<?xml version="1.0" encoding="utf-8"?><section xmlns:image="http://ez.no/namespaces/ezpublish3/image/" xmlns:xhtml="http://ez.no/namespaces/ezpublish3/xhtml/" xmlns:custom="http://ez.no/namespaces/ezpublish3/custom/"> <paragraph> Abbildung 1: Mit dem Gesetzesentwurf der Bundesregierung zur Reform des Strafrechts in puncto Hackerangriffe sind einige IT-Experten nicht einverstanden. (Bild:

Gesetze, die sich auf Computer und Internet beziehen, sind ewige Baustellen. Kaum ist die jüngste Reform des Urheberrechts verdaut, steht die umstrittene Reform des Strafrechts an.

Abbildung 1: Mit dem Gesetzesentwurf der Bundesregierung zur Reform des Strafrechts in puncto Hackerangriffe sind einige IT-Experten nicht einverstanden.

Ende September hat die Bundesregierung einen Entwurf zur Änderung des Computerstrafrechts beschlossen [1]. Damit findet im Strafgesetzbuch (StGB) [2] Platz, was die EU-Mitglieder im November 2001 beschlossen haben [3]: Hackern das Leben schwerer machen. Die neuen Strafbestimmungen entsprechen der Vorstellung der EU (Abbildung 2) zur Sicherheit im Datenverkehr. Nach EU-Studien [4] besteht die Bedrohung zur Hälfte aus Hackerangriffen via Internet. Das Strafrecht begegnet dem schlicht mit deutlich höheren Strafen.

Abbildung 2: In Brüssel wurden die Weichen für die deutsche Auslegung des Computerstrafrechts gestellt. Die Zusammenarbeit der einzelnen Staaten ist aber nicht immer gegeben.

Tat und Tatwerkzeug

Ist eine bestimmte Handlung sozialschädlich, ist das Strafrecht das letzte Mittel des Staates, um sie zu verhindern. Geht eine besondere Gefahr von einem Mittel aus, etwa einer Waffe, versucht der Gesetzgeber Besitz oder Verkauf unter Strafe zu stellen. Dieser Ansatz bewährte sich von Waffen über Drogen bis hin zu Software, die den Kopierschutz umgeht. Software erleichtert auch Hackern und Crackern die Arbeit. Genauer gesagt jenen, die ohne Internet und flotten Download gar nicht auf die Idee kämen, in fremde Rechner einzudringen, fremde Daten zu stehlen oder fremde Nachrichten abzuhören.

Unsichtbarer Feind

Wenn es um Straftaten im Netz geht, fällt die Täterermittlung schwer: Der Einbruch in einen fremden Rechner hinterlässt vielleicht Spuren. Benutzt der Schurke aber einen Rechner, den er über ein Root-Kit kontrolliert, ist er schon schwerer zu stellen. Lauscher, die über eine WLAN-Verbindung fremde Daten ausspionieren, sind nicht zu fassen. Der potenzielle Täterkreis ist – im Wortsinn – ohnehin grenzenlos: Über das Internet liegt jeder Rechner der Welt nur einen Mausschubs entfernt. Die Staaten wollen zwar zusammenarbeiten – zumindest die meisten – können sich aber teils kaum selbst helfen. Der deutsche Lösungsweg lautet deshalb: Wir kümmern uns darum, diese Rechtsverletzungen von unserem Staatsgebiet aus so weit wie möglich zu unterbinden, und schneiden den Nachschub ab.

Diese Vorgehensweise kam zuletzt gegen Software zum Einsatz, die das Kopieren von Musik-CDs und Video-DVDs ermöglichte. Ins Urheberrecht platzierte Strafvorschriften verbieten Besitz, Werbung, Verkauf und Einfuhr. Ergebnis: Die Kopierschutz-Knacker, einst ein Verkaufsschlager, sind verschwunden. Die gleiche Wirkung erhoffen sich die Verantwortlichen vom neuen Computerstrafrecht im Hinblick auf Virus-Construction-Kits und ähnliche Malware.

Doch kaum ist der Gesetzesvorschlag formuliert (siehe Kasten “Änderungen im Computerstrafrecht”), kritisieren IT-Sicherheitsexperten, dass das Verbot auch Werkzeuge umfasst, die der Profi in diesem Metier dringend benötigt. Es stellt sich die Frage, welchen Tatbestand der § 202a des StGB-Entwurfs denn genau umfasst. Was ist mit Eltern, die auf dem MP3-Player ihres Sprösslings nachsehen, was er dort so hört? Was ist mit dem Jugendlichen, der sich, während die Eltern aus dem Haus sind, das “an vermeintlich sicherem Ort verwahrte” [5] Pay-TV-Passwort besorgt?

