Im Bundestag wurde am 24.5.2007 der Gesetzentwurf der Bundesregierung zur Verschaerfung des Strafrechts gegen Computerkriminalitaet ohne Aenderungen durchgewunken. Lediglich die Linkspartei und der IT-Experte der SPD, Joerg Tauss, stimmten gegen den Entwurf. Die Aenderungen am Strafrecht hatten im Vorfeld Kritik u.a. vom BITKOM und den zur Anhoerung im Rechtsausschuss geladenen Experten geerntet. Im Zentrum der Kritik stand der neue Paragraph 202c, der bereits die Herstellung und Verbreitung von Computerprogrammen unter Strafe stellt, deren vermeintlicher Zweck das unbefugte Verschaffen oder Abfangen von Daten ist.
Kann schon eine Idee strafbar sein?
Ein Problem des § 202c ist die weitreichende Vorverlegung der strafbaren Handlung auf die Programmierung von Tools. Sie soll als Vorbereitung einer Straftat gelten. Im sonstigen Strafrecht gibt es nichts Vergleichbares. Der Zweck eines Programms laesst sich nicht auf den kriminellen Gebrauch begrenzen. So dienen haeufig Tools, die fuer Angriffe benutzt werden koennen, auch der Aufdeckung und Beseitigung von Schwachstellen oder der Analyse von Netzwerken. Sie gehoeren zu den Standardwerkzeugen von Administratoren und sind Bestandteil von weit verbreiteten Open Source LINUX Distributionen. Ob ein Programm zur Vorbereitung einer Straftat eingesetzt oder sinnvoll zur Wartung oder Gefahrenabwehr genutzt wird, laesst sich haeufig nicht am Tool selbst erkennen, sondern nur aus dem Nutzungskontext ableiten. Da aber schon das Erstellen und Bereitstellen zum Download einen Straftatbestand darstellen kann und nicht erst die Nutzung des Tools fuer einen Angriff, entsteht durch die Neuregelung eine rechtliche Grauzone. Ausgerechnet IT-Sicherheitsexperten sind jetzt unsicher, welche ihrer bisherigen Taetigkeiten zukuenftig noch legal sind.
Ein Schelm, wer Boeses denkt!
Die vom Rechtsausschuss des Bundestages angehoerten Experten schlugen kleinere Aenderungen am Gesetzestext vor, die diese Probleme beseitigt haetten. Dass ihre konstruktive, berechtigte und fachlich fundierte Kritik (1) nicht beruecksichtigt wurde, wirft die Frage auf, ob das Gesetz tatsaechlich nur der Bekaempfung der Computerkriminalitaet dienen soll oder ob hier politisch ganz andere Ziele verfolgt werden. Die Plaene von Innenminister Schaeuble, IT-Sicherheitsfirmen zertifizieren zu lassen, sind ein Indiz dafuer, dass es auch darum geht, IT-Sicherheit zu einer staatlichen Hoheitsaufgabe zu machen. IT-Sicherheit ist wohl der einzige Sicherheitsbereich, der weitgehend unabhaengig von staatlicher Kontrolle ist. Diese Unabhaengigkeit wird durch die Kriminalisierung von Sicherheitswerkzeugen gefaehrdet. Auch die freie Forschung im Bereich IT-Sicherheit koennte staerker als bisher eingeschraenkt werden. Es wird zukuenftig schwerer werden, Sicherheitsluecken zu veroeffentlichen und mit (harmlosen) Beispiel-Exploits nachzuweisen, dass Anwendungen oder Systeme von oeffentlichem Interesse Schwachstellen besitzen. Hersteller koennten versuchen, den Ueberbringer der schlechten Botschaft zu verklagen und die Sicherheitsluecke zu vertuschen, statt sie zu schließen.
Wird unabhaengige IT-Sicherheit gebraucht?
Als Beispiel mag hier die Aufdeckung von Sicherheitsluecken in niederlaendischen Wahlcomputern durch Mitglieder des Chaos Computer Clubs (CCC) in 2006 (2) dienen. Fuer das Vertrauen in die Demokratie ist die Zuverlaessigkeit und Faelschungssicherheit der eingesetzten Prozesse und technischen Hilfsmittel unerlaesslich. Die Manipulierbarkeit der Wahlcomputer wurde von den Hackern einer interessierten Oeffentlichkeit vorgefuehrt und schließlich zur Beweisgrundlage einer Verfassungsklage gemacht. Man hatte den Wahlcomputer gekauft, damit waere die Untersuchung auch nach der Gesetzesaenderung noch legal gewesen. Dieser Weg koennte jedoch zukuenftig leicht vom Hersteller versperrt werden.
