Der "Hackerparagraph" sorgt für Diskussion. Während der Staat gutwillige Hacker ausreichend geschützt sieht, fürchten IT-Experten, fortan mit einem Bein im Gefängnis zu stehen. ZDNet hat die Argumente beider Seiten zusammengetragen.
Am 24. Mai 2007 war es so weit: In einer spätabendlichen Sitzung winkte der Bundestag einen Gesetzesentwurf durch, der Computerkriminalität stärker bekämpfen soll. Der alte Paragraph 202a[1] ("Ausspähen von Daten") wurde verschärft und erweitert. Mittlerweile hat auch der Bundesrat grünes Licht gegeben.
Bisher war es laut Strafgesetzbuch verboten, Sicherheitsvorkehrungen zu durchbrechen, um an fremde Daten heranzukommen. Die neuen Paragraphen 202b[2] ("Abfangen von Daten") und 202c[3] ("Vorbereiten des Ausspähens und Abfangens von Daten") stellen jetzt bereits das Abhören von "nichtöffentlichen" Daten sowie den Besitz von so genannten "Hackertools" unter Strafe – mit Gefängnis bis zu einem Jahr. In der öffentlichen Diskussion haben vor allem Computerexperten, Penetration-Tester und Anwälte diese Erweiterungen des Strafgesetzbuches scharf kritisiert. Das Bundesjustizministerium[4] (BMJ) verteidigt sich und beteuert, auch weiterhin seien weder professionelle Computerforscher noch gutwillige Hacker in Gefahr.
Kriminalisierung von Forschung und Information?
Sicherheitslücken in Computersystemen werden oft von Experten aufgedeckt, die zwar gezielt nach Exploits suchen, diese jedoch nicht für kriminelle Zwecke ausnutzen. Bisher stand dieses Vorgehen nicht unter Strafe, denn nur wer sich durch eine Sicherheitslücke auch Daten verschaffte, machte sich strafbar. Allerdings war schon immer strittig, ob es nicht schon unter "Verschaffen" fiel, sich bestimmte Daten anzusehen – zum Beispiel Personaldaten. Mit den neuen Paragraphen ist diese Frage endgültig geklärt, und zwar zu Ungunsten der gutwilligen Tester: "Künftig wird es für eine Strafbarkeit bereits genügen, sich rechtswidrigen Zugang zu geschützten Bereichen unter Überwindung von Sicherheitsvorkehrungen zu verschaffen, ohne dass es einer Kenntnisnahme der Daten durch den Täter bedarf", sagt Horst Speichert, Rechtsanwalt bei ESB-Rechtsanwälte in Stuttgart.
 HORST SPEICHERT |
Das BMJ sieht hier jedoch keine Verschärfung, denn bereits nach geltendem §202a sei es strafbar gewesen, sich Daten zu verschaffen und Kenntnis zu nehmen, da die "Justiz diese Vorschrift entsprechend ausgelegt" habe. Die neue Regelung stelle nunmehr nur "sprachlich" klar, dass das "reine Hacking verboten" sei. "Die Strafwürdigkeit des Hackings liegt darin, dass schon beim Eindringen erhebliche Schäden entstehen können", heißt es aus dem Ministerium. Außerdem stehe das Hacking meist in engem Zusammenhang mit dem Begehen weiterer Straftaten – eine Aussage, die auch den bisher straffreien und spielerischen Umgang mit Computersoftware kriminalisiert.
| DER "BUNDESTROJANER" |  | Bundestrojaner kommt per E-Mail
von der Behörde[5] 29.08.2007 Polizei soll Spähsoftware künftig per elektronischer Amtspost verschicken dürfen Das Bundesinnenministerium von Wolfgang Schäuble plant, mit Hilfe gefälschter Behörden-E-Mails Bundestrojaner auf den Rechnern von Terrorverdächtigen zu installieren. Das meldeten der Kölner Stadt-Anzeiger und die Berliner Tageszeitung (Taz), wobei sie sich auf interne Papiere des Ministeriums beziehen. ( den kompletten Artikel lesen[5] ) | | Wolfgang Schäubles Überwachungspläne: Eine Übersicht[6] Bei der Vielzahl an heiß diskutierten Gesetzesentwürfen zu Überwachungsplänen des Bundesinnenministers Wolfgang Schäuble kann der normale Bürger schnell den Überblick verlieren. ( den kompletten Artikel lesen[6] ) | |
|
|
Dass der Täter "unbefugt" handeln muss, mildert das Gesetz nicht ab. Ganze Generationen von Computerexperten haben genau so ihr Handwerk gelernt, indem sie mehr oder minder unbefugt mit Unix-Maschinen experimentiert und ihre Schwachstellen gesucht haben. Das System der Selbstschulung durch Neugier und Experimentierfreude geht damit verloren. Nur noch wer Administrator, Berater oder
Penetrationstester[7] von einem Unternehmen den Auftrag zum Systemtesten bekommt, darf dies auch tun.
