HOME

Auch die Aufpasser müssen aufpassen

Der "Hackerparagraf" zur Bekämpfung der Computerkriminalität zeigt Wirkung - aber anders als erwartet. Gerade wird das Bundesamt für Sicherheit in der Informationstechnik verklagt: Die Behörde verstoße angeblich selbst gegen das Gesetz.

Von Rainer Mersmann

Das Gesetz, das im Volksmund auch als "Hackerparagraf" bezeichnet wird, wurde am Donnerstag vor Pfingsten gegen die Stimmen von PDS sowie des SPD-Abgeordneten Jörg Tauss abgenickt. Nachts um 2.00 Uhr hatten die Abgeordneten wohl keine Lust mehr, sich ausführlich mit dem Hackerparagrafen zu beschäftigen - sie wollten in den Pfingsturlaub - und die Redner gaben ihre Wortbeiträge lediglich zu Protokoll.

Sicherheitsexperten und die Verbände der IT-Branche hatten starke Bedenken geäußert und konkrete Änderungen vorgeschlagen. Die blieben jedoch unberücksichtigt und fanden keinen Eingang in das Gesetz, das zur Bekämpfung von Computerkriminalität gedacht ist. Intention des Gesetzgebers war es, beispielsweise den Schutz vor Virenschreibern oder Hackern zu verbessern, die in fremde Computer-Systeme eindringen. Mit dem neuen Paragrafen namens 202c StGB schießt die Bundesregierung aber weit über die EU-Vorgaben und vor allem über das Ziel hinaus, denn im neuen Regelwerk wird bereits das Vorbereiten von vermeintlichen Hacker-Angriffen unter Strafe gestellt. Wer also ein Programm schreibt, mit dem sich Sicherheitslücken ausfindig machen lassen, macht sich strafbar - aber auch, wer solche Programme verbreitet und besitzt. Und wer eine Sicherheitslücke findet und diese veröffentlicht, fällt ebenfalls unter das neue Gesetz.

Rundumschlag gegen Hacker - und System-Administratoren

Natürlich besitzen und benutzen Hacker, die in fremde Systeme eindringen wollen, solche Tools und Programme - aber auch System-Administratoren, die auf diese Weise ihr Computernetzwerk auf Schwachstellen abklopfen, um die Lücken dann zu schließen. Die einen wollen mit Hilfe der Hackertools in Computer eindringen, die anderen wollen mit den gleichen Tools genau das verhindern - aber jetzt machen sich beide strafbar. Ob sich allerdings Hacker durch die Gesetzesänderung beeindrucken lassen, ist fraglich. Seit August stehen nun auch System-Administratoren mit einem Bein im Gefängnis.

Selbst Sicherheitsexperten auf der Suche nach Schwachstellen in Programmen müssen ihre gewohnte Praxis ändern. Üblicherweise informierten sie den Hersteller eines betroffenen Programms und veröffentlichten die Sicherheitslücke dann im Internet - wenn möglich versehen mit einer Anleitung zum provisorischen Stopfen. Natürlich erfuhren Hacker ebenfalls durch die Veröffentlichung von so einem Loch. Demgegenüber erhielten auf diese Weise aber auch Sicherheitsexperten und Programmierer die Gelegenheit, an Sicherheits-Updates zum Schließen der Lücke zu arbeiten.

Konsequenz: Erste Firmen wandern ab

Im neuen Paragraf ist allein entscheidend, ob ein Programm oder eine Information dazu genutzt werden könnte, in fremde Computer einzudringen. Es finden sich keine Ausnahmeregelungen, die den Einsatz für legale Zwecke erlauben, wie es Sicherheits-Experten und IT-Branchenverbände gefordert hatten. Der führende Spezialist für die verbreitete Computersprache PHP, Stefan Esser, hat daraus seine Konsequenzen gezogen. Er veröffentlicht keine Sicherheitslücken mehr. Andere Fachleute folgten seinem Beispiel. Auch Firmen, die auf ihren Webseiten Sicherheitstools anbieten, haben reagiert: Sie verlegten ihre Server und Programmier-Abteilungen ins Ausland und entzogen sich damit der deutschen Gerichtsbarkeit.

