Computersicherheit wird kriminalisiert

Heise: Bundesrat billigt verschärfte Hackerparagraphen.

Der Bundesrat hat in seiner Plenarsitzung am heutigen Freitag die heftig umstrittene Novelle des Strafgesetzbuches (StGB) zur Bekämpfung der Computerkriminalität ohne weitere Aussprache passieren lassen. Die Länderchefs folgten damit der Empfehlung des Rechts- und des Wirtschaftsausschusses, den Vermittlungsausschuss mit dem Parlament nicht anzurufen.

Spiegel: Gesetz kriminalisiert Programmierer.

Wenn Hartmut Pohl, Professor für Informationssicherheit, weiter forscht und lehrt, wird er sich strafbar machen. In seinen Übungen an der Fachhochschule Bonn-Rhein-Sieg spürt er mit Studenten Schwachstellen in den Computersystemen von Firmen und Behörden auf – mit Zustimmung der so Erforschten. Doch bald sind die dafür notwendigen Programme verboten. Der Bundesrat hat heute das entsprechende Gesetz beschlossen, im Bundestag ist die entsprechende Änderung des Strafrechts längst durch. Das Gesetz gilt , sobald es im Bundesgesetzblatt verkündet ist – das dürfte in wenigen Wochen geschehen. Die Folgen beschreibt Informatiker Pohl gegenüber SPIEGEL ONLINE so: „Dieses Gesetz verbietet, was ich mit meinen Studenten jeden Tag in Übungen und Seminaren mache.“

Golem: Bundesrat winkt verschärften Hacker-Paragraphen durch.

Für Kritik sorgt vor allem die Einführung des § 202c StGB „Vorbereiten des Ausspähens und Abfangens von Daten“. Demnach macht sich strafbar, wer „Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder […] Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht“ und riskiert bis zu ein Jahr Freiheitsstrafe. Dabei gilt als Straftat nach § 202b, wenn jemand „sich oder einem anderen unbefugt unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft“. Der geänderte §202a stellt unter Strafe, sich oder einem anderen unbefugt „Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung“ zu verschaffen.

Pressemeldung der Gesellschaft für Informatik vom 3. Juli: Entwurfsfassung des § 202c StGB droht Informatiker/innen zu kriminialisieren.

Problematisch ist die Einfügung des 202c StGB, weil Programme und Tools nicht nach ihrer Einsatzart, sondern vielmehr nach ihrem Aufbau definiert werden. Eine Unterscheidung in Anwendungen, die zur Begehung von Straftaten und solche, die ausschließlich für legale Zwecke hergestellt werden, ist aber nicht möglich. Der gewählte Wortlaut führt zu einer Kriminalisierung der heute in allen Unternehmen, Behörden und von Privaten verwendeten Programme zur Aufdeckung von Sicherheitslücken in IT-Systemen. Derartige Programme und Tools sind zur Absicherung gegen Angriffe jedoch unverzichtbar (Penetration Testing). Genauso wird jegliche Lehre, Forschung und Entwicklung und auch der einfache Gedankenaustausch zu Prüftools an Universitäten und Fachhochschulen mit diesem Paragrafen unter Strafe gestellt.

tagesschau.de: „Es ist sinnlos, die Tools moralisch zu bewerten“.

„Es ist sinnlos, diese Tools moralisch zu bewerten“, sagt der Systemadministrator und IT-Sicherheitsexperte Serge Königsmann gegenüber tagesschau.de. Die Programme seien schlicht und einfach Werkzeuge. Entscheidend sei, wie sie eingesetzt würden. „Das ist wie mit einem scharfen Messer: Damit kann ich eine Scheibe Brot abschneiden oder aber jemanden umbringen.“ Den Besitz von „Hacker Tools“ unter Strafe zu stellen, sei weltfremd, meint Königsmann. „Sollte dieser Paragraf Realität werden, können Systemadministratoren ihre Arbeit nicht mehr machen.“ Der Sicherheitsexperte befürchtet zudem, dass das Gesetz Ansätze torpedieren wird, mehr Transparenz in Sicherheitssysteme zu bringen.