Hacker und Administratoren werden zu Terroristen?

Gestern gab der Rechtsauschuss im Deutschen Bundestag „Grünes Licht für Verschärfung der Hackerparagraphen“.

Der Rechtsausschuss des Bundestags hat am heutigen Mittwoch den Regierungsentwurf zur besseren strafrechtlichen Bekämpfung der Computerkriminalität ohne Änderungen abgesegnet. Allein die Linkspartei stimmte gegen das Vorhaben. Den zahlreichen Bedenken aus der Wissenschaft und der IT-Wirtschaft gegen den Gesetzesentwurf, die unter anderem bei einer Anhörung im Bundestag im März zur Sprache gekommen waren, wollen die Parlamentarier mit einer Zusatzerklärung Rechnung tragen. Darin soll etwa klargestellt werden, dass die neuen und aufgebohrten Hackerparagraphen im Strafgesetzbuch (StGB) einer strengen Auslegung und Zweckbindung unterliegen.

Mir als Nicht-Jurist ist es unverständlich, wieso die juristisch bewanderten Abgeordneten es nicht hinbekommen, einen vernünftigen Gesetzestext zu formulieren. Und der Meinung sind, dass man Klarstellungen in einer Zusatzerklärung unterbringen kann. Vollkommen unverständlich ist, dass es fast keine Lobby ausser den Sicherheitsbehörden gab, die das Gesetz in dieser Form gut fand. Es kommt ja relativ selten vor, dass Wissenschaft, Industrieverbände, der Chaos Computer Club und der Bundesrat eine gemeinsame Front bilden, um Änderungen in den Gesetzestext hineinzubekommen. Und was machen die Oppositionsfraktionen der Grünen und der FDP? Die stimmen einfach zu. Warum? Das leuchtet mir nicht. Scheint mir auf jeden Fall selten dämlich und zeugt nicht gerade von Kompetenz. Weder bei der FDP, wo doch deren Lobby-Verbände dagegen waren, noch bei den Grünen, wo sich Jerzy Montag noch hinstellt und laut Heise folgendes verkündet:

Die Rechtspolitiker des Bundestages hielten es dagegen mit der Ansage des Karlsruher Generalbundesanwalts Michael Bruns, der Klarstellungen am Entwurf als „gesetzgeberisches Feuilleton“ bezeichnet hatte. Für Juristen seien die Tatbestände klar umrissen und verständlich, hieß es heute etwa bei den Grünen zur Begründung der Zustimmung zu dem Regierungsvorstoß. Zudem habe man sich an die internationalen Vorgaben in Form der Cybercrime-Konvention des Europarates und des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme zu halten, die mit dem Gesetz ins nationale Recht umgesetzt werden sollen. Experten schienen zahlreiche Formulierungen aus diesen beiden Texten aber klarer gefasst zu sein als im Papier der Bundesregierung. Auch der Bundesrat hatte zahlreiche Vorbehalte gegen den Entwurf ins Feld geführt.

Warum? Es kommt auch äusserst selten vor, dass man jetzt mal auf den Bundesrat hoffen muss, der ausnahmsweise mal eine vernünftige Position zu einem netzpolitischen Thema beschlossen hat.

Wie es auch bei netzpolitisch-relevanten Gesetzen so üblich ist, findet die Abstimmung übrigens in der kommenden Nacht gegen 2 Uhr im Bundestagsplenum statt. Reden dürften zum Protokoll gegeben werden. Das Thema scheint die Politik ja echt nicht zu interessieren. Ich denke mal, dass den Politikern teilweise wahrscheinlich gar nicht bewusst ist, was sie da angerichtet haben, auch wenn für den Juristen Jerzy Montag der Tatbestand klar umrissen und verständlich sien soll. Das findet ausser ihnen irgendwie niemand. Und wenn man sich mal den Zusammenhang des Tatbestandes der Computersabotage in §303b mit §129 Bildung einer terroristischen Verinigung anschaut, dann dürfte das kommende Camp des Chaos Computer Club wohl als Terror-Zeltlager eingestuft werden. Ein Bärendienst für mehr IT-Sicherheit in Deutschland. Danke an die Juristen im Deutschen Bundestag. Beim nächsten Mal am Besten auf die Leute hören, die sich mit dem Thema auskennen.

Weitere Infos:

Die Bundesdrucksache mit der Beschlußvorlage findet sich hier.

