Thema: CCC warnt vor Verbot von "Hacker-Tools"

[SiLæncer]

Der Chaos Computer Club (CCC) kritisiert die vorige Woche vom Bundeskabinett beschlossene Änderung des Computerstrafrechts. Mit den "Hacker-Tools" werde darin Software kriminalisiert, die zur Analyse von Sicherheitslücken zwingend erforderlich sei, heißt es in einer CCC-Mitteilung. Es sei allgemein akzeptiert, ein System mit Angriffswerkzeugen zu testen, um die dabei gefundenen Lücken schließen zu können. Nun solle aber bereits der Besitz und die Verbreitung von Werkzeugen zur Netzwerkanalyse und zur Aufdeckung von Sicherheitslöchern in Rechnersystemen strafbar werden.

"Der IT-Sicherheitsbranche werden dringend benötigte Werkzeuge zur Aufdeckung von Schwachstellen aus der Hand geschlagen", kommentiert CCC-Sprecher Andy Müller-Maguhn den Regierungsentwurf. Er wirft dem Gesetzgeber Unkenntnis der technischen Vorgehensweisen vor. Für die IT-Sicherheit seien Testangriffe zum Auffinden von Sicherheitslöchern wie Crashtests für die Autoindustrie. Niemand käme auf die Idee, diese zu verbieten.

Hingegen werde das illegale Abschöpfen und Weitergeben sowie das unkontrollierte Verknüpfen von Daten derzeit als Kavaliersdelikt behandelt, moniert der CCC. Davon werde aber der Bürger im Alltag immer mehr betroffen. Deshalb müsse das Bundesdatenschutzgesetz mit einem harten Strafkatalog für Datenverbrechen versehen werden. Auch seien weitgehende Schadenersatzansprüche der Geschädigten gegen Firmen erforderlich, die ihre persönliche Daten ungenehmigt weitergeben oder unsicher verarbeiten und lagern.

Quelle : www.heise.de

[Chrisse]

Ja das sind die Ergebnisse wenn sich unsere Unfehlbaren  (Lehrer, Soziologen, ewige Studenten....) mit den ihrer ureigensten Qualifikation entsprechenden Themen beschäftigen. Viren bekämpft man ja auch mit Lichterketten.......
Früher war der verzapfte Murks nicht ganz ausgereift, heute jedoch ist da noch nicht mal groß drüber nachgedacht

Naja wer mit Sendungen wie Supernarr Talent ersetzt, wer einen intelligenten Schöpfer braucht, wer Magie und Hexerei als Teil unseres Lebens ansieht und ansonsten Erfolg, Können und Wissen in keinerlei Relation zueinander sieht der wählt sich eben seinen passenden Unfehlbaren....

Muß mal meinen Metzger fragen wie weit er mit dem Bauplan für meinen Dachstuhl ist.......    

Gruß

Chrisse

[Jürgen]

Gammelfleisch im Kabinett ? ? ?

Warum verbieten die Naseweise nicht gleich auch noch Viren und Sicherheitslücken?
Wenn dann noch die Presse passend zensiert wird, gibt's bald laut aktueller Statistik keinerlei Risiken mehr...
Weil nicht sein kann, was nicht sein darf...
Niemand hat vor, eine Mauer zu errichten...

[SiLæncer]

Trotz heftiger Kritik an der neuen Vorschrift sieht das Bundesministerium der Justiz keinerlei Änderungsbedarf an dem geplanten "Hacker-Software-Paragrafen" (PDF-Datei). Dies bestätigte Ralf Kleindiek, Leiter des Büros der Ministerin Brigitte Zypries, in einem Gespräch mit heise online.

Der im Rahmen des Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität neu geschaffene Paragraph 202c des Strafgesetzbuches soll gefährliche Vorbereitungshandlungen zu Computerstraftaten kriminalisieren. Bestraft werden soll unter anderem das Herstellen, Überlassen, Verbreiten oder Verschaffen von "Hacker-Tools", die schon in ihrem Aufbau darauf angelegt sind, "illegalen Zwecken zu dienen". So heißt es im Entwurf:

Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

[...]

2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

Dabei kommt es nach der Begründung des Gesetzeswortlauts allein auf die objektive Gefährlichkeit der Software an – nicht etwa darauf, wozu diese eingesetzt werden soll. Wörtlich heißt es:

Insbesondere die durch das Internet mögliche weite Verbreitung und leichte Verfügbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar, die nur dadurch effektiv bekämpft werden kann, dass bereits die Verbreitung solcher an sich gefährlichen Mittel unter Strafe gestellt wird.

Daher wird in Absatz 1 Nr. 2 vorgeschlagen, die Vorbereitung einer Straftat nach §§ 202a und 202b StGB durch Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonst Zugänglichmachen von Computerprogrammen, deren Zweck die Begehung einer solchen Tat ist, unter Strafe zu stellen.

