DVB-Cube <<< Das deutsche PC und DVB-Forum >>>
PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 25 September, 2006, 16:06
-
Der Chaos Computer Club (CCC) kritisiert die vorige Woche vom Bundeskabinett beschlossene Änderung des Computerstrafrechts. Mit den "Hacker-Tools" werde darin Software kriminalisiert, die zur Analyse von Sicherheitslücken zwingend erforderlich sei, heißt es in einer CCC-Mitteilung. Es sei allgemein akzeptiert, ein System mit Angriffswerkzeugen zu testen, um die dabei gefundenen Lücken schließen zu können. Nun solle aber bereits der Besitz und die Verbreitung von Werkzeugen zur Netzwerkanalyse und zur Aufdeckung von Sicherheitslöchern in Rechnersystemen strafbar werden.
"Der IT-Sicherheitsbranche werden dringend benötigte Werkzeuge zur Aufdeckung von Schwachstellen aus der Hand geschlagen", kommentiert CCC-Sprecher Andy Müller-Maguhn den Regierungsentwurf. Er wirft dem Gesetzgeber Unkenntnis der technischen Vorgehensweisen vor. Für die IT-Sicherheit seien Testangriffe zum Auffinden von Sicherheitslöchern wie Crashtests für die Autoindustrie. Niemand käme auf die Idee, diese zu verbieten.
Hingegen werde das illegale Abschöpfen und Weitergeben sowie das unkontrollierte Verknüpfen von Daten derzeit als Kavaliersdelikt behandelt, moniert der CCC. Davon werde aber der Bürger im Alltag immer mehr betroffen. Deshalb müsse das Bundesdatenschutzgesetz mit einem harten Strafkatalog für Datenverbrechen versehen werden. Auch seien weitgehende Schadenersatzansprüche der Geschädigten gegen Firmen erforderlich, die ihre persönliche Daten ungenehmigt weitergeben oder unsicher verarbeiten und lagern.
Quelle : www.heise.de
-
Ja das sind die Ergebnisse wenn sich unsere Unfehlbaren 8) (Lehrer, Soziologen, ewige Studenten....) mit den ihrer ureigensten Qualifikation entsprechenden Themen beschäftigen. Viren bekämpft man ja auch mit Lichterketten.......
Früher war der verzapfte Murks nicht ganz ausgereift, heute jedoch ist da noch nicht mal groß drüber nachgedacht :-X
Naja wer mit Sendungen wie Supernarr Talent ersetzt, wer einen intelligenten Schöpfer braucht, wer Magie und Hexerei als Teil unseres Lebens ansieht und ansonsten Erfolg, Können und Wissen in keinerlei Relation zueinander sieht der wählt sich eben seinen passenden Unfehlbaren....
Muß mal meinen Metzger fragen wie weit er mit dem Bauplan für meinen Dachstuhl ist....... ;D
Gruß
Chrisse
-
Gammelfleisch im Kabinett ? ? ?
Warum verbieten die Naseweise nicht gleich auch noch Viren und Sicherheitslücken?
Wenn dann noch die Presse passend zensiert wird, gibt's bald laut aktueller Statistik keinerlei Risiken mehr...
Weil nicht sein kann, was nicht sein darf...
Niemand hat vor, eine Mauer zu errichten...
-
Trotz heftiger Kritik an der neuen Vorschrift sieht das Bundesministerium der Justiz keinerlei Änderungsbedarf an dem geplanten "Hacker-Software-Paragrafen" (PDF-Datei). Dies bestätigte Ralf Kleindiek, Leiter des Büros der Ministerin Brigitte Zypries, in einem Gespräch mit heise online.
Der im Rahmen des Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität neu geschaffene Paragraph 202c des Strafgesetzbuches soll gefährliche Vorbereitungshandlungen zu Computerstraftaten kriminalisieren. Bestraft werden soll unter anderem das Herstellen, Überlassen, Verbreiten oder Verschaffen von "Hacker-Tools", die schon in ihrem Aufbau darauf angelegt sind, "illegalen Zwecken zu dienen". So heißt es im Entwurf:
Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
[...]
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
Dabei kommt es nach der Begründung des Gesetzeswortlauts allein auf die objektive Gefährlichkeit der Software an – nicht etwa darauf, wozu diese eingesetzt werden soll. Wörtlich heißt es:
Insbesondere die durch das Internet mögliche weite Verbreitung und leichte Verfügbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar, die nur dadurch effektiv bekämpft werden kann, dass bereits die Verbreitung solcher an sich gefährlichen Mittel unter Strafe gestellt wird.
Daher wird in Absatz 1 Nr. 2 vorgeschlagen, die Vorbereitung einer Straftat nach §§ 202a und 202b StGB durch Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonst Zugänglichmachen von Computerprogrammen, deren Zweck die Begehung einer solchen Tat ist, unter Strafe zu stellen.
Der Entwurf war sowohl von Verbänden wie Bitkom (PDF-Datei) und eco (PDF-Datei) als auch vom CCC scharf kritisiert worden. Einig waren sich die Kritiker dabei in der Befürchtung, der Entwurf könne auch die Nutzung von "Hacker-Tools" für Zwecke der IT-Sicherheit kriminalisieren. So befürchtet etwa der eco Verband eine "Überkriminalisierung" und fordert eine Ergänzung und Klarstellung der neuen Regelung. Der Chaos Computer Club warnt davor, dass die Umsetzung des Entwurfes die Sicherheit von Computersystemen gefährden könne.
Diese Bedenken kann das Justizministerium offenbar nicht nachvollziehen. In einer Stellungnahme wird darauf hingewiesen, dass eine Strafbarkeit dann nicht vorliege, wenn ein Computerprogramm "zum Zwecke der Sicherheitsüberprüfung oder zur Entwicklung von Sicherheitssoftware erworben oder einem anderen überlassen" werde. Entscheidend sei vielmehr, dass die "Tathandlung zur Vorbereitung einer Computerstraftat (§§ 202a, 202b, 303a, 303b StGB) erfolgen" müsse.
Zwar wäre bei einer solchen Auslegung des Gesetzentwurfs die Gefahr einer Strafbarkeit von Maßnahmen zur IT-Sicherheit weitgehend vom Tisch. Im Gegensatz zu der offiziellen Begründung des Gesetzesentwurfs ist die Stellungnahme des Ministeriums für Gerichte jedoch in keiner Form bindend. Kritiker des neuen Gesetzes fordern daher weiterhin eine Klarstellung des Gesetzeswortlauts, um auch Richtern eine klare Auslegung an die Hand zu geben und eine Überinterpretation des Vorschrift zu verhindern.
Kleindiek wies gegenüber heise online auch darauf hin, dass die Vorschrift derzeit erst im Status eines Regierungsentwurfs sei. Dieser werde nun an Bundestag und Bundesrat weitergeleitet und in den entsprechenden Ausschüssen diskutiert. Dabei könne es noch zu Änderungen an der Formulierung kommen. Eine Notwendigkeit hierfür sieht Kleindiek jedoch nicht. Er hält die Vorschrift für eindeutig und unmissverständlich.
Quelle : www.heise.de
-
@Jürgen... der mit der Mauer war gut. War aber Walter und nicht Erich! Wie ich immer sage, was bleibt uns walter ulbricht...
-
Nun ja, Walter hatte ja recht, hieß bei Ihm ja auch nicht Mauer, sondern "antifaschistischer Schutzwall" . ;D
Und wer benutzt schon Hacker-Tools ?
Ich kenne nur IT-Tools, die die Unsicherheit von PayTV beweisen. ::)
-
Och nö, es gibt schon sinnvolle Anwendungen für mache Tools.
Wer hat noch nie ein gespeichertes Passwort vergessen, z.B. für's Mail-Konto oder den Internet-Zugang, oder kennt wenigstens so jemand?
Unter W9x half da oft WinDietrich.
Streng genommen, könnte einen das kleine Dingens zukünftig in den Knast bringen, bloss weil man's liegen hat.
Dann könnte man ebenso Buttermesser verbieten, mit denen kann man nicht nur jemandem am Auge ernstlich wehtun, sondern auch Siegel brechen, fremder Leute Briefe öffnen, Computeranlagen beschädigen, Margarine in die Butterdose mischen oder sogar verbotene Betäubungsmittel dosieren... ::)
"Die spinnen, die Ostgoten..." (Copyright Uderzo/Goscini)
-
Wie ich schon an anderer Stelle anklingen ließ kann ich unsere Unfehlbaren 8) nur in ihrem Tun unterstützen :P. Ich hoffe die Aktion verbietet Brot wir baldmöglichst in Gesetzesform gegossen!!
Wie Ihr wisst davon noch nichts :o ?
Es ist wissenschaftlich nachgewiesen und kann leicht überprüft werden, dass fast 100% aller Straftaten innerhalb von 24 Stunden nach dem Genuß von Brot verübt werden! Daher erscheint es mehr als sinnvoll, nein vielmehr ist es ein Gebot der Stunde den Genuß von Brot umgehend zu verbieten ;D !
Ähnliche Überlegungen gibt es für Wasser (dieses Kriminalitätsförderungszeugs ;) pfui!) und in ganz besonderem Maße für Luft, Wenn keiner mehr atmet kanns logischerweise keine Kriminalität mehr geben ::) und wer dann doch noch schnauft (na wer erräts?), richtig der kann ja nur ein potentieller Verbrecher, Terrorist oder schlimmeres sein ;D.
Oh Ihr Unfehlbaren 8) schützt uns vor uns selbst, oder was noch besser wäre ;D VOR EUCH!
-
Ich glaube, wir brauchen hier dringend die MiB.
Oder glaubt hier immer noch jemand an echte menschliche Wesen in entscheidenden Positionen ? ? ?
In Anbetracht solcher Figuren wie Scarface Koch oder Westerdingens muss ich immer wieder an diesen einen Satz denken:
"Er hat sich Elgar angezogen" :P
Gib mir Zucker...
-
Der Bitkom hält den umstrittenen Regierungsentwurf zur Änderung des Computerstrafrechts für zu weitgehend, da auch "notwendige sicherheitsrelevante Aktivitäten" von Firmen in Frage gestellt würden. Gleichzeitig vermisst der IT-Branchenverband aber ein klares Phishing-Verbot. Generell sei die Initiative des Bundeskabinetts zu begrüßen, die "internationalen Vorgaben" des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme sowie des Cybercrime-Abkommens des Europarats müssten zügig umgesetzt werden, heißt es in einer heise online vorliegenden Stellungnahme der Lobbyvereinigung. Zerstörungen und Vertrauensmissbrauch an den wirtschaftlichen Werten, welche die Branche in den vergangenen Jahren aufgebaut habe, könnten "massive Schäden" hervorrufen. Die vorgeschlagene Strafrechtsänderung zur Bekämpfung der Computerkriminalität werfe jedoch noch einige Fragen auf.
Insbesondere erscheint dem Verband der neu zu schaffende Paragraph 202c des Strafgesetzbuches zu schwammig. Dieser soll unter anderem das Herstellen, Überlassen, Verbreiten oder Verschaffen von "Hacker-Tools" kriminalisieren, die schon in ihrem Aufbau darauf angelegt sind, "illegalen Zwecken zu dienen". Laut Gesetzesbegründung sollen zwar nur echte Hacker-Werkzeuge und nicht etwa "allgemeine Programmier-Tools, -sprachen oder sonstige Anwendungsprogramme" unter den objektiven Tatbestand der Vorschrift fallen. Damit dürften nach Ansicht des Bitkom etwa Antivirensoftware und andere Sicherheitsprogramme zunächst ausgenommen sein. Die derzeitige Formulierung des Tatbestandes stelle aber dennoch ein großes Risiko dar, da die Zweckbestimmung im Tatbestand zu ungenau sei. Die Ausführungen in der Begründung, wonach die objektive Zweckbestimmung zur Kriminalisierung lediglich "auch" die Begehung einer entsprechenden Straftat zu sein braucht, verstärkt bei dem Verband diese Bedenken. Gerade die Entwicklung der herrschenden Meinung zum unbefugten "Sichverschaffen" von Daten im geltenden Paragraph 202a des Strafgesetzbuches (StG) zeige, "wie schnell die Rechtsanwendung weit über die Intention des Gesetzgebers hinausgehen kann."