Interessant ist ja der Zusammenhang von §303b (Computersabotage) und §129a (Bildung terroristischer Vereinigungen)

In §303b heisst es bisher:

(1) Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch stört, daß er

1. eine Tat nach § 303a Abs. 1 begeht oder
2. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert,

wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

Künftig heisst es laut Beschlussvorlage:

6. § 303b wird wie folgt geändert:

a) Absatz 1 wird durch die folgenden Absätze 1 und 2 ersetzt:

„(1) Wer eine Datenverarbeitung, die für einen an- deren von wesentlicher Bedeutung ist, dadurch erheb- lich stört, dass er

1. eine Tat nach § 303a Abs. 1 begeht,
2. Daten (§ 202a Abs. 2) in der Absicht, einem ande- ren Nachteil zuzufügen, eingibt oder übermittelt oder
3. eine Datenverarbeitungsanlage oder einen Daten- träger zerstört, beschädigt, unbrauchbar macht, be- seitigt oder verändert,
wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geld- strafe.“
b) Der bisherige Absatz 2 wird Absatz 3.
c) Die folgenden Absätze 4 und 5 werden angefügt:

„(4) In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter

1. einen Vermögensverlust großen Ausmaßes herbeiführt
2. gewerbsmäßig oder als Mitglied einer Bande han- delt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat,
3. durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutsch- land beeinträchtigt.

(5) Für die Vorbereitung einer Straftat nach Ab- satz 1 gilt § 202c entsprechend.“
7. In § 303c wird die Angabe „bis 303b“ durch die Wörter „ , 303a Abs. 1 und 2 sowie § 303b Abs. 1 bis 3“ ersetzt.

Und Vorbereitung einer Straftat ist entsprechend 202c die Entwicklung von Werkzeugen. Mir fällt gerade keine Software ein, die *nicht* geeignet wäre, Daten zu verändern. Und genau diese Schwammigkeit ist ja das Problem: ruck-zuck hat man ein 129a-Verfahren am Hals, weil die Vermutung besteht, man könne ja…:

In §129a heisst es u.a.:

(2) Ebenso wird bestraft, wer eine Vereinigung gründet, deren Zwecke oder deren Tätigkeit darauf gerichtet sind,

2. Straftaten nach den §§ 303b, 305, 305a oder gemeingefährliche Straftaten in den Fällen der §§ 306 bis 306c oder 307 Abs. 1 bis 3, des § 308 Abs. 1 bis 4, des § 309 Abs. 1 bis 5, der §§ 313, 314 oder 315 Abs. 1, 3 oder 4, des § 316b Abs. 1 oder 3 oder des § 316c Abs. 1 bis 3 oder des § 317 Abs. 1,

Und im neuen §303b gibt es einen Absatz 5, nachdem §202c sinngemäß für die in §303b genannten Handlungen gilt.

Erste Reaktionen auf den Beschluss des Rechtsauschusses:

Andreas Bogk: §202c so gut wie verabschiedet.

Toll bei diesem Fall finde ich ja auch, wie gut die Gewaltenteilung funktioniert. Der Gesetzesentwurf kommt ja via Justizministerium aus dem Kabinett, also der Exekutive. Und in der Anhörung stellt sich ein Generalbundesanwalt, also verwaltungstechnisch auch dem Justizministerium zugeordnet, hin, und diffamiert jeglichen Versuch der Legislative, tatsächlich am Gesetzgebungsprozeß teilzuhaben, als “gesetzgeberisches Feuilleton”.

Andreas bezieht sich auf eine Anhörung vom Rechtsausschuss, wo dieses Zitat gefallen ist: Klarstellungen bei neuen Hackerparagraphen gefordert. Das Protokoll der Anhörung findet sich hier.

Frank Rieger: Lobbying ist tot und Politiker sind Idioten.

Die Grünen: umgefallen weil ihr Ausschussmitglied Jerzey Montag den knallharten Sicherheitsmacker markieren will (bayrischer Schnurrbartträger, hätte eigentlich Warnsignal genug sein müssen…). Die SPD: sagt das sie ja eigentlich verstanden hat, daß da Änderungsbedarf besteht, winkt aber durch weil ihr Ausschussvorsitzender keinen Bock hat nochmal wg. Überschreiten der Deadline für die Umsetzung einer EU-Direktive angpfiffen zu werden, und überhaupt, die Fraktionsdisziplin. Die CDU/CSU: interessiert sich nicht mal mehr für die Meinung der betroffenen Industrie, wegen der Sicherheit. Die FDP: denkt wahrscheinlich gerade eher über die Farbe der nächste Dauerwelle für ihren Vorsitzenden nach.

Damit auch keine weiteren Zweifel aufkommen wir das de-facto Berufsverbot für Computersicherheitsforscher in Deutschland nachts um zwei beschlossen werden, als Tagesordnungspunkt Nr. 23.

In einer Pressemitteilung verkündet ECO, der Verband der deutschen Internetwirtschaft, u.a. folgendes:

Die Ergebnisse der Anhörung wurden ignoriert. Im Ergebnis ist es jetzt nicht ausgeschlossen, dass Computerprogramme, die zu einem legitimen Zweck wie der Sicherheitsprüfung von IT-Systemen verwendet werden, vom Anwendungsbereich des Gesetzes erfasst werden. Aus der Sicht der Wirtschaft, für die die Computerkriminalität eine enorme Herausforderung und eine existenzielle Bedrohung ist, ist das Gesetz daher schlicht kontraproduktiv.

Die PM kam leider nur als PDF und findet sich nicht im Netz.