Gestattet: Selbst testen

Wie der zweite Absatz der Vorschrift klarstellt, geht es ausschließlich um Daten in elektronischer oder magnetisch gespeicherter Form. Der Zettel, auf dem das Passwort steht, ist durch diese Vorschrift nicht geschützt, selbst wenn er im Safe verwahrt ist. Und weil die elterliche Sorge für Minderjährige auch die Vermögenssorge umfasst, sind Vermögensdelikte und ähnliche von Eltern gegenüber ihren Kindern grundsätzlich ausgeschlossen. Eltern können es sich erlauben, in Schubladen, Hosentaschen und Verzeichnissen zu schnüffeln.

Mehr Bedeutung hat der bisher noch nicht durch Gerichte ausjudizierte Tatbestand für den Bereich des Arbeitsrechts. Verschlüsselt ein Mitarbeiter auf dem Firmen-PC fragwürdige oder verbotene Daten, könnte der Arbeitgeber, der sich Zugang dazu beschafft, um die an sich gerechtfertigte Kündigung zu begründen, eine Straftat begehen. Dieses Problem besteht aber bereits in der aktuellen Gesetzesform.

Gefährliche Lage

Letztlich geht es ums Hacken von elektronischen Daten sowie um alle Werkzeuge, die dafür nötig oder nützlich sind, und damit auch um Security-Tools, die systembedingt ebenfalls dazu taugen, einen Angriff auszuführen oder vorzubereiten. Der Chaos Computer Club (CCC), anerkannter Spezialist auf dem Gebiet der Datensicherheit, sieht in der Gesetzesänderung eine Gefährdung, weil die IT-Experten künftig gar keine Werkzeuge zur Überprüfung mehr benutzen, ja noch nicht einmal besitzen dürften. Damit wäre der Sinn der Reform ins Gegenteil verkehrt. Stattdessen wünscht sich der CCC härtere Strafen für Verstöße gegen Datenschutzbestimmungen und weiter gehende Schadensersatzansprüche der Geschädigten [6].

Die Argumente sind nicht von der Hand zu weisen: Tatsächlich wirkt blauäugig, wer glaubt, mit einem Werbe- und Verkehrsverbot für Software die Bedrohung abzuwenden. Natürlich lässt sich via Web die ganze Welt trotzdem mit dem bewährten Scanning-Tool versorgen. Aber genau genommen ist Verbieten das Einzige, was die Staaten tun und was sie sich leisten können.

Entgegen der Meinung vieler IT-Spezialisten reichen die bestehenden Strafvorschriften nebst bestehendem Schadensersatzrecht aus. Das Problem ist nämlich nicht die Höhe der Strafdrohung, sondern die Aufdeckungswahrscheinlichkeit. Der beste Vergleich ist der Straßenverkehr: Es sind nicht höhere Strafen, die vor Geschwindigkeitsrausch, Gurtmuffelei und Trunkenheitsfahrten abschrecken, es sind Kontrollen.

Hilflose Detektive

Diese Erfahrung lässt sich im Internet aus verschiedenen Gründen nicht umsetzen. Einer davon ist, dass die Ermittlungsbehörden an die Täter nicht herankommen. Dem Autofahrer fährt man nach, hält ihn an, ermittelt gegebenenfalls sogar seine Wohnung und kontrolliert ihn dort. Dem Hacker ist damit aber nicht beizukommen. Gibt es mit dem betreffenden Land keine bilateralen Abkommen über Ermittlung und Strafverfolgung, sind die Täter so sicher wie früher alte Posträuber in Südamerika. Sie müssen nicht mal selber dort wohnen, es reicht, wenn einer ihrer Server dort steht, um ungestraft zu bleiben.

Wer alle Angebote aus dem Ausland unterbindet, hätte nicht nur jeden Surfer gegen sich, sondern auch die halbe Wirtschaft auf dem Gewissen. Außerdem fehlt es an sachkundigen Ermittlern. Das heißt, was funktionieren würde, können wir uns nicht leisten. Trotzdem wollen wir, so lauten die europäischen Vereinbarungen, etwas tun. Also Bahn frei für eine Notlösung.

Wer den Gesetzestext liest, dem fällt das Wörtchen “unbefugt” auf, das den befugten Anwender, der nur Gutes will, den eigenen Server testen oder fremde Netze im Auftrag des jeweiligen Berechtigten prüfen lässt. So weit, so gut. Leider ist noch ein Haken bei der Sache: Woher weiß die Software, dass ich ein Guter bin? Während das Wort “unbefugt” für die Paragrafen 202a und 202b noch entscheidend sein kann, kommt es für 202c nicht mehr darauf an. Der Paragraf verhindert bereits das Verbreiten und Anbieten der Programme.

Zertifizierter Hacker?

Die Gerichte dürften argumentieren: Wer die Software dennoch zum Download anbietet, nimmt in Kauf, dass auch der Bösewicht sie herunterlädt – das gilt als bedingter Vorsatz. Natürlich lässt sich diesem Argument nichts entgegenhalten. Die Konsequenz ist, dass auch für Berechtigte die nötige Software nicht mehr frei verfügbar sein wird.