Zum anderen schaffen und benutzen etwa IT-Sicherheitsexperten und "andere vorsorgliche Branchenteilnehmer" Programme, die manche Rechtsanwender durchaus als "Hacker-Tools" einordnen könnten, moniert der Bitkom im Einklang mit dem Chaos Computer Club (CCC) weiter. In beiden Fällen sei für ein sachgerechtes Ergebnis allein der subjektive Tatbestand entscheidend. Es müsse also auf einen Vorsatz abgestellt werden, die bezeichneten Taten auch tatsächlich begehen zu wollen. Daher sei bedauerlich, dass die Begründung die Erfordernis des Vorsatzes nicht noch einmal deutlich für die gesamte Vorschrift heraushebt. Bisher geschehe dies nur in einem anderen Absatz, was sogar einen für die Bekämpfung elektronischer Schädlinge kontraproduktiven und vom Gesetzgeber sicher nicht so gewollten Gegenschluss zum neuen Hackerparagraphen zulassen könnte.
Andererseits sieht der Bitkom im 201c einen "guten Ansatz", um einen klaren Phishing-Straftatbestand zu etablieren. Der bisherige Entwurf sollte daher so erweitert werden, dass er auch Versuche umfasst, sich über das Abfangen eines Passwortes unbefugt Zugang zu besonders gesicherten Daten zu verschaffen. Da Phishing-Nachrichten wegen des damit einhergehenden Vertrauensverlustes in den elektronischen Geschäftsverkehr einen enormen wirtschaftlichen Schaden anrichten, sei eine Strafbarkeit durchaus gerechtfertigt. Bisher würden Staatsanwaltschaften Ermittlungsverfahren einstellen, weil sie eine "Fälschung beweiserheblicher Daten" nach Paragraph 268 StGB oder andere in Frage kommende Straftatbestände rund ums Phishing nicht immer vorliegen sähen. Darüber hinaus schlägt der Verband vor, einzelne Deliktsbezeichnungen im Regierungsentwurf genauer zu fassen. Gänzlich offen sei etwa die Rechweite des Tatbestandsmerkmals der "nichtöffentlichen Datenübermittlung".
Quelle : www.heise.de
-
Für viel Wirbel sorgt der am 20. September 2006 von der Bundesregierung vorgelegte Entwurf eines neuen Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität. Eine juristische Analyse gibt der Kritik an dem Gesetzentwurf neue Nahrung.
Mit den geplanten Änderungen des Strafgesetzbuchs (StGB) plant das Kabinett die Umsetzung von auf EU-Ebene vereinbarten Rahmenbeschlüsse. Stein des Anstoßes ist dabei vor allem der geplante neue § 202c StGB. Die Vorschrift soll das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen von so genannten "Hacker-Tools" strafrechtlich ahnden. Der Gesetzesentwurf war von Verbänden und Vereinen wie dem CCC heftig kritisiert worden, da er die Arbeit von Systemadministratoren, Programmierern und Beratern gefährde. Diese seien auf entsprechende Tools im Rahmen ihrer Arbeit angewiesen. Demgegenüber sieht das Justizministerium keinerlei Notwendigkeit zu einer Änderung des Entwurfs: Nach der Aussage eines Sprechers halte man den Entwurf dort für "eindeutig und unmissverständlich".
Neue Nahrung bekommt die Kritik an dem Gesetzesentwurf nun durch einen juristischen Aufsatz, der sich intensiv mit den geplanten Änderungen auseinandersetzt. Der Autor, Alexander Schultz, hält die Bedenken der Gesetzesgegner grundsätzlich für begründet. Auch nach seiner Auffassung würden IT-Sicherheitsexperten, die ein entsprechendes Schadprogramm aus dem Internet herunterladen und ausprobieren, von der neuen Vorschrift erfasst.
Die eigentliche Gefahr geht nach Ansicht von Schultz ohnehin nicht von experimentierfreudigen deutschen Netzwerkadministratoren oder Skript-Kiddies aus, sondern von organisierten und international agierenden Banden. Die organisierte Kriminalität setze nicht auf Tools, "die aus dem Internet weitgehend anonym geladen werden können", sondern es würden Entwickler und Technik eingekauft, um gezielt Angriffe auf bestimmte Ziele verüben zu können. Daher spielten auch Tools, die in der Öffentlichkeit von jedermann wahrgenommen und analysiert werden können, für organisierte Phisher und Erpresser kaum eine Rolle.
Zudem weist Schultz auch auf ein weiteres potenzielles Problem hin: Da sich die Eigenschaft eines Programms als "Hacker-Tool" nach dem Gesetzesentwurf allein auf die objektive Gefährlichkeit der Software beschränke, bestünde eine erhebliche Rechtsunsicherheit bei der Entwicklung entsprechender Software. Hier müsse zumindest auch noch das subjektive Element des Programmierers berücksichtigt werden, nämlich die Gesinnung des Urhebers.
Als Ergebnis seiner Untersuchung fordert Schultz die von der EU-Vorgabe unterstützte Möglichkeit zu nutzen, von der Reglementierung entsprechender Tools Abstand zu nehmen. Mit dem aktuellen Gesetzesvorschlag drohten Softwareentwicklung und IT-Forensik erheblichen Schaden zu nehmen, der in keinem Verhältnis zu den zu erwartenden Ermittlungserfolgen stünde.
Quelle : www.heise.de
-
Laut dem Bundesrat ist die Bundesregierung mit ihrem Entwurf für eine erneute Änderung des Computerstrafrechts weit über das Ziel einer besseren Bekämpfung der Computerkriminalität hinausgeschossen. Es gebe zwar Defizite im geltenden Recht, räumt die Länderkammer in einer am heutigen Freitag angenommenen Stellungnahme (PDF-Datei) zu der Gesetzesnovelle ein. Der Bundesrat weist jedoch zugleich auf die Gefahr hin, dass durch eine zu weite Fassung von Tatbeständen völlig legale Handlungsweisen in die Strafbarkeit einbezogen würden. Diese Problematik betreffe zum Teil bereits das geltende Computerstrafrecht und werde durch die geplanten Änderungen noch deutlich verschärft.
Der besonders umstrittene Entwurf für den neuen Paragraph 202c des Strafgesetzbuchs (StGB), mit dem Vorbereitungshandlungen und der Einsatz und die Verbreitung von "Hacker-Tools" bestraft werden sollen, ist laut den Ländern praxisfremd. In die Bredouille kommen würden damit etwa auch Geschäftsreisende, die ihrer Sekretärin ein Passwort übermitteln, weil sie dringend eine E-Mail aus ihrer Inbox auf dem Bürorechner benötigen würden. Zum "Haupttäter" abgestempelt würden auch vergessliche Zeitgenossen, die ihr Passwort "im Nachbereich" ihres Computer vermerken. In beiden Fällen wäre eine Überwindung der Zugangssicherung ohne erheblichen Aufwand möglich und der neue Paragraph könnte greifen.
Auch mit dem Versuch, über eine Ergänzung des Paragraphen 202a StGB das Phänomen "Hacking" besser zu fassen, ist die Bundesregierung nach Ansicht des Bundesrats gescheitert. Dies sei vor allem darauf zurückzuführen, dass der Entwurf auf den Zugang zu Daten abstelle, kaum aber noch elektronische Geräte existierten, die ohne Datenspeicherung und -verarbeitung auskommen. Beispielsweise würde sich nach dem Entwurf wohl strafbar machen, wer sich Zugang zu dem von seinem Kind verschlossenen MP3-Player verschaffe, um die darauf gespeicherten Musikstücke anzuhören. Ebenfalls strafbar machen könnte sich ein Jugendlicher, der sich das von seinen Eltern an einem vermeintlich sicheren Ort verwahrte Passwort für nicht jugendfreie Sendungen im Pay-TV verschafft und sich verbotener Weise eine solche Sendung ansieht, halten die Länder fest. Es handele sich dabei lediglich "um Beispiele aus einer nicht überschaubaren Palette von Handlungen, die unter den neuen Tatbestand fallen würden".
Bei der Überarbeitung von Paragraph 303a StGB, der bislang eine Datenveränderung strafbar macht, sieht der Bundesrat verfassungsrechtliche Probleme. Die neu eingeführte Frage der Verfügungsberechtigung über die jeweiligen Daten werfe vor allem bei vernetzten Systemen kaum überwindbare Auslegungsprobleme auf. Auch mit der in 303b StGB vorgeschlagenen "erheblichen Ausdehnung der Strafbarkeit" durch den Einbezug der privaten Datenverarbeitung können sich die Länder nicht anfreunden. Auch hier würden angesichts der fortschreitenden Digitalisierung eine Vielzahl von Geräten erfasst. Im Extremfall geriete damit selbst die Beeinträchtigung des Betriebs einer Wasch- oder Spülmaschine unter den Tatbestand der Computersabotage, warnt der Bundesrat. Ähnliches könne die Störung von Videorekordern, Hifi-Anlagen oder Navigationssysteme betreffen.
Der Bundesrat hält daher eine Lösung der genannten Probleme im weiteren Verlauf des Gesetzgebungsverfahren insbesondere aufgrund der derzeitigen tatsächlichen Entwicklung digitaler Lebenswelten für "zwingend geboten". Andernfalls könne dem Gesetzesentwurf eine ähnliche Breitenwirkung zukommen wie Änderungen am Urheberrechtsgesetz. So rechne eine deutsche Staatsanwaltschaft auf Grund entsprechender Ankündigung eines Rechteinhabers damit, dass wegen der illegalen Verbreitung von lediglich vier Computerspielen über das Internet noch in diesem Jahr über 200.000 Urheberrechtsverstöße bei ihr angezeigt werden. Bei anderen Staatsanwaltschaften seien in der jüngsten Vergangenheit bereits mehrere 10.000 ähnliche Bagatellfälle gemeldet worden. Auch angesichts solcher Vorkommnisse müssten die Tatbestände in den "Hacker-Paragraphen" zumindest auf "die der Strafe würdigen und bedürftigen Handlungen" begrenzt werden.
Mit dem Gesetzesentwurf, der ursprünglich aus dem Bundesjustizministerium stammt, will die Bundesregierung insbesondere EU-Vorgaben umsetzen. Gegen die Pläne haben aber auch Verbände wie der Bitkom und Vereine wie der Chaos Computer Club (CCC) heftige Proteste eingelegt, da er die Arbeit von Systemadministratoren, Programmierern und Beratern gefährde. Diese seien auf entsprechende Werkzeuge im Rahmen ihrer Arbeit angewiesen. Demgegenüber sieht das Justizministerium bislang keinerlei Notwendigkeit zu einer Änderung des Entwurfs: Nach der Aussage eines Sprechers halte man die Regelungen für "eindeutig und unmissverständlich".
