Thema: CCC warnt vor Verbot von "Hacker-Tools"

[SiLæncer]

Der Bundestag hat am späten Donnerstagabend mit den Stimmen von Schwarz-Rot, der FDP und den Grünen den Regierungsentwurf für eine Novelle des Strafgesetzbuches (StGB) zur Bekämpfung der Computerkriminalität verabschiedet. Die PDS und Jörg Tauss, forschungs- und medienpolitischer Sprecher der SPD-Fraktion, votierten gegen das als Tagesordnungspunkt 23 behandelte Gesetz. Änderungen, wie sie etwa Experten bei einer parlamentarischen Anhörung im März sowie Branchenverbände nachdrücklich angemahnt hatten, nahmen die Abgeordneten im Einklang mit dem Votum des federführenden Rechtsausschusses nicht mehr vor. Auch eine echte Aussprache über die Verschärfung der Hackerparagraphen fand nicht statt. Die für die Debatte vorgesehenen Redner gaben ihre Positionen angesichts der späten Stunde zu Protokoll.

Mit der Einführung des Paragraphen 202c StGB soll künftig mit Freiheitsentzug bis zu einem Jahr oder finanziell bestraft werden, wer eine Straftat vorbereitet durch das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von Computerprogrammen, deren Zweck die Begehung einer entsprechenden Tat ist. Paragraph 202a StGB sieht vor, auch bereits den unbefugten Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen zu kriminalisieren. Paragraph 202b regelt, dass üblicherweise mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe belegt wird, wer sich oder einem anderen unbefugt unter Anwendung von Hacker-Tools nicht für ihn bestimmte Daten aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft.

Bisher ist Computersabotage nur bei Angriffen gegen Betriebe, Unternehmen und Behörden strafbar. Künftig sollen mit Paragraph 303b StGB auch private Datenverarbeitungen gegen "erhebliche Störungen" geschützt werden. Im "einfachen" Fall sollen hier Freiheitsstrafe bis zu drei Jahren oder Geldstrafe verhängt werden. Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, drohen neben Geldstrafe in besonders schweren Fällen Freiheitsstrafen bis zu zehn Jahren. Dies kommt laut dem Entwurf etwa regelmäßig dann infrage, wenn der Täter einen Vermögensverlust großen Ausmaßes herbeiführt, gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat. Gleiches gilt, wenn durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt wird.

[Update:] Prinzipiell soll das Gesetz gleich am Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten. Zuvor muss sich aber der einspruchsberechtigte Bundesrat noch einmal damit beschäftigen. Die Länder hatten im Vorfeld zahlreiche Vorbehalte gegen den Entwurf ins Feld geführt. Ob sie das Papier des Parlaments trotzdem ohne Änderungswünsche passieren lassen oder den Vermittlungsausschuss anrufen, wird sich voraussichtlich Anfang Juli entscheiden. Sollte der Bundesrat das Gesetz durchwinken, würde dessen Ausfertigung erfahrungsgemäß noch drei bis sechs Wochen dauern und könnte somit noch im Sommer Gültigkeit erlangen. Über die konkrete Anwendung müssten danach wohl die Gerichte entscheiden.[/Update]

Tauss, der Abweichler in den SPD-Reihen, hat das Gesetzgebungsverfahren nach zahlreichen Briefen etwa an Bundesjustizministerin Brigitte Zypries (SPD) nun auch öffentlich scharf kritisiert. Insgesamt kann ihm zufolge die Beratung in den Gremien des Bundestags "bestenfalls als völlig unzureichend bezeichnet werden". Problematisch sei vor allem die Einfügung des 202c StGB, mit dem typische Vorbereitungshandlungen unter Strafe gestellt werden. Dies sei dem Strafrecht – bis auf wenige Ausnahmen – sonst fremd. Entsprechende Programme und Tools würden ferner nicht nach ihrer Einsatzart, sondern vielmehr nach ihrem Aufbau definiert. Eine Unterscheidung in Applikationen, die zur Begehung von Straftaten und solche, die ausschließlich für legale Zwecke hergestellt werden, sei aber schlichtweg nicht möglich. Überdies führe der gewählte Wortlaut zu einer "Kriminalisierung der heute millionenfach verwendeten Programme, welche auch für das Entdecken von Sicherheitslücken in IT-Systemen notwendig sind."

Offenbar war dem Rechtsausschuss diese Tatsache Tauss zufolge auch bekannt, denn im Entwurf für die Beschlussempfehlung des Entwurfs heißt es: "Der Gesetzgeber wird die Auswirkungen der neuen Strafvorschriften genau zu beobachten haben. Sollten doch Programmentwickler und Firrmen, die nicht aus krimineller Energie heraus handeln, durch diese neuen Strafvorschriften in Ermittlungsverfahren einbezogen werden, wird auf solche Entwicklungen zeitnah reagiert werden müssen." Vor diesem Hintergrund ist es für Tauss nicht nachvollziehbar, warum sämtliche Änderungsvorschläge im parlamentarischen Verfahren, die eben dies ausschließen sollten, ignoriert wurden. Vergleichbare Erklärungen zur Verabschiedung der Hackerparagraphen gaben auch andere SPD-Mitglieder wie Monika Griefahn oder Christoph Pries ab, die sich dem Fraktionszwang aber nicht entzogen.

In ihren Reden betonten die Rechtspolitiker Siegfried Kauder (CDU) und Dirk Manzewski (SPD), dass man mit dem Gesetz insbesondere die Cybercrime-Konvention des Europarates und den EU-Rahmenbeschluss über Angriffe auf Informationssysteme umsetze. Kauder räumte "größte Kopfschmerzen" beim Paragrafen 202c ein. Er begrüßte aber zugleich, dass laut Beschlussempfehlung nur "Schadsoftware" kriminalisiert werde. Auch grundrechtlich geschützte "Internet-Demonstration" würden vom Gesetz nicht betroffen.

