Zitat: Per Gesetzesänderung (§202c StGB) hat die Bundesregierung das Internet wieder zur Blümchenwiese gemacht. Da es keine Sicherheitsprobleme mehr gibt, brauchen wir jetzt auch keine Sicherheitswerkzeuge mehr.

Das trifft die Problematik eigentlich ganz gut. Wie so oft in letzter Zeit werden schwammige Paragraphen erlassen, die einen großen Ermessensspielraum haben. In diesem Fall zwar mit einer Beschlußempfehlung, es wird also ein weiteres Dokument erstellt, in dem die Auslegung niedergeschrieben wird, bzw. man schreibt fest, daß der Paragraph geändert werden muss, wenn er anders als gedacht ausgelegt wird. Meiner Meinung nach absoluter Blödsinn, dann muss man ihn halt eindeutig formulieren.

Der §202 StGB ist Teil des Cybercrime Abkommens des Europarates.

via Netzpolitik.org

Einer der Kommentatoren meines Blog-Eintrags zum §202 StGB wirft mir zu wenig Recherche vor. Das mag erstmal so aussehen, da ich zum Zeitpunkt des Posts vorallem schnell meine Meinung und die Auslegung durch den CCC kundtun wollte.

Mit der Auslegung ist der CCC nicht allein:

• eco – Verband Deutscher Internet Wirtschaft e.V.
  

  Computerkriminalität bekämpfen – nicht Sicherheitstechnik ausbremsen!
  Damit besteht die Gefahr, dass das Gesetz die Sicherheitsbemühungen der Unternehmen ausbremst, anstatt Computerkriminalität wirksam zu bekämpfen. Die dazu abgegebene Erklärung der Abgeordneten, wie das Gesetz auszulegen sei, reicht nicht aus, denn Gerichte urteilen nach dem Text des Gesetzes.

• Heise.de: Scharfe Kritik am neuen Hackerparagraphen
• Zitat aus Heise.de: Klarstellungen bei neuen Hackerparagraphen gefordert
  

  “Wenn es keine Änderung am 202c gibt, sollte man ihn lieber ganz streichen”, forderte der Würzburger Strafrechtsprofessor Erich Hilgendorf

  [...]

  Carl-Friedrich Stuckenberg, Privatdozent am Institut für Strafrecht der Universität Bonn, ging mit Hilfendorf konform. Mit dem 202c werde versucht, “eine Art Gefahrengutregime für bestimmte Arten von Software zu errichten”.

  [...]

  Jürgen-Peter Graf, Richter am Bundesgerichtshof, hält die Vorverlagerung des Tatbestandsmerkmals ebenfalls für ein Problem. Die bestehenden Formulierungen seien aber grundsätzlich in der Lage, die Bedenken auszuräumen. In Richtung Computerpresse verwies er darauf, dass Hinweise auf Exploits von Sicherheitslücken und die Erteilung von Ratschlägen zu deren Anwendungen durchaus unter den neuen Straftatbestand fallen könnten. Dies sei gerechtfertigt, da so der Verbreitung von Schadsoftware entgegengewirkt würde.

• Heise Security: IT-Branchenverband gegen pauschales Verbot von “Hacker-Tools”

Das Gesetz ist vom Grundgedanken her ja richtig, daß sich niemand die Daten von Anderen beschaffen kann, ohne sich strafbar zu machen, aber eine etwas eindeutigere Formulierung wäre auf jeden Fall angebracht gewesen. Rechtsexperten sind sich einig, daß die Formulierung zu schwammig ist.

Ich sehe vorallem die Gefahr darin, daß Hinweise auf Exploits nicht mehr veröffentlicht werden dürfen, da man dann nicht mehr im eigenen Netz Verwundbarkeiten prüfen kann.

Da in diesem Bezug auch der §129a StGB genannt wird (Bildung einer terroristischen Vereinigung), befürchten manche Blogger, daß damit der CCC zu einer Terrorgruppe gemacht wird. In wie weit dies zutrifft, kann und will ich mich nicht äußern, aber ich denke auch hier wäre eine genauere Abgrenzung notwendig gewesen.

Auf abgeordnetenwatch.de findet man bei Hans-Christian Ströbele (GRÜNE) die Klarstellung durch den Bundestag (unteres Drittel – sucht nach 202):

[...] Sollten doch Programmentwickler und Firmen, die nicht aus krimineller Energie handeln, durch diese neuen Strafvorschriften in Ermittlungsverfahren einbezogen werden, wird auf solche Entwicklungen zeitnah reagiert werden müssen.

