Chaos Computer Club: Gesetzentwurf gefährdet die Computersicherheit

Pressemeldung von heute: Chaos Computer Club: Gesetzentwurf gefährdet die Computersicherheit.

Das Bundeskabinett hat am 20. September einen Regierungsentwurf zur Änderung des Strafrechts in Zusammenhang mit Computersystemen beschlossen. Dabei soll u. a. Software kriminalisiert werden, die zur Analyse von Sicherheitslücken zwingend erforderlich ist. Der Chaos Computer Club warnt davor, dass die Umsetzung des Entwurfes die Sicherheit von Computersystemen gefährdet. Stattdessen fordert der CCC eine drastische Verschärfung der Strafen für Datenverbrechen.

Der Gesetzentwurf wird die Arbeitsgrundlagen von Sicherheitsberatern und Netzwerkexperten unter Strafe stellen. Bereits der Besitz und die Verbreitung von Werkzeugen zur Netzwerkanalyse und zur Aufdeckung von Sicherheitslöchern in Rechnersystemen sollen strafbar werden. Die Arbeit der Sicherheitsexperten wäre damit kaum mehr möglich und von ungerechtfertigter Kriminalisierung bedroht.

„Dieser Gesetzentwurf wird nicht gegen Computerkriminalität helfen. Stattdessen werden der IT-Sicherheitsbranche dringend benötigte Werkzeuge zur Aufdeckung von Schwachstellen aus der Hand geschlagen“, sagte CCC-Sprecher Andy Müller-Maguhn. „Die Vorstellungen des Gesetzgebers zeugen von einer ausgeprägten Unkenntnis der technischen Vorgehensweisen. Testangriffe zum Auffinden von Sicherheitslöchern sind für die IT-Sicherheit wie Crashtests für die Autoindustrie. Niemand käme auf die Idee, Crashtests zu verbieten“, kommentierte der CCC-Sprecher.

Verboten werden sollen sogenannte ‚Hackertools‘ und damit zugleich die öffentliche Diskussion von Sicherheitslücken. Der allgemein akzeptierte Standard zur Überprüfung der Sicherheit eines Systems ist es aber, dieses mit Angriffswerkzeugen zu testen (sog. penetration testing), um die dabei gefundenen Lücken schließen zu können.

Mit dem neuen Gesetz sollen Vorgaben der umstrittenen „Cybercrime Convention“ und ein EU-Rahmenbeschluss umgesetzt werden, die ohne Hinzuziehung von Experten entstanden sind. Aus Sicht des CCC wird erneut versucht, über den europäischen Umweg eine gesellschaftliche Debatte in Deutschland über adäquate gesetzliche Rahmenbedingungen zur Handhabe von IT-Risiken zu umgehen.

„Der Gesetzentwurf zeugt von erschreckender Realitätsferne und fehlender Sachkenntnis“, sagte Müller-Maguhn vom CCC. „Durch die Einschränkung der Freiheit der Forschung und Entwicklung im Bereich Computersicherheit wird das Gegenteil des beabsichtigten Ziels erreicht.“

Als effektive Maßnahme zur Eindämmung der Computerkriminalität fordert der CCC stattdessen härtere Strafen für Verstösse gegen den Datenschutz. Datenverbrechen wie das illegale Abschöpfen und Weitergeben sowie das unkontrollierte Verknüpfen von Daten werden derzeit als Kavaliersdelikt behandelt, betreffen aber den Bürger im Alltag immer mehr.

Der CCC fordert deshalb statt der unsinnigen und kontraproduktiven neuen Regelungen ein zeitgemässes Bundesdatenschutzgesetz mit einem harten Strafkatalog für Datenverbrechen. Zusätzlich dazu sind weitgehende Schadenersatzansprüche der Geschädigten gegen Firmen, die ihre persönliche Daten ungenehmigt weitergeben oder unsicher verarbeiten und lagern erforderlich.

„Es muss endlich Rechtssicherheit in der riesigen Grauzone des Datenbasars geschaffen werden. Derzeit verarbeiten und verkaufen internationale Datendealer-Ringe und skrupellose Unternehmen weitgehend ungestört ganz persönliche Daten deutscher Bürger. Hier sind auch eine Vielzahl von Datenlecks in privatisierten Staatsbetrieben und bei Public-Private-Partnerschaften zu schließen“, fasste Müller-Maguhn zusammen.

Forderungen

* 1. Beschränkung des Besitzverbots nach §202c StGBE auf unmittelbar kriminelle Aktivitäten
* 2. Klarstellung der Forschungsfreiheit im Computer-Sicherheitsbereich
* 3. Beschränkung des Schutzbereiches von Datenspionage auf besonders gesicherte Daten (§202b StGBE)
* 4. Klarstellende Engerfassung des Verbotes des Abfangens von elektromagnetischen Abstrahlungen
* 5. Einführung eines „Tätige Reue“ Tatbestandes für Computereinbrüche
* 6. Beibehaltung des Strafantragserfordernis (§ 205 StGBE)
* 7. Umfassende Novelierung des BDSG zur Erfassung moderner Datenverbrechen mit deutlicher Strafverschärfung
* 8. Einführung von weitgehenden Schadenersatzansprüchen für von Datenverbrechen Betroffene

Passend dazu ist auch ein Kommentar in Fefe´s Blog.