Manzewski erklärte, dass "kostenlose Informationen der Computercracks der Sicherheitsbranche zugegebenermaßen weiterhilft" und sich die entsprechenden Firmen gerne der Hinweise von Hackern bediene. Deren "Kick" sei es, "illegal in Netze einzudringen und dann die aufgedeckten Sicherheitslücken publik zu machen". Dieses Interesse sei aber "natürlich nicht schutzwürdig". In Zeiten, in denen darüber debattiert werde, inwieweit staatliche Institutionen bei Verdacht von Straftaten Online-Durchsuchungen vornehmen dürfen, könne es nicht akzeptiert werden, "dass das Just-for-Fun-Eindringen in die Privatsphäre von Menschen oder in das Innerste von Unternehmen und Institutionen legalisiert wird". Insgesamt seien die Straftatbestände klar genug. Vergleichbar unterstrichen Sabine Leutheusser-Schnarrenberger für die FDP und Jerzy Montag für die Grünen, dass die Gesetzesformulierungen sachgerecht und eine Überkriminalisierung nicht zu erwarten seien. Beide verwiesen auf die Zusatzerläuterungen in der Beschlussempfehlung. Jan Korte von den Linken kritisierte dagegen grobe Patzer im Gesetz und monierte etwa, dass Online-Demos mit virtuellen Sitzblockaden von Servern verboten würden.

Quelle : www.heise.de

[SiLæncer]

Der Chaos Computer Club (CCC) und Stimmen aus der Internetwirtschaft haben erhebliche Einwände und Sicherheitsbedenken gegen die heute vom Bundestag verabschiedete Änderung des Strafgesetzbuches (StGB) zur Bekämpfung der Computerkriminalität vorgebracht. "Das Verbot des Besitzes von Computersicherheitswerkzeugen öffnet auch dem Einsatz des Bundestrojaners Tür und Tor", warnt CCC-Sprecher Andy Müller-Maguhn. Industrie und Bürgern werde systematisch die Möglichkeit genommen, ihre Systeme adäquat auf Sicherheit zu überprüfen. Dieses Verbot gefährde "die Sicherheit des IT-Standorts Deutschland". Sicherheitsforschung könne nur noch in einer "unannehmbaren rechtlichen Grauzone stattfinden". Das Gesetz erwecke den Anschein, dass unabhängige Sicherheitstester nach Belieben selektiv kriminalisiert werden sollten.

Ins gleiche Horn stößt der Verband der deutschen Internetwirtschaft eco. Die Lobbyvereinigung der Provider beklagt, dass das Gesetz die Sicherheitsbemühungen der Unternehmen ausbremst, anstatt Computerkriminalität wirksam zu bekämpfen. Es sei nicht ausgeschlossen, dass Computerprogramme, die zu einem legitimen Zweck wie der Sicherheitsprüfung von IT-Systemen verwendet werden, vom Anwendungsbereich des Gesetzes erfasst würden. Aus Sicht der Unternehmen sei der Vorstoß schlicht kontraproduktiv.

Angesichts eines Verweises des weit gestrickten Paragraphen 129a StGB gegen die Bildung terroristischer Vereinigungen auf den neuen Paragraphen 303b sehen sich Blogger aus den Reihen des CCC, der für eine kritisch-schöpferische Auseinandersetzung mit der Informationstechnik im Rahmen einer eigenen Hackerethik eintritt, nicht nur bei Sicherheitstests mit einem Bein im Gefängnis stehen. Sie fürchten vielmehr, dass der CCC oder lose Zusammenschlüsse von Sicherheitsexperten bald auch als Terrorgruppierung verfolgt werden könnten.

Die Mitglieder des im parlamentarischen Gesetzgebungsverfahren federführenden Rechtsausschusses suchen den zahlreichen Bedenken gegen den Vorstoß mit einer Verdeutlichung in der Beschlussempfehlung entgegenzuwirken, die das Plenum des Parlaments angenommen hat. Darin zeigen sich die Fraktionen CDU/CSU, SPD, FDP und die Grünen zunächst über die technische Entwicklung besorgt. Diese habe gezeigt, dass es im deutschen Strafrecht im Bereich der Computerkriminalität durchaus relevante Lücken gebe. Deren Schließung würde von internationalen Vorgaben gefordert. Die von der Bundesregierung dazu vorgeschlagenen und unverändert übernommenen Regelungen halten die Politiker der großen Koalition und der beiden Oppositionsparteien für "grundsätzlich geboten und sachgerecht".

Die Eingaben von Vertretern der IT-Branche während der parlamentarischen Anhörung seien "sehr ernsthaft geprüft worden". Der Entwurf kriminalisierte aber nicht den branchenüblichen Einsatz von Hacker-Tools durch Netzwerkadministratoren. Um Missverständnisse zu vermeiden stelle man aber klar, dass der besonders umkämpfte neue Paragraph 202c StGB hinsichtlich der Zweckbestimmung im Sinne des Artikels 6 des Europarats-Übereinkommens gegen Cybercrime auszulegen sei. Somit seien nur Computerprogramme betroffen, die in erster Linie dafür ausgelegt oder hergestellt würden, um damit Straftaten gemäß der Hackerparagraphen zu begehen. Die bloße Geeignetheit zur kriminellen Betätigung begründe dagegen keine Strafbarkeit. Die geforderte Zweckbestimmung müsse ferner eine Eigenschaft der "Hacker-Tools" in dem Sinne darstellen, dass es sich um "Schadsoftware" handele.

