22C3: Hackern droht zunehmende Kriminalisierung
Die Umsetzung der Cybercrime-Konvention des Europarats und des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme dürften Experten zufolge einem "kompletten Bann von Hacking" gleichkommen.
Die Umsetzung der Cybercrime-Konvention des Europarats und des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme könnte einem "kompletten Bann von Hacking" gleichkommen. Dies erklärte der Kölner Rechtsinformatiker Marco Gercke am Dienstag auf dem 22. Chaos Communication Congress (22C3) in Berlin. "Wenn Sie noch etwas hacken wollen, machen Sie es jetzt", riet der Wissenschaftlern den Sicherheitstestern. Nach der in Bälde anstehenden rechtlichen Änderung würden darauf voraussichtlich schwere Strafen stehen.
Gercke rechnet mit einer deutlichen Verschärfung der Rechtslage im Zuge der Implementierung der heftig umstrittenen Vorlagen aus Straßburg und Brüssel. Bauchschmerzen bereitet ihm etwa Artikel 2 im Abkommen zur Bekämpfung der Cyberkriminalität. Damit sollen die Unterzeichner des internationalen Vertrags den "absichtlichen unberechtigten Zugang zu einem Informationssystem oder einem Teil davon" illegal machen -- zumindest für Fälle, "die nicht geringfügig sind". Dabei gehe es nicht nur um mutwilliges Cracking, sondern auch um allgemeine Sicherheitstests, so diese nicht explizit gestattet worden seien, führte Gercke aus. Die Vertragsmitglieder hätten zwar einen gewissen Spielraum für Anpassungen. So könnten sie etwa festschreiben, dass die Kriminalisierung nur beim Überwinden von "Sicherheitsmaßnahmen" oder dem Nachweis einer bösen Absicht zur Datenerlangung erfolge. Der Forscher geht aber davon aus, dass die Regelungen "hardcore" ohne Ausnutzung der Einschränkungen übernommen werden.
"Der Druck der Industrie ist groß", begründete Gercke seine Ansicht. Konzernen gehe es darum, zivilrechtlich gegen Hacker vor Gericht vorzugehen. Dazu wären sie auf die Vorarbeit der Strafverfolger angewiesen. Ähnlich kritisch sieht der Experte Artikel 9 des Abkommens, wonach auch etwa die Herstellung, der Verkauf, die Bewerbung oder der Besitz von Hackerwerkzeugen strafbar werden soll. Auch hier gelten wieder Ausnahmen für "autorisierte" Sicherheitstester, aber die Bestimmungen führen dem Wissenschaftler zufolge in zahlreiche juristische Graubereiche. So sei es schwer zu entscheiden, zu welchem Zweck jemand Software zum Port-Scannen auf seinem Rechner habe oder vertreibe. Gercke missfällt zudem sehr die sich in dem Artikel manifestierende Tendenz, bereits potenzielle Verbrecher strafrechtlich zu erfassen.
Der Rahmenbeschluss ist laut dem Juristen zwar prinzipiell nicht "so breit" angelegt wie bei der Cybercrime-Konvention, die bislang erst zehn Staaten wie Albanien, Estland, Kroatien oder Zypern ratifiziert haben. Dafür sei die Umsetzung aber für die Mitgliedsstaaten bis 2007 verbindlich. Artikel 2 des vom EU-Rat im Alleingang beschlossenen Gesetzes sehe ebenfalls die Kriminalisierung des "vorsätzlichen und unbefugten Zugangs zu einem Informationssystem" oder einem Teil davon vor. Dies käme einer enormen Ausweitung des Strafrechts vor, konstatiert Gercke. Das Bundesjustizministerium hat bereits Anpassungsbedarf bei den klassischen "Hackerparagraphen" 202a und 303a im Strafgesetzbuch (StGB) angekündigt, in denen es insbesondere um das "Ausspähen von Daten" und "Computersabotage" geht. Es müsse vor allem klargestellt werden, "dass auch der bloße Zugang zu einem Computersystem unter Verletzung von Sicherheitsmaßnahmen strafbewehrt ist, wenn dies unbefugt geschieht." Bislang drohen Haftstrafen bis zu drei Jahren erst dann, wenn von einem geschützten System ohne Erlaubnis Daten erlangt oder darauf Informationen verändert werden.
Selbst für den Fall, dass der Rahmenbeschluss aufgrund einer Entscheidung des EU-Gerichtshofes über die Unrechtmäßigkeit zahlreicher Gesetze des Ministerrates im strafrechtlichen Bereich zunächst hinfällig würde, erwartet Gercke kaum Nachbesserungen durch das dann mit entscheidungsbefugte EU-Parlament. Für einige der Wirtschaftsvertreter, die momentan auf ein schärferes Vorgehen gegen Hacker drängen, könnte der Schuss seiner Ansicht nach aber nach hinten los gehen. Das umstrittene Rootkit von Sony BMG zur Durchsetzung von Kopierschutzmechanismen auf PCs etwa dürfte ebenfalls unter das geplante Verbot der Distribution von Hackerwerkzeugen fallen.
Der Chaos Computer Club, der den 22C3 ausrichtet, hatte schon früh vor einer rein populistischen Maßnahme Brüssels gewarnt, die IT-Systeme nicht sicherer mache. Seitdem war die öffentliche Kritik an der sich abzeichnenden Einführung von Gefängnisstrafen für Hacker aber zunächst verstummt.
Zum 22. Chaos Communication Congress (22C3) und zur Veranstaltung 21C3 im vergangenen Jahr:
- 22C3: Hack the System
- 22C3: Hackerethik-Hotline soll Massen-Cracks verhindern
- 22C3: Spaß am Gerät mit Xbox-Hacking, VoIPhreaking und Entschwörungstheorien
- 22C3: Private Investigations, Website zum 22C3
- Hackertreffen endet mit Besucherrekord
- AVIT^C3: "Frame für Frame Aktion" bei den VJs
- Hacker erwarten auch 2005 viele "Spielplätze"
- Demokratie-Hacks, Weblogs und freie Meinungsäußerung
- Massenhack löst Welle der Empörung aus
- Riesige Datenschutzlücken im elektronischen Gesundheitswesen
- Hacker erinnern nachlässige Web-Admins an Backup-Pflichten
- Wikipedia soll schneller werden und kommerzfrei bleiben
- Blooover demonstriert schwere Sicherheitslücken bei Bluetooth-Handys
- Hacker fürchten Orwellsche Zensurmöglichkeiten durch Trusted Computing
- Entwickler freier Software setzen GPL-Rechte durch
- Nur das Chaos lebt
(Stefan Krempl) / (thl)