Eben diese Berufsgruppen sind es auch, die sowohl im Büro als auch auf ihren privaten PCs häufig so genannte "Hackertools" gespeichert haben, um damit ihre eigenen Netzwerke auf Sicherheitslücken zu überprüfen. Das kann ab jetzt gefährlich werden: Laut §202c StGB macht sich strafbar, wer "eine Straftat nach §202a oder §202b vorbereitet, indem er (...) Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht."
 |
| » Ob IT-Sicherheitsexperten, die Schadprogramme bewusst zu Testzwecken herunterladen und ausprobieren, tatsächlich unter den Straftatbestand fallen, dürfte noch zu großen dogmatischen Problemen und Diskussionen führen. « |
| HORST SPEICHERT, LEHRBEAUFTRAGTER UNIVERSITÄT STUTTGART UND BEI ESB-RECHTSANWÄLTE STUTTGART GBR |
|
Rechtsanwalt Speichert sieht hier eine Gefahr, trotz der Einschränkung, dass eine Straftat vorbereitet werden müsse: "Liest man die offizielle Gesetzesbegründung, nach der es auf die objektive Gefährlichkeit der Schadprogramme ankommen soll, wird der Penetrationstester trotzdem nicht mehr ruhig schlafen können", denn erst ein Vertragsverhältnis rechtfertigt es, Hackertools zu besitzen. Wer sich die Software einfach so beschafft, etwa um Artikel darüber zu schreiben oder sich weiterzubilden, könnte ins Visier des Gesetzes geraten. "Ob IT-Sicherheitsexperten, die Schadprogramme bewusst zu Testzwecken herunterladen und ausprobieren, tatsächlich unter den Straftatbestand fallen, dürfte noch zu großen dogmatischen Problemen und Diskussionen führen", so Speichert.
Eine ähnliche Sorge teilt die Gesellschaft für Informatik[8] (GI). Auf ihrer Website findet man noch ein weiteres Argument: "Problematisch ist die Einfügung des 202c StGB, weil Programme und Tools nicht nach ihrer Einsatzart, sondern vielmehr nach ihrem Aufbau definiert werden." Es sei aber schlicht nicht möglich, zwischen Anwendungen, die zur Begehung von Straftaten, und solchen, die ausschließlich für legale Zwecke hergestellt werden, zu unterscheiden. Auch die GI rechnet mit schwerwiegenden Folgen[9]: "Genauso wird jegliche Lehre, Forschung und Entwicklung und auch der einfache Gedankenaustausch zu Prüftools an Universitäten und Fachhochschulen mit diesem Paragraphen unter Strafe gestellt."
 CHRISTOPH PUPPE |
Wer sich jetzt unwohl in seiner Haut und mit seiner Festplatte fühlt, der sei darauf hingewiesen, dass der Rechtsausschuss des Deutschen Bundestages in einem Bericht (Bundestags-Drucksache 16/5449) ausdrücklich darauf hingewiesen hat, dass der gutwillige Umgang mit Hackertools durch IT-Sicherheitsexperten nicht von §202c StGB-E erfasst werde. Wer unter den Begriff "IT-Sicherheitsexperten" fällt, bleibt jedoch unklar: "Wer gehört eigentlich zu dieser Gruppe der nicht Betroffenen: der Sicherheitsberater, der Administrator, der Student und sein Lehrer, der Journalist oder auch der Arbeitslose, der sich für den Einstieg in die IT-Beratung weiterbilden möchte?", fragt Christoph Puppe, Sicherheitsberater bei Highsolutions.Ebenfalls strittig ist, wann die Publikation einer Sicherheitslücke zu Rechtsunsicherheit führen kann. Nach Aussage das BMJ gilt folgendes: "Beihilfe zu einer Tat nach §202c StGB kommt nur durch Unterstützung einer Vorbereitungshandlung wie das Verbreiten, Verschaffen und so weiter von "Hackertools" in Betracht. Die bloße Publikation einer Sicherheitslücke ist in der Regel keine auf eine bestimmte Vorbereitungstat gerichtete Unterstützungshandlung. Maßgeblich sind jedoch stets die Umstände des Einzelfalls." Der letzte Satz führt wieder zu einer Rechtsunsicherheit, denn was ist, wenn der Veröffentlicher der Sicherheitslücke mit dem böswilligen Hacker bekannt ist, zum Beispiel ein verärgerter Mitarbeiter genau diese Lücke ausnutzt?
Schon bisher zögern viele, eine Sicherheitslücke öffentlich zu machen, um Angriffen keinen Vorschub zu leisten. Wenn jetzt noch die eigene Rechtsunsicherheit dazukommt, sich nach §202c strafbar zu machen, könnte dies den Informationsfluss weiter beeinträchtigen. "Wer etwas gefunden hat, steht vor der Entscheidung, sein Wissen illegal zu versilbern oder zu veröffentlichen und eine Strafe zu riskieren", fasst Puppe zusammen.