Quelle : www.heise.de
-
Die Bundesregierung hat die scharfe Kritik des Bundesrates an ihrem umstrittenen Gesetzentwurf zur Bekämpfung der Computerkriminalität, der auch in der Wirtschaft auf wenig Gegenliebe stieß, als komplett unbegründet zurückgewiesen. Laut der jetzt vorliegenden Gegenäußerung zur Stellungnahme des Länderrates hält Berlin keinerlei Änderungen an den vorgeschlagenen Regelungen für nötig. Generell seien die ins Spiel gebrachten Straftatbestände "bereits eng gefasst". Es bestehe somit keine Gefahr, auch" nicht strafwürdige Handlungsweisen zu erfassen".
Konkret teilt die Bundesregierung beim besonders umkämpften Entwurf für den neuen Paragraphen 202c Strafgesetzbuchs (StGB) nicht die Befürchtung des Bundesrates, dass auch der gutwillige Umgang mit Softwareprogrammen zur Sicherheitsprüfung von IT-Systemen kriminalisiert werden könnte. Mit der Klausel sollen Vorbereitungshandlungen und der Einsatz und die Verbreitung von "Hacker-Tools" bestraft werden. Schon auf "Tatbestandsebene" werde dabei verlangt, dass es sich objektiv um ein Computerprogramm handeln müsse, dessen Zweck die Begehung einer Straftat ist, verteidigt die Bundesregierung ihren Vorschlag. Andererseits sei auch festgeschrieben, dass "das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonst Zugänglichmachen" von Hackerwerkzeugen zur Vorbereitung einer Computerstraftat erfolgen müsse.
Bei "Dual-Use-Tools", deren funktionaler Zweck nicht ein krimineller sei oder die erst durch ihre Anwendung zu einem Tatwerkzeug eines Verbrechers würden, sei der Tatbestand nicht erfüllt, schreibt die Bundesregierung. Die bloße Eignung von Software zur Begehung von Computervergehen sei somit nicht ausreichend, um die geplante Strafvorschrift greifen zu lassen. Entscheidend sei, dass der Täter "eine eigenen oder fremde Computerstraftat in Aussicht genommen hat". Sicherheitsüberprüfungen, die Entwicklung von Sicherheitssoftware oder die Ausbildung im Bereich der IT-Sicherheit könnten folglich nicht darunter fallen. Das gleiche gelte für einen Fall, in dem ein ursprünglich für kriminelle Zwecke hergestelltes Computerprogramm weiter verbreitet werde, "wenn dies ausschließlich zu nicht kriminellen Zwecken erfolgt und keine Anhaltspunkte für eine eigene oder fremde Computerstraftat" nach den restlichen Hackerparagraphen bestehen.
Darüber hinaus werden laut der Gegenäußerung auch die vom Bundesrat angesprochenen Fälle der bloßen Ingebrauchnahme von gesicherten elektronischen Geräten gegen den Willen des Berechtigten durch das Tatbestandsmerkmal der besonderen Zugangssicherung aus dem Anwendungsbereich des Paragraphen 202a StGB herausgefiltert. Diese Bedingung solle unverändert beibehalten werden. Geändert wissen wolle die Regierung "lediglich das Merkmal der Datenverschaffung". Diese Änderung habe aber keine Auswirkungen auf die vom Bundesrat befürchtete weitgehende Kriminalisierung. Die Länder hatten sich etwa besorgt gezeigt, dass sich mit dem Entwurf auch strafbar machen könnte, wer sich Zugang zu dem von seinem Kind verschlossenen MP3-Player verschafft.
Die Herausgabe eines Passwortes durch den Berechtigten etwa für die E-Mail-Abfrage durch die Sekretärin führe nicht dazu, dass dieser sich wegen des Vorbereitens des Ausspähens und Abfangens von Daten strafbar machen könne, versichert die Regierung. Dies gelte zumindest für den Fall, dass er damit rechne oder es in Kauf nehme, dass der Empfänger des Passworts dieses missbräuchlich nutzt, um auf Daten des Berechtigten zuzugreifen. Die Verschaffung des Zugangs zu Daten mit Hilfe des freiwillig durch den Berechtigten herausgegebenen Passwortes stelle ebenfalls keine Straftat im Sinne von 202a StGB dar.
Für unbegründet hält die Regierung ferner die Sorge der Länder, dass Paragraph 303a Absatz 1 StGB in der aktuellen Fassung einer verfassungsrechtlichen Prüfung nicht standhalten würde. Die damit einhergehende Kriminalisierung von Datenveränderungen habe bereits das Bayerisch Oberste Landesgericht 1993 bestätigt, ohne die Verfassungsgemäßheit des Tatbestandes zu problematisieren. Bei der in 303b StGB vorgeschlagenen Ausdehnung der Strafbarkeit durch den Einbezug der privaten Datenverarbeitung, die aufgrund der Umsetzung internationaler Vorgaben erforderlich sei, sei zudem "die engste noch mögliche Fassung" gewählt worden. Dabei würde sowohl das Merkmal der Datenverarbeitung "von wesentlicher Bedeutung" als auch die Bestimmung "erheblich stört" als "Filter für Bagatellfälle" dienen. Zudem werde nicht jede Störungshandlung unter Strafe gestellt. Die vom Bundesrat angeregte Aufnahme eines ausdrücklichen Phishing-Tatbestandes ins Strafgesetzbuch hält die Regierung ebenfalls für unnötig. Eine Befragung von Strafverfolgungsbehörden habe ergeben, dass fast alle Landesjustizverwaltungen bereits nach geltendem Recht einen ausreichenden strafrechtlichen Schutz gegen Phising-Angriffe für gewährleistet halten.
Quelle : www.heise.de
-
Sachverständige haben bei einer Anhörung im Rechtsausschuss des Bundestags zum umstrittenen Gesetzesentwurf der Bundesregierung zur Bekämpfung der Computerkriminalität auf Nachbesserungen bestanden. Insbesondere am geplanten neuen Paragraph 202c Strafgesetzbuch (StGB), der bereits Vorbereitungshandlungen zu Computerstraftaten kriminalisieren soll, seien Klarstellungen dringend erforderlich. Andererseits werde die Arbeit von IT-Sicherheitstestern bedroht, war sich die Mehrheit der geladenen Experten am Mittwoch einig. "Wenn es keine Änderung am 202c gibt, sollte man ihn lieber ganz streichen", forderte der Würzburger Strafrechtsprofessor Erich Hilgendorf. Richter und Staatsanwälte hielten den Entwurf dagegen für passabel. Michael Bruns, Generalbundesanwalt in Karlsruhe, erklärte: "Man könnte noch Einfügungen vornehmen, aber das wäre gesetzgeberisches Feuilleton."
Mit der Ergänzung des 202c StGB soll mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe belegt werden, wer eine Straftat vorbereitet durch das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von Computerprogrammen, deren Zweck die Begehung einer entsprechenden Tat ist. Diese Formulierung sei "gefährlich weit", gab Hilgendorf zu bedenken. Der Strafrechtler schlug vor, den Absichtsbegriff zu verdeutlichen oder die Hürde einer "gezielten" Vorbereitung einzubauen. Zudem sei dem Wortlaut nach auch die Herstellung von Schadsoftware im Ausland betroffen, wenn sie für die Nutzung hierzulande bereitgestellt würde. Eine solche weltweite Anwendung des deutschen Strafrechts "sollten wir uns nicht aufladen". Positiv hervorzuheben sei, dass mehrfach auf die Gefahren einer "Überkriminalisierung" aufmerksam gemacht werde.
Carl-Friedrich Stuckenberg, Privatdozent am Institut für Strafrecht der Universität Bonn, ging mit Hilfendorf konform. Mit dem 202c werde versucht, "eine Art Gefahrengutregime für bestimmte Arten von Software zu errichten". Dies setze aber voraus, "dass man eindeutig gefährliche Dinge auch benennen kann". Es möge zwar "Crimeware" wie frei im Netz stehende Virenbausätze geben, die verboten werden sollte. Insgesamt sehe er aber keinen großen Anwendungsbereich für den Paragraphen. Die Cybercrime-Konvention des Europarates, die die Bundesregierung gemeinsam mit dem EU-Rahmenbeschluss über Angriffe auf Informationssysteme mit dem Entwurf umsetzen will, sei klarer. Darin werde betont, dass "Hacker-Tools" für ein Verbot "hauptsächlich" für Cybercrime geschaffen worden sein müssten. Ein ungewolltes Strafbarkeitsrisiko rund um "Dual-Use"-Programme könne der Gesetzgeber ausschalten, wenn er das Verbot auf "direkten Vorsatz und wissentliche Absicht beschränkt".
In der internationalen Sicherheitsszene hat der Entwurf laut Felix Lindner, Geschäftsführer der Berliner Sabre Labs, "pures Entsetzen" ausgelöst. Viele Tester fragten sich, wie sie "mit einem Bein im Gefängnis" ihre Arbeit noch verrichten sollten. "Niemand kann eindeutig ein Stück Software identifizieren, bei dem die Beschaffung wirklich strafbar sein sollte", erläuterte Lindner die Gefahr. Crimeware etwa würde auf internationaler Ebene kollektiv auseinander genommen, sodass eine Regelung, die bereits die Vorbereitung ihrer Verteilung verbiete, ein "Riesenproblem" wäre. Die ganze IT-Sicherheitsindustrie lebe davon, dass Software freiwillig in der Freizeit überprüft werde und Fehler publiziert würden. Generell würde der Sicherheitsstandort Deutschland zurückfallen, etwa die Ausbildung professioneller Prüfer behindert. Konferenzen, auf denen Schwachstellen aufgedeckt und Angriffsformen erläutert werden, könnten hier nicht mehr stattfinden.
"Die Befürchtungen sind ernst zu nehmen", urteilte Georg Borges, Rechtsprofessor an der im Sicherheitsbereich renommierten Ruhr-Universität Bochum. Es gebe "ein erhebliches Maß an Unsicherheit bei Software-Entwicklern". Bruns räumte ein, dass die gewählten Formulierungen im Gesetzestext "psychologisch ganz anders aufgenommen" würden als juristisch angebracht. So seien beim 202c zwei Filter eingebaut, die auf den Vorsatz und die Absicht zur Straftatvorbereitung anspielen würden. Dies sei für den "juristisch Gesetzesinformierten" verständlich. Die Aufklärung der sich momentan fälschlich betroffen Fühlenden sei aber "eine Frage der Vermittlung".
Jürgen-Peter Graf, Richter am Bundesgerichtshof, hält die Vorverlagerung des Tatbestandsmerkmals ebenfalls für ein Problem. Die bestehenden Formulierungen seien aber grundsätzlich in der Lage, die Bedenken auszuräumen. In Richtung Computerpresse verwies er darauf, dass Hinweise auf Exploits von Sicherheitslücken und die Erteilung von Ratschlägen zu deren Anwendungen durchaus unter den neuen Straftatbestand fallen könnten. Dies sei gerechtfertigt, da so der Verbreitung von Schadsoftware entgegengewirkt würde.
Auch bei anderen geplanten Ergänzungen der Hackerparagraphen wünschten sich mehrere Experten zumindest präzisere Formulierungen. 303b etwa könnte ungewollte Effekte erreichen, wenn Bürger von dem Verbot der "Störung" einer Datenverarbeitung etwa elektronische Massenproteste in Form von E-Mail-Kampagnen gegen Ministerien erfasst sähen. Letztlich sei die Voraussetzung einer "Nachteilsabsicht" aber bei einer solchen Meinungsäußerung nicht erfüllt. Beim 202b zur Strafbarkeit der unbefugten Datenverschaffung monierte Lindner, dass darunter etwa das Abfangen von Bluetooth-Verbindungen zwischen einem Mobiltelefon und einem Auto "zum Debugging" fallen könne. Sämtliche Sniffer in diesem Bereich befänden sich so in einer rechtlichen Grauzone.
