Konkret teilt die Bundesregierung beim besonders umkämpften Entwurf für den neuen Paragraphen 202c Strafgesetzbuchs (StGB) nicht die Befürchtung des Bundesrates, dass auch der gutwillige Umgang mit Softwareprogrammen zur Sicherheitsprüfung von IT-Systemen kriminalisiert werden könnte. Mit der Klausel sollen Vorbereitungshandlungen und der Einsatz und die Verbreitung von „Hacker-Tools“ bestraft werden. Schon auf „Tatbestandsebene“ werde dabei verlangt, dass es sich objektiv um ein Computerprogramm handeln müsse, dessen Zweck die Begehung einer Straftat ist, verteidigt die Bundesregierung ihren Vorschlag. Andererseits sei auch festgeschrieben, dass „das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonst Zugänglichmachen“ von Hackerwerkzeugen zur Vorbereitung einer Computerstraftat erfolgen müsse.
heise newsticker
Sehr geehrte Gesetzgeberinnen, sehr geehrte Gesetzgeber,
wie heißt es in der Werbung für die gelben Seiten so schön? Vielleicht hätten Sie jemanden fragen sollen, der sich mit sowas auskennt. Da ich mir selbst am nächsten bin, nehmen wir mich mal als Beispiel. Ich habe da einen Server im Internet, auf dem Dienste laufen. Diese Dienste sind manchmal fehlerhaft, so dass sie einem „bösen Menschen“ (so die Diktion in letzter Zeit) eventuell die Möglichkeit geben, diesen Server unter seine Kontrolle zu bringen, und von diesem Punkt aus „böse Dinge“ zu tun. Um zu verhindern, dass „böse Menschen“ „böse Dinge“ mit Hilfe meines Servers tun können, prüfe ich mit vorhanden Werkzeugen, ob mein Server für das Ausnutzen von Fehlern anfällig ist.
Die Programme, die ich dazu nutze, sind diejenigen, deren Besitz Sie in Zukunft unter Strafe stellen wollen. Als rechtschaffener Bürger soll es mir also nicht mehr möglich sein, zu verhindern, dass „böse Menschen“ „böse Dinge“ mit meinem Server anstellen. „Das ist ja auch verboten!“ werden Sie sagen, aber leider, liebe Gesetzgeberinnen und Gesetzgeber, interessiert es einen russischen, kubanischen oder südafrikanischen (oder welcher Nationalität auch immer) Hacker einen feuchten Kehricht, ob das Programm, mit dem er meinen Server unter seine Kontrolle bringt in Deutschland verboten ist oder nicht.
Bitte kommen Sie im dritten Jahrtausend an! Es gibt kein „deutsches Internet“, „europäisches Internet“ oder ähnliches – ein jeder Computer, der an das Internet angeschlossen ist, kann mit jedem anderen Computer im Internet Verbindung aufnehmen, ob aus Zufall, in guter oder in schlechter Absicht.
Selbst wenn „Hackertools“ auf der ganzen Welt verboten wären, würde das nichts bringen. Oder ist im Bundestag bisher jemand auf die Idee gekommen, man könnte Einbrüche verhindern, indem man den Vertrieb von Kuhfüßen verbietet? Warum nicht? Weil ein Kuhfuß ein Werkzeug ist, dass zum Guten wie zum Schlechten verwendet werden kann, im Werkzeug selbst liegt nicht die Absicht verborgen, der Nutzer macht diese Absicht aus.
Leider scheinen Sie dies im Bereich der Informationstechnologie anders zu sehen, und ich kann Ihnen nur sagen: Sie irren. Auch die von Ihnen genannten „Hackertools“ sind überwiegend Werkzeuge. Eine Definition kann hier einfach nicht klar sein. Was die einen als „Angriffsbaukasten“ bezeichnen würden, ist für einen Systemadministrator lebensnahe Test seiner IT-Infrastruktur. Ein Verbot von Hackertools kriminalisiert somit nur IT-Verantwortliche und Kundige, diejenigen, die „Hackertools“ mit „bösen Absichten“ nutzen machen sich seit jeher dem Straftatbestand der Datenveränderung schuldig. Dieses Gesetz ist nicht nur sinnlos, sondern auch gefährlich, weil er IT-Sicherheit in eine juristische Grauzone rückt.
Mit freundlichen Grüßen,
Markus Fritsche