Angesichts der steigenden Flut an Trojanern und anderer Spyware wäre es eigentlich zu begrüßen, dass die Bundesregierung mit schärferen Gesetzen gegen die Computerkriminalität vorgeht. Allerdings scheint der Gesetzgeber bei der Novelle der Paragrafen 202 sowie 303 des Strafgesetzbuches (StGB) über das Ziel hinausgeschossen zu sein. So kritisiert die Gesellschaft für Informatik, dass die neuen Gesetze "zu einer Kriminalisierung der heute in allen Unternehmen, Behörden und von Privaten verwendeten Programme zur Aufdeckung von Sicherheitslücken in IT-Systemen" führen. Derartige Programme und Tools seien aber zur Absicherung gegen Angriffe - etwa durch Pentetration Testing unverzichtbar.
Kommentar
Gefängnis für das Vorhalten eines Sniffers auf der Web-Seite? Damit schießen die Politiker in Berlin wohl eindeutig über das Ziel hinaus. Sicher müssen in Zeiten des E-Commerce kriminelle Cracker verfolgt werden. Niemand will seine Kreditkartendaten nach dem Online-Shopping in den Händen der organisierten Kriminalität wissen. Und kein Unternehmen kann es sich leisten, dass ein Eindringling mit Hilfe eines Trojaners seine IT-Systeme lahm legt. Ganz zu schweigen von der Verwundbarkeit unserer öffentlichen Infrastruktur wie Energieversorgung, Verkehrsleitsysteme oder Flugsicherung. Nur werden diese Systeme automatisch sicherer, wenn wir Programme verbieten, die sich eventuell zum Einbruch eignen? Gerade das Thema Sniffer verdeutlicht die Problematik: Positiv genutzt, dienen sie zur Optimierung des Netzverkehrs, negativ verwendet zum Ausspähen von Passwörtern etc. Davon abgesehen: Wie soll unser Informatiknachwuchs an den Hochschulen lernen, sichere Netze und Anwendungen zu entwickeln, wenn er sich nicht mit den Werkzeugen der Täter auseinandersetzten darf? Der Hackerparagraf behindert Administratoren und Informatiker in ihrer Arbeit hoffentlich fällt das wenigstens dem Bundesrat auf.
IT-Branche in Aufregung
Der Streit um das neue Gesetz, das nach der Zustimmung durch den Bundesrat wohl in wenigen Wochen mit seiner Veröffentlichung Rechtskraft erlangen wird, entzündet sich vor allem an dem Paragrafen 202c StGB. Dort heißt es: "Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft". Die Paragrafen 202a und b definieren den unbefugten Zugriff sowie das Ausspähen von Daten.
Pauschale Kriminalisierung
Die Gesellschaft für Informatik, den Bitkom, den Verband der deutschen Internet-Wirtschaft eco und andere stört nun am Paragrafen 202c, dass hier pauschal Programme kriminalisiert werden, die nicht nur Hacker und Cracker nutzen, sondern die auch von Administratoren, Programmierern sowie Beratern verwendet werden, um Netze auf Sicherheitslücken zu prüfen. Damit bestehe die Gefahr, dass die Sicherheit von Netzen und Web-Seiten nicht mehr hinreichend geprüft werden könne. Zudem befürchten die Hochschulen, dass Lehre, Forschung und Entwicklung entsprechender Tools künftig unter Strafe gestellt sind.
Diese Einwände hält der Bundestag, der dem Gesetzesentwurf ebenfalls zustimmte, für unbegründet. Schließlich habe der Rechtsausschuss in einer Zusatzerklärung klargestellt, dass nur Programme betroffen seien, die primär für das Begehen von Computerstraftaten hergestellt wurden. In den Erklärungen der Bundesregierung zum Gesetzesentwurf liest sich das jedoch ganz anders. Dort heißt es auf Seite 12: "Die generelle Gefährlichkeit und Schädlichkeit von Hacking-Angriffen zeigt sich vor allem in jüngster Zeit auch in Deutschland (zum Beispiel durch den Einsatz von Key-Logging-Trojanern, Sniffern oder Backdoor-Programmen), weshalb an ihrer Strafwürdigkeit und -bedürftigkeit keine Zweifel bestehen." Gerade die Sniffer dienen aber auch zur Analyse des Netzverkehrs.
Angesichts der unterschiedlichen Rechtsprechung deutscher Gerichte wie etwa im Fall der Forenhaftung, befürchten die Kritiker für die Zukunft das Schlimmste. Pessimisten sehen Netzadministratoren oder Schulungsanbieter bereits mit einem Bein im Gefängnis, wenn sie etwa mit Sniffern, die ja bald verboten sind, den Netzverkehr analysieren, um die Performance ihrer VoIP-Installation zu verbessern. (hi)