Die Strafvorschriften hat laut dem Beschluss des Rechtsausschusses in erster Linie "professionelle Anbieter im Blick, die durch die Bereitstellung von Software, die für die Begehung von Straftaten geschrieben würden, ein vom Gesetzgeber als unerwünscht und strafbar angesehenes Verhalten unterstützten und damit Gewinn erzielten." Der Gesetzgeber habe die Auswirkungen der neuen Paragraphen zudem genau zu beobachten. "Massen-E-Mail-Proteste" werden nach Auffassung der Rechtspolitiker nicht von den geänderten Vorschriften erfasst.

Quelle : www.heise.de

[SiLæncer]

Im Bundesrat zeichnet sich kein Widerstand gegen die vom Bundestag unter heftigen Protesten von Wirtschaftsvereinigungen und Sicherheitstestern verabschiedete Novelle des Strafgesetzbuches (StGB) zur Bekämpfung der Computerkriminalität ab. Der federführende Rechtsausschuss und der mitberatende Wirtschaftsausschuss empfehlen den Länderchefs vielmehr, in der Plenarsitzung am Freitag in einer Woche von einer Anrufung des Vermittlungsausschusses mit dem Parlament abzusehen. Der Gesetzesentwurf steht so bereits auf der "grünen Liste", soll also ohne weitere Aussprache abgesegnet werden.

In der Erläuterung zu dem entsprechenden Tagesordnungspunkt werden die zahlreichen Bedenken der Länderkammer aus der Stellungnahme zum Regierungsentwurf auszugsweise noch einmal aufgezählt. Seinerzeit wies der Bundesrat insbesondere auf die Gefahr hin, durch eine weite Tatbestandsfassung auch solche Handlungsweisen zu kriminalisieren, "die das Verdikt der Strafbarkeit nicht verdienten". Die Rede war davon, dass die Verbote auf eine "unüberschaubare Palette von Handlungen" ausgedehnt würden, "die eine strafrechtliche Verfolgung nicht verdienten". Auch "kaum überwindliche Auslegungsprobleme" seien zu befürchten. Die Länder hatten daher – ähnlich wie Experten bei einer parlamentarischen Anhörung – Änderungen an dem Konstrukt für "zwingend geboten" gehalten.

Obwohl der Bundestag den Entwurf gemäß einer Empfehlung seines Rechtsausschusses unverändert beschloss, sind die Bedenken der Länder nun verflogen. Allein Berlin hatte sich im Rahmen der Ausschussberatungen für das Einschalten des Vermittlungsausschusses stark gemacht. Den Politikern aus der Hauptstadt schienen unter anderem die Regelungen zur Kriminalisierung von Denial-of-Service-Attacken zu strikt geraten, weil dadurch ihrer Ansicht nach auch legitime Online-Demonstrationen in Form der Belagerung von Servern betroffen sind. Überdies plädierten sie für den Einbau eines gesonderten Verbots von Phishing-Attacken. Die Mehrheit der Bundesländer brachten sie damit aber nicht auf ihre Seite.

Besonders umstritten in dem Entwurf, der mit dem Segen des Bundesrats noch im Sommer in Kraft treten könnte, ist der neue Paragraph 202c StGB. Danach soll die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden. Die damit kriminalisierten "Hacker-Tools" dienen auch Systemadministratoren, Programmierern und Beratern dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen. Beruhigt hat die Landespolitiker hier anscheinend vor allem eine Zusatzerklärung des Rechtsausschusses des Bundestags. Demnach sollen nur Computerprogramme betroffen sein, die in erster Linie dafür ausgelegt oder hergestellt werden, um Straftaten gemäß der Hackerparagraphen zu begehen.

Wenig Verständnis haben der Rechts- und der Europa-Ausschuss der Länderkammer dagegen für das Bestreben der EU-Kommission, im Rahmen einer Mitteilung eine "allgemeine Politik zur Bekämpfung der Internetkriminalität" der EU zu lancieren. Das Anliegen an sich sei zwar begrüßenswert, heißt es in den Empfehlungen (PDF-Datei) zu diesem Punkt. Man habe aber "erhebliche Bedenken", ob die geplante Vereinheitlichung der Rechtsvorschriften etwa für einen gemeinsamen Straftatbestand des Identitätsdiebstahls über Brüssel herbeigeführt werden könne: "Sofern hierdurch auch Fälle der Alltagskriminalität ohne internationalen Bezug und ohne Bezug zu organisierter Kriminalität, Terrorismus oder illegalem Drogenhandel betroffen wären, dürfte eine Kompetenz auch unter Beachtung von Subsidiaritätsgesichtspunkten kaum zu rechtfertigen sein."

Der Jugend- und der Europa-Ausschuss sehen ferner vorrangigen Handlungsbedarf bei der Verbreitung von Kinderpornographie über das Netz. Unterstützenswert sei daher der Ansatz, "durch einen Dialog zwischen dem öffentlichen und dem privaten Sektor zu Vereinbarungen über das EU-weite Blockieren von Webseiten mit illegalen und insbesondere kinderpornografischen Inhalten zu gelangen und insoweit auch den Dialog mit Drittländern zu suchen". In diesem Zusammenhang müsse auch der Zugang Jugendlicher zu gewaltverherrlichenden Inhalten im Internet besser unterbunden werden.

Quelle : www.heise.de

[fir3drag0n]

Deutschland, das Land des technologischen Rückschritts...

[SiLæncer]

Mit einer Pressemeldung hat die Gesellschaft für Informatik (GI) an den Bundesrat appelliert, die Einführung des Paragraphen 202c Strafgesetzbuch (StGB) abzulehnen. Dieser "Hackerparagraph" schade der Informatik, weil jegliche Lehre, Forschung und Entwicklung und selbst die Diskussion über Prüftools zur IT-Sicherheit an Universitäten und Fachhochschulen unter Strafe gestellt werde. Der Bundesrat berät in seiner Sitzung am kommenden Freitag über diese Änderung des Strafrechts, mit der Computerkriminalität besser bekämpft werden soll. Da das Gesetz ein Einspruchsgesetz und damit nicht zustimmungspflichtig ist, stellt die Beratung im Bundestag nur eine formale Hürde dar.

