Öffentlichkeit

Netzpolitik-Interview: Bundesverfassungsgericht und der Hackerparagraph §202

Das Bundesverfassungsgericht hat letzte Woche die Entscheidung mitgeteilt, dass der sogenannte Hackerparagraph §202c verfassungskonform ist: Verfassungsbeschwerden gegen § 202c Abs. 1 Nr. 2 StGB unzulässig. (Danke für den Hinweis in den Kommentaren: „Das BVerfG hat nicht mitgeteilt, dass der “Hackerparagpraph” verfassungskonform ist, sondern entschieden, dass der Beschwerdeführer nicht in seinen Rechten verletzt ist, weil nach dem von ihm geschilderten Sachverhalt kein Risiko einer Strafverfolgung besteht“) Zu der Entscheidung habe ich den Computer-Sicherheitsexperten Professor Dr. Rüdiger Weis interviewt, der die Klage mit eingereicht hatte. Die Urteilsbegründung ist etwas sehr kryptisch-juristisch verfasst und beinahe unlesbar für einen Laien. Dieses Interview führt zu etwas mehr Klarheit.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

netzpolitik.org: Das Bundesverfassungsgericht hat die Verfassungsbeschwerden gegen den
Hackerparagraph § 202c für unzulässig erklärt.

Rüdiger Weis: Das ist richtig. Ich hatte vor dem Bundesverfassungsgericht Klage eingereicht, weil ich befürchtete, im Rahmen meiner Lehrtätigkeit an der Beuth-Hochschule für Technik in Berlin gegen §202c StGB verstoßen zu können. Konkret habe ich im Sommersemester 2008 die Vorlesung Computersicherheit gehalten, und dabei Sicherheitsanalysewerkzeuge, sogenannte Hackertools, den Studierenden zugänglich gemacht und auch im Internet frei zur Verfügung gestellt. Das Gericht hat nun klargestellt, daß dieses Verhalten bei verfassungsrechtlich zulässiger Auslegung des Gesetzes nicht strafbar ist. Die Freiheit von Forschung und Lehre bleibt gewahrt, insofern ist das für mich eine befriedigende Lösung.

netzpolitik.org: Und was bedeutet dies für Anwender ausserhalb von Forschung und Lehre.

Rüdiger Weis: In der aktuellen Entscheidung wurden die Verfassungsbeschwerden von drei Beschwerdeführern zusammengefasst. Neben meinem Fall aus dem Bereich Forschung und Lehre klagte auch ein Mitarbeiter einer Computersicherheitsfirma und ein Linux-Anwender. Die Rechtssicherheit wurde auch für professionelle Sicherheitstester verbessert, die im Rahmen ihrer Berufsausübung mit Hackertools und Schadprogrammen umgehen. Ebenso können Nutzen von Linux-Distributionen, aufatmen, auch wenn diese Hackertools wie beispielsweise nmap enthalten.

netzpolitik.org: Da bleiben aber noch grosse Gruppen von Betroffenen.

Rüdiger Weis: Die Möglichkeit der Verfassungsbeschwerde ist juristisch an eine direkte Betroffenheit gebunden. Zur Gewährung der Normenklarheit, wäre eine Nachbesserung des Gesetzes wohl die klarere Lösung gewesen. Allerdings hat das Bundesverfassungsgericht höchstrichterlich zahlreiche Klarstellungen zur Gesetzesauslegung festgesetzt, die alle Anwender betreffen. Mit am wichtigsten dürfte sein, dass „dual use tools“ eindeutig nicht unter den Wortlaut des Gesetzes fallen.

netzpolitik.org: Und was sind nun „dual use tools“.

Rüdiger Weis:In der der Beschwerde zugrunde liegenden Vorlesung Computersicherheit waren dies unter anderem die Programme PortBunny, scapy, nmap, wireshark und der Password cracker John the Ripper. Das Verfassungsgericht führt hierzu aus: „Sämtliche Software-Tools dieser Art können allerdings nicht nur zur Überprüfung von Sicherheitslücken in zu schützenden Systemen eingesetzt werden, sondern auch missbräuchlich für Zwecke des unerlaubten Zugangs zu fremden Rechnern und Netzwerken.“ Es reicht nach dem Wortlaut der Vorschrift nicht zur juristischen Sanktionierung aus, dass dual use
Programme „für die Begehung der genannten Computerstraftaten lediglich geeignet oder auch besonders geeignet“ sind.

netzpolitik.org: Also keine Kriminalisierung von Sicherheits-Softwareautoren?

Rüdiger Weis: Zumindest hat das Verfassungsgericht einigen ernsthaft diskutierten Horrorszenarien einen deutlichen höchstrichterlichen Hebel vorgeschoben. Ich möchte die zahlreichen Forscher und Entwickler, die ihre Webseiten aus Deutschland abgezogen haben, auffordern, eine Rückkehr auf Basis der neuen Rechtslage zu prüfen.

netzpolitik.org: Vielen Dank für das Interview und die eingereichte Klage, die jetzt zu etwas mehr Klarstellung geführt hat.