Der Entwurf war sowohl von Verbänden wie Bitkom (PDF-Datei) und eco (PDF-Datei) als auch vom CCC scharf kritisiert worden. Einig waren sich die Kritiker dabei in der Befürchtung, der Entwurf könne auch die Nutzung von "Hacker-Tools" für Zwecke der IT-Sicherheit kriminalisieren. So befürchtet etwa der eco Verband eine "Überkriminalisierung" und fordert eine Ergänzung und Klarstellung der neuen Regelung. Der Chaos Computer Club warnt davor, dass die Umsetzung des Entwurfes die Sicherheit von Computersystemen gefährden könne.

Diese Bedenken kann das Justizministerium offenbar nicht nachvollziehen. In einer Stellungnahme wird darauf hingewiesen, dass eine Strafbarkeit dann nicht vorliege, wenn ein Computerprogramm "zum Zwecke der Sicherheitsüberprüfung oder zur Entwicklung von Sicherheitssoftware erworben oder einem anderen überlassen" werde. Entscheidend sei vielmehr, dass die "Tathandlung zur Vorbereitung einer Computerstraftat (§§ 202a, 202b, 303a, 303b StGB) erfolgen" müsse.

Zwar wäre bei einer solchen Auslegung des Gesetzentwurfs die Gefahr einer Strafbarkeit von Maßnahmen zur IT-Sicherheit weitgehend vom Tisch. Im Gegensatz zu der offiziellen Begründung des Gesetzesentwurfs ist die Stellungnahme des Ministeriums für Gerichte jedoch in keiner Form bindend. Kritiker des neuen Gesetzes fordern daher weiterhin eine Klarstellung des Gesetzeswortlauts, um auch Richtern eine klare Auslegung an die Hand zu geben und eine Überinterpretation des Vorschrift zu verhindern.

Kleindiek wies gegenüber heise online auch darauf hin, dass die Vorschrift derzeit erst im Status eines Regierungsentwurfs sei. Dieser werde nun an Bundestag und Bundesrat weitergeleitet und in den entsprechenden Ausschüssen diskutiert. Dabei könne es noch zu Änderungen an der Formulierung kommen. Eine Notwendigkeit hierfür sieht Kleindiek jedoch nicht. Er hält die Vorschrift für eindeutig und unmissverständlich.

Quelle : www.heise.de

[blackburner]

@Jürgen... der mit der Mauer war gut. War aber Walter und nicht Erich! Wie ich immer sage, was bleibt uns walter ulbricht...

[higuenti]

Nun ja, Walter hatte ja recht, hieß bei Ihm ja auch nicht Mauer, sondern "antifaschistischer Schutzwall" .
Und wer benutzt schon Hacker-Tools ?
Ich kenne nur IT-Tools, die die Unsicherheit von PayTV beweisen. 

[Jürgen]

Och nö, es gibt schon sinnvolle Anwendungen für mache Tools.
Wer hat noch nie ein gespeichertes Passwort vergessen, z.B. für's Mail-Konto oder den Internet-Zugang, oder kennt wenigstens so jemand?
Unter W9x half da oft WinDietrich.
Streng genommen, könnte einen das kleine Dingens zukünftig in den Knast bringen, bloss weil man's liegen hat.

Dann könnte man ebenso Buttermesser verbieten, mit denen kann man nicht nur jemandem am Auge ernstlich wehtun, sondern auch Siegel brechen, fremder Leute Briefe öffnen, Computeranlagen beschädigen, Margarine in die Butterdose mischen oder sogar verbotene Betäubungsmittel dosieren... 

"Die spinnen, die Ostgoten..." (Copyright Uderzo/Goscini)

[Chrisse]

Wie ich schon an anderer Stelle anklingen ließ kann ich unsere Unfehlbaren  nur in ihrem Tun unterstützen  . Ich hoffe die Aktion verbietet Brot wir baldmöglichst in Gesetzesform gegossen!!

Wie Ihr wisst davon noch nichts  ?

Es ist wissenschaftlich nachgewiesen und kann leicht überprüft werden, dass fast 100% aller Straftaten innerhalb von 24 Stunden nach dem Genuß von Brot verübt werden! Daher erscheint es mehr als sinnvoll, nein vielmehr ist es ein Gebot der Stunde den Genuß von Brot umgehend zu verbieten  !

Ähnliche Überlegungen gibt es für Wasser (dieses Kriminalitätsförderungszeugs  pfui!) und in ganz besonderem Maße für Luft, Wenn keiner mehr atmet kanns logischerweise keine Kriminalität mehr geben und wer dann doch noch schnauft (na wer erräts?), richtig der kann ja nur ein potentieller Verbrecher, Terrorist oder schlimmeres sein .

Oh Ihr Unfehlbaren  schützt uns vor uns selbst, oder was noch besser wäre  VOR EUCH!

[Jürgen]

Ich glaube, wir brauchen hier dringend die MiB.

Oder glaubt hier immer noch jemand an echte menschliche Wesen in entscheidenden Positionen ? ? ?

In Anbetracht solcher Figuren wie Scarface Koch oder Westerdingens muss ich immer wieder an diesen einen Satz denken:
"Er hat sich Elgar angezogen" 

Gib mir Zucker...