Der so genannte "Hackerparagraph" war am 24. Juni vom Bundestag verabschiedet worden, obwohl zahlreiche IT-Experten gegen die Überinterpretation der europäischen Cybercrime-Konvention protestiert hatten. Zu den Organisationen, die sich gegen die Änderung des Strafrechts ausgesprochen haben, zählt der Verband der deutschen Internetwirtschaft (eco) ebenso wie der Chaos Computer Club.

Mit ihrer Stellungnahme gegen die Strafgesetzverschärfung macht die Gesellschaft für Informatik auf etliche Formulierungen der geplanten Gesetzesänderung aufmerksam, die massiv die Forschung und Lehre von Informatikern über IT-Sicherheit behindern können. In zwei Punkten appelliert die Vertretung der Informatiker an den Bundesrat, das Gesetz zu entschärfen. Zum einen müsse das Tatbestandsmerkmal "vorbereiten" viel enger gefasst werden. Sonst sei bereits der bloße Besitz eines "Hackertools" strafbar. Außerdem müsse der Eventualvorsatz in der Gesetzesänderung ersatzlos gestrichen werden, damit ausgeschlossen ist, dass die IT-Sicherheitsforschung von Wissenschaftlern bestraft werden kann. "Wir appellieren deshalb an den Bundesrat, die weite Entwurfsfassung des § 202c StGB zu verhindern", erklärte Hartmut Pohl, Sprecher des GI-Arbeitskreises "Datenschutz und IT-Sicherheit".

Quelle : www.heise.de

[Chrisse]

Hurra! Geschafft...

1. Die Weitergabe von Wissen ist strafbar!
2. Das Besitzen von entsprechenden Werkzeugen ist strafbar!
3. Fehlt nur noch das das Wissen selbst strafbar wird.

TOLL! Die Bürde des Menschen ist unfassbar.

[SiLæncer]

Der Bundesrat hat in seiner Plenarsitzung am heutigen Freitag die heftig umstrittene Novelle des Strafgesetzbuches (StGB) zur Bekämpfung der Computerkriminalität ohne weitere Aussprache passieren lassen. Die Länderchefs folgten damit der Empfehlung des Rechts- und des Wirtschaftsausschusses, den Vermittlungsausschuss mit dem Parlament nicht anzurufen.

Ende vergangenen Jahres hatten die Länder noch zahlreiche Bedenken gegen den Regierungsentwurf zur Verschärfung und Ergänzung der so genannten Hackerparagraphen. So wiesen sie damals etwa auf die Gefahr hin, durch eine weite Tatbestandsfassung auch legale Handlungsweisen von Sicherheitsberatern zu kriminalisieren. Obwohl der Bundestag den Regierungsentwurf entgegen dem Anraten von Sachverständigen bei einer parlamentarischen Anhörung unverändert verabschiedete, nutzte der Bundesrat seine Einspruchsmöglichkeit gegen das Gesetz nun aber nicht. Vielmehr akzeptierten sie die Entscheidung des Parlaments, dass das illegale Eindringen in fremde Netze auch mit dem Ziel der Aufdeckung von Schwachstellen nicht schutzwürdig sei. Wenig nützte da noch ein Protest der Gesellschaft für Informatik, die jegliche Lehre, Forschung und Entwicklung und selbst die Diskussion über Prüftools zur IT-Sicherheit unter Strafe gestellt sieht.

Das Gesetz kann jetzt nach der Zeichnung durch den Bundespräsidenten gleich am Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten. Die entsprechende Ausfertigung dauert erfahrungsgemäß drei bis sechs Wochen, sodass die neuen Bestimmungen im Hochsommer Gültigkeit erlangen dürften. Die in Fachkreisen gut bekannte deutsche Hackergruppe Phenoelit, die auf den Jahreskongressen des Chaos Computer Clubs (CCC) immer wieder mit Aufdeckungen erheblicher Sicherheitslücken etwa bei SAP-Software, Blackberry-Geräten oder integrierten Systemen und Druckern für Aufsehen sorgte, hat daraus bereits ihre Konsequenzen gezogen und ihre deutsche Website dicht gemacht. Die Hackerwerkzeuge und Exploits der Sicherheitstester können nun nur noch über einen ausländischen Server in Augenschein genommen werden.

Besonders umstritten in dem Gesetz ist der neue Paragraph 202c StGB. Danach soll die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden. Die damit kriminalisierten "Hacker-Tools" dienen auch Systemadministratoren, Programmierern und Beratern dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen. Beruhigt hat die Landespolitiker hier vor allem eine Zusatzerklärung des Rechtsausschusses des Bundestags. Demnach sollen nur Computerprogramme betroffen sein, die in erster Linie dafür ausgelegt oder hergestellt werden, um Computerstraftaten zu begehen. Aber auch die weiteren neuen oder überarbeiteten Passagen der Novelle etwa zur unbefugten Datenbeschaffung oder zur Computersabotage haben es in sich.

Kritisch beäugt der Bundesrat derweil den Plan der EU-Kommission, im Rahmen einer Mitteilung eine "allgemeine Politik zur Bekämpfung der Internetkriminalität" der EU zu entwickeln. Das Anliegen an sich sei zwar begrüßenswert, "da sich mit der zunehmenden Bedeutung des Internets auch neue Kriminalitätsformen ergeben". Man habe aber "erhebliche Bedenken", ob Brüssel die geplante Vereinheitlichung der Rechtsvorschriften etwa für einen gemeinsamen Straftatbestand des Identitätsdiebstahls herbeiführen könne: "Sofern hierdurch auch Fälle der Alltagskriminalität ohne internationalen Bezug und ohne Bezug zu organisierter Kriminalität, Terrorismus oder illegalem Drogenhandel betroffen wären, dürfte eine Kompetenz auch unter Beachtung von Subsidiaritätsgesichtspunkten kaum zu rechtfertigen sein."