Für Verunsicherung könnte Stuckenberg zufolge die Tatsache führen, dass in den Hackerparagraphen im Gegensatz zu den europarechtlichen Vorgaben allgemein von Daten statt von Computerdaten die Rede ist. Hier sei eine Klarstellung überfällig, da sonst Ängste wie die des Bundesrates um eine Erfassung von MP3-Playern oder digitalen Fernsehgeräten geschürt würden. Letztlich stelle sich die Frage, ob schon das unbefugte Verschicken einer Diskette unter Datenverarbeitung falle und damit strafbar werden könne. Der forschungspolitische Sprecher der SPD-Fraktion, Jörg Tauss, sorgte sich zudem um die Legalität seiner eigenen Sicherheitstests, wie er sie etwa bereits bei Betriebssystemen oder Videoüberwachungsanlagen durchgeführt habe: "Ich dürfte ein Fall für den Immunitätsausschuss werden." Unklar sei auch, ob er künftig vom Nutzer oder etwa auch vom Hersteller eine Einwilligung in entsprechende Prüfungen einholen müsse.
Quelle : www.heise.de
-
Der Rechtsausschuss des Bundestags hat am heutigen Mittwoch den Regierungsentwurf zur besseren strafrechtlichen Bekämpfung der Computerkriminalität ohne Änderungen abgesegnet. Allein die Linkspartei stimmte gegen das Vorhaben. Den zahlreichen Bedenken aus der Wissenschaft und der IT-Wirtschaft gegen den Gesetzesentwurf, die unter anderem bei einer Anhörung im Bundestag im März zur Sprache gekommen waren, wollen die Parlamentarier mit einer Zusatzerklärung Rechnung tragen. Darin soll etwa klargestellt werden, dass die neuen und aufgebohrten Hackerparagraphen im Strafgesetzbuch (StGB) einer strengen Auslegung und Zweckbindung unterliegen.
Mit der Aufnahme des geplanten Paragraphen 202c StGB soll künftig mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe belegt werden, wer eine Straftat vorbereitet durch das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von Computerprogrammen, deren Zweck die Begehung einer entsprechenden Tat ist. Der Würzburger Strafrechtsprofessor Erich Hilgendorf hatte bei diesem umfangreichen Verbot von "Hacker-Tools" gefordert, den Absichtsbegriff zu verdeutlichen oder zumindest die Hürde einer "gezielten" Vorbereitung einzubauen. Andernfalls sei der besonders umkämpfte neue Paragraph besser ganz zu streichen. In der internationalen IT-Sicherheitsszene hatte der Entwurf zuvor insgesamt große Unruhe ausgelöst. Viele Security-Experten fragten sich, ob sie bei der Verrichtung ihrer Arbeit bei Inkrafttreten des Gesetzes nicht bereits mit einem Bein im Gefängnis stünden.
Die Rechtspolitiker des Bundestages hielten es dagegen mit der Ansage des Karlsruher Generalbundesanwalts Michael Bruns, der Klarstellungen am Entwurf als "gesetzgeberisches Feuilleton" bezeichnet hatte. Für Juristen seien die Tatbestände klar umrissen und verständlich, hieß es heute etwa bei den Grünen zur Begründung der Zustimmung zu dem Regierungsvorstoß. Zudem habe man sich an die internationalen Vorgaben in Form der Cybercrime-Konvention des Europarates und des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme zu halten, die mit dem Gesetz ins nationale Recht umgesetzt werden sollen. Experten schienen zahlreiche Formulierungen aus diesen beiden Texten aber klarer gefasst zu sein als im Papier der Bundesregierung. Auch der Bundesrat hatte zahlreiche Vorbehalte gegen den Entwurf ins Feld geführt.
Mit dem Gesetz soll in Paragraph 202a StGB auch bereits der unbefugte Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen unter Strafe gestellt werden. Bisher ist Computersabotage nur bei Angriffen gegen Betriebe, Unternehmen und Behörden strafbar. Künftig sollen mit Paragraph 303b StGB auch private Datenverarbeitungen geschützt werden. Ebenso ist mit Paragraph 202b StGB vorgesehen, das "Sichverschaffen von Daten aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage" zu kriminalisieren. Das Parlamentsplenum soll den vom Rechtsausschuss abgenickten Entwurf in der Nacht von Donnerstag auf Freitag gegen 2 Uhr morgens verabschieden. Es ist davon auszugehen, dass eine Live-Debatte zu dieser Uhrzeit entfällt und die Reden allein zu Protokoll gegeben werden.
Quelle : www.heise.de
-
Der Bundestag hat am späten Donnerstagabend mit den Stimmen von Schwarz-Rot, der FDP und den Grünen den Regierungsentwurf für eine Novelle des Strafgesetzbuches (StGB) zur Bekämpfung der Computerkriminalität verabschiedet. Die PDS und Jörg Tauss, forschungs- und medienpolitischer Sprecher der SPD-Fraktion, votierten gegen das als Tagesordnungspunkt 23 behandelte Gesetz. Änderungen, wie sie etwa Experten bei einer parlamentarischen Anhörung im März sowie Branchenverbände nachdrücklich angemahnt hatten, nahmen die Abgeordneten im Einklang mit dem Votum des federführenden Rechtsausschusses nicht mehr vor. Auch eine echte Aussprache über die Verschärfung der Hackerparagraphen fand nicht statt. Die für die Debatte vorgesehenen Redner gaben ihre Positionen angesichts der späten Stunde zu Protokoll.
Mit der Einführung des Paragraphen 202c StGB soll künftig mit Freiheitsentzug bis zu einem Jahr oder finanziell bestraft werden, wer eine Straftat vorbereitet durch das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von Computerprogrammen, deren Zweck die Begehung einer entsprechenden Tat ist. Paragraph 202a StGB sieht vor, auch bereits den unbefugten Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen zu kriminalisieren. Paragraph 202b regelt, dass üblicherweise mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe belegt wird, wer sich oder einem anderen unbefugt unter Anwendung von Hacker-Tools nicht für ihn bestimmte Daten aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft.
Bisher ist Computersabotage nur bei Angriffen gegen Betriebe, Unternehmen und Behörden strafbar. Künftig sollen mit Paragraph 303b StGB auch private Datenverarbeitungen gegen "erhebliche Störungen" geschützt werden. Im "einfachen" Fall sollen hier Freiheitsstrafe bis zu drei Jahren oder Geldstrafe verhängt werden. Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, drohen neben Geldstrafe in besonders schweren Fällen Freiheitsstrafen bis zu zehn Jahren. Dies kommt laut dem Entwurf etwa regelmäßig dann infrage, wenn der Täter einen Vermögensverlust großen Ausmaßes herbeiführt, gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat. Gleiches gilt, wenn durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt wird.
[Update:] Prinzipiell soll das Gesetz gleich am Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten. Zuvor muss sich aber der einspruchsberechtigte Bundesrat noch einmal damit beschäftigen. Die Länder hatten im Vorfeld zahlreiche Vorbehalte gegen den Entwurf ins Feld geführt. Ob sie das Papier des Parlaments trotzdem ohne Änderungswünsche passieren lassen oder den Vermittlungsausschuss anrufen, wird sich voraussichtlich Anfang Juli entscheiden. Sollte der Bundesrat das Gesetz durchwinken, würde dessen Ausfertigung erfahrungsgemäß noch drei bis sechs Wochen dauern und könnte somit noch im Sommer Gültigkeit erlangen. Über die konkrete Anwendung müssten danach wohl die Gerichte entscheiden.[/Update]
Tauss, der Abweichler in den SPD-Reihen, hat das Gesetzgebungsverfahren nach zahlreichen Briefen etwa an Bundesjustizministerin Brigitte Zypries (SPD) nun auch öffentlich scharf kritisiert. Insgesamt kann ihm zufolge die Beratung in den Gremien des Bundestags "bestenfalls als völlig unzureichend bezeichnet werden". Problematisch sei vor allem die Einfügung des 202c StGB, mit dem typische Vorbereitungshandlungen unter Strafe gestellt werden. Dies sei dem Strafrecht – bis auf wenige Ausnahmen – sonst fremd. Entsprechende Programme und Tools würden ferner nicht nach ihrer Einsatzart, sondern vielmehr nach ihrem Aufbau definiert. Eine Unterscheidung in Applikationen, die zur Begehung von Straftaten und solche, die ausschließlich für legale Zwecke hergestellt werden, sei aber schlichtweg nicht möglich. Überdies führe der gewählte Wortlaut zu einer "Kriminalisierung der heute millionenfach verwendeten Programme, welche auch für das Entdecken von Sicherheitslücken in IT-Systemen notwendig sind."
Offenbar war dem Rechtsausschuss diese Tatsache Tauss zufolge auch bekannt, denn im Entwurf für die Beschlussempfehlung des Entwurfs heißt es: "Der Gesetzgeber wird die Auswirkungen der neuen Strafvorschriften genau zu beobachten haben. Sollten doch Programmentwickler und Firrmen, die nicht aus krimineller Energie heraus handeln, durch diese neuen Strafvorschriften in Ermittlungsverfahren einbezogen werden, wird auf solche Entwicklungen zeitnah reagiert werden müssen." Vor diesem Hintergrund ist es für Tauss nicht nachvollziehbar, warum sämtliche Änderungsvorschläge im parlamentarischen Verfahren, die eben dies ausschließen sollten, ignoriert wurden. Vergleichbare Erklärungen zur Verabschiedung der Hackerparagraphen gaben auch andere SPD-Mitglieder wie Monika Griefahn oder Christoph Pries ab, die sich dem Fraktionszwang aber nicht entzogen.
In ihren Reden betonten die Rechtspolitiker Siegfried Kauder (CDU) und Dirk Manzewski (SPD), dass man mit dem Gesetz insbesondere die Cybercrime-Konvention des Europarates und den EU-Rahmenbeschluss über Angriffe auf Informationssysteme umsetze. Kauder räumte "größte Kopfschmerzen" beim Paragrafen 202c ein. Er begrüßte aber zugleich, dass laut Beschlussempfehlung nur "Schadsoftware" kriminalisiert werde. Auch grundrechtlich geschützte "Internet-Demonstration" würden vom Gesetz nicht betroffen.
Manzewski erklärte, dass "kostenlose Informationen der Computercracks der Sicherheitsbranche zugegebenermaßen weiterhilft" und sich die entsprechenden Firmen gerne der Hinweise von Hackern bediene. Deren "Kick" sei es, "illegal in Netze einzudringen und dann die aufgedeckten Sicherheitslücken publik zu machen". Dieses Interesse sei aber "natürlich nicht schutzwürdig". In Zeiten, in denen darüber debattiert werde, inwieweit staatliche Institutionen bei Verdacht von Straftaten Online-Durchsuchungen vornehmen dürfen, könne es nicht akzeptiert werden, "dass das Just-for-Fun-Eindringen in die Privatsphäre von Menschen oder in das Innerste von Unternehmen und Institutionen legalisiert wird". Insgesamt seien die Straftatbestände klar genug. Vergleichbar unterstrichen Sabine Leutheusser-Schnarrenberger für die FDP und Jerzy Montag für die Grünen, dass die Gesetzesformulierungen sachgerecht und eine Überkriminalisierung nicht zu erwarten seien. Beide verwiesen auf die Zusatzerläuterungen in der Beschlussempfehlung. Jan Korte von den Linken kritisierte dagegen grobe Patzer im Gesetz und monierte etwa, dass Online-Demos mit virtuellen Sitzblockaden von Servern verboten würden.
