Christoph Wegener hat in seinem Vortrag auf dem Frühjahrsfachgespräch der German Unix User Group (GUUG) von seinen Erfahrungen und Einsichten berichtet. Er war an Beratungen unter anderem zum Hacker-Paragrafen beteiligt.
Dem Security-Experten war es ein Anliegen, der Verunsicherung entgegenzuwirken und zur Versachlichung beizutragen. Gesetze wie der Paragraf 202c StGB (“Hacker-Paragraf”) oder die Paragrafen 113 a und b TKG (“Vorratsdatenspeicherung”) würden sowohl von Medien als auch Fachverbänden unsachlich diskutiert, was einer vernünftigen Beurteilung der Ereignisse einen schweren Stand verschaffe, so begründete Wegener seine Motivation. Die Diskussion sei gut und notwendig, denn es gäbe durchaus offene Probleme, wie Wegener ausführte. Er rät dennoch: “Lasst euch nicht verrückt machen.”
Offene Probleme seien zum Beispiel die Vorsatz-Bedingung beim Hacker-Paragrafen und die Abgrenzung der kriminellen Tools von Dual-Use-Tools. Um sich strafbar zu machen, ist nach dem Gesetzestext Vorsatz erforderlich, aber das sei ein komplexer juristischer Begriff, sagte Wegener. Wenn Juristen hier den sogenannten Eventualvorsatz meinen, erfüllt ein Mensch schon dann den Straftatbestand, wenn er eine Straftat durch Dritte mit Hilfe eines von ihm verbreiteten Tools auch nur für möglich hält.
Aus Erfahrung weiß Wegener, dass es schwer ist, Juristen die ambivalente Nutzbarkeit eines Programms verständlich zu machen – dass ein “Hacker-Tool” also durchaus konstruktiven Nutzen trägt. Man müsse es ihnen mit Beispielen aus ihrer eigenen Lebenswelt deutlich machen, erzählte er. Diesen empathischen Ansatz hat auch schon der Fachgespräch-Vortrag zur Security-Awareness-Kampagne eines anderen Refernten als zielführend für das technische Verständnis von Laien beschrieben (siehe den Bericht von Linux-Magazin Online). Allerdings lässt sich im Moment nicht leugnen, dass Rechtsunsicherheit besteht: Erst wenn BGH-Urteile vorliegen, werden die Inhalte des Hackerparagraphen ihre konkrete Anwendbarkeit zeigen, sagt Wegener.
Keinesfalls sollen sich Sicherheitsberater jedoch verrückt machen lassen, so Wegener weiter. Er empfiehlt beauftragten Sicherheits-Testern, in Security-Audits genau festzulegen, welche Testmaßnahmen sie am Kundensystem vornehmen sollen. Auch simulierte Remote-Angriffe und die entsprechenden Tools sind kein Problem, wenn der Berater den entsprechenden Auftrag hat, meint Wegener.
Christoph Wegener ist Doktor der Physik und seit 1999 freiberuflicher IT-Sicherheitsexperte. Er ist Gründungsmitglied der Arbeitsgruppe Identitätsschutz im Internet (a-i3) e.V., die regelmäßig Symposien zu Sicherheitsthemen veranstaltet, zuletzt zur Online-Durchsuchung (siehe die Berichterstattung auf Linux-Magazin Online). Daneben schreibt er als Autor für das Linux-Magazin.