[SiLæncer]

Der Bitkom hält den umstrittenen Regierungsentwurf zur Änderung des Computerstrafrechts für zu weitgehend, da auch "notwendige sicherheitsrelevante Aktivitäten" von Firmen in Frage gestellt würden. Gleichzeitig vermisst der IT-Branchenverband aber ein klares Phishing-Verbot. Generell sei die Initiative des Bundeskabinetts zu begrüßen, die "internationalen Vorgaben" des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme sowie des Cybercrime-Abkommens des Europarats müssten zügig umgesetzt werden, heißt es in einer heise online vorliegenden Stellungnahme der Lobbyvereinigung. Zerstörungen und Vertrauensmissbrauch an den wirtschaftlichen Werten, welche die Branche in den vergangenen Jahren aufgebaut habe, könnten "massive Schäden" hervorrufen. Die vorgeschlagene Strafrechtsänderung zur Bekämpfung der Computerkriminalität werfe jedoch noch einige Fragen auf.

Insbesondere erscheint dem Verband der neu zu schaffende Paragraph 202c des Strafgesetzbuches zu schwammig. Dieser soll unter anderem das Herstellen, Überlassen, Verbreiten oder Verschaffen von "Hacker-Tools" kriminalisieren, die schon in ihrem Aufbau darauf angelegt sind, "illegalen Zwecken zu dienen". Laut Gesetzesbegründung sollen zwar nur echte Hacker-Werkzeuge und nicht etwa "allgemeine Programmier-Tools, -sprachen oder sonstige Anwendungsprogramme" unter den objektiven Tatbestand der Vorschrift fallen. Damit dürften nach Ansicht des Bitkom etwa Antivirensoftware und andere Sicherheitsprogramme zunächst ausgenommen sein. Die derzeitige Formulierung des Tatbestandes stelle aber dennoch ein großes Risiko dar, da die Zweckbestimmung im Tatbestand zu ungenau sei. Die Ausführungen in der Begründung, wonach die objektive Zweckbestimmung zur Kriminalisierung lediglich "auch" die Begehung einer entsprechenden Straftat zu sein braucht, verstärkt bei dem Verband diese Bedenken. Gerade die Entwicklung der herrschenden Meinung zum unbefugten "Sichverschaffen" von Daten im geltenden Paragraph 202a des Strafgesetzbuches (StG) zeige, "wie schnell die Rechtsanwendung weit über die Intention des Gesetzgebers hinausgehen kann."

Zum anderen schaffen und benutzen etwa IT-Sicherheitsexperten und "andere vorsorgliche Branchenteilnehmer" Programme, die manche Rechtsanwender durchaus als "Hacker-Tools" einordnen könnten, moniert der Bitkom im Einklang mit dem Chaos Computer Club (CCC) weiter. In beiden Fällen sei für ein sachgerechtes Ergebnis allein der subjektive Tatbestand entscheidend. Es müsse also auf einen Vorsatz abgestellt werden, die bezeichneten Taten auch tatsächlich begehen zu wollen. Daher sei bedauerlich, dass die Begründung die Erfordernis des Vorsatzes nicht noch einmal deutlich für die gesamte Vorschrift heraushebt. Bisher geschehe dies nur in einem anderen Absatz, was sogar einen für die Bekämpfung elektronischer Schädlinge kontraproduktiven und vom Gesetzgeber sicher nicht so gewollten Gegenschluss zum neuen Hackerparagraphen zulassen könnte.

Andererseits sieht der Bitkom im 201c einen "guten Ansatz", um einen klaren Phishing-Straftatbestand zu etablieren. Der bisherige Entwurf sollte daher so erweitert werden, dass er auch Versuche umfasst, sich über das Abfangen eines Passwortes unbefugt Zugang zu besonders gesicherten Daten zu verschaffen. Da Phishing-Nachrichten wegen des damit einhergehenden Vertrauensverlustes in den elektronischen Geschäftsverkehr einen enormen wirtschaftlichen Schaden anrichten, sei eine Strafbarkeit durchaus gerechtfertigt. Bisher würden Staatsanwaltschaften Ermittlungsverfahren einstellen, weil sie eine "Fälschung beweiserheblicher Daten" nach Paragraph 268 StGB oder andere in Frage kommende Straftatbestände rund ums Phishing nicht immer vorliegen sähen. Darüber hinaus schlägt der Verband vor, einzelne Deliktsbezeichnungen im Regierungsentwurf genauer zu fassen. Gänzlich offen sei etwa die Rechweite des Tatbestandsmerkmals der "nichtöffentlichen Datenübermittlung".

Quelle : www.heise.de

[SiLæncer]

Für viel Wirbel sorgt der am 20. September 2006 von der Bundesregierung vorgelegte Entwurf eines neuen Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität. Eine juristische Analyse gibt der Kritik an dem Gesetzentwurf neue Nahrung.