Quelle : www.heise.de
-
Der Chaos Computer Club (CCC) und Stimmen aus der Internetwirtschaft haben erhebliche Einwände und Sicherheitsbedenken gegen die heute vom Bundestag verabschiedete Änderung des Strafgesetzbuches (StGB) zur Bekämpfung der Computerkriminalität vorgebracht. "Das Verbot des Besitzes von Computersicherheitswerkzeugen öffnet auch dem Einsatz des Bundestrojaners Tür und Tor", warnt CCC-Sprecher Andy Müller-Maguhn. Industrie und Bürgern werde systematisch die Möglichkeit genommen, ihre Systeme adäquat auf Sicherheit zu überprüfen. Dieses Verbot gefährde "die Sicherheit des IT-Standorts Deutschland". Sicherheitsforschung könne nur noch in einer "unannehmbaren rechtlichen Grauzone stattfinden". Das Gesetz erwecke den Anschein, dass unabhängige Sicherheitstester nach Belieben selektiv kriminalisiert werden sollten.
Ins gleiche Horn stößt der Verband der deutschen Internetwirtschaft eco. Die Lobbyvereinigung der Provider beklagt, dass das Gesetz die Sicherheitsbemühungen der Unternehmen ausbremst, anstatt Computerkriminalität wirksam zu bekämpfen. Es sei nicht ausgeschlossen, dass Computerprogramme, die zu einem legitimen Zweck wie der Sicherheitsprüfung von IT-Systemen verwendet werden, vom Anwendungsbereich des Gesetzes erfasst würden. Aus Sicht der Unternehmen sei der Vorstoß schlicht kontraproduktiv.
Angesichts eines Verweises des weit gestrickten Paragraphen 129a StGB gegen die Bildung terroristischer Vereinigungen auf den neuen Paragraphen 303b sehen sich Blogger aus den Reihen des CCC, der für eine kritisch-schöpferische Auseinandersetzung mit der Informationstechnik im Rahmen einer eigenen Hackerethik eintritt, nicht nur bei Sicherheitstests mit einem Bein im Gefängnis stehen. Sie fürchten vielmehr, dass der CCC oder lose Zusammenschlüsse von Sicherheitsexperten bald auch als Terrorgruppierung verfolgt werden könnten.
Die Mitglieder des im parlamentarischen Gesetzgebungsverfahren federführenden Rechtsausschusses suchen den zahlreichen Bedenken gegen den Vorstoß mit einer Verdeutlichung in der Beschlussempfehlung entgegenzuwirken, die das Plenum des Parlaments angenommen hat. Darin zeigen sich die Fraktionen CDU/CSU, SPD, FDP und die Grünen zunächst über die technische Entwicklung besorgt. Diese habe gezeigt, dass es im deutschen Strafrecht im Bereich der Computerkriminalität durchaus relevante Lücken gebe. Deren Schließung würde von internationalen Vorgaben gefordert. Die von der Bundesregierung dazu vorgeschlagenen und unverändert übernommenen Regelungen halten die Politiker der großen Koalition und der beiden Oppositionsparteien für "grundsätzlich geboten und sachgerecht".
Die Eingaben von Vertretern der IT-Branche während der parlamentarischen Anhörung seien "sehr ernsthaft geprüft worden". Der Entwurf kriminalisierte aber nicht den branchenüblichen Einsatz von Hacker-Tools durch Netzwerkadministratoren. Um Missverständnisse zu vermeiden stelle man aber klar, dass der besonders umkämpfte neue Paragraph 202c StGB hinsichtlich der Zweckbestimmung im Sinne des Artikels 6 des Europarats-Übereinkommens gegen Cybercrime auszulegen sei. Somit seien nur Computerprogramme betroffen, die in erster Linie dafür ausgelegt oder hergestellt würden, um damit Straftaten gemäß der Hackerparagraphen zu begehen. Die bloße Geeignetheit zur kriminellen Betätigung begründe dagegen keine Strafbarkeit. Die geforderte Zweckbestimmung müsse ferner eine Eigenschaft der "Hacker-Tools" in dem Sinne darstellen, dass es sich um "Schadsoftware" handele.
Die Strafvorschriften hat laut dem Beschluss des Rechtsausschusses in erster Linie "professionelle Anbieter im Blick, die durch die Bereitstellung von Software, die für die Begehung von Straftaten geschrieben würden, ein vom Gesetzgeber als unerwünscht und strafbar angesehenes Verhalten unterstützten und damit Gewinn erzielten." Der Gesetzgeber habe die Auswirkungen der neuen Paragraphen zudem genau zu beobachten. "Massen-E-Mail-Proteste" werden nach Auffassung der Rechtspolitiker nicht von den geänderten Vorschriften erfasst.
Quelle : www.heise.de
-
Im Bundesrat zeichnet sich kein Widerstand gegen die vom Bundestag unter heftigen Protesten von Wirtschaftsvereinigungen und Sicherheitstestern verabschiedete Novelle des Strafgesetzbuches (StGB) zur Bekämpfung der Computerkriminalität ab. Der federführende Rechtsausschuss und der mitberatende Wirtschaftsausschuss empfehlen den Länderchefs vielmehr, in der Plenarsitzung am Freitag in einer Woche von einer Anrufung des Vermittlungsausschusses mit dem Parlament abzusehen. Der Gesetzesentwurf steht so bereits auf der "grünen Liste", soll also ohne weitere Aussprache abgesegnet werden.
In der Erläuterung zu dem entsprechenden Tagesordnungspunkt werden die zahlreichen Bedenken der Länderkammer aus der Stellungnahme zum Regierungsentwurf auszugsweise noch einmal aufgezählt. Seinerzeit wies der Bundesrat insbesondere auf die Gefahr hin, durch eine weite Tatbestandsfassung auch solche Handlungsweisen zu kriminalisieren, "die das Verdikt der Strafbarkeit nicht verdienten". Die Rede war davon, dass die Verbote auf eine "unüberschaubare Palette von Handlungen" ausgedehnt würden, "die eine strafrechtliche Verfolgung nicht verdienten". Auch "kaum überwindliche Auslegungsprobleme" seien zu befürchten. Die Länder hatten daher – ähnlich wie Experten bei einer parlamentarischen Anhörung – Änderungen an dem Konstrukt für "zwingend geboten" gehalten.
Obwohl der Bundestag den Entwurf gemäß einer Empfehlung seines Rechtsausschusses unverändert beschloss, sind die Bedenken der Länder nun verflogen. Allein Berlin hatte sich im Rahmen der Ausschussberatungen für das Einschalten des Vermittlungsausschusses stark gemacht. Den Politikern aus der Hauptstadt schienen unter anderem die Regelungen zur Kriminalisierung von Denial-of-Service-Attacken zu strikt geraten, weil dadurch ihrer Ansicht nach auch legitime Online-Demonstrationen in Form der Belagerung von Servern betroffen sind. Überdies plädierten sie für den Einbau eines gesonderten Verbots von Phishing-Attacken. Die Mehrheit der Bundesländer brachten sie damit aber nicht auf ihre Seite.
Besonders umstritten in dem Entwurf, der mit dem Segen des Bundesrats noch im Sommer in Kraft treten könnte, ist der neue Paragraph 202c StGB. Danach soll die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden. Die damit kriminalisierten "Hacker-Tools" dienen auch Systemadministratoren, Programmierern und Beratern dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen. Beruhigt hat die Landespolitiker hier anscheinend vor allem eine Zusatzerklärung des Rechtsausschusses des Bundestags. Demnach sollen nur Computerprogramme betroffen sein, die in erster Linie dafür ausgelegt oder hergestellt werden, um Straftaten gemäß der Hackerparagraphen zu begehen.
Wenig Verständnis haben der Rechts- und der Europa-Ausschuss der Länderkammer dagegen für das Bestreben der EU-Kommission, im Rahmen einer Mitteilung eine "allgemeine Politik zur Bekämpfung der Internetkriminalität" der EU zu lancieren. Das Anliegen an sich sei zwar begrüßenswert, heißt es in den Empfehlungen (PDF-Datei) zu diesem Punkt. Man habe aber "erhebliche Bedenken", ob die geplante Vereinheitlichung der Rechtsvorschriften etwa für einen gemeinsamen Straftatbestand des Identitätsdiebstahls über Brüssel herbeigeführt werden könne: "Sofern hierdurch auch Fälle der Alltagskriminalität ohne internationalen Bezug und ohne Bezug zu organisierter Kriminalität, Terrorismus oder illegalem Drogenhandel betroffen wären, dürfte eine Kompetenz auch unter Beachtung von Subsidiaritätsgesichtspunkten kaum zu rechtfertigen sein."
Der Jugend- und der Europa-Ausschuss sehen ferner vorrangigen Handlungsbedarf bei der Verbreitung von Kinderpornographie über das Netz. Unterstützenswert sei daher der Ansatz, "durch einen Dialog zwischen dem öffentlichen und dem privaten Sektor zu Vereinbarungen über das EU-weite Blockieren von Webseiten mit illegalen und insbesondere kinderpornografischen Inhalten zu gelangen und insoweit auch den Dialog mit Drittländern zu suchen". In diesem Zusammenhang müsse auch der Zugang Jugendlicher zu gewaltverherrlichenden Inhalten im Internet besser unterbunden werden.
Quelle : www.heise.de
-
Deutschland, das Land des technologischen Rückschritts...
-
Mit einer Pressemeldung hat die Gesellschaft für Informatik (GI) an den Bundesrat appelliert, die Einführung des Paragraphen 202c Strafgesetzbuch (StGB) abzulehnen. Dieser "Hackerparagraph" schade der Informatik, weil jegliche Lehre, Forschung und Entwicklung und selbst die Diskussion über Prüftools zur IT-Sicherheit an Universitäten und Fachhochschulen unter Strafe gestellt werde. Der Bundesrat berät in seiner Sitzung am kommenden Freitag über diese Änderung des Strafrechts, mit der Computerkriminalität besser bekämpft werden soll. Da das Gesetz ein Einspruchsgesetz und damit nicht zustimmungspflichtig ist, stellt die Beratung im Bundestag nur eine formale Hürde dar.
Der so genannte "Hackerparagraph" war am 24. Juni vom Bundestag verabschiedet worden, obwohl zahlreiche IT-Experten gegen die Überinterpretation der europäischen Cybercrime-Konvention protestiert hatten. Zu den Organisationen, die sich gegen die Änderung des Strafrechts ausgesprochen haben, zählt der Verband der deutschen Internetwirtschaft (eco) ebenso wie der Chaos Computer Club.
Mit ihrer Stellungnahme gegen die Strafgesetzverschärfung macht die Gesellschaft für Informatik auf etliche Formulierungen der geplanten Gesetzesänderung aufmerksam, die massiv die Forschung und Lehre von Informatikern über IT-Sicherheit behindern können. In zwei Punkten appelliert die Vertretung der Informatiker an den Bundesrat, das Gesetz zu entschärfen. Zum einen müsse das Tatbestandsmerkmal "vorbereiten" viel enger gefasst werden. Sonst sei bereits der bloße Besitz eines "Hackertools" strafbar. Außerdem müsse der Eventualvorsatz in der Gesetzesänderung ersatzlos gestrichen werden, damit ausgeschlossen ist, dass die IT-Sicherheitsforschung von Wissenschaftlern bestraft werden kann. "Wir appellieren deshalb an den Bundesrat, die weite Entwurfsfassung des § 202c StGB zu verhindern", erklärte Hartmut Pohl, Sprecher des GI-Arbeitskreises "Datenschutz und IT-Sicherheit".
Quelle : www.heise.de
-
Hurra! Geschafft...
