Verschärfte Hackerparagrafen kriminalisieren auch Sicherheitsexperten

Mit dem am 11. August dieses Jahres in Kraft getretenen 41. Strafrechtsänderungsgesetz zur Bekämpfung von Computerkriminalität (41. StrÄndG ) geht es Hackern härter an den Kragen. Nach den neuen und verschärften Strafvorschriften wird mit Freiheitsstrafe oder Geldstrafe bestraft:

"[...] wer eine Straftat vorbereitet, indem er Passwörter oder sonstige Sicherheitscodes, die den Zugang zu Daten ermöglichen oder Computerprogramme deren Zweck die Begehung einer solchen Straftat ist, herstellt, sich oder einem anderen verschafft, verkauft, überlässt, verbreitet oder sonst zugänglich macht [...]" (202c Strafgesetzbuch).

Strafbar sind des Weiteren der unbefugte Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen (§ 202a StGB) sowie das Verschaffen von Daten aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage (§ 202b StGB). Auch private Datenverarbeitungen sind nun vor Computersabotage (§ 303b StGB) strafrechtlich geschützt. Je nach Schwere der Tat drohen Hackern bis zu zehn Jahre Haft.

Was zum Schutz vor der rasant umgreifenden Computerkriminalität durchaus zu begrüßen ist, erweist sich jedoch an anderer Stelle als kontraproduktiv. Denn besonders die sehr weite Definition des § 202c StGB kriminalisiert auch IT-Sicherheitsexperten, die von Unternehmen engagiert werden, um deren Computersysteme auf Sicherheitslücken und Schwachstellen zu testen. Auch die Entwicklung von Spezialsoftware, mit der Computerangriffe zukünftig vermieden werden sollen, wäre demnach fragwürdig. Denn um Sicherheitslücken aufzudecken, bedient man sich der gleichen Methoden und Werkzeuge wie die Hacker - nur eben mit gänzlich anderer Absicht.

Nach Ansicht der Gesellschaft für Informatik e.V. (GI) sei der 202c StGB deshalb so problematisch, weil Programme und Tools nicht nach ihrer Einsatzart, sondern vielmehr nach ihrem Aufbau definiert würden. Eine Unterscheidung in Anwendungen, die zur Begehung von Straftaten und solche, die ausschließlich für legale Zwecke hergestellt werden, ist aber nicht möglich. Somit führe der gewählte Wortlaut zu einer Kriminalisierung der heute in allen Unternehmen, Behörden und von Privatleuten verwendeten Programme zur Aufdeckung von Sicherheitslücken in IT-Systemen. Derartige Programme und Tools sind zur Absicherung gegen Angriffe jedoch unverzichtbar. Genauso werde jegliche Lehre, Forschung und Entwicklung und auch der einfache Gedankenaustausch zu Prüftools an Universitäten und Fachhochschulen mit diesem Paragrafen unter Strafe gestellt. (Quelle: www.gi-ev.de, "Entwurfsfassung des § 202c StGB droht Informatiker/innen zu kriminialisieren", Pressemeldung vom 03.07.2007)

Der Chaos Computer Club (CCC) kritisiert ebenfalls, dass durch die ausgesprochen weite Fassung des neuen Gesetzes der Besitz, die Herstellung und die Verbreitung von präventiven Werkzeugen, mit denen die Sicherheit von Computern geprüft werden kann, in Deutschland strafbar werde. Diese Werkzeuge seien jedoch essentiell, um die Sicherheit von Computersystemen zu gewährleisten. Das allgemeine Verbot dieser Software sei etwa so hilfreich wie die Herstellung und den Verkauf von Hämmern zu verbieten, weil damit manchmal auch Sachbeschädigungen durchgeführt würden. Vielmehr werde so systematisch der gesetzliche und organisatorische Rahmen geschaffen, um Bürger und Unternehmen wehrlos gegenüber Computerangriffen, Wirtschaftsspionage und auch dem Bundestrojaner zu machen. (Quelle: www.ccc.de, "Verbot von Computersicherheitswerkzeugen öffnet Bundestrojaner Tür und Tor", 25.05.2007)

In der Tat sollte für das derzeitige Lieblingsprojekt "Bundestrojaner" unseres Bundesinnenministers Dr. Wolfgang Schäuble der § 202c StGB förderlich sein. Immerhin ist dieser bestrebt, die mittels Bundestrojaner realisierten Online-Durchsuchungen von Privatcomputern – selbstverständlich im Kampf gegen den internationalen Terrorismus – verdeckt zu halten.

Andererseits führt die neue Gesetzgebung aber auch die Arbeit des Bundesamts für Sicherheit in der Informationstechnik (BSI) ad absurdum. Laut Drucksache 16/5860 des Deutschen Bundestages vom 29.06.2007 soll dessen bisher überwiegend beratende Funktion um operative Befugnisse zur Verbesserung der IT-Sicherheit der Bundesnetze erweitert werden. Dazu zählen insbesondere die Erhebung, Speicherung und Auswertung der für den technischen Schutz notwendigen Daten sowie die Anordnung von Maßnahmen zur Prävention und Abwehr IT-gestützter Angriffe. Zum Schutz vor internetbasierter Kriminalität wie Spionage, Ausspähen von Daten und Phishing stelle das BSI zielgruppenorientiert entsprechende Beratungs-, Warn- und Informationsdienstleistungen bereit und trage mit konkreten Produkten und Einsatzempfehlungen zu einer Grundabsicherung von IT-Systemen bei. Hierzu zählt z.B. die BSI Open Source Security Suite (BOSS), die Tools wie Nessus und Snort-2 enthält, die nach derzeitiger Ansicht als "Hackertools" gelten.

Und so legt das BSI die neue Gesetzeslage denn auch etwas anders aus als ihre Kritiker. Laut BSI-Pressesprecher Matthias Gärtner werde nach dem neuen § 202 c StGB das Herstellen, Überlassen, Verbreiten oder Verschaffen von "Hacker-Tools" nicht als solches unter Strafe gestellt. Es mache sich danach nur derjenige strafbar, der eine Straftat nach § 202 a oder § 202 b StGB vorbereitet, indem er sich solche Tools verschafft. Die Hacker-Tools müssten also der Vorbereitung des unbefugtes Ausspähens oder Abfangens von Daten dienen und zu diesem Zweck auch bewusst eingesetzt werden. §§ 202 a und 202 b StGB sprächen aber übereinstimmend davon, dass die jeweilige Tathandlung "unbefugt" geschehen muss. Wo eine Einwilligung dessen vorliegt, bei dem Daten untersucht werden, etwa im Rahmen einer IT-Sicherheitsberatung, erfolge der Datenzugang mit einer entsprechenden Befugnis. Eine Strafbarkeit scheide in solchen Fällen aus. (www.linux-magazin.de, "Stimmen zum Verbot von Hackertools", Autor: Jan Rähm, 2007)

Dennoch haben erste Entwicklergruppen von Sicherheitswerkzeugen ihre Konsequenzen bereits gezogen und ihre Projekte gestoppt bzw. ins Ausland verlagert.