Vorrangigen Handlungsbedarf sehen die Länder aber bei der Verbreitung von Kinderpornographie über das Netz. Unterstützenswert sei daher der Ansatz, "durch einen Dialog zwischen dem öffentlichen und dem privaten Sektor zu Vereinbarungen über das EU-weite Blockieren von Webseiten mit illegalen und insbesondere kinderpornografischen Inhalten zu gelangen und insoweit auch den Dialog mit Drittländern zu suchen". In diesem Zusammenhang müsse auch der Zugang Jugendlicher zu gewaltverherrlichenden Inhalten im Internet stärker unterbunden werden.

Quelle : www.heise.de

[SiLæncer]

Mit der Veröffentlichung der neuen Strafvorschriften zur "Bekämpfung der Computerkriminalität" (PDF-Datei) im Bundesgesetzblatt am heutigen Freitag erlangen die heftig umstrittenen Regelungen bereits vom morgigen Samstag an Gültigkeit. Die Novelle des Strafgesetzbuches (StGB) mit neuen und deutlich ausgeweiteten "Hackerparagraphen" tritt damit just inmitten des Sommerzeltlagers des Chaos Computer Clubs (CCC) im brandenburgischen Finowfurt in Kraft. Inwieweit die verschärfte Gesetzeslage bereits Auswirkungen auf das Camp haben könnte, ist umstritten. Angesichts eines Verweises des weit gestrickten Paragraph 129a StGB gegen die Bildung terroristischer Vereinigungen auf den nun rechtskräftigen neuen Paragraphen 303b fürchteten Vertreter der mit einer eigenen Ethik ausgerüsteten Hackervereinigung, dass der CCC oder lose Zusammenschlüsse von Sicherheitsexperten künftig als Terrorgruppierung verfolgt werden könnten.

Hauptsächlicher Stein des Anstoßes rund um das 41. Strafrechtsänderungsgesetz ist der neue Paragraph 202c StGB. Danach soll die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden. Die damit kriminalisierten "Hacker-Tools" dienen jedoch auch Systemadministratoren, Programmierern und Beratern dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen. Laut einer Zusatzerklärung des Bundestag-Rechtsausschusses, der für die unveränderte Absegnung des Regierungsentwurfs durch das Parlament sorgte, soll dies schwammige Bestimmung eingeschränkte Wirkung entfallen. Betroffen sehen wollen die Abgeordneten allein Computerprogramme, die in erster Linie dafür ausgelegt oder hergestellt werden, um Computerstraftaten zu begehen.

Der ebenfalls neue Paragraph 202b sieht vor, dass mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe belegt wird, wer sich oder anderen mit solchen Hilfsmitteln unbefugt Daten aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft. Paragraph 202a wird so verändert, dass er bereits den unbefugten Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen kriminalisiert. Mit Paragraph 303b wird Computersabotage deutlich schärfer und mit maximal zehn Jahren Gefängnis zu ahnden sein. Neben Betrieben, Unternehmen und Behörden soll damit künftig auch die private Datenverarbeitung gegen "erhebliche Störungen" geschützt werden.

Sachverständige hatten auf einer parlamentarischen Anhörung scharfe Kritik an der Novelle vorgebracht. Auch der Bundesrat hatte zunächst zahlreiche Bedenken ins Feld geführt, diese aber nach der Billigung des Gesetzesentwurfs im Bundestag im Rahmen der in einer großen Koalition geforderten Disziplin zwischen Bund und Ländern fallen gelassen. Erste Entwicklergruppen von Sicherheitswerkzeugen haben daraufhin bereits Projekte gestoppt beziehungsweise ins Ausland verlagert.

Eine erneute Debatte um die Hackerparagraphen hat sich jüngst im Rahmen der Auseinandersetzung um heimliche Online-Durchsuchungen entwickelt. Experten fürchten, dass Sicherheitstester und Bekämpfer von PC-Schadsoftware mit den geänderten Strafbestimmungen möglicherweise vom Aufspüren des so genannten Bundestrojaners abgehalten und eingeschüchtert werden sollen.

Quelle und Links : http://www.heise.de/security/news/meldung/94190

[Hesse]

Paragraph 202a wird so verändert, dass er bereits den unbefugten Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen kriminalisiert.

+

Neben Betrieben, Unternehmen und Behörden soll damit künftig auch die private Datenverarbeitung gegen "erhebliche Störungen" geschützt werden.

Also, mal angenommen ich besässe Millionen oder gar Milliarden an Geld...
Ich würde die Bundesrepublik Deutschland verklagen (mit den ALLERBESTEN Anwälten die man für Geld anheuern kann), weil der "Bundestrojaner" nichts anderes tut, als das oben beschriebene und gerade eben erst frisch Verbotene !


und :

dass Sicherheitstester und Bekämpfer von PC-Schadsoftware mit den geänderten Strafbestimmungen möglicherweise vom Aufspüren des so genannten Bundestrojaners abgehalten und eingeschüchtert werden sollen.

Ich sehe das genau entgegengesetzt !
Hat zufällig jemand ein paar Millionen, damit man eine solche Klage machen könnte ?

