Sie sind hier: Aktuelles

Kriminalisierung von Systemadministratoren?

Die rasanten Fortschritte im Bereich der Informationstechnologie bieten ein weites Feld neuer Möglichkeiten, aber auch des Missbrauchs, der vor den Grenzen der Staaten nicht halt macht. Daher muss der Gesetzgeber nun europäische Vorgaben zum Schutz der Datensicherheit umsetzen. So erkennt der Gesetzgeber wundersamerweise, dass die immer stärkere Verbreitung und Nutzung von Informations- und Kommunikationstechnologien sich unmittelbar auf alle Bereiche der Gesellschaft auswirkt und insbesondere Angriffe gegen moderne Informationsstrukturen durch Computerviren, digitale trojanische Pferde, logische Bomben oder Würmer und Denial-of-Service-Attacken weltweit Schäden in Milliardenhöhe verursachen und auch kriminelle, extremistische und – wie könnte es anders sein – terroristische Gruppen moderne Informations- und Kommunikationstechnologien verstärkt für ihre üblen Machenschaften nutzen.

Der Bundesrat verabschiedete daher Anfang Juli 2007 ein neues Gesetz, das den Besitz sog. „Hacker Tools“ unter Strafe stellt, um Computerkriminalität künftig schärfer strafrechtlich verfolgen zu können. Doch diese Tools werden auch von IT-Fachleuten verwendet, um die Sicherheit eigener Systeme zu überprüfen.

Mit dem neuen Gesetz zur Bekämpfung von Computerkriminalität sollen vor allem Lücken bei der Computersabotage geschlossen werden. Dies ist ja durchaus begrüßenswert, wäre da nicht der umstrittene § 202c StGB. Bestraft werden soll danach künftig auch das Herstellen, überlassen, Verbreiten oder Verschaffen sogenannter „Hacker-Tools“ (diesen Begriff benutzt auch die Gesetzesbegründung, die anscheinend die positiven Seiten solcher Programme verkennt), wenn dies als Vorbereitung für Straftaten dient.
Zahlreiche IT-Fachleute und Verbände halten diesen „verschärften Hacker-Paragraphen“ jedoch nicht nur für überflüssig, sondern sogar für hinderlich im Kampf gegen Computerkriminalität. Denn die legitimen Werkzeuge, die Administratoren zur Sicherung ihrer eigenen Systeme brauchen, unterscheiden sich nicht von denen, die Kriminelle zum Einbruch in Rechner verwenden. Denn nur wer versteht und auch ausprobiert, wie eine Firewall oder sonstiger Schutzmechanismus umgangen werden kann, ist in der Lage, die Sicherheit dieser Systeme zu verbessern. Dies ist auf alle Bereiche der Computersicherheit übertragbar. So, wie ein Schlüsseldienst legal Dietriche nutzen oder ein Personenschützer Waffen besitzen darf, so muss auch dem Systemadministrator sein Werkzeug zur Verfügung stehen.
Es steht nun zu befürchten, dass dieser unscheinbare Paragraph ein Quasi-Berufsverbot für viele Berufsgruppen statuiert. Für die Wirtschaft könnten so – entgegen der Hoffnung des Gesetzgebers – durch dieses Gesetz zusätzliche Kosten entstehen, da Daten nicht mehr effektiv geschützt werden können.
Bei dem an deutschen Gerichten und Staatsanwaltschaften vorhandenen Technikverständnis darf an einer „vernünftigen“ Auslegung dieses Paragraphen gezweifelt werden – zumindest in den Tatsacheninstanzen und bis zum Beweis des Gegenteils.
Dieses mangelnde Verständnis ist auch beim Gesetzgeber zu beobachten – nicht nur aufgrund des Ergebnisses. So wurde Abgeordneten versucht zu erklären, welche Folgen das Gesetz haben kann, und wozu man legitimerweise die ach so bösen „Hacker Tools“ dringend benötigt. Die meisten Abgeordneten stiegen schon bei den Grundlagen aus. Offensichtlich ließ man sich aber auch nicht von fachkundiger Seite beraten.
Es sollte einsichtig sein, dass es unverzichtbar ist, sich die Sichtweise des Angreifers zu eigen zu machen und seine Werkzeuge und Programme im legalen Rahmen zu nutzen und kennenzulernen. Auch die Forschung sieht sich betroffen. Hochschullehrer, wie der Dipl.-Ing. (FH) Jan Maltry von der Fachhochschule Heidelberg, fürchten, das Gesetz könne ihre Arbeit in die Illegalität abdrängen. Wenn er seinen Studenten beibringe, wie sie eine Firewall konfigurieren, müssten sie diese doch mit ebenjenen verbotenen Tools krimineller Hacker testen können. Er stünde mit seiner Tätigkeit „mit einem Bein im Knast“, sollte das Gesetz durchgehen, wird Maltry nicht müde zu wiederholen.
So sieht selbst der Gesetzentwurf ein, dass aufgrund der Ausdehnung des deutschen Strafrechts zu erwarten ist, dass die Anzahl der Strafverfahren in einem „begrenzten Ausmaß“ zunimmt. Das Bundesjustizministerium sieht jedoch keinen änderungsbedarf, da der Besitz eines „Hacker Tools“ nicht per se strafbar sei. Vielmehr sollten mit dem neuen § 202c StGB „bestimmte besonders gefährliche Vorbereitungshandlungen zu Computerprogrammen unter Strafe gestellt werden.“ Es sei sichergestellt, „dass der gutwillige Umgang mit Computerprogrammen zur Sicherung von IT-Systemen nicht erfasst wird.“ Den Gebrauch von „Hacker Tools“ für bestimmte Berufsgruppen zu legalisieren, lehnt das Ministerium hingegen ab.
Beunruhigend ist vor allem, dass der § 202c StGB keine genaue Definition seines Tatbestandes bietet, so dass künftig auch für einen legitimen Zweck benötigte Computerprogramme erfasst werden könnten. Gerade bei für die Netzwerkdiagnose benutzten Tools kann die Zweckbestimmung nicht immer von vorneherein bestimmt und eindeutig festgelegt werden. Die meisten Tools sind im Guten, wie auch im Bösen nutzbar. So muss das Programm nicht ausschließlich für die Begehung einer Computerstraftat bestimmt sein. Es reicht nach der Gesetzesbegründung, wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat ist.
§ 202c StGB - Vorbereiten des Ausspähens und Abfangens von Daten lautet: (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) § 149 Abs. 2 und 3 gilt entsprechend.
Alle besorgten Anwendern seien jedoch darauf hingewiesen, dass der erste Satz dieses Paragraphen lautet, dass jemand eine Straftat nach § 202a oder b vorbereiten muss, was auch einen entsprechenden Vorsatz voraussetzt. Dies einem Hochschullehrer oder Systemadministrator nachzuweisen, dürfte nicht allzu einfach werden. Auch die Gesetzesbegründung sollte geeignet sein, die Wogen der Befürchtung zu glätten – ein Wehrmutstropfen bleibt aber.
Denn mit dem neuen § 202c StGB sollen besonders gefährliche Vorbereitungshandlungen selbständig mit Strafe bedroht werden. Ohne diesen Paragraphen – d.h. nach derzeitiger Rechtslage – sind entsprechende Taten als Beihilfe im Fall der tatsächlichen Begehung einer Straftat erfasst. Der Gesetzgeber wünscht aber, dass, wenn es nicht zur Begehung der Haupttat kommt, nicht nur eine nicht strafbare versuchte Beihilfe vorliegen soll, sondern Justitia trotzdem eine Handhabe hat.