Abschliessend bitte ich noch zu beachten, daß die Artikel dieses Blogs meine Meinung sind und sie niemandem gefallen müssen. Ich weiß auch, daß sich manche Artikel etwas einseitig anhören. Ich schreibe nicht komplette Artikel mit allen möglichen Blickrichtungen, sondern die Passagen, die mich aufregen.

Danke trotzdem für die konstruktiven Kommentare!

Der Innenausschuss will zudem im Rahmen des Gesetzes eine Rechtsgrundlage für verdeckte Online-Durchsuchungen schaffen.

Jetzt hört man schon nicht auf Experten, die im Bundestag gehört wurden (siehe Beschluß §202c StGB), sondern bastelt als Laie an diesen Überwachungswerkzeugen.

Ich frage mich wirklich, warum man bei uns so viel Angst schüren kann, ohne daß ein Aufschrei durch die Bevölkerung erfolgt. Seit September 2001 werden unsere Rechte durch fiktive Bedrohungen beschnitten.

Für die Installation des benötigten “Trojaners” oder anderer Spionagesoftware sieht der Innenausschuss keinen Regelungsbedarf. Notwendige Beeinträchtigungen des Betroffenen durch typische Vorbereitungs- oder Begleitmaßnahmen seien durch die Norm gedeckt.

Na toll, das heißt keiner haftet für Datenverlust, den Betroffene (eventuell Unschuldige) durch die Installation des Trojaners, oder durch das Ausnutzen eines Exploits haben können.

Die vorgeschlagene Anhebung der Grenze von 1000 auf 10.000 Teilnehmer als Kriterium für das Privileg sei nicht gerechtfertigt.

Aha, also Internetprovider unter 1000 Benutzer müssen nicht überwachen. Wie sieht das eigentlich mit dem Deutschen Forschungsnetz aus? An dem sind fast alle deutschen Universitäten angeschlossen. Muß auch hier eine teure Überwachungshard- und Software installiert werden? Wie will man sich vor Wirtschaftsspionage schützen?

Der Entwurf bringe ferner “eine erhebliche Verschlechterung der präventiven Nutzungsmöglichkeit von Daten aus strafrechtlichen Ermittlungsverfahren” mit sich, kritisieren die Innenpolitiker weiter.

Das wird dann meiner Meinung nach der Freibrief für die allgemeine Rasterfahndung.

Meine Auswanderungswünsche werden wieder stärker…

Der Bundestag hat heute das Verbot von Computersicherheitswerkzeugen unverändert durchgewunken (Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität, neuer § 202 StGB). Bestraft werden soll insbesondere das Herstellen, Programmieren, Überlassen, Verbreiten oder Verschaffen von Software, die für die tägliche Arbeit von Netzwerkadministratoren und Sicherheitsexperten dringend notwendig ist. Damit handelten die Abgeordneten entgegen dem ausdrücklichen Rat der in den Ausschüssen bei der Beratung des Gesetzes gehörten Experten aus Wissenschaft und Praxis. Auch von Seiten der Internetwirtschaft und vom Bundesrat war die Gesetzesänderung scharf kritisiert worden.

Schön langsam zweifle ich stark an diesen sogenannten Volksvertretern. Der Gesetzentwurf vom letzten Jahr, wurde ohne Änderungen durchgewunken.

Durch die schwammige Fassung werden praktisch alle Tools, mit denen Computersicherheit überprüft werden kann, strafbar. Wie soll man bitte sein Netzwerk prüfen, wenn man die entsprechenden Tools nicht verwenden darf? Es wird sooft vom Standort Deutschland gefaselt, der BSI baut Linux-Distributionen, um die Sicherheit zu erhöhen, aber durch solche Gesetze steuern wir in eine zweifelhafte Richtung.
Die Gefahr von Wirtschaftsspionage und der Verbreitung von Viren und (Bundes-)Trojanern steigt sprunghaft.

Was kommt als Nächstes?

Manchmal frage ich mich, ob ich vielleicht bei den Schildbürgern gelandet bin.
Der CCC hat Recht, wenn er sagt:

“Das allgemeine Verbot dieser Software ist etwa so hilfreich wie die Herstellung und den Verkauf von Hämmern zu verbieten, weil damit manchmal auch Sachbeschädigungen durchgeführt werden.”

Als Lösung werden staatlich zertifizierte “vertrauenswürdige” Sicherheitsanbieter präsentiert. Das ist doch ein Witz! Das ist die staatlich subventionierte “Lizenz zum Gelddrucken”. Wenn man allein die Kosten heute betrachtet, die eine Sicherheitszertifizierung nach BSI verursacht, dann wird in Zukunft ein Penetrationtest unbezahlbar.