Mit den geplanten Änderungen des Strafgesetzbuchs (StGB) plant das Kabinett die Umsetzung von auf EU-Ebene vereinbarten Rahmenbeschlüsse. Stein des Anstoßes ist dabei vor allem der geplante neue § 202c StGB. Die Vorschrift soll das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen von so genannten "Hacker-Tools" strafrechtlich ahnden. Der Gesetzesentwurf war von Verbänden und Vereinen wie dem CCC heftig kritisiert worden, da er die Arbeit von Systemadministratoren, Programmierern und Beratern gefährde. Diese seien auf entsprechende Tools im Rahmen ihrer Arbeit angewiesen. Demgegenüber sieht das Justizministerium keinerlei Notwendigkeit zu einer Änderung des Entwurfs: Nach der Aussage eines Sprechers halte man den Entwurf dort für "eindeutig und unmissverständlich".

Neue Nahrung bekommt die Kritik an dem Gesetzesentwurf nun durch einen juristischen Aufsatz, der sich intensiv mit den geplanten Änderungen auseinandersetzt. Der Autor, Alexander Schultz, hält die Bedenken der Gesetzesgegner grundsätzlich für begründet. Auch nach seiner Auffassung würden IT-Sicherheitsexperten, die ein entsprechendes Schadprogramm aus dem Internet herunterladen und ausprobieren, von der neuen Vorschrift erfasst.

Die eigentliche Gefahr geht nach Ansicht von Schultz ohnehin nicht von experimentierfreudigen deutschen Netzwerkadministratoren oder Skript-Kiddies aus, sondern von organisierten und international agierenden Banden. Die organisierte Kriminalität setze nicht auf Tools, "die aus dem Internet weitgehend anonym geladen werden können", sondern es würden Entwickler und Technik eingekauft, um gezielt Angriffe auf bestimmte Ziele verüben zu können. Daher spielten auch Tools, die in der Öffentlichkeit von jedermann wahrgenommen und analysiert werden können, für organisierte Phisher und Erpresser kaum eine Rolle.

Zudem weist Schultz auch auf ein weiteres potenzielles Problem hin: Da sich die Eigenschaft eines Programms als "Hacker-Tool" nach dem Gesetzesentwurf allein auf die objektive Gefährlichkeit der Software beschränke, bestünde eine erhebliche Rechtsunsicherheit bei der Entwicklung entsprechender Software. Hier müsse zumindest auch noch das subjektive Element des Programmierers berücksichtigt werden, nämlich die Gesinnung des Urhebers.

Als Ergebnis seiner Untersuchung fordert Schultz die von der EU-Vorgabe unterstützte Möglichkeit zu nutzen, von der Reglementierung entsprechender Tools Abstand zu nehmen. Mit dem aktuellen Gesetzesvorschlag drohten Softwareentwicklung und IT-Forensik erheblichen Schaden zu nehmen, der in keinem Verhältnis zu den zu erwartenden Ermittlungserfolgen stünde.

Quelle : www.heise.de

[SiLæncer]

Laut dem Bundesrat ist die Bundesregierung mit ihrem Entwurf für eine erneute Änderung des Computerstrafrechts weit über das Ziel einer besseren Bekämpfung der Computerkriminalität hinausgeschossen. Es gebe zwar Defizite im geltenden Recht, räumt die Länderkammer in einer am heutigen Freitag angenommenen Stellungnahme (PDF-Datei) zu der Gesetzesnovelle ein. Der Bundesrat weist jedoch zugleich auf die Gefahr hin, dass durch eine zu weite Fassung von Tatbeständen völlig legale Handlungsweisen in die Strafbarkeit einbezogen würden. Diese Problematik betreffe zum Teil bereits das geltende Computerstrafrecht und werde durch die geplanten Änderungen noch deutlich verschärft.

Der besonders umstrittene Entwurf für den neuen Paragraph 202c des Strafgesetzbuchs (StGB), mit dem Vorbereitungshandlungen und der Einsatz und die Verbreitung von "Hacker-Tools" bestraft werden sollen, ist laut den Ländern praxisfremd. In die Bredouille kommen würden damit etwa auch Geschäftsreisende, die ihrer Sekretärin ein Passwort übermitteln, weil sie dringend eine E-Mail aus ihrer Inbox auf dem Bürorechner benötigen würden. Zum "Haupttäter" abgestempelt würden auch vergessliche Zeitgenossen, die ihr Passwort "im Nachbereich" ihres Computer vermerken. In beiden Fällen wäre eine Überwindung der Zugangssicherung ohne erheblichen Aufwand möglich und der neue Paragraph könnte greifen.