Wenn man das Gesetz streng auslegt, macht sich sogar jeder Besitzer eines Windows-PCs strafbar: dort sind die Programme "ping" und "tracert" installiert. Mit "ping" lässt sich feststellen, ob ein Rechner online, mit "tracert" über welche Wege er zu erreichen ist. Beides sind grundlegende Voraussetzungen, um einen Rechner anzugreifen. Mit einem Fuß im Gefängnis stehen neuerdings auch Linux-User. Bei einem Linux-Rechner sind in der Regel die Programme "nmap" und "tripwire" beziehungsweise dessen Nachfolger "Wireshark" installiert. "nmap" dient dazu, offene "Türen" auf einem Rechner aufzuspüren. Mit den beiden anderen Programmen lässt sich der gesamte Netzwerk-Verkehr mitschneiden. System-Administratoren nutzen "nmap" beispielsweise zur Erkennung von Trojanern, da diese meist "Türen" öffnen, die normalerweise geschlossen sein sollten. Mit "tripwire" und "Wireshark" können sie ermitteln, ob Daten nach außen gehen, die nicht dafür bestimmt sind.

So kritisierte dann auch der SPD-Abweichler Jörg Tauss im Vorfeld der Abstimmung, dass der Wortlaut des Gesetzentwurfes zu einer "Kriminalisierung der heute millionenfach verwendeten Programme führe, welche auch für das Entdecken von Sicherheitslücken in IT-Systemen notwendig sind". Und Andy Müller-Maguhn vom Chaos Computer Club prognostizierte sogar: "Das Verbot des Besitzes von Computer-Sicherheitswerkzeugen öffnet auch dem Einsatz des Bundestrojaners Tür und Tor".

Alles nicht so schlimm - oder doch?

Das Bundesjustizministerium wiegelt ab: Selbstverständlich wolle man weder ganze Branchen und Berufsgruppen noch den privaten PC-Besitzer kriminalisieren. Dass ein um die Sicherheit bemühter System-Administrator nicht mit einem Hacker gleichzusetzen sei, sage einem doch schon der gesunde Menschenverstand. Aber wer schon einmal vor Gericht gestanden hat, weiß, dass Recht haben und Recht bekommen mit gesundem Menschenverstand wenig zu tun hat. Es gilt der Gesetzestext, und der lässt hier vermutlich wenig Spielraum für Interpretation.

"Tecchannel" will Klärung

Inwieweit das Gesetz Auslegungen zulässt, will das Magazin "Tecchannel" aus dem IDG Verlag klären. Es reichte bei der Staatsanwaltschaft Bonn Klage gegen das Bundesamt für Sicherheit in der Informationstechnik (BSI) wegen Verstoßes gegen Paragraf 202c StGB ein. Das BSI bietet auf seinen Internet-Seiten die Software BOSS (BSI OSS Security Suite) zum Download an. Pikanter Bestandteil der Security Suite ist - neben anderen Programmen, die unter das Hackergesetz fallen könnten - der Passwort-Cracker "John the Ripper", über dessen Einsatzzweck wohl keine Zweifel bestehen dürften. Zwar ist das vom BSI in die Suite eingebundene Programm ausgebremst, aber über einen direkten Link zur Hersteller-Seite kann sich jeder Besucher die voll funktionsfähige Version herunterladen - nach Ansicht von "Tecchannel" ein klarer Verstoß gegen den Paragrafen 202c.

Die Staatsanwaltschaft in Bonn (Sitz des BSI) hat nun zwei Möglichkeiten: Entweder wird der Anzeige nicht stattgegeben, weil das BSI nach Meinung der Staatsanwaltschaft keine strafbare Handlung begeht, oder ihr wird stattgegeben und die Staatsanwaltschaft nimmt die Ermittlungen auf.

Für den Fall, dass der Anzeige nicht stattgegeben wird, rät "Tecchannel" den Betroffenen, sich am BSI zu orientieren: In einem seriösen Umfeld sei es demnach durchaus möglich, Sicherheitstools anzubieten und zu benutzen. Im anderen Fall empfiehlt "Tecchannel", Selbstzensur zu üben - erst recht, wenn es zu einer Verurteilung kommt. Ein Freispruch des für die BOSS-CD Verantwortlichen brächte ebenfalls Klarheit, so das Magazin.

Stern Logo Das könnte Sie auch interessieren

Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.