Nach der Ankündigung einer Selbstanzeige wegen der Unklarheiten darüber, was mit dem neuen 202c StGB noch legal ist und was nicht, hat nun TecChannel eine Strafanzeige gegen den Verantwortlichen für die Website des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eingereicht. Begründung: Das BSI bietet auf der BOSS-CD u.a. den Password-Cracker “John the Ripper” an.

Die Staatsanwaltschaft in Bonn (Sitz des BSI) hat nun zwei Möglichkeiten:

Der Anzeige wird NICHT stattgegeben, weil das BSI nach Meinung der Staatsanwaltschaft keine strafbare Handlung begeht
Der Anzeige wird STATTGEGEBEN, und die Ermittlungen gegen Unbekannt werden aufgenommen, weil der Verdacht besteht, dass hier eine strafbare Handlung vorliegt.

In beiden Fällen ergibt sich für TecChannel.de und alle anderen seriösen Internetseiten sowie Sicherheitsexperten eine weitaus bessere Rechtssicherheit:

Heise: Bundesrat billigt verschärfte Hackerparagraphen.

Der Bundesrat hat in seiner Plenarsitzung am heutigen Freitag die heftig umstrittene Novelle des Strafgesetzbuches (StGB) zur Bekämpfung der Computerkriminalität ohne weitere Aussprache passieren lassen. Die Länderchefs folgten damit der Empfehlung des Rechts- und des Wirtschaftsausschusses, den Vermittlungsausschuss mit dem Parlament nicht anzurufen.

Spiegel: Gesetz kriminalisiert Programmierer.

Wenn Hartmut Pohl, Professor für Informationssicherheit, weiter forscht und lehrt, wird er sich strafbar machen. In seinen Übungen an der Fachhochschule Bonn-Rhein-Sieg spürt er mit Studenten Schwachstellen in den Computersystemen von Firmen und Behörden auf - mit Zustimmung der so Erforschten. Doch bald sind die dafür notwendigen Programme verboten. Der Bundesrat hat heute das entsprechende Gesetz beschlossen, im Bundestag ist die entsprechende Änderung des Strafrechts längst durch. Das Gesetz gilt , sobald es im Bundesgesetzblatt verkündet ist - das dürfte in wenigen Wochen geschehen. Die Folgen beschreibt Informatiker Pohl gegenüber SPIEGEL ONLINE so: “Dieses Gesetz verbietet, was ich mit meinen Studenten jeden Tag in Übungen und Seminaren mache.”

Golem: Bundesrat winkt verschärften Hacker-Paragraphen durch.

Für Kritik sorgt vor allem die Einführung des § 202c StGB “Vorbereiten des Ausspähens und Abfangens von Daten”. Demnach macht sich strafbar, wer “Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder [...] Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht” und riskiert bis zu ein Jahr Freiheitsstrafe. Dabei gilt als Straftat nach § 202b, wenn jemand “sich oder einem anderen unbefugt unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft”. Der geänderte §202a stellt unter Strafe, sich oder einem anderen unbefugt “Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung” zu verschaffen.

Pressemeldung der Gesellschaft für Informatik vom 3. Juli: Entwurfsfassung des § 202c StGB droht Informatiker/innen zu kriminialisieren.

Problematisch ist die Einfügung des 202c StGB, weil Programme und Tools nicht nach ihrer Einsatzart, sondern vielmehr nach ihrem Aufbau definiert werden. Eine Unterscheidung in Anwendungen, die zur Begehung von Straftaten und solche, die ausschließlich für legale Zwecke hergestellt werden, ist aber nicht möglich. Der gewählte Wortlaut führt zu einer Kriminalisierung der heute in allen Unternehmen, Behörden und von Privaten verwendeten Programme zur Aufdeckung von Sicherheitslücken in IT-Systemen. Derartige Programme und Tools sind zur Absicherung gegen Angriffe jedoch unverzichtbar (Penetration Testing). Genauso wird jegliche Lehre, Forschung und Entwicklung und auch der einfache Gedankenaustausch zu Prüftools an Universitäten und Fachhochschulen mit diesem Paragrafen unter Strafe gestellt.

tagesschau.de: “Es ist sinnlos, die Tools moralisch zu bewerten”.