Auch mit dem Versuch, über eine Ergänzung des Paragraphen 202a StGB das Phänomen "Hacking" besser zu fassen, ist die Bundesregierung nach Ansicht des Bundesrats gescheitert. Dies sei vor allem darauf zurückzuführen, dass der Entwurf auf den Zugang zu Daten abstelle, kaum aber noch elektronische Geräte existierten, die ohne Datenspeicherung und -verarbeitung auskommen. Beispielsweise würde sich nach dem Entwurf wohl strafbar machen, wer sich Zugang zu dem von seinem Kind verschlossenen MP3-Player verschaffe, um die darauf gespeicherten Musikstücke anzuhören. Ebenfalls strafbar machen könnte sich ein Jugendlicher, der sich das von seinen Eltern an einem vermeintlich sicheren Ort verwahrte Passwort für nicht jugendfreie Sendungen im Pay-TV verschafft und sich verbotener Weise eine solche Sendung ansieht, halten die Länder fest. Es handele sich dabei lediglich "um Beispiele aus einer nicht überschaubaren Palette von Handlungen, die unter den neuen Tatbestand fallen würden".

Bei der Überarbeitung von Paragraph 303a StGB, der bislang eine Datenveränderung strafbar macht, sieht der Bundesrat verfassungsrechtliche Probleme. Die neu eingeführte Frage der Verfügungsberechtigung über die jeweiligen Daten werfe vor allem bei vernetzten Systemen kaum überwindbare Auslegungsprobleme auf. Auch mit der in 303b StGB vorgeschlagenen "erheblichen Ausdehnung der Strafbarkeit" durch den Einbezug der privaten Datenverarbeitung können sich die Länder nicht anfreunden. Auch hier würden angesichts der fortschreitenden Digitalisierung eine Vielzahl von Geräten erfasst. Im Extremfall geriete damit selbst die Beeinträchtigung des Betriebs einer Wasch- oder Spülmaschine unter den Tatbestand der Computersabotage, warnt der Bundesrat. Ähnliches könne die Störung von Videorekordern, Hifi-Anlagen oder Navigationssysteme betreffen.

Der Bundesrat hält daher eine Lösung der genannten Probleme im weiteren Verlauf des Gesetzgebungsverfahren insbesondere aufgrund der derzeitigen tatsächlichen Entwicklung digitaler Lebenswelten für "zwingend geboten". Andernfalls könne dem Gesetzesentwurf eine ähnliche Breitenwirkung zukommen wie Änderungen am Urheberrechtsgesetz. So rechne eine deutsche Staatsanwaltschaft auf Grund entsprechender Ankündigung eines Rechteinhabers damit, dass wegen der illegalen Verbreitung von lediglich vier Computerspielen über das Internet noch in diesem Jahr über 200.000 Urheberrechtsverstöße bei ihr angezeigt werden. Bei anderen Staatsanwaltschaften seien in der jüngsten Vergangenheit bereits mehrere 10.000 ähnliche Bagatellfälle gemeldet worden. Auch angesichts solcher Vorkommnisse müssten die Tatbestände in den "Hacker-Paragraphen" zumindest auf "die der Strafe würdigen und bedürftigen Handlungen" begrenzt werden.

Mit dem Gesetzesentwurf, der ursprünglich aus dem Bundesjustizministerium stammt, will die Bundesregierung insbesondere EU-Vorgaben umsetzen. Gegen die Pläne haben aber auch Verbände wie der Bitkom und Vereine wie der Chaos Computer Club (CCC) heftige Proteste eingelegt, da er die Arbeit von Systemadministratoren, Programmierern und Beratern gefährde. Diese seien auf entsprechende Werkzeuge im Rahmen ihrer Arbeit angewiesen. Demgegenüber sieht das Justizministerium bislang keinerlei Notwendigkeit zu einer Änderung des Entwurfs: Nach der Aussage eines Sprechers halte man die Regelungen für "eindeutig und unmissverständlich".

Quelle : www.heise.de

[SiLæncer]

Die Bundesregierung hat die scharfe Kritik des Bundesrates an ihrem umstrittenen Gesetzentwurf zur Bekämpfung der Computerkriminalität, der auch in der Wirtschaft auf wenig Gegenliebe stieß, als komplett unbegründet zurückgewiesen. Laut der jetzt vorliegenden Gegenäußerung zur Stellungnahme des Länderrates hält Berlin keinerlei Änderungen an den vorgeschlagenen Regelungen für nötig. Generell seien die ins Spiel gebrachten Straftatbestände "bereits eng gefasst". Es bestehe somit keine Gefahr, auch" nicht strafwürdige Handlungsweisen zu erfassen".

Konkret teilt die Bundesregierung beim besonders umkämpften Entwurf für den neuen Paragraphen 202c Strafgesetzbuchs (StGB) nicht die Befürchtung des Bundesrates, dass auch der gutwillige Umgang mit Softwareprogrammen zur Sicherheitsprüfung von IT-Systemen kriminalisiert werden könnte. Mit der Klausel sollen Vorbereitungshandlungen und der Einsatz und die Verbreitung von "Hacker-Tools" bestraft werden. Schon auf "Tatbestandsebene" werde dabei verlangt, dass es sich objektiv um ein Computerprogramm handeln müsse, dessen Zweck die Begehung einer Straftat ist, verteidigt die Bundesregierung ihren Vorschlag. Andererseits sei auch festgeschrieben, dass "das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonst Zugänglichmachen" von Hackerwerkzeugen zur Vorbereitung einer Computerstraftat erfolgen müsse.