Ich leider nicht 

[SiLæncer]

Der deutsche Sicherheitsexperte Stefan Esser hat Demonstrationen zu PHP-Sicherheitslücken von seinen Webseiten entfernt, weil er befürchtet, dass diese unter den neuen Hackerparagraphen fallen. Esser war einer der Initiatoren des im März ausgerufenen Month of PHP Bugs, in dem er und andere Experten täglich Sicherheitslücken der beliebten Skriptsprache veröffentlichten und auch gleich mit entsprechenden Beispielen vorführten. Diese konkreten Beispiele hat Esser nun nachträglich entfernt, um sich nicht strafbar zu machen. Aus ähnlichen Gründen haben bereits deutsche Entwickler die Arbeit an dem WLAN-Sniffer KisMAC eingestellt und die renommierte Hackergruppe Phenoelit ihre Webseite etwa auf einen US-amerikanischen Webserver ausgelagert.
Anzeige

Siehe dazu auch:

    * MOPB Exploits taken down von Stefan Esser

Quelle und Links : http://www.heise.de/security/news/meldung/94357

[SiLæncer]

Der IT-Branchenverband Bitkom sieht die am Samstag in Kraft getretene Verschärfung des Computerstrafrechts nach wie vor als kontraproduktiv für die IT-Sicherheit an. Der Verband weist zugleich darauf hin, dass mit den so genannten Hackerparagraphen eine "Kriminalisierung von Systemadministratoren, IT-Sicherheitsexperten und Software-Händlern" drohe. In der Praxis führe die neue Regelung zu einem Verbot von Spezialsoftware, die für die Entdeckung und Analyse von Sicherheitslücken in IT-Systemen notwendig sei. Entsprechende Schwachstellen würden "seit jeher standardmäßig" mit entsprechenden Hacker-Tools getestet, gibt Bitkom-Hauptgeschäftsführer Bernhard Rohleder zu bedenken. Für ihn steht fest: "Der Gesetzgeber hat das Kind mit dem Bade ausgeschüttet. Wie soll man die Hacker schlagen, wenn nicht mit ihren eigenen Waffen?"

Die Lobbyvereinigung hatte bereits im Herbst vorigen Jahres im Vorfeld des parlamentarischen Verfahrens das damals geplante pauschale Verbot von Hacker-Tools scharf kritisiert. Auch Informatikerfachgruppen, Vereinigungen von Sicherheitstestern, der Bundesrat sowie Experten bei einer Anhörung im Bundestag hatten sich ablehnend gegenüber den verschärften Strafvorschriften zur Bekämpfung von Computerkriminalität gezeigt.

Im Zentrum der Proteste steht nach wie vor neue Paragraph 202c Strafgesetzbuch (StGB). Danach soll die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden. Betroffen sein sollen aber zumindest laut den Rechtspolitikern im Bundestag allein Computerprogramme, die in erster Linie dafür ausgelegt oder hergestellt werden, um Computerstraftaten zu begehen.

Die Überlegung des Gesetzgebers, die Verbreitung von Viren, Spionage-Software und anderen Schadprogrammen unter Strafe zu stellen, hält Rohleder generell nach wie vor für sinnvoll. Die jetzt geltende gesetzliche Formulierung gehe aber zu weit: "Sie berücksichtigt nicht, dass entsprechende Software-Werkzeuge auch zu Schutzzwecken eingesetzt werden." Konkret geht Rohleder auch darauf ein, dass zahlreiche Sachverständige Nachbesserungen gefordert und hierfür konkrete Vorschläge unterbreitet hatten: "Es gab einen breiten Konsens, dass die Strafvorschrift enger gefasst werden sollte." Die "Verweigerungshaltung" des Gesetzgebers sei daher unverständlich.

Quelle : www.heise.de

[SiLæncer]

Seit der so genannte Hackerparagraph 202c StGB gilt, herrscht Unsicherheit in der Sicherheitsbranche: Macht sich nun strafbar, wer an der Verbesserung der Sicherheit von IT-Systemen arbeitet? Die IT-Branche fürchtet Behinderungen ihrer Arbeit.

Frankfurt/Main - Seit einem Monat gilt der sogenannte Hackerparagraf: Dieser Zusatz zum Strafgesetzbuch verbietet es, sich Computerprogramme zu beschaffen, selbst herzustellen oder zu verbreiten, mit denen man in fremde Computernetze eindringen kann. Ein Verfahren wegen § 202c StGB gibt es bislang offenbar nicht. Gleichwohl ist die Sicherheitsbranche zutiefst verunsichert.

"Dieser Hackerparagraf wird auf jeden Fall die Tätigkeit von Security-Unternehmen einschränken", sagt Dirk Hochstrate, der im Vorstand des Bochumer Unternehmens G Data für die Software-Entwicklung zuständig ist. "Wir finden, dass der Ansatz des Paragrafen falsch ist, weil er sich auf die Kriminalitätswerkzeuge konzentriert statt auf die kriminellen Taten." Dies sei so, als würde man den Besitz und die Herstellung von Stahl verbieten, weil man daraus Schwerter herstellen könne.

Der aufgrund eines Rahmenbeschlusses der EU vom Februar 2005 eingeführte StGB-Zusatz richtet sich vor allem gegen sogenannte Hackertools, mit denen man Sicherheitslücken ausnutzen kann, um in fremde Rechner einzudringen. Eben diese Programme werden aber auch dazu verwendet, um ein Computernetz auf solche Sicherheitslücken zu überprüfen und diese dann zu schließen.

Einen solchen Scanner von Sicherheitslücken mit der Bezeichnung BOSS bietet auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) an. Die Behörde weist aber darauf hin, dass sich das Gesetz allein gegen das "unbefugte" Eindringen in fremde Netze richte. "Wo eine Einwilligung dessen vorliegt, bei dem Daten untersucht werden, etwa im Rahmen einer IT-Sicherheitsberatung, erfolgt der Datenzugang mit einer entsprechenden Befugnis", erklärt BSI-Sprecherin Katrin Alberts. "Eine Strafbarkeit scheidet in solchen Fällen aus."

