computerwoche.de

Web

CCC: Gesetzentwurf gefährdet die Computersicherheit

25.09.2006
Der Chaos Computer Club (CCC) sieht durch den neuen Gesetzentwurf der Bundesregierung die Sicherheit von Computersystemen gefährdet - unter anderem, weil damit Software kriminalsiert werde, die zur Analyse von Sicherheitslücken benötigt wird.

Der Gesetzentwurf, so fürchtet der Club, werde die Arbeitsgrundlagen von Sicherheitsberatern und Netzwerkexperten unter Strafe stellen. Bereits der Besitz und die Verbreitung von Werkzeugen zur Netzwerkanalyse und zur Aufdeckung von Sicherheitslöchern in Rechnersystemen sollten strafbar werden. Die Arbeit der Sicherheitsexperten wäre damit kaum mehr möglich und von ungerechtfertigter Kriminalisierung bedroht.

"Dieser Gesetzentwurf wird nicht gegen Computerkriminalität helfen. Stattdessen werden der IT-Sicherheitsbranche dringend benötigte Werkzeuge zur Aufdeckung von Schwachstellen aus der Hand geschlagen", warnt CCC-Sprecher Andy Müller-Maguhn. "Die Vorstellungen des Gesetzgebers zeugen von einer ausgeprägten Unkenntnis der technischen Vorgehensweisen. Testangriffe zum Auffinden von Sicherheitslöchern sind für die IT-Sicherheit wie Crashtests für die Autoindustrie. Niemand käme auf die Idee, Crashtests zu verbieten."

Verboten werden sollen laut CCC so genannte Hacker-Tools und damit zugleich die öffentliche Diskussion von Sicherheitslücken. Der allgemein akzeptierte Standard zur Überprüfung der Sicherheit eines Systems sei es aber, dieses mit Angriffswerkzeugen zu testen ("penetration testing"), um die dabei gefundenen Lücken schließen zu können.

Mit dem neuen Gesetz sollen Vorgaben der umstrittenen "Cybercrime Convention" und ein EU-Rahmenbeschluss umgesetzt werden, die ohne Hinzuziehung von Experten entstanden sind. Aus Sicht des CCC wird hier erneut versucht, über den europäischen Umweg eine gesellschaftliche Debatte in Deutschland über adäquate gesetzliche Rahmenbedingungen zur Handhabe von IT-Risiken zu umgehen.

"Der Gesetzentwurf zeugt von erschreckender Realitätsferne und fehlender Sachkenntnis", so Müller-Maguhn weiter. Durch die Einschränkung der Freiheit der Forschung und Entwicklung im Bereich Computersicherheit werde das Gegenteil des beabsichtigten Ziels erreicht.

Als effektive Maßnahme zur Eindämmung der Computerkriminalität fordert der CCC stattdessen härtere Strafen für Verstöße gegen den Datenschutz. Datenverbrechen wie das illegale Abschöpfen und Weitergeben sowie das unkontrollierte Verknüpfen von Daten würden derzeit als Kavaliersdelikt behandelt, beträfen aber den Bürger im Alltag immer mehr.

Der CCC will deshalb statt der unsinnigen und kontraproduktiven neuen Regelungen ein zeitgemäßes Bundesdatenschutzgesetz mit einem harten Strafkatalog für Datenverbrechen. Außerdem seien weitgehende Schadenersatzansprüche der Geschädigten gegen Firmen erforderlich, die ihre persönlichen Daten ungenehmigt weitergeben oder unsicher verarbeiten und lagern.

"Es muss endlich Rechtssicherheit in der riesigen Grauzone des Datenbasars geschaffen werden. Derzeit verarbeiten und verkaufen internationale Datendealer-Ringe und skrupellose Unternehmen weitgehend ungestört ganz persönliche Daten deutscher Bürger. Hier sind auch eine Vielzahl von Datenlecks in privatisierten Staatsbetrieben und bei Public-Private-Partnerschaften zu schließen", appelliert Müller-Maguhn. (tc)