Man mag einwenden, dass IT-Profis, die solche Werkzeuge benötigen, sich ähnlich wie Sprengmeister registrieren und einen Kreis von Benutzern bilden könnten, die mit gefährlichen Stoffen umgehen dürfen. Gerade im Open-Source-Bereich gibt es allerdings viele Entwickler, die nicht mit Briefkopf und Gewerbeschein ausgerüstet sind – sie sind auf das Internet als Medium für den Austausch von Dateien angewiesen. E

Geschlossene Entwicklergruppen, die über einem besonders eleganten Brute-Force-Algorithmus brüten und auf ihren CVS-Tree nur Personen zugreifen lassen, die untereinander als vertrauenswürdige Security-Spezialisten bekannt sind, haben keine Strafverfolgung zu befürchten. Sie versuchen ja die Software abzuschotten und vor dem Zugriff der Skript-Kids zu bewahren. Selbst wenn ein Hacker diese Hürde überwinden konnte, fehlt der Vorsatz, ohne den der neue Paragraf 202c nicht anwendbar ist.

Fester Vorsatz

Wenn in einem Paragrafen des Strafgesetzes nicht ausdrücklich steht, dass auch fahrlässiges Handeln bestraft wird, ist nur vorsätzliches Handeln bedroht. Fahrlässigkeit genügt, um sich zivilrechtlich schadensersatzpflichtig zu sein, um sich strafbar zu machen, braucht es Vorsatz, der Täter muss wissen und wollen, was er tut. Doch Vorsicht: Das Wollen bezieht sich in diesem Zusammenhang nicht nur auf das Ergebnis der Tat, sondern bereits auf die einzelnen Elemente der Handlung. Eine nachträgliche Beteuerung, das Ergebnis einer Tat habe man “nicht gewollt”, nützt nichts.

Das Modell der geregelten Abgabe, das bei Drogen und Waffen zumindest hierzulande einigermaßen gut funktioniert, gibt es für freie Software nicht. Das bedeutet, der Sysadmin findet keine legale Möglichkeit, an Portscanner oder andere Security-Tools heranzukommen.

Was aussieht, wie ein besonders perfider Schachzug der Lobby für proprietäre Software, ist der Offenbarungseid der europäischen Gesetzgeber vor jeder Form von Internetkriminalität. Personell unterbesetzt und finanziell auf dürren Beinen stehend, sind zu wenige Ermittler hinter zu vielen Tätern her. Mangels Chancen zur Aufdeckung und Verurteilung holt die Legislative zum Rundumschlag aus und bestraft nicht mehr nur die einzelne Tat, sondern zieht das mögliche Tatwerkzeug aus dem Verkehr. Und trifft damit – auch – die Falschen.

Justiz-Pleite

Betroffen sind auf jeden Fall die Anbieter. Sie können nicht wissen, ob ich mit ihrem TCP-Dumper prüfe, ob eine Software in meiner Kiste nach Hause funkt oder ob ich mich durch den Traffic meines Nachbarn wühle oder meine Mitarbeiter bespitzel. Rechnen müssen sie mit allem und dürfen mir weder Quellen noch Binaries anbieten.

Ein Benutzer findet immer ein Argument für die Notwendigkeit, ein Security-Tool einzusetzen. Sei es, weil er als Linux-Adept stets auf die Sicherheit seines Systems achtet oder weil ein anderes Betriebssystem ihn dazu zwingt. Wer also nicht gerade beim Portscannen des Bundesbank-Servers ertappt wird, dem ist der Vorsatz, Programme unbefugt zu verwenden, kaum nachzuweisen. Er bleibt straffrei.

Die Kriminalisierung des Angebots führt zu Sicherheitsrisiken: Die Distributoren entfernen Security-Tools aus den Boxen, offizielle Homepages stellen – zumindest in Europa – das Download-Angebot ein. Dringend benötigte Sicherheitswerkzeuge sind künftig verboten. Natürlich beschafft sich ein findige Nutzer die Tools weiterhin, die Verfügbarkeit ist aber eingeschränkt und damit die Sicherheit vieler Rechner gefährdet.

Die öffentliche Verwaltung, die mehr und mehr auf freie Software setzt, stellt sich selbst ein Bein. Um Hacker zu bestrafen, ist keine Reform erforderlich, dazu reichen die bestehenden Gesetze. Und wenn die Justiz zu arm oder zu lahm ist, um Rechtsbrecher zu erwischen, nützt eine höhere Strafdrohung wenig. Virus Construction Kits gibt es nicht beim Elektromarkt, dessen Auslagen der Gesetzgeber kontrollieren kann. Der Versuch, das Angebot im Web zu kontrollieren, muss scheitern. Damit ist die Reform überflüssig. (uba)