Pressemeldung von heute: Chaos Computer Club: Gesetzentwurf gefährdet die Computersicherheit.
Das Bundeskabinett hat am 20. September einen Regierungsentwurf zur Änderung des Strafrechts in Zusammenhang mit Computersystemen beschlossen. Dabei soll u. a. Software kriminalisiert werden, die zur Analyse von Sicherheitslücken zwingend erforderlich ist. Der Chaos Computer Club warnt davor, dass die Umsetzung des Entwurfes die Sicherheit von Computersystemen gefährdet. Stattdessen fordert der CCC eine drastische Verschärfung der Strafen für Datenverbrechen.
Der Gesetzentwurf wird die Arbeitsgrundlagen von Sicherheitsberatern und Netzwerkexperten unter Strafe stellen. Bereits der Besitz und die Verbreitung von Werkzeugen zur Netzwerkanalyse und zur Aufdeckung von Sicherheitslöchern in Rechnersystemen sollen strafbar werden. Die Arbeit der Sicherheitsexperten wäre damit kaum mehr möglich und von ungerechtfertigter Kriminalisierung bedroht.
„Dieser Gesetzentwurf wird nicht gegen Computerkriminalität helfen. Stattdessen werden der IT-Sicherheitsbranche dringend benötigte Werkzeuge zur Aufdeckung von Schwachstellen aus der Hand geschlagen“, sagte CCC-Sprecher Andy Müller-Maguhn. „Die Vorstellungen des Gesetzgebers zeugen von einer ausgeprägten Unkenntnis der technischen Vorgehensweisen. Testangriffe zum Auffinden von Sicherheitslöchern sind für die IT-Sicherheit wie Crashtests für die Autoindustrie. Niemand käme auf die Idee, Crashtests zu verbieten“, kommentierte der CCC-Sprecher.
Verboten werden sollen sogenannte ‚Hackertools‘ und damit zugleich die öffentliche Diskussion von Sicherheitslücken. Der allgemein akzeptierte Standard zur Überprüfung der Sicherheit eines Systems ist es aber, dieses mit Angriffswerkzeugen zu testen (sog. penetration testing), um die dabei gefundenen Lücken schließen zu können.
Mit dem neuen Gesetz sollen Vorgaben der umstrittenen „Cybercrime Convention“ und ein EU-Rahmenbeschluss umgesetzt werden, die ohne Hinzuziehung von Experten entstanden sind. Aus Sicht des CCC wird erneut versucht, über den europäischen Umweg eine gesellschaftliche Debatte in Deutschland über adäquate gesetzliche Rahmenbedingungen zur Handhabe von IT-Risiken zu umgehen.
„Der Gesetzentwurf zeugt von erschreckender Realitätsferne und fehlender Sachkenntnis“, sagte Müller-Maguhn vom CCC. „Durch die Einschränkung der Freiheit der Forschung und Entwicklung im Bereich Computersicherheit wird das Gegenteil des beabsichtigten Ziels erreicht.“
Als effektive Maßnahme zur Eindämmung der Computerkriminalität fordert der CCC stattdessen härtere Strafen für Verstösse gegen den Datenschutz. Datenverbrechen wie das illegale Abschöpfen und Weitergeben sowie das unkontrollierte Verknüpfen von Daten werden derzeit als Kavaliersdelikt behandelt, betreffen aber den Bürger im Alltag immer mehr.
Der CCC fordert deshalb statt der unsinnigen und kontraproduktiven neuen Regelungen ein zeitgemässes Bundesdatenschutzgesetz mit einem harten Strafkatalog für Datenverbrechen. Zusätzlich dazu sind weitgehende Schadenersatzansprüche der Geschädigten gegen Firmen, die ihre persönliche Daten ungenehmigt weitergeben oder unsicher verarbeiten und lagern erforderlich.
„Es muss endlich Rechtssicherheit in der riesigen Grauzone des Datenbasars geschaffen werden. Derzeit verarbeiten und verkaufen internationale Datendealer-Ringe und skrupellose Unternehmen weitgehend ungestört ganz persönliche Daten deutscher Bürger. Hier sind auch eine Vielzahl von Datenlecks in privatisierten Staatsbetrieben und bei Public-Private-Partnerschaften zu schließen“, fasste Müller-Maguhn zusammen.
Forderungen
* 1. Beschränkung des Besitzverbots nach §202c StGBE auf unmittelbar kriminelle Aktivitäten
* 2. Klarstellung der Forschungsfreiheit im Computer-Sicherheitsbereich
* 3. Beschränkung des Schutzbereiches von Datenspionage auf besonders gesicherte Daten (§202b StGBE)
* 4. Klarstellende Engerfassung des Verbotes des Abfangens von elektromagnetischen Abstrahlungen
* 5. Einführung eines „Tätige Reue“ Tatbestandes für Computereinbrüche
* 6. Beibehaltung des Strafantragserfordernis (§ 205 StGBE)
* 7. Umfassende Novelierung des BDSG zur Erfassung moderner Datenverbrechen mit deutlicher Strafverschärfung
* 8. Einführung von weitgehenden Schadenersatzansprüchen für von Datenverbrechen Betroffene
Passend dazu ist auch ein Kommentar in Fefe´s Blog.