1. Die Weitergabe von Wissen ist strafbar!
2. Das Besitzen von entsprechenden Werkzeugen ist strafbar!
3. Fehlt nur noch das das Wissen selbst strafbar wird.
TOLL! Die Bürde des Menschen ist unfassbar.
-
Der Bundesrat hat in seiner Plenarsitzung am heutigen Freitag die heftig umstrittene Novelle des Strafgesetzbuches (StGB) zur Bekämpfung der Computerkriminalität ohne weitere Aussprache passieren lassen. Die Länderchefs folgten damit der Empfehlung des Rechts- und des Wirtschaftsausschusses, den Vermittlungsausschuss mit dem Parlament nicht anzurufen.
Ende vergangenen Jahres hatten die Länder noch zahlreiche Bedenken gegen den Regierungsentwurf zur Verschärfung und Ergänzung der so genannten Hackerparagraphen. So wiesen sie damals etwa auf die Gefahr hin, durch eine weite Tatbestandsfassung auch legale Handlungsweisen von Sicherheitsberatern zu kriminalisieren. Obwohl der Bundestag den Regierungsentwurf entgegen dem Anraten von Sachverständigen bei einer parlamentarischen Anhörung unverändert verabschiedete, nutzte der Bundesrat seine Einspruchsmöglichkeit gegen das Gesetz nun aber nicht. Vielmehr akzeptierten sie die Entscheidung des Parlaments, dass das illegale Eindringen in fremde Netze auch mit dem Ziel der Aufdeckung von Schwachstellen nicht schutzwürdig sei. Wenig nützte da noch ein Protest der Gesellschaft für Informatik, die jegliche Lehre, Forschung und Entwicklung und selbst die Diskussion über Prüftools zur IT-Sicherheit unter Strafe gestellt sieht.
Das Gesetz kann jetzt nach der Zeichnung durch den Bundespräsidenten gleich am Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten. Die entsprechende Ausfertigung dauert erfahrungsgemäß drei bis sechs Wochen, sodass die neuen Bestimmungen im Hochsommer Gültigkeit erlangen dürften. Die in Fachkreisen gut bekannte deutsche Hackergruppe Phenoelit, die auf den Jahreskongressen des Chaos Computer Clubs (CCC) immer wieder mit Aufdeckungen erheblicher Sicherheitslücken etwa bei SAP-Software, Blackberry-Geräten oder integrierten Systemen und Druckern für Aufsehen sorgte, hat daraus bereits ihre Konsequenzen gezogen und ihre deutsche Website dicht gemacht. Die Hackerwerkzeuge und Exploits der Sicherheitstester können nun nur noch über einen ausländischen Server in Augenschein genommen werden.
Besonders umstritten in dem Gesetz ist der neue Paragraph 202c StGB. Danach soll die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden. Die damit kriminalisierten "Hacker-Tools" dienen auch Systemadministratoren, Programmierern und Beratern dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen. Beruhigt hat die Landespolitiker hier vor allem eine Zusatzerklärung des Rechtsausschusses des Bundestags. Demnach sollen nur Computerprogramme betroffen sein, die in erster Linie dafür ausgelegt oder hergestellt werden, um Computerstraftaten zu begehen. Aber auch die weiteren neuen oder überarbeiteten Passagen der Novelle etwa zur unbefugten Datenbeschaffung oder zur Computersabotage haben es in sich.
Kritisch beäugt der Bundesrat derweil den Plan der EU-Kommission, im Rahmen einer Mitteilung eine "allgemeine Politik zur Bekämpfung der Internetkriminalität" der EU zu entwickeln. Das Anliegen an sich sei zwar begrüßenswert, "da sich mit der zunehmenden Bedeutung des Internets auch neue Kriminalitätsformen ergeben". Man habe aber "erhebliche Bedenken", ob Brüssel die geplante Vereinheitlichung der Rechtsvorschriften etwa für einen gemeinsamen Straftatbestand des Identitätsdiebstahls herbeiführen könne: "Sofern hierdurch auch Fälle der Alltagskriminalität ohne internationalen Bezug und ohne Bezug zu organisierter Kriminalität, Terrorismus oder illegalem Drogenhandel betroffen wären, dürfte eine Kompetenz auch unter Beachtung von Subsidiaritätsgesichtspunkten kaum zu rechtfertigen sein."
Vorrangigen Handlungsbedarf sehen die Länder aber bei der Verbreitung von Kinderpornographie über das Netz. Unterstützenswert sei daher der Ansatz, "durch einen Dialog zwischen dem öffentlichen und dem privaten Sektor zu Vereinbarungen über das EU-weite Blockieren von Webseiten mit illegalen und insbesondere kinderpornografischen Inhalten zu gelangen und insoweit auch den Dialog mit Drittländern zu suchen". In diesem Zusammenhang müsse auch der Zugang Jugendlicher zu gewaltverherrlichenden Inhalten im Internet stärker unterbunden werden.
Quelle : www.heise.de
-
Mit der Veröffentlichung der neuen Strafvorschriften zur "Bekämpfung der Computerkriminalität" (PDF-Datei) im Bundesgesetzblatt am heutigen Freitag erlangen die heftig umstrittenen Regelungen bereits vom morgigen Samstag an Gültigkeit. Die Novelle des Strafgesetzbuches (StGB) mit neuen und deutlich ausgeweiteten "Hackerparagraphen" tritt damit just inmitten des Sommerzeltlagers des Chaos Computer Clubs (CCC) im brandenburgischen Finowfurt in Kraft. Inwieweit die verschärfte Gesetzeslage bereits Auswirkungen auf das Camp haben könnte, ist umstritten. Angesichts eines Verweises des weit gestrickten Paragraph 129a StGB gegen die Bildung terroristischer Vereinigungen auf den nun rechtskräftigen neuen Paragraphen 303b fürchteten Vertreter der mit einer eigenen Ethik ausgerüsteten Hackervereinigung, dass der CCC oder lose Zusammenschlüsse von Sicherheitsexperten künftig als Terrorgruppierung verfolgt werden könnten.
Hauptsächlicher Stein des Anstoßes rund um das 41. Strafrechtsänderungsgesetz ist der neue Paragraph 202c StGB. Danach soll die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden. Die damit kriminalisierten "Hacker-Tools" dienen jedoch auch Systemadministratoren, Programmierern und Beratern dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen. Laut einer Zusatzerklärung des Bundestag-Rechtsausschusses, der für die unveränderte Absegnung des Regierungsentwurfs durch das Parlament sorgte, soll dies schwammige Bestimmung eingeschränkte Wirkung entfallen. Betroffen sehen wollen die Abgeordneten allein Computerprogramme, die in erster Linie dafür ausgelegt oder hergestellt werden, um Computerstraftaten zu begehen.
Der ebenfalls neue Paragraph 202b sieht vor, dass mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe belegt wird, wer sich oder anderen mit solchen Hilfsmitteln unbefugt Daten aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft. Paragraph 202a wird so verändert, dass er bereits den unbefugten Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen kriminalisiert. Mit Paragraph 303b wird Computersabotage deutlich schärfer und mit maximal zehn Jahren Gefängnis zu ahnden sein. Neben Betrieben, Unternehmen und Behörden soll damit künftig auch die private Datenverarbeitung gegen "erhebliche Störungen" geschützt werden.
Sachverständige hatten auf einer parlamentarischen Anhörung scharfe Kritik an der Novelle vorgebracht. Auch der Bundesrat hatte zunächst zahlreiche Bedenken ins Feld geführt, diese aber nach der Billigung des Gesetzesentwurfs im Bundestag im Rahmen der in einer großen Koalition geforderten Disziplin zwischen Bund und Ländern fallen gelassen. Erste Entwicklergruppen von Sicherheitswerkzeugen haben daraufhin bereits Projekte gestoppt beziehungsweise ins Ausland verlagert.
Eine erneute Debatte um die Hackerparagraphen hat sich jüngst im Rahmen der Auseinandersetzung um heimliche Online-Durchsuchungen entwickelt. Experten fürchten, dass Sicherheitstester und Bekämpfer von PC-Schadsoftware mit den geänderten Strafbestimmungen möglicherweise vom Aufspüren des so genannten Bundestrojaners abgehalten und eingeschüchtert werden sollen.
Quelle und Links : http://www.heise.de/security/news/meldung/94190
-
Paragraph 202a wird so verändert, dass er bereits den unbefugten Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen kriminalisiert.
+
Neben Betrieben, Unternehmen und Behörden soll damit künftig auch die private Datenverarbeitung gegen "erhebliche Störungen" geschützt werden.
Also, mal angenommen ich besässe Millionen oder gar Milliarden an Geld...
Ich würde die Bundesrepublik Deutschland verklagen (mit den ALLERBESTEN Anwälten die man für Geld anheuern kann), weil der "Bundestrojaner" nichts anderes tut, als das oben beschriebene und gerade eben erst frisch Verbotene !
und :
dass Sicherheitstester und Bekämpfer von PC-Schadsoftware mit den geänderten Strafbestimmungen möglicherweise vom Aufspüren des so genannten Bundestrojaners abgehalten und eingeschüchtert werden sollen.
Ich sehe das genau entgegengesetzt !
Hat zufällig jemand ein paar Millionen, damit man eine solche Klage machen könnte ?
Ich leider nicht :(
-
Der deutsche Sicherheitsexperte Stefan Esser hat Demonstrationen zu PHP-Sicherheitslücken von seinen Webseiten entfernt, weil er befürchtet, dass diese unter den neuen Hackerparagraphen fallen. Esser war einer der Initiatoren des im März ausgerufenen Month of PHP Bugs, in dem er und andere Experten täglich Sicherheitslücken der beliebten Skriptsprache veröffentlichten und auch gleich mit entsprechenden Beispielen vorführten. Diese konkreten Beispiele hat Esser nun nachträglich entfernt, um sich nicht strafbar zu machen. Aus ähnlichen Gründen haben bereits deutsche Entwickler die Arbeit an dem WLAN-Sniffer KisMAC eingestellt und die renommierte Hackergruppe Phenoelit ihre Webseite etwa auf einen US-amerikanischen Webserver ausgelagert.
Anzeige
Siehe dazu auch:
* MOPB Exploits taken down von Stefan Esser
Quelle und Links : http://www.heise.de/security/news/meldung/94357
-
Der IT-Branchenverband Bitkom sieht die am Samstag in Kraft getretene Verschärfung des Computerstrafrechts nach wie vor als kontraproduktiv für die IT-Sicherheit an. Der Verband weist zugleich darauf hin, dass mit den so genannten Hackerparagraphen eine "Kriminalisierung von Systemadministratoren, IT-Sicherheitsexperten und Software-Händlern" drohe. In der Praxis führe die neue Regelung zu einem Verbot von Spezialsoftware, die für die Entdeckung und Analyse von Sicherheitslücken in IT-Systemen notwendig sei. Entsprechende Schwachstellen würden "seit jeher standardmäßig" mit entsprechenden Hacker-Tools getestet, gibt Bitkom-Hauptgeschäftsführer Bernhard Rohleder zu bedenken. Für ihn steht fest: "Der Gesetzgeber hat das Kind mit dem Bade ausgeschüttet. Wie soll man die Hacker schlagen, wenn nicht mit ihren eigenen Waffen?"
Die Lobbyvereinigung hatte bereits im Herbst vorigen Jahres im Vorfeld des parlamentarischen Verfahrens das damals geplante pauschale Verbot von Hacker-Tools scharf kritisiert. Auch Informatikerfachgruppen, Vereinigungen von Sicherheitstestern, der Bundesrat sowie Experten bei einer Anhörung im Bundestag hatten sich ablehnend gegenüber den verschärften Strafvorschriften zur Bekämpfung von Computerkriminalität gezeigt.