Justizministerium: Alles halb so wild

Auch das Justizministerium in Berlin hält den Wortlaut des Gesetzes für eindeutig. "Das Gesetz betrifft nur denjenigen, der wirklich eine Computerstraftat vorbereitet", sagt der Sprecher des Ministeriums, Henning Plöger. "Wer sich um die Sicherheit eines eigenen Systems oder eines fremden Systems in dessen Auftrag kümmert, muss sich keine Sorgen machen." Die Free Software Foundation Europe (FSFE) kritisiert jedoch, dass der Gesetzgeber ohne Not eine Unsicherheit geschaffen habe, wann ein Werkzeug erlaubt sei. "Damit laufen wir Gefahr, weitere Kompetenzen und kreative Menschen zu verlieren, welche wir in unserem Land dringend brauchen", erklärt der FSFE-Sicherheitsexperte Bernhard Reiter.

G Data fürchtet nach den Worten von Vorstandsmitglied Hochstrate zwar nicht, rechtlich belangt zu werden, sieht aber dennoch die eigene Geschäftstätigkeit betroffen. "Das ist genau wie in der Medizin", sagte Hochstrate. "Wir müssen die Viren besitzen, um sie bekämpfen zu können." Und manche Viren ermöglichten eben auch das Eindringen in fremde Rechner. Der Paragraf benachteilige die deutschen Anbieter von Sicherheitssoftware gegenüber den Konkurrenten aus dem Ausland und gefährde damit die technologische Führungsrolle des Standorts Deutschland in der Branche. Betroffen sei auch die Forschung in den Universitäten.

Professor Johannes Buchmann vom Darmstädter Zentrum für IT-Sicherheit will sein Forschungs- und Lehrprogramm aufgrund des Hackerparagrafen nicht umstellen. "Darauf lassen wir es ankommen", sagte Buchmann. An der TU Darmstadt sei nachgewiesen worden, wie leicht sich der WEP-Standard für die Verschlüsselung von drahtlosen Netzen knacken lasse. Dies müsse auch künftig legal bleiben. Trotz der Zusicherung des Justizministeriums lasse der Wortlaut des Gesetzes unterschiedliche Interpretationen zu. "Die Sicherheitstechnik ist nie hundertprozentig sicher. Sie lebt davon, dass wir sie überprüfen", erklärte Buchmann und fügte hinzu: "Wenn wir das nicht machen, werden es die Bösen tun."

Quelle : www.spiegel.de

[SiLæncer]

Die European Expert Group for IT Security (EICAR) hat im Rahmen ihres Information Security Summit eine juristische Stellungnahme zur Einführung des § 202c StGB veröffentlicht. Danach lässt der so genannte Hackerparagraph Sicherheitsexperten genügend Raum, Hacker-Werkzeuge zum Testen von Software-Exploits oder Lücken Netzwerken einzusetzen. Voraussetzung dafür sei allerdings, dass die "gutartige Tätigkeit" ausführlich dokumentiert wird. Beim Angriff auf Unternehmensnetze müsse obendrein das schriftliche Einverständnis der betroffenen Firma vorliegen.

Das EICAR-Positionspapier (PDF-Datei) zum 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität wurde von Dennis Jlussi und Christian Hawellek verfasst. Die Autoren kommen zum Schluss, dass es im Gesetz versäumt wurde, gutartige Tätigkeiten im Rahmen der IT-Sicherheit im Sinne der europäischen Cybercrime Convention klar von den Straftatbeständen abzugrenzen. Daher erzeuge der § 202c eine Rechtsunsicherheit, zumal bisher keine höchstrichterliche oder obergerichtliche Rechtssprechung in der Frage vorliege. Sicherheitsspezialisten, die Software wie Nessus und AppScan zur Schwachstellenanalyse einsetzen müssen, aber auch Malware wie Viren, Trojaner und Exploits verwenden, um bestehende System zu testen, sollten ihre Arbeit genau dokumentieren.

"Aus der Dokumentation sollte sich zweifelsfrei ergeben, dass die Software nicht beschafft wurde, um Straftaten zu begehen, sondern um gutartige Tätigkeiten auszuüben. Auch der Einsatz des Programms ist entsprechend – schriftlich und veränderungssicher – zu dokumentieren", heißt es in dem Positionspapier, das auch auf die Einwilligung von betroffenen Unternehmen zum Eindringen in Netzwerke hinweist: "Es ist auf eine geschlossene Legitimationskette von der Unternehmensleitung bis hin zu derjenigen Person zu achten, die die Einwilligung gibt. Dabei sind auch die Arbeitnehmerbeteiligungsrechte zu wahren." Obendrein halten die Autoren eine Klärung durch das Bundesverfassungsgericht für wünschenswert. Sie verweisen dabei auf die Verfassungsbeschwerde, die ein Hersteller von Computerprogrammen für die Kilometerzählerverfälschung eingelegt hat, um Rechtssicherheit für sein Programm zu bekommen.

Als problematische Grauzone werden im Positionspapier vor allem die Exploits dargestellt, die etwa bei der Erstellung von Software für eine verdeckte Online-Durchsuchung eine wichtige Rolle spielen sollen. "Ein Exploit ist z.B. an sich nach objektiver Zweckbestimmung strafwürdig. Ob das aber etwa auch für Exploits gilt, die von IT-Sicherheitsmitarbeitern erstellt werden und Sicherheitslücken testweise ausnutzen, die bekannt sind und geschlossen sein sollten, ist sehr fraglich; diese können möglicherweise bereits nach objektivierter Bestimmung auch zur gutartigen Verwendung bestimmt sein", heißt es in der Stellungnahme der Juristen.