(1)
Stellungnahme von Felix Lindner, Firma SABRE zum Gesetzentwurf der Bundesregierung zu einem Strafrechtsaenderungsgesetz zur Bekaempfung der Computerkriminalitaet (BT-Drs.16/3656). Berlin 19.3.2007 http://www.bundestag.de/...
(2) http://www.ccc.de/...
Kann schon eine Idee strafbar sein?
Ein Problem des § 202c ist die weitreichende Vorverlegung der strafbaren Handlung auf die Programmierung von Tools. Sie soll als Vorbereitung einer Straftat gelten. Im sonstigen Strafrecht gibt es nichts Vergleichbares. Der Zweck eines Programms laesst sich nicht auf den kriminellen Gebrauch begrenzen. So dienen haeufig Tools, die fuer Angriffe benutzt werden koennen, auch der Aufdeckung und Beseitigung von Schwachstellen oder der Analyse von Netzwerken. Sie gehoeren zu den Standardwerkzeugen von Administratoren und sind Bestandteil von weit verbreiteten Open Source LINUX Distributionen. Ob ein Programm zur Vorbereitung einer Straftat eingesetzt oder sinnvoll zur Wartung oder Gefahrenabwehr genutzt wird, laesst sich haeufig nicht am Tool selbst erkennen, sondern nur aus dem Nutzungskontext ableiten. Da aber schon das Erstellen und Bereitstellen zum Download einen Straftatbestand darstellen kann und nicht erst die Nutzung des Tools fuer einen Angriff, entsteht durch die Neuregelung eine rechtliche Grauzone. Ausgerechnet IT-Sicherheitsexperten sind jetzt unsicher, welche ihrer bisherigen Taetigkeiten zukuenftig noch legal sind.
Ein Schelm, wer Boeses denkt!
Die vom Rechtsausschuss des Bundestages angehoerten Experten schlugen kleinere Aenderungen am Gesetzestext vor, die diese Probleme beseitigt haetten. Dass ihre konstruktive, berechtigte und fachlich fundierte Kritik (1) nicht beruecksichtigt wurde, wirft die Frage auf, ob das Gesetz tatsaechlich nur der Bekaempfung der Computerkriminalitaet dienen soll oder ob hier politisch ganz andere Ziele verfolgt werden. Die Plaene von Innenminister Schaeuble, IT-Sicherheitsfirmen zertifizieren zu lassen, sind ein Indiz dafuer, dass es auch darum geht, IT-Sicherheit zu einer staatlichen Hoheitsaufgabe zu machen. IT-Sicherheit ist wohl der einzige Sicherheitsbereich, der weitgehend unabhaengig von staatlicher Kontrolle ist. Diese Unabhaengigkeit wird durch die Kriminalisierung von Sicherheitswerkzeugen gefaehrdet. Auch die freie Forschung im Bereich IT-Sicherheit koennte staerker als bisher eingeschraenkt werden. Es wird zukuenftig schwerer werden, Sicherheitsluecken zu veroeffentlichen und mit (harmlosen) Beispiel-Exploits nachzuweisen, dass Anwendungen oder Systeme von oeffentlichem Interesse Schwachstellen besitzen. Hersteller koennten versuchen, den Ueberbringer der schlechten Botschaft zu verklagen und die Sicherheitsluecke zu vertuschen, statt sie zu schließen.
Wird unabhaengige IT-Sicherheit gebraucht?
Als Beispiel mag hier die Aufdeckung von Sicherheitsluecken in niederlaendischen Wahlcomputern durch Mitglieder des Chaos Computer Clubs (CCC) in 2006 (2) dienen. Fuer das Vertrauen in die Demokratie ist die Zuverlaessigkeit und Faelschungssicherheit der eingesetzten Prozesse und technischen Hilfsmittel unerlaesslich. Die Manipulierbarkeit der Wahlcomputer wurde von den Hackern einer interessierten Oeffentlichkeit vorgefuehrt und schließlich zur Beweisgrundlage einer Verfassungsklage gemacht. Man hatte den Wahlcomputer gekauft, damit waere die Untersuchung auch nach der Gesetzesaenderung noch legal gewesen. Dieser Weg koennte jedoch zukuenftig leicht vom Hersteller versperrt werden.
(1)
Stellungnahme von Felix Lindner, Firma SABRE zum Gesetzentwurf der Bundesregierung zu einem Strafrechtsaenderungsgesetz zur Bekaempfung der Computerkriminalitaet (BT-Drs.16/3656). Berlin 19.3.2007 http://www.bundestag.de/...
(2) http://www.ccc.de/...