Update: Joerg Heidrich, Justiziar des Heise Zeitschriften Verlags, hat auf Spiegel-Online den Gesetzesentwurf auch kommentiert: „Kontraproduktiv für die IT-Sicherheit“.
Offensichtlich nicht bedacht hat der Gesetzgeber dabei aber die Tatsache, dass solche Programme nicht nur von bösen Hackern eingesetzt werden – sondern auch von Systemadministratoren, Programmierern und Beratern: Sie dienen als unverzichtbare Werkszeuge dazu, die eigenen Systeme auf Sicherheit, Stabilität und Verwundbarkeit zu überprüfen.
[…]
Ohnehin ist die Vorstellung, mit einem Gesetz auf deutscher oder europäischer Ebene die Verbreitung solcher Werkzeuge nachhaltig zu verhindern, eher naiv – und zeugt von mangelndem Grundverständnis für das Internet. Denn ob diese Programme hierzulande angeboten werden dürfen, ist in einem globalen Netz völlig unerheblich. Angebote aus Russland oder irgendwelchen juristisch kaum zu erreichenden Karibikinseln sind stets nur einen Mausklick entfernt und bieten derartige Software nicht nur kostenlos, sondern auch in fast unbegrenzter Auswahl.
Das Gesetz wird die Täter sicher abschrecken. ;)
so ein blödsinn.
da könnte man ja auch streichhölzer und feuerzeuge verbieten (waldbrände) oder hochhäuser und eisenbahnen (suizide).
Am Besten sollte man Politikern verbieten, Gesetze zu
beschließen, die Themen behandeln, wovon sie keine Ahnung
haben.
Beste Beispiele sind das aktuelle o.g. Gesetz und die
Gesundheitsreform.
Ferner sollte Politikern generell unter Strafandrohung
verboten werden, Gesetze zu beschließen, welche die
Bevölkerung pauschal kriminalisiert.
Stattdessen sollte man Politikern, die solche Gesetze
verbrechen, das Handwerk legen.
Die Definition, wann ein Verbrechen stattfindet, ist
variabel, wogegen wann per Gesetz durch Politiker ein
Verbrechen ermöglicht oder gar erleichtert wird, ein
in letzter Zeit immer wieder zu beobachtender Tatbestand.
Der Staatspolitiker als Handlanger und Beihelfer von
Daten- und sonstigen Verbrechen, demnächst auch
verknackbar statt Immunitätsschutz und/oder durch
Geldstrafe freikaufbar?
Wenn wir schon dabei sind, dann verhaften wir am Besten
Otto Shily und seine von der Industrie gekauften und im
Parlament sitzenden Helfershelfer, die durch stete
Gesetzesänderungen kriminelle Daten- und andere Verbrechen
gegen die Bevölkerung großzügig genehmigen und durch
einschlägige Gesetze zementieren.
In unserer Demokratie gefährden Terroristen die Freiheit
der Bevölkerung. Daß diese Terroristen teilweise im
Staatsapparat hocken, belegen diese immer wieder neu durch
Gesetze, die die Terroristen und ihre industriellen
Helferhelfer schützen und die Bevölkerung in ihrer
demokratischen Freiheit immer weiter einschränken und zum
erheblichen Teil gesundheitlichen Risiken bewußt aussetzt.
Nicht alle Terroristen schmeißen Bomben oder sprengen sich
in die Luft, es gibt auch zahlreiche Schreibtischtäter, die
zu Terroristen werden, wenn sie die Bevölkerung mit unötigen
bzw. unüberlegten Gesetzen zubuttern.
Es werden die demokratischen Freiheitsrechte der Bevölkerung
immer weiter eingeschränkt, verletzt oder außer Kraft
gesetzt, um eine vermeintliche Bedrohung abzuwehren oder
schlichtweg übereifrig Handlungsfähigkeit zu simulieren.
Bisherige Strafmaßnahmen haben die Datenverbrecher nicht
abschrecken können, also muß das Strafmaß erhöht werden.
Und was ist mit den Opfern der Datenverbrecher?
Opferschutz gibt es nur für wenige Bereiche, hat in der
deutschen Gesetzgebung keine Priorität gefunden. Wozu auch?
Wann ist eine Politiker auch schon mal Opfer oder
anderweitig von Datenmißbrauch betroffen gewesen?
Es heißt immer wieder, die Freiheit des Bürgers sei neben
seiner Gesundheit ein nicht zu unterschätztes Gut.