Update: Joerg Heidrich, Justiziar des Heise Zeitschriften Verlags, hat auf Spiegel-Online den Gesetzesentwurf auch kommentiert: „Kontraproduktiv für die IT-Sicherheit“.

Offensichtlich nicht bedacht hat der Gesetzgeber dabei aber die Tatsache, dass solche Programme nicht nur von bösen Hackern eingesetzt werden – sondern auch von Systemadministratoren, Programmierern und Beratern: Sie dienen als unverzichtbare Werkszeuge dazu, die eigenen Systeme auf Sicherheit, Stabilität und Verwundbarkeit zu überprüfen.

[…]

Ohnehin ist die Vorstellung, mit einem Gesetz auf deutscher oder europäischer Ebene die Verbreitung solcher Werkzeuge nachhaltig zu verhindern, eher naiv – und zeugt von mangelndem Grundverständnis für das Internet. Denn ob diese Programme hierzulande angeboten werden dürfen, ist in einem globalen Netz völlig unerheblich. Angebote aus Russland oder irgendwelchen juristisch kaum zu erreichenden Karibikinseln sind stets nur einen Mausklick entfernt und bieten derartige Software nicht nur kostenlos, sondern auch in fast unbegrenzter Auswahl.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

14 Ergänzungen

  1. so ein blödsinn.
    da könnte man ja auch streichhölzer und feuerzeuge verbieten (waldbrände) oder hochhäuser und eisenbahnen (suizide).

  2. Am Besten sollte man Politikern verbieten, Gesetze zu
    beschließen, die Themen behandeln, wovon sie keine Ahnung
    haben.
    Beste Beispiele sind das aktuelle o.g. Gesetz und die
    Gesundheitsreform.

    Ferner sollte Politikern generell unter Strafandrohung
    verboten werden, Gesetze zu beschließen, welche die
    Bevölkerung pauschal kriminalisiert.
    Stattdessen sollte man Politikern, die solche Gesetze
    verbrechen, das Handwerk legen.

    Die Definition, wann ein Verbrechen stattfindet, ist
    variabel, wogegen wann per Gesetz durch Politiker ein
    Verbrechen ermöglicht oder gar erleichtert wird, ein
    in letzter Zeit immer wieder zu beobachtender Tatbestand.

    Der Staatspolitiker als Handlanger und Beihelfer von
    Daten- und sonstigen Verbrechen, demnächst auch
    verknackbar statt Immunitätsschutz und/oder durch
    Geldstrafe freikaufbar?

    Wenn wir schon dabei sind, dann verhaften wir am Besten
    Otto Shily und seine von der Industrie gekauften und im
    Parlament sitzenden Helfershelfer, die durch stete
    Gesetzesänderungen kriminelle Daten- und andere Verbrechen
    gegen die Bevölkerung großzügig genehmigen und durch
    einschlägige Gesetze zementieren.

    In unserer Demokratie gefährden Terroristen die Freiheit
    der Bevölkerung. Daß diese Terroristen teilweise im
    Staatsapparat hocken, belegen diese immer wieder neu durch
    Gesetze, die die Terroristen und ihre industriellen
    Helferhelfer schützen und die Bevölkerung in ihrer
    demokratischen Freiheit immer weiter einschränken und zum
    erheblichen Teil gesundheitlichen Risiken bewußt aussetzt.

    Nicht alle Terroristen schmeißen Bomben oder sprengen sich
    in die Luft, es gibt auch zahlreiche Schreibtischtäter, die
    zu Terroristen werden, wenn sie die Bevölkerung mit unötigen
    bzw. unüberlegten Gesetzen zubuttern.

    Es werden die demokratischen Freiheitsrechte der Bevölkerung
    immer weiter eingeschränkt, verletzt oder außer Kraft
    gesetzt, um eine vermeintliche Bedrohung abzuwehren oder
    schlichtweg übereifrig Handlungsfähigkeit zu simulieren.

    Bisherige Strafmaßnahmen haben die Datenverbrecher nicht
    abschrecken können, also muß das Strafmaß erhöht werden.
    Und was ist mit den Opfern der Datenverbrecher?

    Opferschutz gibt es nur für wenige Bereiche, hat in der
    deutschen Gesetzgebung keine Priorität gefunden. Wozu auch?
    Wann ist eine Politiker auch schon mal Opfer oder
    anderweitig von Datenmißbrauch betroffen gewesen?

    Es heißt immer wieder, die Freiheit des Bürgers sei neben
    seiner Gesundheit ein nicht zu unterschätztes Gut.

