Ignoranz bei Verschaerfung der Hackerparagraphen?

Im Bundestag wurde am 24.5.2007 der Gesetzentwurf der Bundesregierung
zur Verschaerfung des Strafrechts gegen Computerkriminalitaet ohne
Aenderungen durchgewunken. Lediglich die Linkspartei und der
IT-Experte der SPD, Joerg Tauss, stimmten gegen den Entwurf. Die
Aenderungen am Strafrecht hatten im Vorfeld Kritik u.a. vom BITKOM und
den zur Anhoerung im Rechtsausschuss geladenen Experten geerntet. Im
Zentrum der Kritik stand der neue Paragraph 202c, der bereits die
Herstellung und Verbreitung von Computerprogrammen unter Strafe
stellt, deren vermeintlicher Zweck das unbefugte Verschaffen oder
Abfangen von Daten ist.

Kann schon eine Idee strafbar sein?

Ein Problem des § 202c ist die weitreichende Vorverlegung der
strafbaren Handlung auf die Programmierung von Tools. Sie soll als
Vorbereitung einer Straftat gelten. Im sonstigen Strafrecht gibt es
nichts Vergleichbares. Der Zweck eines Programms laesst sich nicht auf
den kriminellen Gebrauch begrenzen. So dienen haeufig Tools, die fuer
Angriffe benutzt werden koennen, auch der Aufdeckung und Beseitigung
von Schwachstellen oder der Analyse von Netzwerken. Sie gehoeren zu
den Standardwerkzeugen von Administratoren und sind Bestandteil von
weit verbreiteten Open Source LINUX Distributionen. Ob ein Programm
zur Vorbereitung einer Straftat eingesetzt oder sinnvoll zur Wartung
oder Gefahrenabwehr genutzt wird, laesst sich haeufig nicht am Tool
selbst erkennen, sondern nur aus dem Nutzungskontext ableiten. Da aber
schon das Erstellen und Bereitstellen zum Download einen
Straftatbestand darstellen kann und nicht erst die Nutzung des Tools
fuer einen Angriff, entsteht durch die Neuregelung eine rechtliche
Grauzone. Ausgerechnet IT-Sicherheitsexperten sind jetzt unsicher,
welche ihrer bisherigen Taetigkeiten zukuenftig noch legal sind.

Ein Schelm, wer Boeses denkt!

Die vom Rechtsausschuss des Bundestages angehoerten Experten schlugen
kleinere Aenderungen am Gesetzestext vor, die diese Probleme beseitigt
haetten. Dass ihre konstruktive, berechtigte und fachlich fundierte
Kritik (1) nicht beruecksichtigt wurde, wirft die Frage auf, ob das
Gesetz tatsaechlich nur der Bekaempfung der Computerkriminalitaet
dienen soll oder ob hier politisch ganz andere Ziele verfolgt werden.
Die Plaene von Innenminister Schaeuble, IT-Sicherheitsfirmen
zertifizieren zu lassen, sind ein Indiz dafuer, dass es auch darum
geht, IT-Sicherheit zu einer staatlichen Hoheitsaufgabe zu machen.
IT-Sicherheit ist wohl der einzige Sicherheitsbereich, der weitgehend
unabhaengig von staatlicher Kontrolle ist. Diese Unabhaengigkeit wird
durch die Kriminalisierung von Sicherheitswerkzeugen gefaehrdet. Auch
die freie Forschung im Bereich IT-Sicherheit koennte staerker als
bisher eingeschraenkt werden. Es wird zukuenftig schwerer werden,
Sicherheitsluecken zu veroeffentlichen und mit (harmlosen)
Beispiel-Exploits nachzuweisen, dass Anwendungen oder Systeme von
oeffentlichem Interesse Schwachstellen besitzen. Hersteller koennten
versuchen, den Ueberbringer der schlechten Botschaft zu verklagen und
die Sicherheitsluecke zu vertuschen, statt sie zu schließen.

Wird  unabhaengige IT-Sicherheit gebraucht?

Als Beispiel mag hier die Aufdeckung von Sicherheitsluecken in
niederlaendischen Wahlcomputern durch Mitglieder des Chaos Computer
Clubs (CCC) in 2006 (2) dienen. Fuer das Vertrauen in die Demokratie
ist die Zuverlaessigkeit und Faelschungssicherheit der eingesetzten
Prozesse und technischen Hilfsmittel unerlaesslich. Die
Manipulierbarkeit der Wahlcomputer wurde von den Hackern einer
interessierten Oeffentlichkeit vorgefuehrt und schließlich zur
Beweisgrundlage einer Verfassungsklage gemacht. Man hatte den
Wahlcomputer gekauft, damit waere die Untersuchung auch nach der
Gesetzesaenderung noch legal gewesen. Dieser Weg koennte jedoch
zukuenftig leicht vom Hersteller versperrt werden.

(1) Stellungnahme von Felix Lindner, Firma SABRE zum Gesetzentwurf der Bundesregierung zu einem Strafrechtsaenderungsgesetz zur Bekaempfung der Computerkriminalitaet (BT-Drs.16/3656). Berlin 19.3.2007
http://www.bundestag.de/ausschuesse/a06/anhoerungen/15_Computerkriminalitaet/04_Stellungnahmen/Stellungnahme_Lindner.pdf

(2) http://www.ccc.de/press/releases/2007/20070609/nedapReport54.pdf

Fuer Rueckfragen zu dieser Erklaerung wenden Sie sich bitte ueber
unsere Geschaeftsstelle an Kai Nothdurft.

Bremen, 16. Juli 2007

Forum InformatikerInnen fuer Frieden
und gesellschaftliche Verantwortung (FIfF) e.V.
Goetheplatz 4, D-28203 Bremen
Tel.: 0421 / 33 65 92 55,
Fax: 0421 / 33 65 92 56
E-Mail: fiff@fiff.de