“Es ist sinnlos, diese Tools moralisch zu bewerten”, sagt der Systemadministrator und IT-Sicherheitsexperte Serge Königsmann gegenüber tagesschau.de. Die Programme seien schlicht und einfach Werkzeuge. Entscheidend sei, wie sie eingesetzt würden. “Das ist wie mit einem scharfen Messer: Damit kann ich eine Scheibe Brot abschneiden oder aber jemanden umbringen.” Den Besitz von “Hacker Tools” unter Strafe zu stellen, sei weltfremd, meint Königsmann. “Sollte dieser Paragraf Realität werden, können Systemadministratoren ihre Arbeit nicht mehr machen.” Der Sicherheitsexperte befürchtet zudem, dass das Gesetz Ansätze torpedieren wird, mehr Transparenz in Sicherheitssysteme zu bringen.

Südkorea plante schon 2005 Vorschriften, nach denen sich User online mit Realnamen ausweisen müssen. Die Argumente waren die üblichen, die man hierzulande hört, genau wie die Kritik. Alternativ sollten die Netiquette gestärkt und die gemeinen User erzogen werden, wenn die Technik unzulänglich funktioniert und Mißbrauch möglich bleibt.

Jetzt soll, wie AsiaMedia berichtet, das passende Gesetz veranschiedet werden:

The internet real-name system, designed to prevent cyber crimes such as libel and privacy infringement, will be applied to Web portals and websites of public organizations with over 100,000 visitors per day.

The system will require Web users to identify themselves with their real names when posting entries and commenting on others’ articles, the government said yesterday.

A revision bill of “the law on promotion of information and communications network and protection of information,” was passed by the National Assembly on Dec. 22. The bill will be promulgated this month, the Ministry of Information and Communication said.

Es soll im Februar bereits Anhörungen geben, und das Gesetz könnte womöglich noch im Juli 2007 in Kraft treten. Widerstand von den Usern könnte schwach ausfallen: Online-Umfragen von 2005 liefern beunruhigend geringe Skepsis.

Am Montag hatten wir noch ein Treffen bei der Humanistischen Union zum Thema Vorratsdatenspeicherung, wo die generelle Einschätzung war “das kann noch ein wenig dauern”. Nun geht es doch überraschend schnell: Justizministerin Zypries hat heute einen umfassenden Gesetzesentwurf zur Neuordnung der Telekommunikationsüberwachung vorgestellt. Haupt-Inhalt ist einerseits eine Änderung der Strafprozessordnung (z.B. die Einführung von speziellen Ermittlungsrichtern, die auf sowas spezialisiert sein sollen), und die Möglichkeit der TK-Überwachung nur noch bei schweren Straftaten. Damit dominiert Frau Zypries leider gerade die Schlagzeilen. Was aber auch in dem Entwurf steht, ist die Umsetzung der EU-Richtlinie zur Vorratsdatenspeicherung sowie des Europarat-Abkommens zu Cybercrime - beides Sachen, gegen die die Datenschützer seit langem Sturm laufen. Der Referentenentwurf geht jetzt in die anderen Ministerien zur Abstimmung - mal sehen, wann er auch öffentlich verfügbar wird. Im Frühjahr 2007 soll die Sache im Kabinett beraten werden. Die Bürgerrechtsorganisationen laufen sich gerade warm.

Pressemitteilung des BMJ, Bericht von heise.

Die Proteste von CCC und anderen gegen eine Neufassung des §202 StGB scheinen zu greifen. Der Bundesrat findet den Entwurf des Justizministeriums jedenfalls gar nicht gut:

Auch mit dem Versuch, über eine Ergänzung des Paragraphen 202a StGB das Phänomen “Hacking” besser zu fassen, ist die Bundesregierung nach Ansicht des Bundesrats gescheitert. Dies sei vor allem darauf zurückzuführen, dass der Entwurf auf den Zugang zu Daten abstelle, kaum aber noch elektronische Geräte existierten, die ohne Datenspeicherung und -verarbeitung auskommen. Beispielsweise würde sich nach dem Entwurf wohl strafbar machen, wer sich Zugang zu dem von seinem Kind verschlossenen MP3-Player verschaffe, um die darauf gespeicherten Musikstücke anzuhören. Ebenfalls strafbar machen könnte sich ein Jugendlicher, der sich das von seinen Eltern an einem vermeintlich sicheren Ort verwahrte Passwort für nicht jugendfreie Sendungen im Pay-TV verschafft und sich verbotener Weise eine solche Sendung ansieht, halten die Länder fest. Es handele sich dabei lediglich “um Beispiele aus einer nicht überschaubaren Palette von Handlungen, die unter den neuen Tatbestand fallen würden”.