Am 24. Mai plumpste das Ei aus der Henne Po – womit nebenbei ein für alle Mal das Henne-Ei-Problem gelöst ist. Zumindest wenn das Huhn der Deutsche Bundestag ist und das Ei der Paragraf 202c StGB, auch als verschärfter Hackerparagraf bekannt. Das Ausbrüten des Kükens übernahm der Bundesrat pflichtbewusst Anfang Juli, den scharfen Schnabel einsetzen darf das Federvieh mit Veröffentlichung im Gesetzblatt, was vielleicht schon beim Erscheinen dieses Magazins passiert ist.

Künftig dürfen Gerichte mit Freiheitsentzug bis zu einem Jahr oder mit Geldstrafe belegen, wer Programme und Tools herstellt, sich verschafft, verkauft, überlässt oder anderweitig zugänglich macht, die sich zum Knacken von Passwörtern und sonstigen Computer-Sicherheitscodes eignen. Zudem bedürfe es der “Vorbereitung einer Straftat” – eine Formulierung, die jeder Strafrechtler auch als Gefährdungsdelikt auslegen kann, analog zu Sprengstoff- oder Waffenbesitz. Das Gesetz jedenfalls definiert die Werkzeuge nicht nach Einsatzart, sondern nach ihrem Aufbau, und kriminalisiert damit alle, die Sicherheitsaudits anstellen, ihre oder fremde Software auf Schwächen testen oder Linux-Distributionen im bislang üblichen Umfang auf den Markt bringen.

Dass diverse Organisationen protestierten – Verband der deutschen Internetwirtschaft (24. Mai), Chaos Computer Club (25. Mai) oder die Gesellschaft für Informatik (3. Juli) – ficht die Bundesparlamentarier nicht an. Im Kern argumentiert das Justizministerium, die Sache würde für die Sicherheitsindustrie nicht so heiß gegessen wie gekocht.

Wenn man jedoch unabhängige Juristen wie den Rechtskolumnen-Schreiber des Linux-Magazins, Fred Andresen, befragt, klingt das anders: Wenn so ein Gesetz erst mal verabschiedet ist, bindet es. Unbestimmte Rechtsbegriffe und Regelungslücken legen ausschließlich die Gerichte aus. Laut Montesquieu’scher Gewaltenteilung, an der sich die deutsche Rechtsordnung orientiert, ist die Meinung der Justizministerin, wie ein Gesetz auszulegen sei, nach dessen Verabschiedung bedeutungslos. Es hängt damit in wenigen Wochen vom technischen Sachverstand der Staatsanwälte ab, ob sich jeder, der ein Wireshark (früher Ethereal) auf seinem Linux-PC installiert hat, vor einem Richter wiederfindet.

Der Chaos Computer Club, der beklagt, es sei in Zukunft nicht mehr zweifelsfrei legal möglich, kritische Computersysteme zu testen, bemüht eine Analogie: “So wie die Autoindustrie ihre Fahrzeuge mit Crashtests sicherer macht, wird in der Computerbranche die Systemsicherheit durch den kontrollierten Einsatz von Angriffsprogrammen geprüft.” Computer? Auto? Das bringt mich auf das Forschungsprojekt Verisoft XT, vom Bundesministerium für Bildung und Forschung mit 12 Millionen Euro gefördert. Es beschäftigt sich mit durchgängiger, formaler Verifikation von Computersystemen. Die Forscher wollen die korrekte Funktion von Computern in Autos, in der Sicherheitstechnologie und in der Medizintechnik mathematisch beweisen.

Gelänge dies, brauchte niemand mehr die
Dual-Use-Hackertools, da so überprüfte Systeme
wissenschaftlich dicht wären. Das Ziel von Verisoft ist es
jetzt, ein Qualitätssiegel “Verified in Germany”
zu erarbeiten. Eben ist Microsoft in das Projekt eingestiegen, um
die Dichtigkeit eines Betriebssystem-Hypervisors beweisen zu
lassen. Nun zeigt die Geschichte der Technik, dass Naturgewalten
und uneinsichtige menschliche Crashtester, die der Praxis mehr
vertrauen als jedem Algorithmus, manches Gebäude zu Fall
brachte