Das Gesetz zur besseren strafrechtlichen Bekämpfung der Computerkriminalität wird wohl heute Nacht im Bundestag trotz grosser Kritik am sogenannten „Hackerparagraphen“ ohne Änderungen beschlossen. Ich hab dazu ein kurzes Interview mit Andreas Bogk vom Chaos Computer Club geführt, welche Auswirkungen dieses Gesetz haben könnte.

netzpolitik.org: Der Bundestag beschliesst heute Nacht einen Regierungsentwurf zur besseren strafrechtlichen Bekämpfung der Computerkriminalität. Worum geht es da?

Andreas Bogk: Es werden einige längst überfällige Lücken geschlossen, um strafrechtlich besser gegen Probleme wie Phishing und Denial-of-Service-Attacken vorgehen zu können. Dies geschieht in internationaler Koordination, nach den Vorgaben der Cybercrime Convention. Leider schießt jedoch die Gesetzesvorlage des Kabinetts weit über dieses Ziel hinaus, es werden auch legitime Sicherheitsinteressen von Bürgern und Organisationen durch eine zu breit gefaßte Strafrechtsverschärfung gefährdet.

netzpolitik.org: Wo liegt das konkrete Problem?

Andreas Bogk: Das Problem liegt darin, daß der neu vorgesehene §202c auch die Herstellung, die Verbreitung und das Sich-Verschaffen von IT-sicherheitsrelevanten Werkzeugen unter Strafe stellt. Problematisch ist hier, daß eine Abgrenzung zwischen legitimen Werkzeugen, die Administratoren zur Sicherung der eigenen Systeme verwenden, und solchen, die von Kriminellen zum Einbruch in Rechner verwendet werden, schwierig ist: diese sind nämlich schlichtweg identisch.

netzpolitik.org: Wieso brauchen denn Administratoren diese Werkzeuge?

Andreas Bogk: Sie benötigen sie, um die von ihnen eingesetzte Software auf Sicherheitslücken zu testen, oder auch ganz generell, um Probleme in ihren Systemen zu beheben. Ein Beispiel sind sogenannte Netzwerk-Sniffer: sie werden oft zur Problembehebung in Computernetzen eingesetzt, weil sie die übertragenen Datenpakete analysieren helfen. Auf der anderen Seite kann man mit genau demselben Werkzeug auch die Übertragung unverschlüsselter Paßwörter belauschen. Man kann das Problem vielleicht mit einer Analogie verdeutlichen: der §202c ist, als würde man die Herstellung, Verbreitung und das Sich-Verschaffen eines Hammers verbieten, wenn dieser überwiegend zu kriminellen Zwecken verwendet werden soll, wie beispielsweise, um bei einem Einbruch eine Tür einzuschlagen. Man sieht deutlich, daß da ein Abgrenzungsproblem existiert, und der Hersteller des hammers Gefahr läuft, sich vor Gericht rechtfertigen zu müssen, und eventuell sogar beweisen, daß er den Hammer zur zum Einschlagen von Nägeln gebaut hat.

netzpolitik.org: Nun argumentieren Politiker, „Für Juristen seien die Tatbestände klar umrissen und verständlich“. Warum schafft der Gesetzestext Deiner Meinung nach keine Rechtssicherheit?

Andreas Bogk: Nun, es gibt durchaus Juristen, wie den Würzburger Strafrechtsprofessor Erich Hilgendorf, die genau diese klare Abgrenzung in Zweifel ziehen. Und wenn sogar Juristen sich in diesem Punkt nicht einig sind, dann ist es mit der Rechtssicherheit für den einfachen Bürger nicht besonders gut bestellt.

netzpolitik.org: Es ist ja relativ ungewöhnlich, dass ein Regierungsentwurf im Bundestag ohne Änderungen durchkommt und zwei Oppositionsfraktionen auch noch zustimmen. Gab es nicht genug Kritik im Vorfeld?