Entwarnung für Telnet & Co.
|
| » Wer gehört eigentlich zu dieser Gruppe der nicht Betroffenen: Der Sicherheitsberater, der Administrator, der Student und sein Lehrer, der Journalist oder auch der Arbeitslose, der sich für den Einstieg in die IT-Beratung weiterbilden möchte? « |
| CHRISTOPH PUPPE, SICHERHEITSBERATER BEI DER IT-SECURITY-FIRMA HIGHSOLUTIONS |
|
In der öffentlichen Debatte gilt ebenfalls als unklar, was eigentlich genau unter den Begriff "Hackertools" fällt. Auf Anfrage teilt das BMJ mit, dass Standardsoftware nicht unter diesen Begriff fällt. Das Programm muss "nach Art und Weise des Aufbaus oder seiner Beschaffenheit auf die Begehung von Computerstraftaten (§§ 202a[1], 202b[2], 303a[10], 303b[11] StGB) angelegt sein." Es reicht nicht aus, dass die Computerprogramme zum Begehen einer Computerstraftat "lediglich geeignet" sind. Ursprünglich für andere Zwecke geschriebene Software, die lediglich zum Begehen von Computerstraftaten missbraucht werden kann und bei der sich erst durch die konkrete Anwendung entscheidet, ob das Programm "kriminell" oder "legitim" eingesetzt wird, werde nicht erfasst. | DER "BUNDESTROJANER" | | Bundestrojaner kommt per E-Mail
von der Behörde[5] 29.08.2007 Polizei soll Spähsoftware künftig per elektronischer Amtspost verschicken dürfen Das Bundesinnenministerium von Wolfgang Schäuble plant, mit Hilfe gefälschter Behörden-E-Mails Bundestrojaner auf den Rechnern von Terrorverdächtigen zu installieren. Das meldeten der Kölner Stadt-Anzeiger und die Berliner Tageszeitung (Taz), wobei sie sich auf interne Papiere des Ministeriums beziehen. ( den kompletten Artikel lesen[5] ) | | Wolfgang Schäubles Überwachungspläne: Eine Übersicht[6] Bei der Vielzahl an heiß diskutierten Gesetzesentwürfen zu Überwachungsplänen des Bundesinnenministers Wolfgang Schäuble kann der normale Bürger schnell den Überblick verlieren. ( den kompletten Artikel lesen[6] ) | |
|
|
Während das Ziel des Gesetzes, Computerkriminalität einzuschränken und zum Beispiel auch das Abhören von nichtöffentlichen Daten unter Strafe zu stellen, von kaum jemandem kritisiert wird, stehen die konkreten Ausführungen weiterhin unter Beschuss. Sie sind so weit gefasst, dass Computerexperten sich um die konkrete Auslegung durch die Gerichte sorgen. Denn die Richter werden vor großen Schwierigkeiten stehen, abzugrenzen, ob jemand ein Hackertool in krimineller Absicht einsetzen wollte, warum eine Sicherheitslücke publiziert wurde und ob schon ein Jugendlicher, der Papas Passwort geklaut hat, plötzlich strafbar im Sinne des Gesetzes wird. "Eine Abgrenzung nach der subjektiven Tatbestandsseite, also der Frage, ob der potentielle Täter ein Hackertool in krimineller Absicht einsetzen will, birgt unüberwindliche Beweisschwierigkeiten für die ermittelnden Staatsanwaltschaften und damit erhebliches Konflikt- und Risikopotential für die angesprochenen Berufskreise", so Rechtsanwalt Speichert.
Christoph Puppe mahnt zudem an, dass die Aufklärungsrate bei Straftaten durch andere Maßnahmen viel effektiver gesteigert werden könnte: "Wer heute die Stellenanzeigen des BKA und LKA betrachtet, sieht keine gut dotierten Posten für IT-Spezialisten. Die wären aber dringend nötig. Das neue Gesetz hilft hier wenig – allerdings ist es im Vergleich zu festangestellten IT-Profis natürlich wesentlich günstiger." §202a StGB[1]
Ausspähen von Daten
Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Nach §202a werden folgende §§ 202b und 202c in das StGB neu eingefügt:
§202b StGB[2]
Abfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.
§202c StGB[3]
Vorbereiten des Ausspähens und Abfangens von Daten
Wer eine Straftat nach §202a oder §202b vorbereitet, indem er
- Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
- Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
URLs in diesem Artikel:
[1] = http://www.gesetze-im-internet.de/stgb/__202a.html
[2] = http://www.gesetze-im-internet.de/stgb/__202b.html
[3] = http://www.gesetze-im-internet.de/stgb/__202c.html
[4] = http://www.bmj.bund.de
[5] = http://www.zdnet.de/security/news/0,39029460,39157305,00.htm
[6] = http://cgi.zdnet.de/security/?p=5
[7] = http://de.wikipedia.org/wiki/Penetrationstest_%28Informatik%29
[8] = http://www.gi-ev.de
[9] = http://www.gi-ev.de/aktuelles/meldungsdetails/meldung/159/
[10] = http://www.gesetze-im-internet.de/stgb/__303a.html
[11] = http://www.gesetze-im-internet.de/stgb/__303b.html