    Wenn die Freiheit durch unsinnige Gesetze immer weiter
    eingeschränkt und beschnitten wird, wo verbleibt dem Bürger
    dann die Freiheit und worauf reduziert sich diese Freiheit?

    Das Verbraucherschutzgesetz ist ein typisches Beispiel für
    eine vorsätzliche Gesundheitsgefährdung der Bevölkerung und
    es beschützt die terroristisch tätige Fleischmafia samt
    der gekauften Politiker. Anders kann man die schlampige
    Gesetzesumsetzung nicht mehr erklären.

    Auch hier wird der Bevölkerung die Freiheit genommen, zu
    erfahren, wer sie per Gammelfleisch zu vergiften versucht!

    Wer hat das Gesetz verbrochen: ein oder mehrere Politiker;
    Wer war zu schützen: die Bevölkerung;
    Wer wurde geschützt: die verbrecherische Fleischmafia.
    Wer ist also hier im Staat der die Bürger terrorisierende:
    Der/die Politiker, der von der Fleichmafia gekauft wurde/n
    und die Fleischmafia selbst.

    Folglich, um ein effektive Gesetzgebung zu realisieren,
    müßte das Beamtentum abgeschafft werden, alle Staatsdiener
    zu Angestellten umgewandelt werden, und wer der Korruption
    überführt wird, auf Lebenszeit Berufsverbot und langjährige
    Haftstrafen als Abschreckung eingeführt werden.

    Wir Bürger brauchen keine Orwell’sche Überwachungsrealität
    und keine eingeschränkte Freiheit, wie sie unter Hitler
    jedem Deutschen zustand.

    Wirkliche demokratische Freiheit beginnt dort, wo Verbrecher
    per Gesetz gezielt aufgehalten werden, egal welchen Namen
    oder welchen Rang diese innerhalb der Bevölkerung oder im
    Ausland haben mag, während die Bevölkerung gesetzlich
    uneingeschränkte Freiheit genießen kann.

    MfG

    Ein politisch genervter Bürger

  3. Sollte das Gesetzt kommen, wäre das fatal.
    Dürfte man dann auch nicht mehr in einer Testumgebung sein System testen?

    Es gibt ja tatsächlich heute schon extrem unsichere Betriebssysteme, die vollkommen auf den Hinweis verzichten, dass Ihr System unsicher ist.
    Hersteller Solcher Systeme sollten in die Pflicht genommen werden und nicht die Bürger, die deren versäumte Arbeit weiterführen.

    So sehr ich die Arbeit des CCC auch für extrem wichtig halte, bin ich jedoch auch der Meinung, dass der CCC an dem Gesetzt nicht unbedingt unschuldig ist.
    Im Dunstkreis des CCC tummeln sich leider viel zu viele Leute, die „Sicherheitslücken“ vorzugsweise bei anderen aufdecken und nicht in Testumgebungen. Ich möchte garnicht darüber nachdenken wie viele Sicherheitslücken nicht bekannt gegeben werden, weil diese evtl. für eigene Zwecke verwendet werden können. (reine Spekulation)

    Ich finde in Erster Linie sollten Firmen, die wissentlich Unsichere Software vertreicben, dafür empfindliche Strafen erhalten.
    Weiter sollten die Personen, die Mutwillig andere schädigen härtere Strafen erhalten. Hierbei darf es aber nicht sein, dass die Verbreitung eines Vierus das gleiche Strafmaß hat, wie eine z.B. Vergewaltigung.

    Der Schutz der persönlichen Daten sollte allerdings einen viel höheren Stellenwert erhalten.
    Es darf nicht sein, dass unter dem Deckmantel des Terrors und der Verängstigung der Gesellschaft, deren persönliche Daten plötzlich gesammelt werden dürfen.

    Sollte es in Zukunft nicht mehr möglich sein dürfen Software zu testen, sollte man in öffentlichen Institutionen, Verwaltungen und auch der Regierung keine Closed-Source-Software mehr verwenden dürfen.

    Ich möchte nicht, dass ich meine persönlichen Daten per gesetz abgeben muss und diese dann auf Lückenhaften Systemen gelagert werden.
    An dieser Stelle sollte der, der A zu einem solchen Gesetz sagt auch B zu open-source (z.B. Linux) sagen, um sicher zu stellen, dass die Systeme wenigstens im Quelltext auf sicherheitslücken durchsucht werden können.
    Besser wäre natürlich noch wenn erkannt wird, dass A falsch ist.

  4. da der verfassungsschutz übers i-net hacken darf, ist es nur sinnvoll, dem normalen user mittel und methoden zu verbieten, mit denen er seinen rechner auf schwachstellen testen kann, oder mit denen er den netzwerkverkehr belauschen kann um verfassungsschutzpäckchen auf die spur zu kommen. meine paranoia sagt mir, daß die politiker zwar nicht wissen, worüber sie reden, daß sie aber wissen, was sie un müssen, um den mündigen user zu einem opfer ihrer ängste zu machen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.