Andreas Bogk: Das ist in der Tat sehr überraschend, da eine breite Front von Betroffenen, sowohl aus der Hacker-Szene, als auch aus der Wirtschaft, vor den Folgen einer solchen Rechtsprechung warnte. Ich halte es für ein ausgesprochenes Armutszeugnis der Demokratie, wenn die Legislative, wie in diesem Fall, von der Exekutive geschriebene Gesetze einfach ohne Änderungen durchwinkt, vorliegende Bedenken unter den Tisch kehrt, und sogar eine Debatte durch geschickte Terminwahl vermeidet.

netzpolitik.org: Welche Auswirkungen könnte dieses Gesetz für Freie Software haben?

Andreas Bogk: Gerade im Bereich von Sicherheitswerkzeugen wird dieses Gesetz drastische Folgen haben. Entwickler Freier Software können das Risiko eines Strafprozesses in der Regel nicht eingehen, selbst wenn die Aussicht auf einen erfolgreichen Ausgang besteht. Das bedeutet, daß die Entwicklung entsprechender Werkzeuge stark gehemmt wird, was wiederum Folgen auf die Verfügbarkeit solcher Werkzeuge hat. Letzten Endes werden also an IT-Sicherheit interessierte Einzelpersonen in den Untergrund gedrängt. Wo dann der Nachwuchs für die IT-Sicherheit hierzulande herkommen soll, bleibt fraglich. Besonders drastisch ist die Bedrohungslage für den Einzelnen aufgrund der Tatsache, daß der Wortlaut des neu zu errichtenden §202c auch in den Paragraphen §303b übernommen werden soll. Auf diesen verweist §129a, der bekannte Terrorismusparagraph. Und da die Wortwahl sehr umfassend ist, und nahezu jedes Programm, das Daten verändern kann, unter §303b fällt, muß also jeder Entwicker Freier Software befürchten, demnächst als Terrorist eingestuft und hausdurchsucht zu werden.

netzpolitik.org: Freie (Linux-) Distributionen wie Debian bieten ja normalerweise einen bunten Strauss an Sicherheitstools. Könnte das Gesetz Auswirkungen auf die Verfügbarkeit von freien Distributionen in Deutschland haben?

Andreas Bogk: Auch die Freien Distributionen werden ja von Einzelpersonen erstellt und gewartet, und in der Regel von kleinen Firmen vertrieben. Beide können sich das Risiko einer strafrechtlichen Verfolgung nicht leisten, so daß schon von einem „chilling effect“ und einer Abnahme der Verfügbarkeit auszugehen ist. Alternativ könnten speziell für Deutschland Distributionen erstellt werden, denen es dann aber an den Werkzeugen zur ordnungsgemäßen Absicherung gegen Einbrüche fehlen würde.

netzpolitik.org: Der Bundestag beschliesst wohl heute Nacht (vermutlich ohne Debatte) das Gesetz. Ist es dann durch oder muss es noch in den Bundesrat?

Andreas Bogk: Das Gesetz muß noch vom Bundesrat verabschiedet werden. Dieser hat ja bereits in einer Stellungnahme erklärt, unsere Bedenken, insbesondere gegen §202c, zu teilen. Es ist zu hoffen, daß der Bundesrat das Gesetz in dieser Fassung ablehnt, und dann der Vermittlungsausschuß für die dringend notwendigen Korrekturen sorgt.

netzpolitik.org: Was kann jetzt noch getan werden, um negative Auswirkungen für Wirtschaft, Wissenschaft und Gesellschaft zu verhindern?

Andreas Bogk: Vermutlich ist es bereits zu spät, um die Verabschiedung des Gesetzes durch den Bundestag zu verhindern, da ja nicht nur die Koalition, sondern mit der FDP und den Grünen die beiden großen Oppositionsparteien im Rechtsausschuß ihre Zustimmung erklärt haben. Ein übriges tut die unangemessene Eile, die es verhindert, bei den Abgeordneten noch über die Folgen des Gesetzes angemessen aufzuklären. So bleibt es uns nur, den Bundesrat zu ermutigen, zu seiner Stellungnahme zu stehen und diese umzusetzen.

netzpolitik.org: Vielen Dank für das Interview.

Weitere Infos und Links zu dem Gesetz finden sich hier: Hacker und Administratoren werden zu Terroristen?