Quelle : www.heise.de

[SiLæncer]

Die britische Regierung hat das auch im Vereinten Königreich geplante Verbot sogenannter Hacker-Tools erläutert. So will sie etwa mit der Erklärung, dass ein erfasstes Hackerwerkzeug mit der Absicht zum Begehen einer Straftat programmiert worden sein muss, eine Kriminalisierung von Sicherheitstestern verhindern. Zudem sollen Strafverfolger unter anderem mit prüfen, ob ein vermeintliches Instrument für Cybergangster nicht vielleicht doch "auf kommerzielle Basis weit verfügbar ist und durch legitime Kanäle verkauft wird". An entsprechenden Klarstellungen hat sich der Crown Prosecution Service (CPS) mit einer sechsseitigen Richtlinie (PDF-Datei) zur Auslegung der im Raum stehenden Novelle des Computer Misuse Act (CMA) versucht. Die Regierungsstelle für England und Wales ist direkt dem Parlament verantwortlich und fungiert als eine Art Vermittlungsstelle hin zu Polizeien und Staatsanwaltschaften.

Das Grundproblem bei einem Verbot von "Hacker-Tools" ist, dass die teils unter dieser Kategorie gehandelten Programme wie nmap oder wireshark in der Regel auch von Systemadministratoren und Sicherheitsberatern für die Absicherung von Netzwerken genutzt werden. Die Unterschiede zwischen einem Passwortknacker und einer Software für die Wiederherstellung von Passwörtern sind genauso filigran wie die zwischen einem Programm zur Steuerung von Denial-of-Service-Attacken und einem anderen zum Testen der Belastbarkeit eines Netzwerks. Kritikern zufolge bringen auch die Richtlinien des CPS nicht die erforderliche juristische Klarheit mit sich. So würden viele Open-Source-Werkzeuge etwa schon beim Test der weiten kommerziellen Verfügbarkeit durchfallen. Der Sicherheitsforscher Richard Clayton von der Universität Cambridge moniert ferner, dass der CPS häufig auf Beiworte wie "hauptsächlich" oder "absichtlich" ausweiche. Dies mache die Materie nicht greifbarer.

Die Neuregelung des CMA soll in die Überarbeitung des britischen Polizei- und Justizgesetzes eingebaut werden. Damit soll der Besitz von Hardware oder Software, mit denen Computerangriffe gestartet werden können, mit bis zu 12 Monaten Haft geahndet werden können. Der Gesetzesentwurf sieht ferner etwa auch eine Erhöhung der maximalen Gefängnisstrafe für das Eindringen in fremde Computer von fünf auf zehn Jahre vor. Auch soll es künftig eine gesetzliche Handhabe gegen Delikte wie Denial-of-Service-Attacken und die Verbreitung von schädlichen Code geben. Das Vorhaben hat sich aber verzögert, da es gemeinsam mit dem so genannten Serious Crimes Bill verabschiedet werden soll. Damit wird frühestens im April gerechnet.

Hierzulande trat im August eine vergleichbare und ebenfalls heftig umstrittene Verschärfung des Computerstrafrechts in Kraft. Im Zentrum der Kritik steht neue Paragraph 202c Strafgesetzbuch (StGB). Danach soll die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden. Auch die Rechtspolitiker des Bundestages bemühten sich in einem parallelen Beschlusspapier zu dem Gesetz um eine Klarstellung, um eine "Überkriminalisierung" der Anwendergruppen so genannter "Dual use"-Werkzeuge zu verhindern. Betroffen sein sollen demnach allein Computerprogramme, die in erster Linie dafür ausgelegt oder hergestellt werden, um Computerstraftaten zu begehen. Trotzdem fordern IT-Branchenverbände, die Hackeparagraphen rasch wieder zu entschärfen. Die jetzige Fassung sei kontraproduktiv für die IT-Sicherheit.

Quelle : www.heise.de

[SiLæncer]

 Jürgen Seeger, Chefredakteur des IT-Magazins iX, das wie heise online vom Heise Zeitschriften Verlag herausgegeben wird, hat sich heute bei der Staatsanwaltschaft Hannover selbst wegen Vorbereitung des Ausspähens und Abfangens von Daten nach Paragraf 202c StGB angezeigt. Grund ist eine Toolsammlung auf der Heft-DVD des iX Special "Sicher im Netz", mit dem man Schwachstellen in der IT-Infrastruktur aufzeigen, aber auch ausnutzen kann.

Das Special des Magazins iX, das seit dem 16. Oktober im Handel ist, gibt Administratoren Tipps, wie sie Systemeinbrüche simulieren können, um anschließend geeignete Schutzmethoden zu finden. Auf der Heft-DVD befindet sich unter anderem die Linux-Live-Distribution "BackTrack 3", bestehend aus über 300 Tools. Derartige Software ist ein klassisches Beispiel für so genannte "dual use"-Programme. Dabei handelt es sich um Software, die sowohl zu legalen Zwecken der Sicherheitsprüfung der eigenen IT als auch zu illegalen Zwecken im Rahmen des "Hacking" verwendet werden kann.

"Wir verteilen die Software, da es für Administratoren unentbehrlich ist, diese Programme zum Schutz des eigenen Systems und zur Abwehr von Angriffen zu verwenden. Gleichzeitig können wir aber nicht ausschließen, dass die Programme auch im rechtswidrigen Rahmen eingesetzt werden", erklärt iX-Chefredakteur Jürgen Seeger. "Aufgrund der erheblichen Rechtsunsicherheit nicht nur bei professionellen Sicherheitsexperten, sondern auch bei Zeitschriften, bleibt uns keine andere Wahl, als die juristische Einordnung des Verteilens derartiger Programme im Rahmen einer Selbstanzeige prüfen zu lassen."

Quelle : www.heise.de