Bei "Dual-Use-Tools", deren funktionaler Zweck nicht ein krimineller sei oder die erst durch ihre Anwendung zu einem Tatwerkzeug eines Verbrechers würden, sei der Tatbestand nicht erfüllt, schreibt die Bundesregierung. Die bloße Eignung von Software zur Begehung von Computervergehen sei somit nicht ausreichend, um die geplante Strafvorschrift greifen zu lassen. Entscheidend sei, dass der Täter "eine eigenen oder fremde Computerstraftat in Aussicht genommen hat". Sicherheitsüberprüfungen, die Entwicklung von Sicherheitssoftware oder die Ausbildung im Bereich der IT-Sicherheit könnten folglich nicht darunter fallen. Das gleiche gelte für einen Fall, in dem ein ursprünglich für kriminelle Zwecke hergestelltes Computerprogramm weiter verbreitet werde, "wenn dies ausschließlich zu nicht kriminellen Zwecken erfolgt und keine Anhaltspunkte für eine eigene oder fremde Computerstraftat" nach den restlichen Hackerparagraphen bestehen.

Darüber hinaus werden laut der Gegenäußerung auch die vom Bundesrat angesprochenen Fälle der bloßen Ingebrauchnahme von gesicherten elektronischen Geräten gegen den Willen des Berechtigten durch das Tatbestandsmerkmal der besonderen Zugangssicherung aus dem Anwendungsbereich des Paragraphen 202a StGB herausgefiltert. Diese Bedingung solle unverändert beibehalten werden. Geändert wissen wolle die Regierung "lediglich das Merkmal der Datenverschaffung". Diese Änderung habe aber keine Auswirkungen auf die vom Bundesrat befürchtete weitgehende Kriminalisierung. Die Länder hatten sich etwa besorgt gezeigt, dass sich mit dem Entwurf auch strafbar machen könnte, wer sich Zugang zu dem von seinem Kind verschlossenen MP3-Player verschafft.

Die Herausgabe eines Passwortes durch den Berechtigten etwa für die E-Mail-Abfrage durch die Sekretärin führe nicht dazu, dass dieser sich wegen des Vorbereitens des Ausspähens und Abfangens von Daten strafbar machen könne, versichert die Regierung. Dies gelte zumindest für den Fall, dass er damit rechne oder es in Kauf nehme, dass der Empfänger des Passworts dieses missbräuchlich nutzt, um auf Daten des Berechtigten zuzugreifen. Die Verschaffung des Zugangs zu Daten mit Hilfe des freiwillig durch den Berechtigten herausgegebenen Passwortes stelle ebenfalls keine Straftat im Sinne von 202a StGB dar.

Für unbegründet hält die Regierung ferner die Sorge der Länder, dass Paragraph 303a Absatz 1 StGB in der aktuellen Fassung einer verfassungsrechtlichen Prüfung nicht standhalten würde. Die damit einhergehende Kriminalisierung von Datenveränderungen habe bereits das Bayerisch Oberste Landesgericht 1993 bestätigt, ohne die Verfassungsgemäßheit des Tatbestandes zu problematisieren. Bei der in 303b StGB vorgeschlagenen Ausdehnung der Strafbarkeit durch den Einbezug der privaten Datenverarbeitung, die aufgrund der Umsetzung internationaler Vorgaben erforderlich sei, sei zudem "die engste noch mögliche Fassung" gewählt worden. Dabei würde sowohl das Merkmal der Datenverarbeitung "von wesentlicher Bedeutung" als auch die Bestimmung "erheblich stört" als "Filter für Bagatellfälle" dienen. Zudem werde nicht jede Störungshandlung unter Strafe gestellt. Die vom Bundesrat angeregte Aufnahme eines ausdrücklichen Phishing-Tatbestandes ins Strafgesetzbuch hält die Regierung ebenfalls für unnötig. Eine Befragung von Strafverfolgungsbehörden habe ergeben, dass fast alle Landesjustizverwaltungen bereits nach geltendem Recht einen ausreichenden strafrechtlichen Schutz gegen Phising-Angriffe für gewährleistet halten.

Quelle : www.heise.de

[SiLæncer]

Sachverständige haben bei einer Anhörung im Rechtsausschuss des Bundestags zum umstrittenen Gesetzesentwurf der Bundesregierung zur Bekämpfung der Computerkriminalität auf Nachbesserungen bestanden. Insbesondere am geplanten neuen Paragraph 202c Strafgesetzbuch (StGB), der bereits Vorbereitungshandlungen zu Computerstraftaten kriminalisieren soll, seien Klarstellungen dringend erforderlich. Andererseits werde die Arbeit von IT-Sicherheitstestern bedroht, war sich die Mehrheit der geladenen Experten am Mittwoch einig. "Wenn es keine Änderung am 202c gibt, sollte man ihn lieber ganz streichen", forderte der Würzburger Strafrechtsprofessor Erich Hilgendorf. Richter und Staatsanwälte hielten den Entwurf dagegen für passabel. Michael Bruns, Generalbundesanwalt in Karlsruhe, erklärte: "Man könnte noch Einfügungen vornehmen, aber das wäre gesetzgeberisches Feuilleton."

