Es geht munter weiter mit einem Text aus der Reihe „Warum der Entwurf des IT-Sicherheitsgesetzes schlecht ist“, und diesmal soll es darum gehen, dass das BKA in Zukunft für die 202er Paragraphen im Strafgesetzbuch zuständig sein sein soll. Hier geht es vor allem um §202c StGB.

Die Diskussion um sogenannte Hackertools wird auf mehreren Ebenen seit langem geführt. So haben Katitza Rodriguez und Marcia Hofmann von der EFF (Electronic Frontier Foundation) 2011 im Rahmen der Anhörung im Europäischen Parlament ein lesenswerten Kommentar geschrieben, bei dem sie sich anhand von CFAA (Computer Fraud and Abuse Act) die Fälle angesehen haben, die vergleichbar sind und unter anderem zu dem Schluss kommen, dass Hackertools-Regeln komplett aus dem Entwurf verschwinden sollten, weil sie schlicht für weniger statt mehr Sicherheit sorgen. Auch der CCC ist schon 2008 in seiner Stellungnahme an das BVerfG (Bundesverfassungsgericht) zu dem Ergebnis gekommen, daß der § 202c StGB ungeeignet ist das Ziel zu erfüllen und sogar dem geplanten Ziel des Gesetzgebers zuwiderläuft. Aber auch andere als die üblichen Verdächtigen haben dazu schon kritische Anmerkungen gemacht, wie z.B. Ines Hassemer, die die strafrechtlichen Risiken von Unternehmen in dem Zusammenhang untersucht hat, in der sie zu dem Schluss kommt, dass, auch wenn die Gefahren einer Verurteilung von Herstellern und Verbreitern von „Dual Use“-Software (also Software, die sich für Angriffe und Verteidigung gleichermaßen nutzen lässt), durch den Kommentar des Bundesverfassungsgerichts im Jahr 2009 (siehe BVerfG, 2 BvR 2233/07) gemindert ist, für IT-Unternehmen dennoch die Gefahr besteht, in Ermittlungen hineingezogen zu werden, wenn sie sich mit solcher Software beschäftigen.

Mir ist beim Lesen des Entwurfs zum IT-Sicherheitsgesetz direkt wieder eine Diskussion eingefallen, die ich mal mit LKA-Leuten aus meinem Lieblingsbundesland auf einem Event hatte, wo sie zu mir meinten, sie seien froh, dass §202c eigentlich nicht weiter verfolgt wird. Denn was die meisten nicht wissen und mir auch bis dato unklar war: Ein Verstoß gegen §202c StGB ist ein sogenanntes Offizialdelikt und es müssten eigentlich von Staatesseite aus automatisch untersucht werden, ob Ermittlungen eingeleitet werden müssen, selbst mit der Einschränkung durch den Karlsruher Kommentar (eine reine Behauptung, es handle ich um ein Dual-Use-Tool reicht ja nicht). Warum speziell dieser Paragraph so problematisch ist und welchen Effekt er hat, sei hier noch mal im Groben erläutert.

IT-Sicherheit ist eine komplexe Angelegenheit. Computer bestehen aus vielen Komponenten, z.B. Hardware, Betriebssystem und Anwendungs- und Administrationssoftware, und grade bei verteilten Systemen gibt es davon viele unterschiedliche. Ein Administrator oder selbst eine Gruppe von Administratoren kann ohne fremde Hilfe kaum ermessen, ob die Systeme, um die sich kümmern sollen, sicher sind oder nicht. Sie brauchen dazu Werkzeuge, die ihnen helfen und sie brauchen das Wissen, wo sie überhaupt gucken müssen. Beides, also Wissen und Werkzeuge, sind Produkte einer Beschäftigung einer oder mehrerer Personen sowie Diskussionen und am Ende auch die Bereitstellung von Software, mit dem entsprechende Tests durchführen können und eine Ahnung davon bekommen, ob ihre Systeme gegen spezifische Unsicherheiten verwundbar sind.

Wenn aber Code, mit dem solche Prüfungen durchgeführt werden, grundsätzlich kriminalisiert wird, so entsteht die Unsicherheit bei Betroffenen, ob sie solche Tools überhaupt benutzen dürfen und auf Seite von Sicherheitsforschern besteht das Problem, dass sie nicht wissen können, ob sie deswegen mit Problemen zu rechnen haben, auch wenn es bisher keine Probleme gab (durchgeknallte Staatanwälte gibt es überall). Was also ganz offensichtlich ein Effekt sein kann ist der, dass es auf der einen Seite keine Veröffentlichung des entsprechenden Tools gibt und das im Zweifel eben nicht passiert, und auf der anderen ist die Unsicherheit, ob man sich strafbar macht, wenn man solche Tools runter lädt.

