Pressemeldung von heute: Chaos Computer Club: Gesetzentwurf gefährdet die Computersicherheit.

Das Bundeskabinett hat am 20. September einen Regierungsentwurf zur Änderung des Strafrechts in Zusammenhang mit Computersystemen beschlossen. Dabei soll u. a. Software kriminalisiert werden, die zur Analyse von Sicherheitslücken zwingend erforderlich ist. Der Chaos Computer Club warnt davor, dass die Umsetzung des Entwurfes die Sicherheit von Computersystemen gefährdet. Stattdessen fordert der CCC eine drastische Verschärfung der Strafen für Datenverbrechen.

Der Gesetzentwurf wird die Arbeitsgrundlagen von Sicherheitsberatern und Netzwerkexperten unter Strafe stellen. Bereits der Besitz und die Verbreitung von Werkzeugen zur Netzwerkanalyse und zur Aufdeckung von Sicherheitslöchern in Rechnersystemen sollen strafbar werden. Die Arbeit der Sicherheitsexperten wäre damit kaum mehr möglich und von ungerechtfertigter Kriminalisierung bedroht.

„Dieser Gesetzentwurf wird nicht gegen Computerkriminalität helfen. Stattdessen werden der IT-Sicherheitsbranche dringend benötigte Werkzeuge zur Aufdeckung von Schwachstellen aus der Hand geschlagen“, sagte CCC-Sprecher Andy Müller-Maguhn. „Die Vorstellungen des Gesetzgebers zeugen von einer ausgeprägten Unkenntnis der technischen Vorgehensweisen. Testangriffe zum Auffinden von Sicherheitslöchern sind für die IT-Sicherheit wie Crashtests für die Autoindustrie. Niemand käme auf die Idee, Crashtests zu verbieten“, kommentierte der CCC-Sprecher.

Verboten werden sollen sogenannte ‚Hackertools’ und damit zugleich die öffentliche Diskussion von Sicherheitslücken. Der allgemein akzeptierte Standard zur Überprüfung der Sicherheit eines Systems ist es aber, dieses mit Angriffswerkzeugen zu testen (sog. penetration testing), um die dabei gefundenen Lücken schließen zu können.

Mit dem neuen Gesetz sollen Vorgaben der umstrittenen „Cybercrime Convention“ und ein EU-Rahmenbeschluss umgesetzt werden, die ohne Hinzuziehung von Experten entstanden sind. Aus Sicht des CCC wird erneut versucht, über den europäischen Umweg eine gesellschaftliche Debatte in Deutschland über adäquate gesetzliche Rahmenbedingungen zur Handhabe von IT-Risiken zu umgehen.

„Der Gesetzentwurf zeugt von erschreckender Realitätsferne und fehlender Sachkenntnis“, sagte Müller-Maguhn vom CCC. „Durch die Einschränkung der Freiheit der Forschung und Entwicklung im Bereich Computersicherheit wird das Gegenteil des beabsichtigten Ziels erreicht.“

Als effektive Maßnahme zur Eindämmung der Computerkriminalität fordert der CCC stattdessen härtere Strafen für Verstösse gegen den Datenschutz. Datenverbrechen wie das illegale Abschöpfen und Weitergeben sowie das unkontrollierte Verknüpfen von Daten werden derzeit als Kavaliersdelikt behandelt, betreffen aber den Bürger im Alltag immer mehr.

Der CCC fordert deshalb statt der unsinnigen und kontraproduktiven neuen Regelungen ein zeitgemässes Bundesdatenschutzgesetz mit einem harten Strafkatalog für Datenverbrechen. Zusätzlich dazu sind weitgehende Schadenersatzansprüche der Geschädigten gegen Firmen, die ihre persönliche Daten ungenehmigt weitergeben oder unsicher verarbeiten und lagern erforderlich.

„Es muss endlich Rechtssicherheit in der riesigen Grauzone des Datenbasars geschaffen werden. Derzeit verarbeiten und verkaufen internationale Datendealer-Ringe und skrupellose Unternehmen weitgehend ungestört ganz persönliche Daten deutscher Bürger. Hier sind auch eine Vielzahl von Datenlecks in privatisierten Staatsbetrieben und bei Public-Private-Partnerschaften zu schließen“, fasste Müller-Maguhn zusammen.

Forderungen

* 1. Beschränkung des Besitzverbots nach §202c StGBE auf unmittelbar kriminelle Aktivitäten
* 2. Klarstellung der Forschungsfreiheit im Computer-Sicherheitsbereich
* 3. Beschränkung des Schutzbereiches von Datenspionage auf besonders gesicherte Daten (§202b StGBE)
* 4. Klarstellende Engerfassung des Verbotes des Abfangens von elektromagnetischen Abstrahlungen
* 5. Einführung eines „Tätige Reue“ Tatbestandes für Computereinbrüche
* 6. Beibehaltung des Strafantragserfordernis (§ 205 StGBE)
* 7. Umfassende Novelierung des BDSG zur Erfassung moderner Datenverbrechen mit deutlicher Strafverschärfung
* 8. Einführung von weitgehenden Schadenersatzansprüchen für von Datenverbrechen Betroffene

Passend dazu ist auch ein Kommentar in Fefe´s Blog.

Update: Joerg Heidrich, Justiziar des Heise Zeitschriften Verlags, hat auf Spiegel-Online den Gesetzesentwurf auch kommentiert: „Kontraproduktiv für die IT-Sicherheit“.

Offensichtlich nicht bedacht hat der Gesetzgeber dabei aber die Tatsache, dass solche Programme nicht nur von bösen Hackern eingesetzt werden – sondern auch von Systemadministratoren, Programmierern und Beratern: Sie dienen als unverzichtbare Werkszeuge dazu, die eigenen Systeme auf Sicherheit, Stabilität und Verwundbarkeit zu überprüfen.

[…]

Ohnehin ist die Vorstellung, mit einem Gesetz auf deutscher oder europäischer Ebene die Verbreitung solcher Werkzeuge nachhaltig zu verhindern, eher naiv – und zeugt von mangelndem Grundverständnis für das Internet. Denn ob diese Programme hierzulande angeboten werden dürfen, ist in einem globalen Netz völlig unerheblich. Angebote aus Russland oder irgendwelchen juristisch kaum zu erreichenden Karibikinseln sind stets nur einen Mausklick entfernt und bieten derartige Software nicht nur kostenlos, sondern auch in fast unbegrenzter Auswahl.