Mit der Ergänzung des 202c StGB soll mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe belegt werden, wer eine Straftat vorbereitet durch das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von Computerprogrammen, deren Zweck die Begehung einer entsprechenden Tat ist. Diese Formulierung sei "gefährlich weit", gab Hilgendorf zu bedenken. Der Strafrechtler schlug vor, den Absichtsbegriff zu verdeutlichen oder die Hürde einer "gezielten" Vorbereitung einzubauen. Zudem sei dem Wortlaut nach auch die Herstellung von Schadsoftware im Ausland betroffen, wenn sie für die Nutzung hierzulande bereitgestellt würde. Eine solche weltweite Anwendung des deutschen Strafrechts "sollten wir uns nicht aufladen". Positiv hervorzuheben sei, dass mehrfach auf die Gefahren einer "Überkriminalisierung" aufmerksam gemacht werde.

Carl-Friedrich Stuckenberg, Privatdozent am Institut für Strafrecht der Universität Bonn, ging mit Hilfendorf konform. Mit dem 202c werde versucht, "eine Art Gefahrengutregime für bestimmte Arten von Software zu errichten". Dies setze aber voraus, "dass man eindeutig gefährliche Dinge auch benennen kann". Es möge zwar "Crimeware" wie frei im Netz stehende Virenbausätze geben, die verboten werden sollte. Insgesamt sehe er aber keinen großen Anwendungsbereich für den Paragraphen. Die Cybercrime-Konvention des Europarates, die die Bundesregierung gemeinsam mit dem EU-Rahmenbeschluss über Angriffe auf Informationssysteme mit dem Entwurf umsetzen will, sei klarer. Darin werde betont, dass "Hacker-Tools" für ein Verbot "hauptsächlich" für Cybercrime geschaffen worden sein müssten. Ein ungewolltes Strafbarkeitsrisiko rund um "Dual-Use"-Programme könne der Gesetzgeber ausschalten, wenn er das Verbot auf "direkten Vorsatz und wissentliche Absicht beschränkt".

In der internationalen Sicherheitsszene hat der Entwurf laut Felix Lindner, Geschäftsführer der Berliner Sabre Labs, "pures Entsetzen" ausgelöst. Viele Tester fragten sich, wie sie "mit einem Bein im Gefängnis" ihre Arbeit noch verrichten sollten. "Niemand kann eindeutig ein Stück Software identifizieren, bei dem die Beschaffung wirklich strafbar sein sollte", erläuterte Lindner die Gefahr. Crimeware etwa würde auf internationaler Ebene kollektiv auseinander genommen, sodass eine Regelung, die bereits die Vorbereitung ihrer Verteilung verbiete, ein "Riesenproblem" wäre. Die ganze IT-Sicherheitsindustrie lebe davon, dass Software freiwillig in der Freizeit überprüft werde und Fehler publiziert würden. Generell würde der Sicherheitsstandort Deutschland zurückfallen, etwa die Ausbildung professioneller Prüfer behindert. Konferenzen, auf denen Schwachstellen aufgedeckt und Angriffsformen erläutert werden, könnten hier nicht mehr stattfinden.

"Die Befürchtungen sind ernst zu nehmen", urteilte Georg Borges, Rechtsprofessor an der im Sicherheitsbereich renommierten Ruhr-Universität Bochum. Es gebe "ein erhebliches Maß an Unsicherheit bei Software-Entwicklern". Bruns räumte ein, dass die gewählten Formulierungen im Gesetzestext "psychologisch ganz anders aufgenommen" würden als juristisch angebracht. So seien beim 202c zwei Filter eingebaut, die auf den Vorsatz und die Absicht zur Straftatvorbereitung anspielen würden. Dies sei für den "juristisch Gesetzesinformierten" verständlich. Die Aufklärung der sich momentan fälschlich betroffen Fühlenden sei aber "eine Frage der Vermittlung".

Jürgen-Peter Graf, Richter am Bundesgerichtshof, hält die Vorverlagerung des Tatbestandsmerkmals ebenfalls für ein Problem. Die bestehenden Formulierungen seien aber grundsätzlich in der Lage, die Bedenken auszuräumen. In Richtung Computerpresse verwies er darauf, dass Hinweise auf Exploits von Sicherheitslücken und die Erteilung von Ratschlägen zu deren Anwendungen durchaus unter den neuen Straftatbestand fallen könnten. Dies sei gerechtfertigt, da so der Verbreitung von Schadsoftware entgegengewirkt würde.

