Die meisten Geschichten über Betrug im Casino beginnen mit versteckten Geräten, markierten Karten oder jemandem, der sehr offensichtlich etwas tat, was er nicht hätte tun dürfen. Diese hier begann mit einem Mann, der Knöpfe drückte, die der Automat selbst ihm zu drücken erlaubte.
Im Jahr 2009 entdeckte John Kane, dass bestimmte Video-Poker-Automaten einen bemerkenswerten Fehler hatten. Wenn ein Spieler ein gewinnendes Blatt traf und dann den Einsatz vor dem Auszahlen änderte, konnte der Automat den Gewinn so auszahlen, als wäre der höhere Einsatz die ganze Zeit über gesetzt gewesen.[1] Mit anderen Worten: Ein Spieler konnte wenig setzen, gewinnen, den Einsatz nachträglich erhöhen und so kassieren, als hätte er weit mehr riskiert, als er tatsächlich eingesetzt hatte. Das war keine Glückssträhne. Es war ein Softwarefehler, der sich als Spiel tarnte.
Kane und andere nutzten den Fehler, um in Casinos in Nevada Hunderttausende Dollar zu gewinnen.[1] Die naheliegende Reaktion war, dass das doch kriminell sein müsse. Man soll Casinos schließlich nicht mit buchhalterischen Tricks schlagen. Doch als der Fall vor ein Bundesgericht kam, war die unangenehme Frage nicht, ob Kane ein Schlupfloch gefunden hatte. Das hatte er ganz offensichtlich. Die Frage war vielmehr, ob die Ausnutzung dieses Schlupflochs als illegaler Zugriff auf ein Computersystem galt oder ob er den Automaten lediglich auf eine Weise benutzt hatte, die dessen eigene Software erlaubte.[1]
Der Automat, der vergaß, wann gesetzt wurde
Video-Poker soll gnadenlos geordnet ablaufen. Man setzt, bekommt ein Blatt, entscheidet, welche Karten man behält, zieht Ersatzkarten und wird entsprechend der Höhe des Einsatzes ausbezahlt. Erst der Einsatz, dann die Auszahlung. Diese Reihenfolge ist das ganze Grundgerüst des Spiels.
Die Automaten, die Kane benutzte, durchbrachen diese Logik.[1] Ihre Software erlaubte es einem Spieler, ein gewinnendes Blatt bei einer bestimmten Einsatzhöhe festzuhalten und dann den Einsatz zu erhöhen, bevor er die Auszahlungssequenz startete. Das führte zu einer Auszahlung, die sich am höheren Betrag orientierte statt an dem niedrigeren, den der Spieler ursprünglich riskiert hatte.[1] Es ist die Art von Fehler, die unmöglich klingt, bis man sich daran erinnert, dass Casinos bei allem Glanz letztlich auch nur Räume voller Software sind.
Und Software hat eine eigentümliche Schwäche. Sie ist oft weniger anfällig für rohe Gewalt als für Gehorsam. Wenn ein Automat einen Knopf anbietet und dann die Folgen eines Drucks in einer bestimmten Reihenfolge falsch verarbeitet, muss der Nutzer womöglich gar nicht einbrechen. Er braucht nur Geduld, Wiederholung und die Bereitschaft, das zu bemerken, was allen anderen entgeht.
Ein Glitch, kein Hack
Genau diese Unterscheidung wurde zum Kern des ganzen Falls. Bundesankläger klagten Kane nach dem Computer Fraud and Abuse Act, kurz CFAA, an, dem weitreichenden und umstrittenen US-Gesetz gegen Computerkriminalität.[1] Ihre Theorie war, dass er durch die Ausnutzung des Softwarefehlers seinen autorisierten Zugriff auf einen geschützten Computer überschritten habe.[1] Die Regierung versuchte also, Kasino-Opportunismus in Computerkriminalität zu übersetzen.
Doch es gab ein Problem. Kane hatte keine Passwörter umgangen. Er hatte keinen Code verändert. Er hatte keine Geräte angeschlossen, den Automaten nicht geöffnet und keine versteckten Administratorfunktionen aufgerufen.[1] Er hatte lediglich die Knöpfe auf dem Bildschirm in der Reihenfolge benutzt, die der Automat zuließ, und das Geld angenommen, das der Automat ihm daraufhin anbot. Genau das machte den Fall auf eine sehr moderne Weise juristisch unerquicklich.
Denn wenn ein Computer einen etwas tun lässt, ab welchem Punkt überschreitet man dann die Grenze zwischen Benutzen und Hacken?
