Britische Regierung verdeutlicht geplantes Verbot von "Hacker-Tools"

Mit der Erläuterung, dass ein Hackerwerkzeug mit der Absicht zum Begehen einer Straftat programmiert sein worden muss, will der Crown Prosecution Service eine Kriminalisierung von Sicherheitstestern verhindern.

129

03.01.2008, 13:08 Uhr

Lesezeit: 4 Min.

Security

Von

Stefan Krempl

Die britische Regierung hat das auch im Vereinten Königreich geplante Verbot sogenannter Hacker-Tools erläutert. So will sie etwa mit der Erklärung, dass ein erfasstes Hackerwerkzeug mit der Absicht zum Begehen einer Straftat programmiert worden sein muss, eine Kriminalisierung von Sicherheitstestern verhindern. Zudem sollen Strafverfolger unter anderem mit prüfen, ob ein vermeintliches Instrument für Cybergangster nicht vielleicht doch "auf kommerzielle Basis weit verfügbar ist und durch legitime Kanäle verkauft wird". An entsprechenden Klarstellungen hat sich der Crown Prosecution Service (CPS) mit einer sechsseitigen Richtlinie (PDF-Datei) zur Auslegung der im Raum stehenden Novelle des Computer Misuse Act (CMA) versucht. Die Regierungsstelle für England und Wales ist direkt dem Parlament verantwortlich und fungiert als eine Art Vermittlungsstelle hin zu Polizeien und Staatsanwaltschaften.

Das Grundproblem bei einem Verbot von "Hacker-Tools" ist, dass die teils unter dieser Kategorie gehandelten Programme wie nmap oder wireshark in der Regel auch von Systemadministratoren und Sicherheitsberatern für die Absicherung von Netzwerken genutzt werden. Die Unterschiede zwischen einem Passwortknacker und einer Software für die Wiederherstellung von Passwörtern sind genauso filigran wie die zwischen einem Programm zur Steuerung von Denial-of-Service-Attacken und einem anderen zum Testen der Belastbarkeit eines Netzwerks. Kritikern zufolge bringen auch die Richtlinien des CPS nicht die erforderliche juristische Klarheit mit sich. So würden viele Open-Source-Werkzeuge etwa schon beim Test der weiten kommerziellen Verfügbarkeit durchfallen. Der Sicherheitsforscher Richard Clayton von der Universität Cambridge moniert ferner, dass der CPS häufig auf Beiworte wie "hauptsächlich" oder "absichtlich" ausweiche. Dies mache die Materie nicht greifbarer.

Die Neuregelung des CMA soll in die Überarbeitung des britischen Polizei- und Justizgesetzes eingebaut werden. Damit soll der Besitz von Hardware oder Software, mit denen Computerangriffe gestartet werden können, mit bis zu 12 Monaten Haft geahndet werden können. Der Gesetzesentwurf sieht ferner etwa auch eine Erhöhung der maximalen Gefängnisstrafe für das Eindringen in fremde Computer von fünf auf zehn Jahre vor. Auch soll es künftig eine gesetzliche Handhabe gegen Delikte wie Denial-of-Service-Attacken und die Verbreitung von schädlichen Code geben. Das Vorhaben hat sich aber verzögert, da es gemeinsam mit dem so genannten Serious Crimes Bill verabschiedet werden soll. Damit wird frühestens im April gerechnet.

Hierzulande trat im August eine vergleichbare und ebenfalls heftig umstrittene Verschärfung des Computerstrafrechts in Kraft. Im Zentrum der Kritik steht neue Paragraph 202c Strafgesetzbuch (StGB). Danach soll die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden. Auch die Rechtspolitiker des Bundestages bemühten sich in einem parallelen Beschlusspapier zu dem Gesetz um eine Klarstellung, um eine "Überkriminalisierung" der Anwendergruppen so genannter "Dual use"-Werkzeuge zu verhindern. Betroffen sein sollen demnach allein Computerprogramme, die in erster Linie dafür ausgelegt oder hergestellt werden, um Computerstraftaten zu begehen. Trotzdem fordern IT-Branchenverbände, die Hackeparagraphen rasch wieder zu entschärfen. Die jetzige Fassung sei kontraproduktiv für die IT-Sicherheit.

Siehe dazu auch: