Gestern gab der Rechtsauschuss im Deutschen Bundestag „Grünes Licht für Verschärfung der Hackerparagraphen“.

Der Rechtsausschuss des Bundestags hat am heutigen Mittwoch den Regierungsentwurf zur besseren strafrechtlichen Bekämpfung der Computerkriminalität ohne Änderungen abgesegnet. Allein die Linkspartei stimmte gegen das Vorhaben. Den zahlreichen Bedenken aus der Wissenschaft und der IT-Wirtschaft gegen den Gesetzesentwurf, die unter anderem bei einer Anhörung im Bundestag im März zur Sprache gekommen waren, wollen die Parlamentarier mit einer Zusatzerklärung Rechnung tragen. Darin soll etwa klargestellt werden, dass die neuen und aufgebohrten Hackerparagraphen im Strafgesetzbuch (StGB) einer strengen Auslegung und Zweckbindung unterliegen.

Mir als Nicht-Jurist ist es unverständlich, wieso die juristisch bewanderten Abgeordneten es nicht hinbekommen, einen vernünftigen Gesetzestext zu formulieren. Und der Meinung sind, dass man Klarstellungen in einer Zusatzerklärung unterbringen kann. Vollkommen unverständlich ist, dass es fast keine Lobby ausser den Sicherheitsbehörden gab, die das Gesetz in dieser Form gut fand. Es kommt ja relativ selten vor, dass Wissenschaft, Industrieverbände, der Chaos Computer Club und der Bundesrat eine gemeinsame Front bilden, um Änderungen in den Gesetzestext hineinzubekommen. Und was machen die Oppositionsfraktionen der Grünen und der FDP? Die stimmen einfach zu. Warum? Das leuchtet mir nicht. Scheint mir auf jeden Fall selten dämlich und zeugt nicht gerade von Kompetenz. Weder bei der FDP, wo doch deren Lobby-Verbände dagegen waren, noch bei den Grünen, wo sich Jerzy Montag noch hinstellt und laut Heise folgendes verkündet:

Die Rechtspolitiker des Bundestages hielten es dagegen mit der Ansage des Karlsruher Generalbundesanwalts Michael Bruns, der Klarstellungen am Entwurf als „gesetzgeberisches Feuilleton“ bezeichnet hatte. Für Juristen seien die Tatbestände klar umrissen und verständlich, hieß es heute etwa bei den Grünen zur Begründung der Zustimmung zu dem Regierungsvorstoß. Zudem habe man sich an die internationalen Vorgaben in Form der Cybercrime-Konvention des Europarates und des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme zu halten, die mit dem Gesetz ins nationale Recht umgesetzt werden sollen. Experten schienen zahlreiche Formulierungen aus diesen beiden Texten aber klarer gefasst zu sein als im Papier der Bundesregierung. Auch der Bundesrat hatte zahlreiche Vorbehalte gegen den Entwurf ins Feld geführt.

Warum? Es kommt auch äusserst selten vor, dass man jetzt mal auf den Bundesrat hoffen muss, der ausnahmsweise mal eine vernünftige Position zu einem netzpolitischen Thema beschlossen hat.

Wie es auch bei netzpolitisch-relevanten Gesetzen so üblich ist, findet die Abstimmung übrigens in der kommenden Nacht gegen 2 Uhr im Bundestagsplenum statt. Reden dürften zum Protokoll gegeben werden. Das Thema scheint die Politik ja echt nicht zu interessieren. Ich denke mal, dass den Politikern teilweise wahrscheinlich gar nicht bewusst ist, was sie da angerichtet haben, auch wenn für den Juristen Jerzy Montag der Tatbestand klar umrissen und verständlich sien soll. Das findet ausser ihnen irgendwie niemand. Und wenn man sich mal den Zusammenhang des Tatbestandes der Computersabotage in §303b mit §129 Bildung einer terroristischen Verinigung anschaut, dann dürfte das kommende Camp des Chaos Computer Club wohl als Terror-Zeltlager eingestuft werden. Ein Bärendienst für mehr IT-Sicherheit in Deutschland. Danke an die Juristen im Deutschen Bundestag. Beim nächsten Mal am Besten auf die Leute hören, die sich mit dem Thema auskennen.

Weitere Infos:

Die Bundesdrucksache mit der Beschlußvorlage findet sich hier.

Interessant ist ja der Zusammenhang von §303b (Computersabotage) und §129a (Bildung terroristischer Vereinigungen)

In §303b heisst es bisher:

(1) Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch stört, daß er

1. eine Tat nach § 303a Abs. 1 begeht oder
2. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert,

wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.

Künftig heisst es laut Beschlussvorlage:

6. § 303b wird wie folgt geändert:

a) Absatz 1 wird durch die folgenden Absätze 1 und 2 ersetzt:

„(1) Wer eine Datenverarbeitung, die für einen an- deren von wesentlicher Bedeutung ist, dadurch erheb- lich stört, dass er

1. eine Tat nach § 303a Abs. 1 begeht,
2. Daten (§ 202a Abs. 2) in der Absicht, einem ande- ren Nachteil zuzufügen, eingibt oder übermittelt oder
3. eine Datenverarbeitungsanlage oder einen Daten- träger zerstört, beschädigt, unbrauchbar macht, be- seitigt oder verändert,
wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geld- strafe.“
b) Der bisherige Absatz 2 wird Absatz 3.
c) Die folgenden Absätze 4 und 5 werden angefügt:

„(4) In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter

1. einen Vermögensverlust großen Ausmaßes herbeiführt
2. gewerbsmäßig oder als Mitglied einer Bande han- delt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat,
3. durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutsch- land beeinträchtigt.