Wenn das Recht auf einen Knopfdruck trifft
Das Bundesgericht in United States v. Kane sollte nicht entscheiden, ob das, was Kane getan hatte, clever war. Das war offensichtlich. Es sollte entscheiden, ob die Regierung überhaupt hinreichend eine Straftat nach dem CFAA behauptet hatte.[1] Genauer gesagt mussten die Staatsanwälte zeigen, dass Kane seinen autorisierten Zugriff auf einen geschützten Computer überschritten hatte, um Betrug zu begehen.[1]
Das Gericht kam zu dem Schluss, dass ihnen das nicht ausreichend gelungen war.[1] Kane hatte als Spieler Zugang zu dem Automaten. Er benutzte die Benutzeroberfläche so, wie sie ihm präsentiert wurde. Er betrat keinen verbotenen Bereich des Systems. Er erlangte keine Informationen, die er nicht erhalten durfte. Er zwang den Automaten nicht von außerhalb seiner normalen Bedienung zu etwas. Er fand einfach nur eine ausnutzbare Abfolge innerhalb der gewöhnlichen Benutzererfahrung.[1]
Das klingt nach einer engen technischen Spitzfindigkeit, bis man erkennt, wie viel des modernen Lebens an genau dieser Unterscheidung hängt. Viele Rechtsstreitigkeiten über Computermissbrauch laufen darauf hinaus, ob „unbefugt“ bedeutet, in ein System einzubrechen, oder lediglich, ein verfügbares System auf missbilligte Weise zu benutzen. Kanes Fall landete auf der engeren Seite. Schlechtes Verhalten, selbst sehr profitables schlechtes Verhalten, ist nicht automatisch dasselbe wie unbefugter Zugriff.[1]
Das Casino-Problem im Inneren des Computer-Problems
Casinos hassen Asymmetrie. Ihr Geschäftsmodell beruht darauf, dass die Regeln feststehen, öffentlich sind und mathematisch zu ihren Gunsten kippen. Kane fand eine Asymmetrie, die in die andere Richtung lief. Der Automat hatte den Hausvorteil, bis seine eigene Software die Chronologie der Wette vergaß.
Genau das macht die Geschichte so befriedigend. Kane besiegte nicht die Wahrscheinlichkeit. Er besiegte die Umsetzung. Er entdeckte keine neue Glücksspielstrategie. Er entdeckte, dass die interne Buchführung des Automaten ein Loch hatte. Für das Casino mochte sich das wie Betrug anfühlen. Für das Gericht sah es eher so aus, als habe der Automat des Casinos selbst eine Transaktion falsch bepreist.
Es gibt einen Grund, warum solche Fälle Institutionen nervös machen. Sie zeigen, dass die wahre Macht in vielen Systemen nicht in den geschriebenen Regeln liegt, sondern in dem Code, der diese Regeln praktisch umsetzt. Wenn der Code die Regeln falsch umsetzt, kann das System anfangen, mit unbewegter Miene Unsinn auszuzahlen.
Warum er das Geld behalten durfte
Die populäre Version der Geschichte lautet, Kane habe „das Geld behalten dürfen“, und genau deshalb ist der Fall weithin in Erinnerung geblieben.[1] Der tiefere Grund ist jedoch nicht, dass das Gericht sein Verhalten gefeiert hätte. Sondern dass die von der Regierung gewählte Rechtstheorie nicht gut genug zu den Tatsachen passte. Den Anträgen auf Abweisung wurde stattgegeben, weil die Anklage die Voraussetzung des „Überschreitens autorisierten Zugriffs“ nach dem CFAA nicht erfüllte.[1]
Das ist auch jenseits von Casinos wichtig. Der Fall steht innerhalb eines viel größeren Streits darüber, wie weit Gesetze gegen Computerkriminalität ausgelegt werden sollten.[1] Wenn das Drücken der falschen Reihenfolge erlaubter Knöpfe an einem fehlerhaften Automaten schon zu einem Bundesverbrechen wegen Hackings werden kann, dann beginnt eine große Menge gewöhnlichen opportunistischen Verhaltens allein durch Metapher kriminalisiert zu werden. Die Entscheidung in Kane stemmte sich gegen diese Tendenz.
Sie sagte im Grunde, dass ein Softwarefehler nicht dasselbe ist wie eine verschlossene Tür. Und dass die Ausnutzung eines fehlerhaften Ablaufs nicht automatisch dasselbe ist wie ein Eindringen in verbotenen Raum.
Die seltsame Moral, die Maschine entscheiden zu lassen
Die ganze Episode hat etwas fast Philosophisches. Casinos verlangen von Spielern, der Maschine zu vertrauen, wenn sie sagt, dass sie verloren haben. Kane vertraute der Maschine, als sie sagte, dass er gewonnen habe. Das Casino wollte, dass dieses Vertrauen nur in eine Richtung funktioniert.
Genau darin liegt letztlich die Spannung im Kern von United States v. Kane. Ein computergestütztes System bot einem Nutzer ein Ergebnis an, das das System selbst möglich gemacht hatte. Der Nutzer verstand den Fehler besser als der Eigentümer. Der Eigentümer nannte das Betrug. Das Recht war, zumindest in diesem Fall, nicht bereit, es als Hacking zu bezeichnen.[1]
Und so landete John Kane in einer jener seltenen historischen Nischen, die für Menschen reserviert sind, die den unsichtbaren Riss in einem digitalen System finden und hindurchtreten, ohne technisch irgendwo hinüberklettern zu müssen. Ihm wurde nicht vorgeworfen, den Automaten aufgebrochen zu haben. Ihm wurde vorgeworfen, ihn zu gut verstanden zu haben.