Wenn die Freiheit durch unsinnige Gesetze immer weiter
eingeschränkt und beschnitten wird, wo verbleibt dem Bürger
dann die Freiheit und worauf reduziert sich diese Freiheit?
Das Verbraucherschutzgesetz ist ein typisches Beispiel für
eine vorsätzliche Gesundheitsgefährdung der Bevölkerung und
es beschützt die terroristisch tätige Fleischmafia samt
der gekauften Politiker. Anders kann man die schlampige
Gesetzesumsetzung nicht mehr erklären.
Auch hier wird der Bevölkerung die Freiheit genommen, zu
erfahren, wer sie per Gammelfleisch zu vergiften versucht!
Wer hat das Gesetz verbrochen: ein oder mehrere Politiker;
Wer war zu schützen: die Bevölkerung;
Wer wurde geschützt: die verbrecherische Fleischmafia.
Wer ist also hier im Staat der die Bürger terrorisierende:
Der/die Politiker, der von der Fleichmafia gekauft wurde/n
und die Fleischmafia selbst.
Folglich, um ein effektive Gesetzgebung zu realisieren,
müßte das Beamtentum abgeschafft werden, alle Staatsdiener
zu Angestellten umgewandelt werden, und wer der Korruption
überführt wird, auf Lebenszeit Berufsverbot und langjährige
Haftstrafen als Abschreckung eingeführt werden.
Wir Bürger brauchen keine Orwell’sche Überwachungsrealität
und keine eingeschränkte Freiheit, wie sie unter Hitler
jedem Deutschen zustand.
Wirkliche demokratische Freiheit beginnt dort, wo Verbrecher
per Gesetz gezielt aufgehalten werden, egal welchen Namen
oder welchen Rang diese innerhalb der Bevölkerung oder im
Ausland haben mag, während die Bevölkerung gesetzlich
uneingeschränkte Freiheit genießen kann.
MfG
Ein politisch genervter Bürger
Sollte das Gesetzt kommen, wäre das fatal.
Dürfte man dann auch nicht mehr in einer Testumgebung sein System testen?
Es gibt ja tatsächlich heute schon extrem unsichere Betriebssysteme, die vollkommen auf den Hinweis verzichten, dass Ihr System unsicher ist.
Hersteller Solcher Systeme sollten in die Pflicht genommen werden und nicht die Bürger, die deren versäumte Arbeit weiterführen.
So sehr ich die Arbeit des CCC auch für extrem wichtig halte, bin ich jedoch auch der Meinung, dass der CCC an dem Gesetzt nicht unbedingt unschuldig ist.
Im Dunstkreis des CCC tummeln sich leider viel zu viele Leute, die „Sicherheitslücken“ vorzugsweise bei anderen aufdecken und nicht in Testumgebungen. Ich möchte garnicht darüber nachdenken wie viele Sicherheitslücken nicht bekannt gegeben werden, weil diese evtl. für eigene Zwecke verwendet werden können. (reine Spekulation)
Ich finde in Erster Linie sollten Firmen, die wissentlich Unsichere Software vertreicben, dafür empfindliche Strafen erhalten.
Weiter sollten die Personen, die Mutwillig andere schädigen härtere Strafen erhalten. Hierbei darf es aber nicht sein, dass die Verbreitung eines Vierus das gleiche Strafmaß hat, wie eine z.B. Vergewaltigung.
Der Schutz der persönlichen Daten sollte allerdings einen viel höheren Stellenwert erhalten.
Es darf nicht sein, dass unter dem Deckmantel des Terrors und der Verängstigung der Gesellschaft, deren persönliche Daten plötzlich gesammelt werden dürfen.
Sollte es in Zukunft nicht mehr möglich sein dürfen Software zu testen, sollte man in öffentlichen Institutionen, Verwaltungen und auch der Regierung keine Closed-Source-Software mehr verwenden dürfen.
Ich möchte nicht, dass ich meine persönlichen Daten per gesetz abgeben muss und diese dann auf Lückenhaften Systemen gelagert werden.
An dieser Stelle sollte der, der A zu einem solchen Gesetz sagt auch B zu open-source (z.B. Linux) sagen, um sicher zu stellen, dass die Systeme wenigstens im Quelltext auf sicherheitslücken durchsucht werden können.
Besser wäre natürlich noch wenn erkannt wird, dass A falsch ist.
da der verfassungsschutz übers i-net hacken darf, ist es nur sinnvoll, dem normalen user mittel und methoden zu verbieten, mit denen er seinen rechner auf schwachstellen testen kann, oder mit denen er den netzwerkverkehr belauschen kann um verfassungsschutzpäckchen auf die spur zu kommen. meine paranoia sagt mir, daß die politiker zwar nicht wissen, worüber sie reden, daß sie aber wissen, was sie un müssen, um den mündigen user zu einem opfer ihrer ängste zu machen.