(5) Für die Vorbereitung einer Straftat nach Ab- satz 1 gilt § 202c entsprechend.“
7. In § 303c wird die Angabe „bis 303b“ durch die Wörter „ , 303a Abs. 1 und 2 sowie § 303b Abs. 1 bis 3“ ersetzt.

Und Vorbereitung einer Straftat ist entsprechend 202c die Entwicklung von Werkzeugen. Mir fällt gerade keine Software ein, die *nicht* geeignet wäre, Daten zu verändern. Und genau diese Schwammigkeit ist ja das Problem: ruck-zuck hat man ein 129a-Verfahren am Hals, weil die Vermutung besteht, man könne ja…:

In §129a heisst es u.a.:

(2) Ebenso wird bestraft, wer eine Vereinigung gründet, deren Zwecke oder deren Tätigkeit darauf gerichtet sind,

2. Straftaten nach den §§ 303b, 305, 305a oder gemeingefährliche Straftaten in den Fällen der §§ 306 bis 306c oder 307 Abs. 1 bis 3, des § 308 Abs. 1 bis 4, des § 309 Abs. 1 bis 5, der §§ 313, 314 oder 315 Abs. 1, 3 oder 4, des § 316b Abs. 1 oder 3 oder des § 316c Abs. 1 bis 3 oder des § 317 Abs. 1,

Und im neuen §303b gibt es einen Absatz 5, nachdem §202c sinngemäß für die in §303b genannten Handlungen gilt.

Erste Reaktionen auf den Beschluss des Rechtsauschusses:

Andreas Bogk: §202c so gut wie verabschiedet.

Toll bei diesem Fall finde ich ja auch, wie gut die Gewaltenteilung funktioniert. Der Gesetzesentwurf kommt ja via Justizministerium aus dem Kabinett, also der Exekutive. Und in der Anhörung stellt sich ein Generalbundesanwalt, also verwaltungstechnisch auch dem Justizministerium zugeordnet, hin, und diffamiert jeglichen Versuch der Legislative, tatsächlich am Gesetzgebungsprozeß teilzuhaben, als “gesetzgeberisches Feuilleton”.

Andreas bezieht sich auf eine Anhörung vom Rechtsausschuss, wo dieses Zitat gefallen ist: Klarstellungen bei neuen Hackerparagraphen gefordert. Das Protokoll der Anhörung findet sich hier.

Frank Rieger: Lobbying ist tot und Politiker sind Idioten.

Die Grünen: umgefallen weil ihr Ausschussmitglied Jerzey Montag den knallharten Sicherheitsmacker markieren will (bayrischer Schnurrbartträger, hätte eigentlich Warnsignal genug sein müssen…). Die SPD: sagt das sie ja eigentlich verstanden hat, daß da Änderungsbedarf besteht, winkt aber durch weil ihr Ausschussvorsitzender keinen Bock hat nochmal wg. Überschreiten der Deadline für die Umsetzung einer EU-Direktive angpfiffen zu werden, und überhaupt, die Fraktionsdisziplin. Die CDU/CSU: interessiert sich nicht mal mehr für die Meinung der betroffenen Industrie, wegen der Sicherheit. Die FDP: denkt wahrscheinlich gerade eher über die Farbe der nächste Dauerwelle für ihren Vorsitzenden nach.

Damit auch keine weiteren Zweifel aufkommen wir das de-facto Berufsverbot für Computersicherheitsforscher in Deutschland nachts um zwei beschlossen werden, als Tagesordnungspunkt Nr. 23.

In einer Pressemitteilung verkündet ECO, der Verband der deutschen Internetwirtschaft, u.a. folgendes:

Die Ergebnisse der Anhörung wurden ignoriert. Im Ergebnis ist es jetzt nicht ausgeschlossen, dass Computerprogramme, die zu einem legitimen Zweck wie der Sicherheitsprüfung von IT-Systemen verwendet werden, vom Anwendungsbereich des Gesetzes erfasst werden. Aus der Sicht der Wirtschaft, für die die Computerkriminalität eine enorme Herausforderung und eine existenzielle Bedrohung ist, ist das Gesetz daher schlicht kontraproduktiv.

Die PM kam leider nur als PDF und findet sich nicht im Netz.

Einen guten Hintergrundartikel gab es von Matthias Spielkamp in der brand eins 1/2007: DAS TROTZKOPF-PRINZIP.

Die Bundesregierung will den Besitz von Programmen bestrafen, mit denen sich Schaden anrichten lässt.
Dummerweise soll das auch für Sicherheitsfachleute gelten. Die IT-Branche kämpft in seltener Einigkeit gegen den Plan – vermutlich vergeblich.