt von einer jungen Person, die in Luzern auf einem Sofa liegt. Die Geschichte zeige in erster Linie, sagt Hernâni Marques, wie es im Internet zum Teil zu- und hergehe und vor welchen Problemen die Gesellschaft stehe. «Wir haben uns als Chaos Computer Club massiv gegen das E-Voting gewehrt. Kottmann erinnert uns daran, warum: Man kann im Netz viel Chaos anrichten, und manchmal ohne grosse Kenntnis. Wenn du einen Wahlzettel fälschst und den ins Abstimmungslokal bringst: Das ist das eine. Wenn dann aber ein Hacker bei der Post ein solches Chaos anrichtet, dass ganze Kantone nicht mehr wissen, wie abgestimmt wurde, dann ist das eine ganz andere Geschichte.»
Das massive Ausmass der Überwachung im Netz: Auch daran habe uns Tillie Kottmann erinnert. Dass sich trotz Snowden nichts geändert habe. «Solidarität mit Tillie Kottmann», sagt Marques.
Sie wird Solidarität brauchen können.
Kottmann selbst sagt: «Letztlich wollen wir den Kapitalismus überwinden. Und bis dahin zumindest für ein bisschen mehr Transparenz sorgen. Ich denke, das ist uns gelungen.»
Ein möglicher Schweizer Prozess, für den Kottmann Anwalt Bosonnet gewinnen konnte, sei das kleinere Problem, sagt IT-Anwalt Martin Steiger: Die Schweiz liefere keine eigenen Staatsbürger aus, auch wenn der bestehende Auslieferungsvertrag zwischen der Schweiz und den USA das nicht grundsätzlich verhindere. Das grössere Problem sei die Verteidigung in den USA. Was dort passieren werde. Welche Strafzumessung gefordert werde. Die Gefahr für Kottmann, die Schweiz nie mehr verlassen zu können. Und der Einfluss der US-Justiz im Netz.
Für ihren US-Prozess begann Kottmann, im Internet Geld zu sammeln.
Beim Stand von fünftausend Dollar wurde ihr Go-Fund-Me-Account suspendiert.
So wie auch ihr Twitter-Account. Jedes Mal, wenn sie wieder rund fünftausend Follower erreicht hat (das letzte Mal ein paar Stunden vor Erscheinen dieses Artikels).