25C3: Hackerparagraphen sorgen weiter für Verunsicherung

Sicherheitsforscher bemängeln einen Rückfall des Ausbildungsstandortes, Hacker beklagen eine "Schere im Kopf", während sich zugleich das Motto durchsetzt: "Einfach weitermachen".

In Pocket speichern vorlesen Druckansicht 133 Kommentare lesen
Lesezeit: 5 Min.

Die im Sommer 2007 in Kraft getretenen neuen Strafvorschriften zur "Bekämpfung der Computerkriminalität" sorgen in der IT-Sicherheitslandschaft weiter für große Verunsicherung. Die entsprechende Verschärfung der "Hackerparagraphen" im Strafgesetzbuch (StGB) "treibt den Forschungsstandort in den Keller", monierte Lexi Pimenidis, Sicherheitsforscher an der Universität Siegen, am Samstag auf dem 25. Chaos Communication Congress (25C3) in Berlin. Den Leuten werde "das Denken verboten". Sie würden an Papieren zu Security-Themen arbeiten, könnten die Ergebnisse aber in vielen Fällen nicht mehr mit ihrem Namen unterschreiben.

Im Zentrum der Kritik steht nach wie vor der neue Paragraph 202c StGB. Demnach soll die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden. Die damit kriminalisierten "Hacker-Tools" dienen jedoch auch Systemadministratoren, Programmierern und Beratern dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen. Betroffen sein sollen laut einer Einschränkung des Gesetzgebers Computerprogramme, die in erster Linie dafür ausgelegt oder hergestellt werden, Computerstraftaten zu begehen.

Mit der vom Bundesverfassungsgericht zu prüfenden Bestimmung leide die Ausbildung von Sicherheitsexperten, konstatierte auch Felix von Leitner vom Chaos Computer Club (CCC). Bei Firmen, die Sicherheitsexperten bislang beauftragten, sei eine "Schere im Kopf" festzustellen. Wenn etwa ein Auszubildender im Sicherheitsbereich in ein Unternehmen komme und bereits Wissen über Hackerwerkzeuge mitbringe, müsse man davon ausgehen, dass er sich seine Kenntnisse illegal angeeignet habe, diese veraltet seien oder es sich um ein Genie handle. Das Gesetz sei von "Internet-Ausdruckern" gemacht worden, welche die Anforderungen der digitalen Gesellschaft nicht verstünden. Dabei hätten die "dokumentierten Wege", Änderungen etwa über Sachverständige vorzuschlagen, nicht funktioniert. Gefragt sei daher eine andere Angriffsform, um das Gesetz noch zu kippen.

Jan Münther von der Sicherheitsfirma n.runs beklagte ebenfalls die "Beratungsresistenz der Politik". Dem Gesetzgeber hierzulande warf er vor allem vor, die Ausnahmetatbestände etwa für Wissenschaft und Forschung aus der ursprünglichen Cybercrime-Konventions des Europarates nicht umgesetzt zu haben. Abgeordnete würden zwar betonen, dass Forschung "per se" nicht auf Schaden ausgerichtet und somit außen vor sei. Gleichzeitig werde aber behauptet, Hacker-Tools würde das "Böse" innewohnen. Die Strafbarkeit werde dem Text zufolge durch die "objektive Gefährlichkeit" eines Werkzeugs begründet. Das treibe die Leute "zurück in den Untergrund".

Jürgen Schmidt, Chefredakteur von heise security, sprach von einem Gesetz, das FUD ("Fear, Uncertainty & Doubt") verbreite. Er sei sich zwar ziemlich sicher, "dass es niemand Falschen treffen wird". Trotzdem wirke der Vorstoß im Unterbewusstsein. Er unterstütze daher die Feststellungsklage des IT-Magazins iX aus dem Heise Zeitschriften Verlag wegen einer auf CD verbreiteten Toolsammlung in der Hoffnung, dass ein Staatsanwalt oder Richter das Verfahren nicht nur einstelle, sondern "klare Worte" zur Einschränkung der Reichweite des Gesetzes finde. Letztlich müsse dieses aber baldmöglichst überarbeitet werden. Da ein Hackerwerkzeug zum Begehen einer Straftat "bestimmt" sein müsse, könnte eine Dokumentation des Einsatzzweckes hilfreich sein.

Bis zu einer Gesetzesnovelle setzten Sicherheitsexperten vor allem darauf, dass es sich beim 202c doch um einen Papiertiger handelt. "Ich mache einfach weiter", erklärte Münther. So habe der Vorstand von n.runs zwar nach der Veröffentlichung einer Software zum Cracken von Bluetooth-PINs im Web und einer anonymen Anzeige bei der Polizei vorsprechen müssen, der Fall sei dann aber nicht weiter verfolgt worden. Auch an der Uni Siegen würden die Ausbilder den Studenten weiterhin zeigen, "was wir können", ließ Pimenidis durchblicken. Es gebe aber auch "Sachen", die nicht mehr stattfänden.

Zum 25C3 siehe auch:

Zum letztjährigen 24. Chaos Communication Congress siehe auch:

(Stefan Krempl)/ (axv)