Selbstanzeige?

Als ich heute im IRC den Spiegel-Online-Artikel zugeschickt bekam (auch Heise-Online berichtet), wusste ich, dass andere geplante Artikel in diesem Blog zunächst zurückgestellt werden müssen. Bei meinen Recherchen entdeckte ich, dass ich einen geeigneten Artikel schon seit einigen Monaten fertig hatte. Es handelt sich um meine Aufzeichnungen, die ich bei einem Vortrag beim 23C3 gemacht hatte. Was damals noch “Zukunft” war mit Worten, wie “wer weiss, was da noch geändert wird”, ist heute Realität. Das Verschaffen, Verkaufen, Überlassen oder Verbreiten von Computerprogrammen, deren Zweck die Begehung von bestimmten Straftaten ist, wird unter Strafe gestellt. Leider benötigen wir im IT-Sicherheitsbereich solche Programme auch zum Testen unserer Sicherheit. Welcher Polizist würde gerne eine kugelsichere Weste tragen, die nie mit einer echten Kugel getestet werden konnte, weil es in dem Land ohne Ausnahmen verboten ist, solche Kugeln zu benutzen? Durch das neue Gesetz könnte die Sicherheit der IT-Infrastruktur in Deutschland stark leiden. Und mehr noch: Es könnte im Bereich Netzwerk und Netzwerksicherheit (zwei Zukunftsbranchen, seit vielen Jahren wachsen) entscheidende Wettbewerbsnachteile bringen.

Hier nun meine nur leicht ergänzten Aufzeichnungen vom 23C3:

Nicht nur der CCC, sondern auch der Bitkom und der GI e.V. warnen in einer Stellungnahme vor dem Gesetzentwurf, der Strafrechtsänderung zur Bekämpfung der Computerkriminalität (StrÄndG).

Ziel des Gesetzes ist es, internationale Abkommen umzusetzen und Gesetzeslücken zu schließen. Bei dieser Gelegenheit sollen bereits sog. Vorfeldhandlungen kriminalisiert werden, d.h. es soll schon bei der Vorbereitung eines Angriffs auf die IT eine gesetzliche Handhabe geben und das Maß, ab wann es sich um eine strafbare Handlung handelt, soll herabgesetzt werden.

Es wurden drei Tatbestände geändert und vier neue hinzugefügt. Die Erzeugung „neuer Daten“ auf einem Fremden System steht nach dem Gesetz z.B. nicht unter Strafe. Nach Ansicht der Referenten fallen demnach folgende Tätigkeiten in jedem Fall unter das geänderte Strafrecht: qualifiziertes Portscanning, Phishing, DoS-Angriffe, Cracking von Passwörtern, remote Exploiting, Verbreitung von Trojaner, Viren und Würmern, wobei es bei Viren und Würmern, sowie Sniffing „Schlupflöcher“ gibt. D.h. unter bestimmten Umständen kann hier ein Täter einer Strafe entgehen. Ebenso kann einfaches Portscanning als „unproblematisch“ angesehen werden.

Der neue Gesetzentwurf schützt auch PCs von Privatpersonen und nicht mehr nur Firmen- oder Staats-Server. Allerdings muss es sich um PCs von besonderer Wichtigkeit handeln. Der Einbruch auf dem Spiele-PC könnte also ggf. nicht strafbar sein. Ferner ist im Gesetz von „besonderer Sicherung“ die Rede. Darunter kann man z.B. eine Firewall (auch personal Firewall) verstehen. Ein frisch installiertes Windows aber z.B. könnte als „nicht gesichert“ und damit „unbedenklich“ gelten.

Nach Ermittlung eines Täters gibt es zwei Möglichkeiten, ein Urteil abzuwenden: 1. Die Einstellung des Verfahrens nach Täterermittlung und 2. Die „tätige Reue“ nach Eröffnung des Verfahrens, die zur Einstellung führen kann.