Einen guten Hintergrundartikel gab es von Matthias Spielkamp in der brand eins 1/2007: DAS TROTZKOPF-PRINZIP.

Die Bundesregierung will den Besitz von Programmen bestrafen, mit denen sich Schaden anrichten lässt.
Dummerweise soll das auch für Sicherheitsfachleute gelten. Die IT-Branche kämpft in seltener Einigkeit gegen den Plan – vermutlich vergeblich.

23 Ergänzungen

  1. Tja… unsere Politiker sind einfach nur noch peinlich. Was soll man sonst noch dazu sagen?

    Von Tuten und Blasen keine Ahnung, aber uns regieren… ja, das können sie.

  2. Die Marke des „Präventivstaates“ ist eindeutig überschritten, wir sind auf dem besten Weg zum Totalitarismus.

    Der grundgesetzliche Widerstand ist nun nicht mehr weit weg.

    Wer sich nicht wehrt, lebt verkehrt!

  3. Mark, soweit sind wir sicherlich nicht. Aber trotzdem ist diese Entscheidung eine dumme Entscheidung.

  4. Nach diesem gesetzt müste theoretisch sämmtliche
    Computer Clubs und wie gesagt CCC Geschlossen werden
    da dort auch eben viel nach lücken gesucht wird.
    Und auch viele der Administrations tools würden
    warscheinlich schaden davon tragen, davon ma abgesehen
    das „durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutsch- land beeinträchtigt.“
    bedeutet das der Bundes Trojaner auch verboten ist da
    dies ja wieder eine Sicherheitslücke in den PC der Bevölkerung/Bundesrepublik Deutschland is.

    Lächerlich kann jemand diese Grauhaarigen Greise auf rütteln ?

  5. Was soll man dazu noch sagen???

    Nüscht mehr.

    Windows XP nun als Software auf der roten Liste. Wlan-Scanner OnBoard, Editor zum manipulieren von Daten und das zubehör wie ein Virenscanner. Die Firmen können nun alle Dicht machen.

    MS bringt ja auch Patches raus, diese vorgehensweise ist nun auch illegal. Da man ja erst ne lücke suchen muss, bevor man sie stopft.

    Als nächstes kommt ein Internetverbot. Dort bekommt ja alles und man damit auch noch kommunizieren.

  6. Möglicherweise gibt es da eine Verbindung zur Online-Durchsuchung. Wenn man keine Werkzeuge zur Schwachstellenanalyse hat, kommt der Bundestrojaner viel einfacher rein.

  7. Hacker sind die Guten, Cracker die Bösen! Nicht
    verwechseln wie hier!!

    omg ich hasse solche die keine Arnung davon haben …

  8. ich will ja hier nicht in eurer kleines paradies eindringen, aber hat irgeneiner von euch ahnung von jura? scheint mir nicht der fall zu sein. ich bin zufaellig jurist und das gesetz ist durchaus klar und deutlich verstaendlich fuer juristen und das sind ja wohl die leute die sich damit beschaeftigen muessen, oder? im uebrigen wurden die angesprochenen probleme im gesetzgebungsprozess beruecksichtigt und stellen meiner ansicht nach kein problem dar. eine strafbarkeit nach den neuen vorschriften setzt zum einen unbefugtes handeln voraus, was ja wohl nicht zutrifft fuer leute, die sicherheitsluecken aufspueren, zumindest nicht, wenn sie das im auftrag tun. und diejenigen die meinen, im interesse der weltgemeinschaft sicherheitsluecken auf eigene faust aufspueren zu muessen ohne irgendjemanden zu fragen, ob er damit einverstanden ist, sind meiner meinung nach nicht schuetzenswert. zweitens wird nur die entwicklung solcher programme unter strafe gestellt, die zur kriminellen verwendung bestimmt sind und nicht solche die zur sicherheitspruefung oder aehnlichem verwendet werden. hoert sich doch schon ein bisschen anders an, oder? bevor man ueber die mangelnde bereitschaft anderer abkotzt, alle seiten zu beruecksichtigen, sollte man doch sicher gehen, dass man nicht dasselbe macht.

  9. @karul der war gut. schon mal darüber nachgedacht was Administratoren benutzen? Ok nach deiner Aussage heisen die Hackertools ab Heute Sicherheitslücken-Untersuchungssoftware. Wären sie damit Legal ich glaube nicht das sie vornehmlich dazu dienen in Systeme einzudringen. Und solche Tools zu benutzen, dies wurde verboten. Ob der Admin das System testen darf oder nicht spielt doch bei der Benutzung keine Rolle.
    Ein weiteres Problem ist doch die Weitergabe von Passwörtern. In unserer Behörde wird schon heftig diskutiert ob mann sein PW bei Urlaub weitergeben darf. Mein Kollege könnte ja ein Schläfer sein, wenn der was mach am System macht, bin ich dran, dies nennt sich ja nun Vorbereitung einer Straftat.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.