Über Sci-Hub, das illegale Paper-Beschaffungsportal aus Russland, haben wir an dieser Stelle (und drüben bei LabTimes) bereits berichtet. In meinem vorigen Editorial habe ich mich aber mit einem Urteil über die von der kasachischen Wissenschaftlerin Alexandra Elbakyan aufgebaute Piratenseite zurückgehalten.
Mittlerweile habe ich aber schon den Eindruck gewonnen, dass manche Sci-Hub-Enthusiasten arg sorglos der Maxime "Der Zweck heiligt die Mittel" folgen. Und vor der dunklen Seite von Sci-Hub die Augen verschließen.
Und damit meine ich nicht die Copyright-Verletzungen, die Sci-Hub millionenfach begeht. Diese sind zwar illegal, aber moralisch kaum mit "Diebstahl" gleichzusetzen, auch wenn Verleger genau das behaupten. Die eigentlichen Urheber, die Autoren der Fachartikel also, werden von Sci-Hubs Urheberrechtsverstößen jedenfalls in keiner Weise geschädigt.
Der problematische Aspekt des Portals zeigt sich anderswo. Und der Nutzer bekommt davon kaum etwas mit. Manchmal aber erhascht man einen kleinen Einblick hinter die Kulissen der Paper-Piraterie. So ging es einem Nutzer, der Laborjournal einen Screenshot der Seite zeigte: Im Sci-Hub-Fenster tauchte nach einer Suchanfrage plötzlich eine Fehlermeldung mit dem Logo der Bibliothek der schwedischen "Königlich Technischen Hochschule" (KTH) auf. Der Zugang sei gesperrt, wegen des großen Volumens illegaler Downloads. Was hat denn die KTH mit Paper-Piraten zu tun? Was ist da passiert?
Das Beispiel zeigt: Sci-Hub geht deutlich weiter, als nur Urheberrecht zu verletzen. Gibt ein User eine Paper-DOI in die Suchmaske ein, schaut Elbakyans Algorithmus zuerst in einer Piraten-Datenbank namens LibGen nach, ob das Paper dort schon hinterlegt ist. Mehr als 50 Millionen Papers umfasst diese Sammlung bereits. Wird Sci-Hub dort fündig, reicht es die Kopie an den Nutzer weiter.
Aber Sci-Hub kann mehr.
Findet LibGen das Paper nämlich nicht, versucht Elbakyans Algorithmus, Zugang über eine Uni- oder Institutsbibliothek herzustellen. Sci-Hub dringt also automatisiert und unbefugt in Forschungs-IT-Netzwerke ein. So auch in obigem Beispiel – nur war da der gehackte Account der KHT schon dicht gemacht.
Cecilia Widmark, IT-Verantwortliche der KHT-Bibliothek, hat bestätigt, dass man tatsächlich Probleme mit illegalen Downloads hatte, mehrmals im vergangenen Jahr. Die Verlage sperren dann den Zugang und senden der Bibliothekarin Log-Einträge mit verdächtigen Aktivitäten.
Sci-Hub hat offenbar "echte", also an der KHT legitim registrierte Passwörter benutzt. Aber wie die Zugangswörter in die Hände von Alexandra Elbakyan gelangt sind, das konnte die Bibliothekarin nicht klären. Die legitimen Besitzer der Accounts waren laut Widmark völlig ahnungslos, dass ihr Account für diesen Zweck missbraucht wurde. Und das ist ist kein Einzelfall, Institute weltweit sind von diesen Angriffen betroffen.
Sci-Hub bereitet also den legitimen Passwort-Inhabern Ärger, blockiert eventuell ihre Accounts und verursacht zusätzliche Arbeit für Bibliothekare. Wenn Sci-Hub einzelne Bibliotheken übermäßig aussaugt, so treibt das auch die Nutzungs-Statistik nach oben. Und die "Usage" der Verlagsangebote ist ein wichtiger Parameter bei Preisverhandlungen; die Sci-Hub-Aktivitäten könnten also auch bares Geld kosten.
Aber wie kommt Sci-Hub an die Passwörter ran? Niemand weiß das so genau und Elbakyan erzählt es nicht. Man konnte früher (und kann teilweise immer noch) Passwörter für universitäre Bibliotheksnetze durch geduldiges Googlen finden, in abgelegenen Ecken des Internets. Anonyme Upload-Server wie Pastebin spielen wohl ebenfalls eine Rolle für das "Passwort-Crowdsourcing".
Aber damit ihr Service funktioniert, braucht Elbakyan einen ständigen Nachschub an frischen Zugangscodes. Denn sobald ein Verlag ungewöhnliche Aktivitäten bemerkt, sperrt er den jeweiligen Account. Der Uni-Bibliothekar muss dann als verlängerter Arm des Verlegers das Leck suchen, den angezapften Nutzer-Account verifizieren und das Passwort zurücksetzen. Sci-Hub ist dann erst mal wieder ausgesperrt, das Katz-und-Maus-Spiel beginnt von Neuem, Elbakyan braucht neue Passwörter.
Sci-Hub könnte seine digitalen Schlüssel zum Beispiel von ehemaligen Mitarbeitern bekommen, oder irgendwie aus zweiter Hand (z. B. von einem Praktikanten, der das Passwort für Literaturrecherchen von seinem Arbeitsgruppenleiter auf Vertrauensbasis bekommen hat).
Oder eben über "Phishing", also gezielten und organisierten Passwort-Diebstahl. Zumindest ein Bibliothekar (Edward Sanchez von der Marquette University) berichtet von Forschern, die über gefälschte Online-Formulare dazu aufgefordert wurden, ihr Passwort zu übergeben. Und die Spur dieser Phishing-Aktion führte Sanchez zufolge eindeutig zu Sci-Hub.
Elbakyan bestreitet jedoch, dass sie selbst Phishing eingesetzt habe. Was aber nicht heißt, dass Sci-Hub nicht doch auf Passwörter aus solchen digitalen Raubzügen zurückgegriffen hat.
Wie auch immer. Jedenfalls ist Elbakyans Beschaffungslogistik sehr intransparent, und man muss davon ausgehen, dass an irgendeiner Stelle das Vertrauen von Forschern missbraucht wird, von irgendwem, um an die digitalen Bib-Schlüssel zu gelangen.
Sci-Hub ist nicht nur praktisch, sondern auch eine tolle Geschichte: Eine einzelne, über die vorherrschende Verlagspolitik frustrierte Wissenschaftlerin revolutioniert "das System" durch eine simple, selbst geschriebene Software.
Robin Hood gegen Sherrif Elsevier, David gegen den Goliath Springer.
Aber verführt uns diese schöne Geschichte vielleicht dazu, dass wir nicht so genau hinschauen, ob die kasachische Revoluzzerin wirklich nur Gutes bewirkt?
Ist es wirklich wünschenswert, wenn ein jenseits der Gesetze operierender Service aus Russland weltweit in Uni-Netzwerke einbricht?
Wer garantiert denn, dass Elbakyan (oder jemand anderes, der Kontrolle über Sci-Hub hat) nicht der Versuchung verfällt, dieses Hacking-Werkzeug auch für ganz andere Zwecke einzusetzen? In Uni-Netzen gibt es ja nicht nur trockene Fachliteratur, sondern allerlei andere, vertrauliche Informationen (siehe auch "Sci-Hub: An Open Letter to University Faculty", von Rick Anderson).
Transparenz und Datenschutz fordern wir zurecht von Google und Facebook, auch von Elsevier und Springer. Wieso sollten wir für Alexandra Elbakyan eine Ausnahme machen?
Hans Zauner