Treffpunkt für ambitionierte Amateurfotografie. Bilder hochladen und bewerten, sich mit anderen Austauschen. mehr...
Die Online-Tagebücher bei stern.de: Freie Autoren schreiben hier persönlich, direkt und eigenständig. mehr...
Vertiefende Informationen zu der aktuellen und den vergangenen Sendungen von sternTV. mehr...
Das Recherche-Team des stern. Erfahren Sie mehr über die Recherchespezialisten und ihre Enthüllungen von Terrorismus bis Wettmanipulation. mehr...
Der "Hackerparagraf" zur Bekämpfung der Computerkriminalität zeigt Wirkung - aber anders als erwartet. Gerade wird das Bundesamt für Sicherheit in der Informationstechnik verklagt: Die Behörde verstoße angeblich selbst gegen das Gesetz. Von Rainer Mersmann
Das Linux-Sicherheitstool "Wireshark" zeigt Übertragungsdaten im Klartext - und ist theoretisch illegal
Das Gesetz, das im Volksmund auch als "Hackerparagraf" bezeichnet wird, wurde am Donnerstag vor Pfingsten gegen die Stimmen von PDS sowie des SPD-Abgeordneten Jörg Tauss abgenickt. Nachts um 2.00 Uhr hatten die Abgeordneten wohl keine Lust mehr, sich ausführlich mit dem Hackerparagrafen zu beschäftigen - sie wollten in den Pfingsturlaub - und die Redner gaben ihre Wortbeiträge lediglich zu Protokoll.
Sicherheitsexperten und die Verbände der IT-Branche hatten starke Bedenken geäußert und konkrete Änderungen vorgeschlagen. Die blieben jedoch unberücksichtigt und fanden keinen Eingang in das Gesetz, das zur Bekämpfung von Computerkriminalität gedacht ist. Intention des Gesetzgebers war es, beispielsweise den Schutz vor Virenschreibern oder Hackern zu verbessern, die in fremde Computer-Systeme eindringen. Mit dem neuen Paragrafen namens 202c StGB schießt die Bundesregierung aber weit über die EU-Vorgaben und vor allem über das Ziel hinaus, denn im neuen Regelwerk wird bereits das Vorbereiten von vermeintlichen Hacker-Angriffen unter Strafe gestellt. Wer also ein Programm schreibt, mit dem sich Sicherheitslücken ausfindig machen lassen, macht sich strafbar - aber auch, wer solche Programme verbreitet und besitzt. Und wer eine Sicherheitslücke findet und diese veröffentlicht, fällt ebenfalls unter das neue Gesetz.
Natürlich besitzen und benutzen Hacker, die in fremde Systeme eindringen wollen, solche Tools und Programme - aber auch System-Administratoren, die auf diese Weise ihr Computernetzwerk auf Schwachstellen abklopfen, um die Lücken dann zu schließen. Die einen wollen mit Hilfe der Hackertools in Computer eindringen, die anderen wollen mit den gleichen Tools genau das verhindern - aber jetzt machen sich beide strafbar. Ob sich allerdings Hacker durch die Gesetzesänderung beeindrucken lassen, ist fraglich. Seit August stehen nun auch System-Administratoren mit einem Bein im Gefängnis.
Selbst Sicherheitsexperten auf der Suche nach Schwachstellen in Programmen müssen ihre gewohnte Praxis ändern. Üblicherweise informierten sie den Hersteller eines betroffenen Programms und veröffentlichten die Sicherheitslücke dann im Internet - wenn möglich versehen mit einer Anleitung zum provisorischen Stopfen. Natürlich erfuhren Hacker ebenfalls durch die Veröffentlichung von so einem Loch. Demgegenüber erhielten auf diese Weise aber auch Sicherheitsexperten und Programmierer die Gelegenheit, an Sicherheits-Updates zum Schließen der Lücke zu arbeiten.
Im neuen Paragraf ist allein entscheidend, ob ein Programm oder eine Information dazu genutzt werden könnte, in fremde Computer einzudringen. Es finden sich keine Ausnahmeregelungen, die den Einsatz für legale Zwecke erlauben, wie es Sicherheits-Experten und IT-Branchenverbände gefordert hatten. Der führende Spezialist für die verbreitete Computersprache PHP, Stefan Esser, hat daraus seine Konsequenzen gezogen. Er veröffentlicht keine Sicherheitslücken mehr. Andere Fachleute folgten seinem Beispiel. Auch Firmen, die auf ihren Webseiten Sicherheitstools anbieten, haben reagiert: Sie verlegten ihre Server und Programmier-Abteilungen ins Ausland und entzogen sich damit der deutschen Gerichtsbarkeit.
