Das Licht im „Hack-Center“ ist rötlich-düster, an den langen Tischen drängen sich Menschen in Kapuzenpullis und T- Shirts. Vor ihnen stehen Laptops und „Club Mate“-Flaschen, dazwischen meterweise Kabel. „NO PHOTOS“ steht eindringlich auf Zetteln an der Tür. Oben wird beim Kongress des Chaos Computer Clubs öffentlich für mehr Datenschutz und gegen Netzsperren geworben - doch im Keller will man ungestört und unerkannt sein.

Die meisten Hacker programmieren oder löten an Platinen. Doch gerade die Jüngeren - im Jargon „Kiddies“ genannt - dringen auch in Websites ein und hinterlassen dort virtuelle Graffiti, sogenannte Defacements. Als Protest gegen die Politik, Trophäe gegenüber den Kollegen und Warnung gegenüber dem schludrigen Betreiber, der die Sicherheitslücken nicht schließt.

Thomas Roth würde so etwas nicht machen. Er hat einen Job als „Consultant für Security- und Software-Engineering“ und interessiert sich mehr für die Sicherheit des Betriebssystems WebOS. Sympathie für die Angriffe hat er aber, wie so viele andere in diesem Keller.

„Auf dem Kongress gibt es viele Gegner der Internet-Ausdrucker“, sagt er. Internet-Ausdrucker, das sind Politiker von CDU, SPD und FDP, von denen sich viele in der Szene nicht verstanden fühlen. „Bei denen wird gezielt nach Schwachstellen gesucht.“ Ein Online-Laden, der Werbung und Broschüren der FDP verkauft, gehörte zu den Zielen. Auf der Seite erschien kurzzeitig das Bild eines Handtrockners mit der Beschriftung: „Rede von Guido Westerwelle? hier drücken“.

Coups wie diesen dokumentieren die Hacker auf einer öffentlich zugänglichen Seite. Dort sind auch weitere Ziele vermerkt. Viele rechtsgerichtete Websites zählen dazu. „Bei Nazis gilt eine Null- Toleranz-Politik“, sagt Roth. Seine Kollegen am Tisch nicken.

Manchmal geht es auch nur um Spaß. Auf der elektronischen Preisliste des Berliner Congress-Centrums, wo die Hacker tagen, tauchte zwischenzeitlich der Punkt „Koks und Nutten“ auf, auch diese Preisliste war gehackt. Preis: 3 Euro plus 50 Cent Pfand. Auch diesen „Erfolg“ reklamieren die Hacker für sich.

Alles nur ein Witz? Nicht für die Opfer. Der Betreiber des FDP- Shops, der von der Partei unabhängig arbeitet, beklagt über das „geschäftsschädigende Verhalten“ und erwägt eine Strafanzeige. Im vergangenen Jahr luden Hacker personenbezogene Daten aus einem Flirt- Portal der rechten Szene herunter - ein Vorfall, der im Club für Kontroversen über Hacker-Ethik sorgte.

Viele Opfer machen es den Angreifern allerdings leicht. Gekapert werden zumeist Seiten mit Schwachstellen: Systeme, die schlecht programmiert und damit so löchrig wie ein Emmentaler sind; oder deren schwache Passwörter wie „123456“ oder „admin“ kaum Schutz bieten. „Das Problem bei Web-Anwendungen ist, dass oft Leute damit beauftragt werden, die keine Ahnung davon haben“, sagt IT-Experte Roth.

Auch wenn Hacker sich geradezu eingeladen fühlen, diese Lücken zu nutzen: Legal ist das nicht. „Auf das unbefugte Ausspähen von Daten stehen Geld- und Freiheitsstrafen“, sagt der Stuttgarter Anwalt Carsten Ulbricht, der sich auf Internetrecht spezialisiert hat. Und wer dabei einem Geschäft Schaden zufügt - etwa weil der virtuelle Tresen ausfällt -, müsse auch mit Schadenersatzforderungen rechnen. Zumindest wenn er sich erwischen lässt.

Hacker operieren in einer Grauzone, weiß auch der Chaos Computer Club. Der Verein grenzt sich von Spionen und Kriminellen ab - „wir sind die Guten“, sagt Sprecherin Constanze Kurz. Daher das durchaus ironische Motto des Kongresses: „We come in peace“. Offizielle Linie des Clubs: Wissen wird nicht an die Bösen verkauft, aber genutzt, um eine öffentliche Debatte über IT-Sicherheit zu fördern.

Wie das gehen soll, ist nicht immer klar. Denn Website-Betreiber reagieren oft unwirsch, wenn sie auf Lücken hingewiesen werden, sagt Roth: „Entweder wurde ich angezeigt, oder man hat mir gesagt: Das ist doch gar nicht so schlimm.“ Ein Defacement sei eine Warnung an den Webmaster. „Sobald eine Sicherheitslücke da ist, muss man davon ausgehen, dass jemand anders das System kompromittiert hat“, sagt der IT-Experte. Nicht jeder Angreifer hinterlässt nur ein Graffiti.