Es gab ja vor einiger Zeit einen interessanten Fall, nämlich Blackshades. Bei diesem Tool handelt es sich um ein sogenannte Remote Access Tool, kurz RAT. Dieses Tool mag zwar auch einem illegalen Zwecken dienen, was aber nicht heisst, dass jeder, das das für 30 bis 40 Euro (!) kauft, damit auch eine Straftat begeht. Aber die Strafverfolgungsbehörden sind ganz klar davon ausgegangen, dass jeder, der das kauft und runter lädt, auch eine Straftat begeht. Das ist natürlich Unsinn, denn es gibt gleich eine ganze Reihe von Akteure wie Journalisten (um sich ein RAT mal „in echt“ anzugucken), Sicherheitsforscher (um z.B. eine Backdoor in der Backdoor zu suchen) oder Administratoren oder ganz normale Nutzer, weil sich damit nämlich auch testen lässt, wie gut die eigene Infrastruktur gegen diese Art von „Off the Shelf“-Tools gewappnet ist. Und es soll auch Leute geben, die damit ihre Kinder beobachten. Ganz automatisch davon auszugehen, dass Leute, die die 40 Euro ausgeben, damit automatisch Straftaten begehen, ist also mehr als fragwürdig – wurde aber so von der Staatsanwaltschaft in Gießen behauptet und vom Richter, der die Anordnung unterschrieben hat, mit dem Argument bestätigt, dass die Leute ja auf jeden Fall Geld damit verdienen wollen, was natürlich Unsinn ist, denn normalerweise kosten solche Werkzeuge ein vielfaches, und für das Geld kann man einfach mal gucken. Und so eine Ermittlung sorgt eben auch schnell dafür, dass Rechner beschlagnahmt werden und das ist heutzutage alles andere als kleiner Eingriff.

Im Kontext von IT-Sicherheit macht es also nur sehr wenig Sinn, diesen Paragraphen überhaupt zu haben. Denn für sich genommen, dürfte er keine große Rolle bei Verurteilungen spielen, sondern die Straftat, die damit begangen wird. Und das Strafmaß für diese begangene Straftaten dürfte dann auch über dem einem Jahr oder einer Geldstrafe liegen, die man für einen Verstoß gegen §202c kassiert.

Noch viel lustiger wird es ja, wenn man sich überlegt, wie das dann real aussehen soll, wenn das BKA wegen „Hackertools“ in der Zukunft zentral ermittelt. Sie lesen dann wohl die üblichen Sicherheitsmailinglisten durch und klicken sich Untergrundforen, laden die entsprechenden Werkzeuge runter, greifen damit irgendwelche Systeme an (die sie vorher aufgesetzt haben müssen) um dann zu entscheiden, ob es sich hierbei um Dual-Use-Güter handelt oder um reine Angriffswerkzeuge und ob sie dann ermitteln. Zugegeben, so wird es wohl nicht ganz so aussehen, aber im Kern ist es trotzdem das Problem, und das Ganze erhält eine besondere Brisanz im Kontext der Exportkontrollen von Überwachungstechnik, die auch einige Aussagen zu sogenannter „Intrusion Software“ macht.

Liest man sich beispielsweise die Anleitung des Hackers durch, der FinFisher angegriffen hat, so ist sehr schnell zu erkennen, dass die Werkzeuge zur Informationsbeschaffung und die „vorbereitenden Handlungen“ sehr allgemein sind (DNS-Checks, Portscans, Suche nach bestimmten Dateien auf dem Server usw.usf.). Ich finde das ja ein schönes Beispiel dafür, wie fehl solche Regeln gehen, sobald man sich reale Fälle aus der Nähe ansieht.

Statt also hier eine Abmilderung oder gar Streichung des Paragraphen §202c vorzusehen, ist wohl geplant, diesen auch noch zu verschärfen (da war doch was im dem geleakten Papier zu den Vorhaben der Bundesregierung in der aktuellen Legislaturperiode). Ich bezweifle jedenfalls sehr stark, dass das in irgendeiner Form zu mehr Sicherheit führen wird. Ich vermute, das es eher noch den Chilling Effect verstärken wird, den solche Regelungen auf die Veröffentlichung von Tools und Exploits hat. Ich hätte mir gewünscht, dass man grundsätzlich klare Bagatellgrenzen zieht und den Standort Deutschland für innovative Sicherheitsforschung stärkt, anstatt immer noch auf inhärent kaputte Regelungen wie diese zu setzen, die letztendlich das diametral Gegenteil von guter IT-Sicherheitsgesetzgebung sind.