Weitersagen und Unterstützen. Danke!
15 Kommentare
  1. Es klingt jetzt wirklich so, als wolle ich irgendwas hacken. Aber ich habe einen WLAN-Router zuhause, den ich leider derzeit nur über WEP-Verschlüsselung online habe, da ich sonst mit meinem Nintendo DS nicht ins Netz gehen kann. Ich habe gelesen, dass es sehr einfach sein soll, WEP-Verschlüsselungen zu knacken. Gibt es da eine Möglichkeit das auszuprobieren?

    1. @Stefan
      Ja, die gibt es. Aber das brauchst Du eigentlich gar nicht, denn die WiFi-Verschlüsselung mittels WEP _ist_ gebrochen. Egal wie Du Dein Paßwort wählst, in weniger als einer halben Stunde kann jeder Dein WiFi mitnutzen. Was willst Du da noch ausprobieren?

      Du solltest Deinen Router unbedingt auf WPA, besser WPA2 umstellen – wenn Du nicht gerade fern von anderen Menschen wohnst!

      Willst Du mit Deinem DS WiFi weiterbenutzen (Kann ein DS immer noch kein WPA?), bliebe als Notlösung, einen zweiten Router zu nutzen und diesen an den ersten Router anzuschließen. Sprich: Router #1 hat WiFi mit WPA und hängt am DSL-Anschluß, Router #2 hat WiFi mit WEP und hängt an Router #1. Solange Du mit dem DS WiFi und Internet nutzt, ist Router #2 an, ansonsten immer aus bzw. von Router #1 abgeklemmt. Zusätzlich kann/sollte man bei Router #1 noch den Datenverkehr von Router #2 filtern, vor allem den ins Heimnetz, etc. pp. Aber das ist wirklich nur eine Notlösung.

      Um zu überprüfen, ob Dein WiFi auch wirklich (nur) die Verschlüsselung nutzt, die Du eingestellt hast, kann ich Dir entsprechende sicherheitsorientierte Linux-Live-CDs ans Herz legen, z.B. BackTrack, die einen ganzen Strauß an entsprechenden Tools haben. Damit kann man nicht nur sein WiFi, sondern auch den Rest des Heimnetzwerks auf Schwachstellen prüfen. So etwas ist nicht verkehrt, v.a. falls man sich bisher noch nicht darum gekümmert haben sollte.

    2. @Stefan:
      Ich würde dir ans Herz legen mal ernsthaft die Gefahrengröße auszuloten.

      Du könntest es natürlich testen, eine einfache Google Suche bringt dir relativ schnell den gewünschten Erfolg. Aber wie bereits geschrieben wurde: Das rentiert sich nicht, weil WEP schlichtweg keine Sicherheit bietet, solange man es länger als 20 Minuten an hat.

      Viel Interessanter wäre aber doch: Wie weit geht dein WLAN überhaupt. Ich hab bei meinem bereits im Wohnzimmer meine Schwierigkeiten. Bis auf die Strasse reichts sowieso nicht, um Hof funktionierts nur, wenn ich den Router aus dem Fenster hänge und dann nur schlecht. Das nächste bewohnte Haus ist 100m weg. Der nächste „IT-Crack“ wohnt mindestens ein Ort weiter. Gefahrenpotential für mich geht gegen null. Dementsprechend hab ich, wenn ich das mal brauche, mein WLAN ab und an unverschlüsselt laufen. Meistens ist es sowieso aus.

  2. Ja Super!
    Standort-Deutschland!
    ich sehe schon mindestens 100’000 Hackerschulen aus dem Boden sprießen, endlich ist das Verbotene erlaubt – in den 80ern, wurden sogar von Firmen extra bezahlte anschliessend weggesperrt.
    Bitte ÜBERSETZEN ! ! !
    ich versuchs im Twitter ein Bischen.
    Grüßle MisteR33 !

  3. Kann man daraus schließen, dass ein eventuelles Verbot von P2P-Software oder gar Browsern vom BVerfG ähnlich bewertet werden würde? Oder ist das zu voreilig/optimistisch?

  4. Das BVerfG hat nicht mitgeteilt, dass der „Hackerparagpraph“ verfassungskonform ist, sondern entschieden, dass der Beschwerdeführer nicht in seinen Rechten verletzt ist, weil nach dem von ihm geschilderten Sachverhalt kein Risiko einer Strafverfolgung besteht

  5. Vielen Dank Euch für die schnellen Antworten, Karo und John Doe.

    Ich habe bei meinem Elternhaus noch einen alten WLAN-Router herumliegen und werde ihn dann an meinen ’neuen‘ (WPA2-)Router anschließen, wie Karo es vorgeschlagen hat.

    Und nein, der alte DS kann nur WEP – der neue DSi beherrscht afaik auch nur WPA1, da er etwas leistungsfähiger ist (für WPA2 hat’s leider nicht mehr gereicht).

    Danke und Gruß, Stefan.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.