Von der Videoüberwachung, den Staatstrojanern über die Hack-back-Strategie der Sicherheitsbehörden bis hin zur Vorratsdatenspeicherung oder dem Debakel mit dem elektronischen Anwaltspostfach – immer dann, wenn öffentliche IT-Sicherheitsprojekte zur Debatte stehen, meldet sich auch der Chaos Computer Club zu Wort. Zum Beispiel bei der Router-Richtlinie. Die Regierung brachte sie als Konsequenz aus dem spektakulären Hack auf mehr als eine Million Internet-Zugangsboxen in deutschen Haushalten vor zwei Jahren auf den Weg. Hier solle eine neue Technische Richtlinie helfen, die Mindestanforderungen an die Router stellt. Doch der politische Prozess zur Erarbeitung dieser Richtlinie sei eine einzige Enttäuschung, sagt Clubsprecher Frank Rieger:

"Das ist jetzt zu einem Abschluss gekommen in der ersten Runde, der ein bisschen frustrierend ist, weil: Diese Runde haben die Lobbyisten der Kabelanbieter gewonnen."

Und auch die europäischen Gerätehersteller hätten die Richtline vor allem dazu benutzt, sich gegen die Billigkonkurrenz aus Fernost zu positionieren, nicht aber um sinnvolle Regeln zu schaffen. Die Forderungen der Hacker, wie zum Beispiel ein Mindest-Haltbarkeitsdatum für sicherheitskritische Produkte, eine strikte Produkthaftung für schlecht programmierte Geräte oder die Möglichkeit, alternative Software auf die Geräte laden zu können – sie kamen nicht durch.

"Wir hatten auch noch ein eher unangenehmes, länger laufendes Projekt. Wer es nicht weiß: Südkreuz ist ein Bahnhof in Berlin. Da hat man drei kommerzielle Anbieter getestet bei der Gesichtserkennung. Das Ministerium hat eine Pressemitteilung zum Abschlussbericht rausgegeben, und eben durch die Bundespolizei diesen Abschlussbericht. Der ist eine dreiste, unwissenschaftliche Beschönigung."

Regt sich CCC-Sprecherin Constanze Kurz auf. Der Versuch, mit drei verschiedenen Gesichtserkennungssystemen auf dem Berliner S-Bahnhof die Passanten zu identifizieren, sei ein Debakel gewesen. Die Erkennungsraten waren schlecht und der Abschlussbericht wissenschaftlich nicht zu verwerten. Darin vermuten die Hacker auch einen Grund, warum der Versuch jetzt mit einer anderen Ausrichtung fortgesetzt werden soll – nämlich mit Anomalie-Erkennung. Herrenlose Rucksäcke sollen so erkannt werden, aber auch leblose Personen auf dem Bahnsteig.

"Dafür werden die ja zunächst mal ein paar Schauspieler engagieren, damit sie dem Computer solche Szenen vorgeben können. Da würden wir uns vielleicht melden."

Macht sich Contanze Kurz lustig und spielt damit auf ein grundlegendes Problem der Mustererkennung an - nämlich, wenn die Systeme mit schlechten Daten trainiert werden und deshalb versagen.

Der dritte wunde Punkt in der Jahresbilanz des Hackerclubs war die sogenannte Hackback-Diskussion, also die von Sicherheitspolitikern diskutierte Frage, ob Deutschland bei Cyberangriffen fremder Staaten zurückhacken sollte. Frank Rieger:

"Diese ganze Debatte ist ja gerade eine Positionsbestimmung. Will Deutschland da mit den großen Jungs mitspielen? Und das wollen die. Die haben jetzt gesagt: Wir wollen unbedingt auch diese offensiven Fähigkeiten haben, weil die brauchen wir um irgendwie noch ernst genommen zu werden und so weiter. Also die üblichen Geheimdienst-Argumente."

Auch hier geht der Club hart mit dem Staat ins Gericht. Abgesehen davon, dass die deutschen Behörden und auch die Bundeswehr gar nicht das Know-How dafür hätten, seien auch die völkerrechtlichen Grundlagen völlig unklar. Und in der Regel wisse man auch gar nicht, gegen wen man überhaupt zurückhacken solle – der Hackback sei einfach die falsche Strategie.