Auch bei anderen geplanten Ergänzungen der Hackerparagraphen wünschten sich mehrere Experten zumindest präzisere Formulierungen. 303b etwa könnte ungewollte Effekte erreichen, wenn Bürger von dem Verbot der "Störung" einer Datenverarbeitung etwa elektronische Massenproteste in Form von E-Mail-Kampagnen gegen Ministerien erfasst sähen. Letztlich sei die Voraussetzung einer "Nachteilsabsicht" aber bei einer solchen Meinungsäußerung nicht erfüllt. Beim 202b zur Strafbarkeit der unbefugten Datenverschaffung monierte Lindner, dass darunter etwa das Abfangen von Bluetooth-Verbindungen zwischen einem Mobiltelefon und einem Auto "zum Debugging" fallen könne. Sämtliche Sniffer in diesem Bereich befänden sich so in einer rechtlichen Grauzone.

Für Verunsicherung könnte Stuckenberg zufolge die Tatsache führen, dass in den Hackerparagraphen im Gegensatz zu den europarechtlichen Vorgaben allgemein von Daten statt von Computerdaten die Rede ist. Hier sei eine Klarstellung überfällig, da sonst Ängste wie die des Bundesrates um eine Erfassung von MP3-Playern oder digitalen Fernsehgeräten geschürt würden. Letztlich stelle sich die Frage, ob schon das unbefugte Verschicken einer Diskette unter Datenverarbeitung falle und damit strafbar werden könne. Der forschungspolitische Sprecher der SPD-Fraktion, Jörg Tauss, sorgte sich zudem um die Legalität seiner eigenen Sicherheitstests, wie er sie etwa bereits bei Betriebssystemen oder Videoüberwachungsanlagen durchgeführt habe: "Ich dürfte ein Fall für den Immunitätsausschuss werden." Unklar sei auch, ob er künftig vom Nutzer oder etwa auch vom Hersteller eine Einwilligung in entsprechende Prüfungen einholen müsse.

Quelle : www.heise.de

[SiLæncer]

Der Rechtsausschuss des Bundestags hat am heutigen Mittwoch den Regierungsentwurf zur besseren strafrechtlichen Bekämpfung der Computerkriminalität ohne Änderungen abgesegnet. Allein die Linkspartei stimmte gegen das Vorhaben. Den zahlreichen Bedenken aus der Wissenschaft und der IT-Wirtschaft gegen den Gesetzesentwurf, die unter anderem bei einer Anhörung im Bundestag im März zur Sprache gekommen waren, wollen die Parlamentarier mit einer Zusatzerklärung Rechnung tragen. Darin soll etwa klargestellt werden, dass die neuen und aufgebohrten Hackerparagraphen im Strafgesetzbuch (StGB) einer strengen Auslegung und Zweckbindung unterliegen.

Mit der Aufnahme des geplanten Paragraphen 202c StGB soll künftig mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe belegt werden, wer eine Straftat vorbereitet durch das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von Computerprogrammen, deren Zweck die Begehung einer entsprechenden Tat ist. Der Würzburger Strafrechtsprofessor Erich Hilgendorf hatte bei diesem umfangreichen Verbot von "Hacker-Tools" gefordert, den Absichtsbegriff zu verdeutlichen oder zumindest die Hürde einer "gezielten" Vorbereitung einzubauen. Andernfalls sei der besonders umkämpfte neue Paragraph besser ganz zu streichen. In der internationalen IT-Sicherheitsszene hatte der Entwurf zuvor insgesamt große Unruhe ausgelöst. Viele Security-Experten fragten sich, ob sie bei der Verrichtung ihrer Arbeit bei Inkrafttreten des Gesetzes nicht bereits mit einem Bein im Gefängnis stünden.

Die Rechtspolitiker des Bundestages hielten es dagegen mit der Ansage des Karlsruher Generalbundesanwalts Michael Bruns, der Klarstellungen am Entwurf als "gesetzgeberisches Feuilleton" bezeichnet hatte. Für Juristen seien die Tatbestände klar umrissen und verständlich, hieß es heute etwa bei den Grünen zur Begründung der Zustimmung zu dem Regierungsvorstoß. Zudem habe man sich an die internationalen Vorgaben in Form der Cybercrime-Konvention des Europarates und des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme zu halten, die mit dem Gesetz ins nationale Recht umgesetzt werden sollen. Experten schienen zahlreiche Formulierungen aus diesen beiden Texten aber klarer gefasst zu sein als im Papier der Bundesregierung. Auch der Bundesrat hatte zahlreiche Vorbehalte gegen den Entwurf ins Feld geführt.

Mit dem Gesetz soll in Paragraph 202a StGB auch bereits der unbefugte Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen unter Strafe gestellt werden. Bisher ist Computersabotage nur bei Angriffen gegen Betriebe, Unternehmen und Behörden strafbar. Künftig sollen mit Paragraph 303b StGB auch private Datenverarbeitungen geschützt werden. Ebenso ist mit Paragraph 202b StGB vorgesehen, das "Sichverschaffen von Daten aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage" zu kriminalisieren. Das Parlamentsplenum soll den vom Rechtsausschuss abgenickten Entwurf in der Nacht von Donnerstag auf Freitag gegen 2 Uhr morgens verabschieden. Es ist davon auszugehen, dass eine Live-Debatte zu dieser Uhrzeit entfällt und die Reden allein zu Protokoll gegeben werden.

Quelle : www.heise.de