Wenn man das Gesetz streng auslegt, macht sich sogar jeder Besitzer eines Windows-PCs strafbar: dort sind die Programme "ping" und "tracert" installiert. Mit "ping" lässt sich feststellen, ob ein Rechner online, mit "tracert" über welche Wege er zu erreichen ist. Beides sind grundlegende Voraussetzungen, um einen Rechner anzugreifen. Mit einem Fuß im Gefängnis stehen neuerdings auch Linux-User. Bei einem Linux-Rechner sind in der Regel die Programme "nmap" und "tripwire" beziehungsweise dessen Nachfolger "Wireshark" installiert. "nmap" dient dazu, offene "Türen" auf einem Rechner aufzuspüren. Mit den beiden anderen Programmen lässt sich der gesamte Netzwerk-Verkehr mitschneiden. System-Administratoren nutzen "nmap" beispielsweise zur Erkennung von Trojanern, da diese meist "Türen" öffnen, die normalerweise geschlossen sein sollten. Mit "tripwire" und "Wireshark" können sie ermitteln, ob Daten nach außen gehen, die nicht dafür bestimmt sind.
So kritisierte dann auch der SPD-Abweichler Jörg Tauss im Vorfeld der Abstimmung, dass der Wortlaut des Gesetzentwurfes zu einer "Kriminalisierung der heute millionenfach verwendeten Programme führe, welche auch für das Entdecken von Sicherheitslücken in IT-Systemen notwendig sind". Und Andy Müller-Maguhn vom Chaos Computer Club prognostizierte sogar: "Das Verbot des Besitzes von Computer-Sicherheitswerkzeugen öffnet auch dem Einsatz des Bundestrojaners Tür und Tor".
Das Bundesjustizministerium wiegelt ab: Selbstverständlich wolle man weder ganze Branchen und Berufsgruppen noch den privaten PC-Besitzer kriminalisieren. Dass ein um die Sicherheit bemühter System-Administrator nicht mit einem Hacker gleichzusetzen sei, sage einem doch schon der gesunde Menschenverstand. Aber wer schon einmal vor Gericht gestanden hat, weiß, dass Recht haben und Recht bekommen mit gesundem Menschenverstand wenig zu tun hat. Es gilt der Gesetzestext, und der lässt hier vermutlich wenig Spielraum für Interpretation.
Inwieweit das Gesetz Auslegungen zulässt, will das Magazin "Tecchannel" aus dem IDG Verlag klären. Es reichte bei der Staatsanwaltschaft Bonn Klage gegen das Bundesamt für Sicherheit in der Informationstechnik (BSI) wegen Verstoßes gegen Paragraf 202c StGB ein. Das BSI bietet auf seinen Internet-Seiten die Software BOSS (BSI OSS Security Suite) zum Download an. Pikanter Bestandteil der Security Suite ist - neben anderen Programmen, die unter das Hackergesetz fallen könnten - der Passwort-Cracker "John the Ripper", über dessen Einsatzzweck wohl keine Zweifel bestehen dürften. Zwar ist das vom BSI in die Suite eingebundene Programm ausgebremst, aber über einen direkten Link zur Hersteller-Seite kann sich jeder Besucher die voll funktionsfähige Version herunterladen - nach Ansicht von "Tecchannel" ein klarer Verstoß gegen den Paragrafen 202c.
Die Staatsanwaltschaft in Bonn (Sitz des BSI) hat nun zwei Möglichkeiten: Entweder wird der Anzeige nicht stattgegeben, weil das BSI nach Meinung der Staatsanwaltschaft keine strafbare Handlung begeht, oder ihr wird stattgegeben und die Staatsanwaltschaft nimmt die Ermittlungen auf.
Für den Fall, dass der Anzeige nicht stattgegeben wird, rät "Tecchannel" den Betroffenen, sich am BSI zu orientieren: In einem seriösen Umfeld sei es demnach durchaus möglich, Sicherheitstools anzubieten und zu benutzen. Im anderen Fall empfiehlt "Tecchannel", Selbstzensur zu üben - erst recht, wenn es zu einer Verurteilung kommt. Ein Freispruch des für die BOSS-CD Verantwortlichen brächte ebenfalls Klarheit, so das Magazin.
WeFind