Im Zentrum der Proteste steht nach wie vor neue Paragraph 202c Strafgesetzbuch (StGB). Danach soll die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden. Betroffen sein sollen aber zumindest laut den Rechtspolitikern im Bundestag allein Computerprogramme, die in erster Linie dafür ausgelegt oder hergestellt werden, um Computerstraftaten zu begehen.
Die Überlegung des Gesetzgebers, die Verbreitung von Viren, Spionage-Software und anderen Schadprogrammen unter Strafe zu stellen, hält Rohleder generell nach wie vor für sinnvoll. Die jetzt geltende gesetzliche Formulierung gehe aber zu weit: "Sie berücksichtigt nicht, dass entsprechende Software-Werkzeuge auch zu Schutzzwecken eingesetzt werden." Konkret geht Rohleder auch darauf ein, dass zahlreiche Sachverständige Nachbesserungen gefordert und hierfür konkrete Vorschläge unterbreitet hatten: "Es gab einen breiten Konsens, dass die Strafvorschrift enger gefasst werden sollte." Die "Verweigerungshaltung" des Gesetzgebers sei daher unverständlich.
Quelle : www.heise.de
-
Seit der so genannte Hackerparagraph 202c StGB gilt, herrscht Unsicherheit in der Sicherheitsbranche: Macht sich nun strafbar, wer an der Verbesserung der Sicherheit von IT-Systemen arbeitet? Die IT-Branche fürchtet Behinderungen ihrer Arbeit.
Frankfurt/Main - Seit einem Monat gilt der sogenannte Hackerparagraf: Dieser Zusatz zum Strafgesetzbuch verbietet es, sich Computerprogramme zu beschaffen, selbst herzustellen oder zu verbreiten, mit denen man in fremde Computernetze eindringen kann. Ein Verfahren wegen § 202c StGB gibt es bislang offenbar nicht. Gleichwohl ist die Sicherheitsbranche zutiefst verunsichert.
"Dieser Hackerparagraf wird auf jeden Fall die Tätigkeit von Security-Unternehmen einschränken", sagt Dirk Hochstrate, der im Vorstand des Bochumer Unternehmens G Data für die Software-Entwicklung zuständig ist. "Wir finden, dass der Ansatz des Paragrafen falsch ist, weil er sich auf die Kriminalitätswerkzeuge konzentriert statt auf die kriminellen Taten." Dies sei so, als würde man den Besitz und die Herstellung von Stahl verbieten, weil man daraus Schwerter herstellen könne.
Der aufgrund eines Rahmenbeschlusses der EU vom Februar 2005 eingeführte StGB-Zusatz richtet sich vor allem gegen sogenannte Hackertools, mit denen man Sicherheitslücken ausnutzen kann, um in fremde Rechner einzudringen. Eben diese Programme werden aber auch dazu verwendet, um ein Computernetz auf solche Sicherheitslücken zu überprüfen und diese dann zu schließen.
Einen solchen Scanner von Sicherheitslücken mit der Bezeichnung BOSS bietet auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) an. Die Behörde weist aber darauf hin, dass sich das Gesetz allein gegen das "unbefugte" Eindringen in fremde Netze richte. "Wo eine Einwilligung dessen vorliegt, bei dem Daten untersucht werden, etwa im Rahmen einer IT-Sicherheitsberatung, erfolgt der Datenzugang mit einer entsprechenden Befugnis", erklärt BSI-Sprecherin Katrin Alberts. "Eine Strafbarkeit scheidet in solchen Fällen aus."
Justizministerium: Alles halb so wild
Auch das Justizministerium in Berlin hält den Wortlaut des Gesetzes für eindeutig. "Das Gesetz betrifft nur denjenigen, der wirklich eine Computerstraftat vorbereitet", sagt der Sprecher des Ministeriums, Henning Plöger. "Wer sich um die Sicherheit eines eigenen Systems oder eines fremden Systems in dessen Auftrag kümmert, muss sich keine Sorgen machen." Die Free Software Foundation Europe (FSFE) kritisiert jedoch, dass der Gesetzgeber ohne Not eine Unsicherheit geschaffen habe, wann ein Werkzeug erlaubt sei. "Damit laufen wir Gefahr, weitere Kompetenzen und kreative Menschen zu verlieren, welche wir in unserem Land dringend brauchen", erklärt der FSFE-Sicherheitsexperte Bernhard Reiter.
G Data fürchtet nach den Worten von Vorstandsmitglied Hochstrate zwar nicht, rechtlich belangt zu werden, sieht aber dennoch die eigene Geschäftstätigkeit betroffen. "Das ist genau wie in der Medizin", sagte Hochstrate. "Wir müssen die Viren besitzen, um sie bekämpfen zu können." Und manche Viren ermöglichten eben auch das Eindringen in fremde Rechner. Der Paragraf benachteilige die deutschen Anbieter von Sicherheitssoftware gegenüber den Konkurrenten aus dem Ausland und gefährde damit die technologische Führungsrolle des Standorts Deutschland in der Branche. Betroffen sei auch die Forschung in den Universitäten.
Professor Johannes Buchmann vom Darmstädter Zentrum für IT-Sicherheit will sein Forschungs- und Lehrprogramm aufgrund des Hackerparagrafen nicht umstellen. "Darauf lassen wir es ankommen", sagte Buchmann. An der TU Darmstadt sei nachgewiesen worden, wie leicht sich der WEP-Standard für die Verschlüsselung von drahtlosen Netzen knacken lasse. Dies müsse auch künftig legal bleiben. Trotz der Zusicherung des Justizministeriums lasse der Wortlaut des Gesetzes unterschiedliche Interpretationen zu. "Die Sicherheitstechnik ist nie hundertprozentig sicher. Sie lebt davon, dass wir sie überprüfen", erklärte Buchmann und fügte hinzu: "Wenn wir das nicht machen, werden es die Bösen tun."
Quelle : www.spiegel.de
-
Die European Expert Group for IT Security (EICAR) hat im Rahmen ihres Information Security Summit eine juristische Stellungnahme zur Einführung des § 202c StGB veröffentlicht. Danach lässt der so genannte Hackerparagraph Sicherheitsexperten genügend Raum, Hacker-Werkzeuge zum Testen von Software-Exploits oder Lücken Netzwerken einzusetzen. Voraussetzung dafür sei allerdings, dass die "gutartige Tätigkeit" ausführlich dokumentiert wird. Beim Angriff auf Unternehmensnetze müsse obendrein das schriftliche Einverständnis der betroffenen Firma vorliegen.
Das EICAR-Positionspapier (PDF-Datei) zum 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität wurde von Dennis Jlussi und Christian Hawellek verfasst. Die Autoren kommen zum Schluss, dass es im Gesetz versäumt wurde, gutartige Tätigkeiten im Rahmen der IT-Sicherheit im Sinne der europäischen Cybercrime Convention klar von den Straftatbeständen abzugrenzen. Daher erzeuge der § 202c eine Rechtsunsicherheit, zumal bisher keine höchstrichterliche oder obergerichtliche Rechtssprechung in der Frage vorliege. Sicherheitsspezialisten, die Software wie Nessus und AppScan zur Schwachstellenanalyse einsetzen müssen, aber auch Malware wie Viren, Trojaner und Exploits verwenden, um bestehende System zu testen, sollten ihre Arbeit genau dokumentieren.
"Aus der Dokumentation sollte sich zweifelsfrei ergeben, dass die Software nicht beschafft wurde, um Straftaten zu begehen, sondern um gutartige Tätigkeiten auszuüben. Auch der Einsatz des Programms ist entsprechend – schriftlich und veränderungssicher – zu dokumentieren", heißt es in dem Positionspapier, das auch auf die Einwilligung von betroffenen Unternehmen zum Eindringen in Netzwerke hinweist: "Es ist auf eine geschlossene Legitimationskette von der Unternehmensleitung bis hin zu derjenigen Person zu achten, die die Einwilligung gibt. Dabei sind auch die Arbeitnehmerbeteiligungsrechte zu wahren." Obendrein halten die Autoren eine Klärung durch das Bundesverfassungsgericht für wünschenswert. Sie verweisen dabei auf die Verfassungsbeschwerde, die ein Hersteller von Computerprogrammen für die Kilometerzählerverfälschung eingelegt hat, um Rechtssicherheit für sein Programm zu bekommen.
Als problematische Grauzone werden im Positionspapier vor allem die Exploits dargestellt, die etwa bei der Erstellung von Software für eine verdeckte Online-Durchsuchung eine wichtige Rolle spielen sollen. "Ein Exploit ist z.B. an sich nach objektiver Zweckbestimmung strafwürdig. Ob das aber etwa auch für Exploits gilt, die von IT-Sicherheitsmitarbeitern erstellt werden und Sicherheitslücken testweise ausnutzen, die bekannt sind und geschlossen sein sollten, ist sehr fraglich; diese können möglicherweise bereits nach objektivierter Bestimmung auch zur gutartigen Verwendung bestimmt sein", heißt es in der Stellungnahme der Juristen.
Quelle : www.heise.de
-
Die britische Regierung hat das auch im Vereinten Königreich geplante Verbot sogenannter Hacker-Tools erläutert. So will sie etwa mit der Erklärung, dass ein erfasstes Hackerwerkzeug mit der Absicht zum Begehen einer Straftat programmiert worden sein muss, eine Kriminalisierung von Sicherheitstestern verhindern. Zudem sollen Strafverfolger unter anderem mit prüfen, ob ein vermeintliches Instrument für Cybergangster nicht vielleicht doch "auf kommerzielle Basis weit verfügbar ist und durch legitime Kanäle verkauft wird". An entsprechenden Klarstellungen hat sich der Crown Prosecution Service (CPS) mit einer sechsseitigen Richtlinie (PDF-Datei) zur Auslegung der im Raum stehenden Novelle des Computer Misuse Act (CMA) versucht. Die Regierungsstelle für England und Wales ist direkt dem Parlament verantwortlich und fungiert als eine Art Vermittlungsstelle hin zu Polizeien und Staatsanwaltschaften.
Das Grundproblem bei einem Verbot von "Hacker-Tools" ist, dass die teils unter dieser Kategorie gehandelten Programme wie nmap oder wireshark in der Regel auch von Systemadministratoren und Sicherheitsberatern für die Absicherung von Netzwerken genutzt werden. Die Unterschiede zwischen einem Passwortknacker und einer Software für die Wiederherstellung von Passwörtern sind genauso filigran wie die zwischen einem Programm zur Steuerung von Denial-of-Service-Attacken und einem anderen zum Testen der Belastbarkeit eines Netzwerks. Kritikern zufolge bringen auch die Richtlinien des CPS nicht die erforderliche juristische Klarheit mit sich. So würden viele Open-Source-Werkzeuge etwa schon beim Test der weiten kommerziellen Verfügbarkeit durchfallen. Der Sicherheitsforscher Richard Clayton von der Universität Cambridge moniert ferner, dass der CPS häufig auf Beiworte wie "hauptsächlich" oder "absichtlich" ausweiche. Dies mache die Materie nicht greifbarer.
Die Neuregelung des CMA soll in die Überarbeitung des britischen Polizei- und Justizgesetzes eingebaut werden. Damit soll der Besitz von Hardware oder Software, mit denen Computerangriffe gestartet werden können, mit bis zu 12 Monaten Haft geahndet werden können. Der Gesetzesentwurf sieht ferner etwa auch eine Erhöhung der maximalen Gefängnisstrafe für das Eindringen in fremde Computer von fünf auf zehn Jahre vor. Auch soll es künftig eine gesetzliche Handhabe gegen Delikte wie Denial-of-Service-Attacken und die Verbreitung von schädlichen Code geben. Das Vorhaben hat sich aber verzögert, da es gemeinsam mit dem so genannten Serious Crimes Bill verabschiedet werden soll. Damit wird frühestens im April gerechnet.