Das Gesetz ist selbst etwas fragwürdig geschrieben, da es die Herstellung und Beschaffung von Computerprogrammen unter Strafe stellt, die zur Begehung einer genau solchen Straftat dienen können (Entwurf §202 c Abs. 1 Alt. 2 StGB). Rekursive Strafbarkeit könnte man als schlechten Stil betrachten.

Ein zentrales Problem könnte sein, dass die Benutzung folgender Sicherheits- und Analysewerkzeuge unklar wird: Sniffer, Intrusion Detection Systeme und Sicherheitsscanner. Wer möchte sich schon gerne beruflich auf strafrechtlich bedenklichen Boden begeben? Ferner betroffen sind Trojaner, Viren, Würmer, Exploit-Sammlungen und Virenbaukästen. Diese können jedoch gerade für Hersteller von Sicherheitssoftware, für den Forschungs- und Lehrbereich sehr relevant sein. Eine Ausnahme ist hier jedoch bislang vom Gesetz nicht vorgesehen. Wer möchte schon gerne einen Virenscanner benutzten, der mit echten Viren nie geprüft worden sein kann? Der Vortragende brachte das Bild: Ein Polizist würde sich bestimmt unwohl fühlen, wenn seine kugelsichere Weste nie hätte mit echten Kugeln getestet werden können.

Aber es geht noch weiter: Was, wenn bei meiner Linux-Distribution ein Sniffer o.ä. dabei ist? Wird damit jeder Linux-Nutzer automatisch ein Straftäter? Oder erst bei der Installation auf der Festplatte? Und dann? Ist ein Cracker dann unschuldig, weil er das Tool immer wieder von der Platte nach Benutzung gelöscht hat?

Umgehen lässt sich das Gesetz durch Aufsplittung der Programme in einzelne Module, Auslagerung wesentlicher Funktionen in Bibliotheken, Betriebssystemkern oder Treiber. Ferner können „Hackerbaukästen“ angeboten werden und reverse Backdoors, um im Falle eines Falles „tätige Reue“ demonstrieren zu können. Evtl. versagt das Gesetz also genau an den erwünschten Stellen.

Weitere Folgen sind: Schadensersatzpflichten, Abmahnungen, Bußgeldpflichtigkeit von Geschäftsführern, Kündigung (auch bei Straffreiheit).

Beängstigend dabei ist, dass offensichtlich eine ernsthafte Beteiligung der betroffenen IT-Fachverbände unerwünscht ist.

Selbst setze ich noch folgende Frage dazu: Werden durch das neue Gesetz selbst Massnahmen des BSI Grundschutzhandbuches (GSHB) strafbar?

Das BSI GSHB ist mindestens in Deutschland eine feste Größe bei der Netzwerksicherheit und wird im behördlichen Bereich in der Regel mindestens gefordert.

Hier ein paar Beispiele:

– M 4.26 nennt Beispiele für Sicherheitschecks. Mit dabei “SATAN”. Das Programm kann ebenso für die Prüfung der eigenen Sicherheit, wie auch zum Angriff verwendet werden und fällt damit wahrscheinlich unter §202c.

– M 4.81 fordert Audit und Protokollierung der Aktivitäten im Netz. Der Administrator könnte hierbei auch z.B. Passwörter mitprotokollieren. Auf jeden Fall sind diverse Tools zur Netzwerküberwachung auch dazu geeignet, zum Angriff genutzt zu werden.

Es verwundert natürlich nicht, dass Massnahme zur Kontrolle der eigenen Sicherheit oft auf die gleichen Mittel zugreift, wie das auch bei einem Angriff passieren würde. Für neue Bedrohungen müssen entsprechende Tests (Indikatoren) erstellt werden. Das trifft aber ggf. den Tatbestand der Herstellung eines solchen “Hackertools”.

Ich persönlich werde versuchen, mich von der neuen Gesetzeslage nicht beeinflussen zu lassen und setze dabei auf die Intention des Gesetzes. Werde ich bei der Ausübung einer Straftat erwischt, bleibt mir nur der Versuch der “tätigen Reue”.

2 Gedanken zu „Selbstanzeige?“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert