25C3: Hackerparagraphen sorgen weiter für Verunsicherung
Sicherheitsforscher bemängeln einen Rückfall des Ausbildungsstandortes, Hacker beklagen eine "Schere im Kopf", während sich zugleich das Motto durchsetzt: "Einfach weitermachen".
Die im Sommer 2007 in Kraft getretenen neuen Strafvorschriften zur "Bekämpfung der Computerkriminalität" sorgen in der IT-Sicherheitslandschaft weiter für große Verunsicherung. Die entsprechende Verschärfung der "Hackerparagraphen" im Strafgesetzbuch (StGB) "treibt den Forschungsstandort in den Keller", monierte Lexi Pimenidis, Sicherheitsforscher an der Universität Siegen, am Samstag auf dem 25. Chaos Communication Congress (25C3) in Berlin. Den Leuten werde "das Denken verboten". Sie würden an Papieren zu Security-Themen arbeiten, könnten die Ergebnisse aber in vielen Fällen nicht mehr mit ihrem Namen unterschreiben.
Im Zentrum der Kritik steht nach wie vor der neue Paragraph 202c StGB. Demnach soll die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden. Die damit kriminalisierten "Hacker-Tools" dienen jedoch auch Systemadministratoren, Programmierern und Beratern dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen. Betroffen sein sollen laut einer Einschränkung des Gesetzgebers Computerprogramme, die in erster Linie dafür ausgelegt oder hergestellt werden, Computerstraftaten zu begehen.
Mit der vom Bundesverfassungsgericht zu prüfenden Bestimmung leide die Ausbildung von Sicherheitsexperten, konstatierte auch Felix von Leitner vom Chaos Computer Club (CCC). Bei Firmen, die Sicherheitsexperten bislang beauftragten, sei eine "Schere im Kopf" festzustellen. Wenn etwa ein Auszubildender im Sicherheitsbereich in ein Unternehmen komme und bereits Wissen über Hackerwerkzeuge mitbringe, müsse man davon ausgehen, dass er sich seine Kenntnisse illegal angeeignet habe, diese veraltet seien oder es sich um ein Genie handle. Das Gesetz sei von "Internet-Ausdruckern" gemacht worden, welche die Anforderungen der digitalen Gesellschaft nicht verstünden. Dabei hätten die "dokumentierten Wege", Änderungen etwa über Sachverständige vorzuschlagen, nicht funktioniert. Gefragt sei daher eine andere Angriffsform, um das Gesetz noch zu kippen.
Jan Münther von der Sicherheitsfirma n.runs beklagte ebenfalls die "Beratungsresistenz der Politik". Dem Gesetzgeber hierzulande warf er vor allem vor, die Ausnahmetatbestände etwa für Wissenschaft und Forschung aus der ursprünglichen Cybercrime-Konventions des Europarates nicht umgesetzt zu haben. Abgeordnete würden zwar betonen, dass Forschung "per se" nicht auf Schaden ausgerichtet und somit außen vor sei. Gleichzeitig werde aber behauptet, Hacker-Tools würde das "Böse" innewohnen. Die Strafbarkeit werde dem Text zufolge durch die "objektive Gefährlichkeit" eines Werkzeugs begründet. Das treibe die Leute "zurück in den Untergrund".
Jürgen Schmidt, Chefredakteur von heise security, sprach von einem Gesetz, das FUD ("Fear, Uncertainty & Doubt") verbreite. Er sei sich zwar ziemlich sicher, "dass es niemand Falschen treffen wird". Trotzdem wirke der Vorstoß im Unterbewusstsein. Er unterstütze daher die Feststellungsklage des IT-Magazins iX aus dem Heise Zeitschriften Verlag wegen einer auf CD verbreiteten Toolsammlung in der Hoffnung, dass ein Staatsanwalt oder Richter das Verfahren nicht nur einstelle, sondern "klare Worte" zur Einschränkung der Reichweite des Gesetzes finde. Letztlich müsse dieses aber baldmöglichst überarbeitet werden. Da ein Hackerwerkzeug zum Begehen einer Straftat "bestimmt" sein müsse, könnte eine Dokumentation des Einsatzzweckes hilfreich sein.
Bis zu einer Gesetzesnovelle setzten Sicherheitsexperten vor allem darauf, dass es sich beim 202c doch um einen Papiertiger handelt. "Ich mache einfach weiter", erklärte Münther. So habe der Vorstand von n.runs zwar nach der Veröffentlichung einer Software zum Cracken von Bluetooth-PINs im Web und einer anonymen Anzeige bei der Polizei vorsprechen müssen, der Fall sei dann aber nicht weiter verfolgt worden. Auch an der Uni Siegen würden die Ausbilder den Studenten weiterhin zeigen, "was wir können", ließ Pimenidis durchblicken. Es gebe aber auch "Sachen", die nicht mehr stattfänden.
Zum 25C3 siehe auch:
- Pauschale Entschädigung für Datenpannen gefordert
- Krypto-Aktivist John Gilmore liebäugelt mit der "transparenten Gesellschaft"
- Live-Videostreams aus dem Berliner Congress Center
- Europäischer Hackerkongress hat "nichts zu verbergen"
Zum letztjährigen 24. Chaos Communication Congress siehe auch:
- Mehr Aktivismus 2008
- Bürgertrojaner soll Demokratie stärken
- Sicherheitslücken in Sonys PSP und Nintendos Wii
- Hacker wünschen "guten Rutsch ins Jahr 1984"
- Gravierende Probleme beim Erfassen von Fingerabdrücken für den ePass
- Mac OS X für alle Intel-PCs
- Die Zukunft von Tor und anderen Anonymisierungsdiensten
- Aus dem Tagebuch eines Spions
- CDU und SPD fordern "Zurückrollen" Schäubles
- Barcode-Systeme anfällig für schwere Hackerangriffe
- Linux voll lauffähig auf der Xbox 360
- Scharfe Kritik an der Fluggastdatensammlung
- Gezielte Trojaner-Attacken im Informationskrieg
- Hackerfreiräume und Anonymisierungsdienste
- Haushaltshacker testen das Pfandsystem
- Kampf gegen Schäubles Computerwanze
- Hacker gegen 24-Stunden-Rundum-Überwachung
- Das Hackerchaos dräut erneut in Berlin
(Stefan Krempl)/ (axv)