Hierzulande trat im August eine vergleichbare und ebenfalls heftig umstrittene Verschärfung des Computerstrafrechts in Kraft. Im Zentrum der Kritik steht neue Paragraph 202c Strafgesetzbuch (StGB). Danach soll die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden. Auch die Rechtspolitiker des Bundestages bemühten sich in einem parallelen Beschlusspapier zu dem Gesetz um eine Klarstellung, um eine "Überkriminalisierung" der Anwendergruppen so genannter "Dual use"-Werkzeuge zu verhindern. Betroffen sein sollen demnach allein Computerprogramme, die in erster Linie dafür ausgelegt oder hergestellt werden, um Computerstraftaten zu begehen. Trotzdem fordern IT-Branchenverbände, die Hackeparagraphen rasch wieder zu entschärfen. Die jetzige Fassung sei kontraproduktiv für die IT-Sicherheit.
Quelle : www.heise.de
-
Jürgen Seeger, Chefredakteur des IT-Magazins iX, das wie heise online vom Heise Zeitschriften Verlag herausgegeben wird, hat sich heute bei der Staatsanwaltschaft Hannover selbst wegen Vorbereitung des Ausspähens und Abfangens von Daten nach Paragraf 202c StGB angezeigt. Grund ist eine Toolsammlung auf der Heft-DVD des iX Special "Sicher im Netz", mit dem man Schwachstellen in der IT-Infrastruktur aufzeigen, aber auch ausnutzen kann.
Das Special des Magazins iX, das seit dem 16. Oktober im Handel ist, gibt Administratoren Tipps, wie sie Systemeinbrüche simulieren können, um anschließend geeignete Schutzmethoden zu finden. Auf der Heft-DVD befindet sich unter anderem die Linux-Live-Distribution "BackTrack 3", bestehend aus über 300 Tools. Derartige Software ist ein klassisches Beispiel für so genannte "dual use"-Programme. Dabei handelt es sich um Software, die sowohl zu legalen Zwecken der Sicherheitsprüfung der eigenen IT als auch zu illegalen Zwecken im Rahmen des "Hacking" verwendet werden kann.
"Wir verteilen die Software, da es für Administratoren unentbehrlich ist, diese Programme zum Schutz des eigenen Systems und zur Abwehr von Angriffen zu verwenden. Gleichzeitig können wir aber nicht ausschließen, dass die Programme auch im rechtswidrigen Rahmen eingesetzt werden", erklärt iX-Chefredakteur Jürgen Seeger. "Aufgrund der erheblichen Rechtsunsicherheit nicht nur bei professionellen Sicherheitsexperten, sondern auch bei Zeitschriften, bleibt uns keine andere Wahl, als die juristische Einordnung des Verteilens derartiger Programme im Rahmen einer Selbstanzeige prüfen zu lassen."
Quelle : www.heise.de
-
Die Beschwerdeausschüsse des Deutschen Presserats haben bei ihrer jüngsten Tagung in Bonn (3. bis 5. März) insgesamt sechs Rügen, 16 Missbilligungen und 21 Hinweise zu redaktionellen Veröffentlichungen in Zeitungen und Zeitschriften ausgesprochen. Das härteste Sanktionsmittel – eine öffentliche Rüge, die im Medium abdruckt werden muss – wurde unter anderem gegen eine Computerzeitschrift verhängt. Die PC-Welt hatte über die "15 illegalsten Hacker-Tools" berichtet und deren Funktionsweise ausführlich dargestellt.
"Eine solche Berichterstattung über nicht legale Programme entspricht nicht den journalistischen Grundsätzen", verdeutlichte der Presserat. Das Ansehen der Presse gerate in Gefahr, wenn eine Zeitschrift "Gebrauchsanweisungen" für verbotene Software gebe. Verletzt sehen die Pressewächter Ziffer 1 des Pressekodex, der besagt: "Die Achtung vor der Wahrheit, die Wahrung der Menschenwürde und die wahrhaftige Unterrichtung der Öffentlichkeit sind oberste Gebote der Presse. Jede in der Presse tätige Person wahrt auf dieser Grundlage das Ansehen und die Glaubwürdigkeit der Medien."
Insgesamt befassten sich die Presserats-Ausschüsse diesmal mit 97 Beschwerden, von denen 32 als unbegründet erachtet wurden. In vier Fällen wurde die Beschwerde zwar als begründet angesehen, auf eine Maßnahme aber verzichtet. Künftig wird sich die Freiwillige Selbstkontrolle der Printmedien in Deutschland auch journalistischen Internet-Angeboten widmen. Denn der Pressekodex, der Grundsätze wie "gründliche und faire Recherche" sowie "klare Trennung von redaktionellem Text und Anzeigen" umfasst, gilt auch für Online-Angebote.
Quelle : www.heise.de
-
Die Staatsanwaltschaft Hannover hat die Ermittlungen gegen Jürgen Seeger, Chefredakteur des Magazins 'iX', eingestellt. Das teilte der Heise-Verlag heute mit.
Seeger hatte Ende des letzten Jahres eine Selbstanzeige wegen Verstoßes gegen den so genannten "Hacker-Paragraphen" erstattet. Der § 202c des Strafgesetzbuchs (StGB) untersagt die Verbreitung von Software, die für Einbrüche in fremde Computer-Systeme genutzt werden kann.
Gegen das Gesetz gab es lange Zeit massiven Widerstand aus der IT-Branche. Immerhin verwenden Administratoren genau die gleichen Tools, um die Sicherheit von Netzwerken zu überprüfen. Eine strikte Umsetzung des Gesetzes würde entsprechende Tests auf legalem Weg praktisch unmöglich machen, wodurch die neue Regelung zu einer großen Rechtsunsicherheit führte.
Das 'iX'-Magazin verbreitete entsprechende Software im letzten Jahr auf einer beiliegenden "Sicherheits-CD". Die Staatsanwaltschaft Hannover sah nun aber keinen Grund, deshalb gegen Seeger vorzugehen. Wie der Verlag mitteilte, berief man sich dabei nicht auf den reinen Gesetzestext, sondern auch die dazugehörige Gesetzesbegründung des Bundestages.
Die Intention des Gesetzes liege in der Abwehr von weitergehenden Straftaten, die mit entsprechenden Programmen vorbereitet werden können. Deshalb ist zu berücksichtigen, mit welcher Absicht der jeweilige Anbieter die Software weitergibt. Soll sie zur Verbesserung des Schutzes von Netzen dienen, sei die Tat nicht strafbar.
Zwar ist die Entscheidung der Staatsanwaltschaft Hannover nicht für andere Gerichte bindend, eine gewisse Leitlinie dürfte sie für den zukünftigen Umgang mit dem umstrittenen Paragraphen aber durchaus darstellen. Ein Interpretationsspielraum bleibt allerdings bestehen.
Quelle : Winfuture.de
-
Wenn Heise für den Vertrieb von Hackertools nicht bestraft wird, bedeutet dies automatisch ein Stück weit Rechtssicherheit für alle in Deutschland tätigen Administratoren? Wir wollten es genauer wissen, weswegen wir uns mit Rechtsanwalt Dr. Michael Stehmann eingehend über diesen Sachverhalt unterhalten haben.
Im Dezember letzten Jahres hat sich Herr Seeger bei der Staatsanwaltschaft Hannover wegen der Vorbereitung des Ausspähens und Abfangens von Daten nach § 202c StGB selbst angezeigt. Anlass der Selbstanzeige war eine DVD mit über 300 Tools, die er bereits im Oktober dem Magazin iX beigefügt hatte.
Am 7. März erhielt iX-Chefredakteur Jürgen Seeger von der zuständigen Staatsanwaltschaft die Mitteilung, dass sein Verfahren ohne strafrechtliche Konsequenzen eingestellt wurde. Herr Seeger hatte mit seiner Selbstanzeige auf die Sinnlosigkeit des juristischen Unterfangens der Hackerparagrafen aufmerksam machen wollen. Wir haben uns mit einem Fachanwalt darüber unterhalten, welche Auswirkungen diese Entscheidung auf die hiesigen Netzwerk-Administratoren und Verlage von Computerzeitschriften haben könnte. Wenn die Heise Medien Gruppe nicht strafrechtlich verfolgt wird, inwiefern hat dies Auswirkungen auf alle anderen Personen, die deutschlandweit mit diesem Thema in Berührung kommen?
Lars Sobiraj: Anfang März bekam der Chefredakteur der iX die Mitteilung der zuständigen Staatsanwaltschaft, dass man sein Verfahren eingestellt hat. Welche Konsequenzen wird dieses Vorgehen haben? Können andere Zeitschriften jetzt wieder gefahrlos Tools, die zum Dual Use geeignet sind, veröffentlichen?
Michael Stehmann: Eine (relative) Rechtssicherheit wäre erst gegeben, wenn der Bundesgerichtshof entschieden hätte. Entwarnung kann daher nicht gegeben werden. Gleichwohl ist diese erste bekannte Entscheidung einer Staatsanwaltschaft ein Meilenstein - auch wenn der Weg längst noch nicht zu Ende ist.
Es wäre der Rechtssicherheit dienlicher gewesen, wenn die Staatsanwaltschaft Anklage möglichst vor einer Strafkammer des Landgerichtes erhoben hätte, diese Anklage dort zugelassen worden wäre, wenn dann Revision gegen das landgerichtliche Urteil eingelegt worden wäre und schließlich der Bundesgerichtshof entschieden hätte. Dabei hätten aber alle Beteiligten im Interesse eines Musterprozesses "mitspielen" müssen. Es gab etwas Ähnliches in der Vergangenheit einmal in der Zivilgerichtsbarkeit im Zusammenhang mit der Erstattungspflicht der sogenannten Fangprämie des Kaufhausdetektivs, wo man den Fall mit ein paar "Hacks" bis zum Bundesgerichtshof gebracht hat, um Rechtsklarheit zu gewinnen (BGHZ 75, 230 ff.)
Lars Sobiraj: Die Staatsanwaltschaften sind untereinander doch unabhängig, oder? Von daher könnte der nächste Staatsanwalt doch ganz anders reagieren. Manche Benutzer des gulli:Boards glaubten, es würde sich um eine Gerichtsentscheidung handeln. Wie sehr ist denn damit zu rechnen, dass sich die Kollegen an dieser Entscheidung zumindest ein Beispiel nehmen werden?
Michael Stehmann: Die Entscheidung bindet formell niemanden. Sie kann daher zunächst einmal nur Wirkung über die Überzeugungskraft ihrer Begründung entfalten.
Allerdings kann von ihr außerdem eine "normative Kraft des Faktischen" ausgehen. Das Strafgesetzbuch kennt nämlich in § 17 den sogenannten Verbotsirrtum.
§ 17 Verbotsirrtum
Fehlt dem Täter bei Begehung der Tat die Einsicht, Unrecht zu tun, so handelt er ohne Schuld, wenn er diesen Irrtum nicht vermeiden konnte. Konnte der Täter den Irrtum vermeiden, so kann die Strafe nach § 49 Abs. 1 gemildert werden.
Jemand der einer ähnlichen Tat beschuldigt oder angeklagt wird, kann nun geltend machen, er sei von der Erlaubtheit seines Tuns ausgegangen aufgrund der erfolgten sorgfältigen Prüfung eines im Strafrecht besonders erfahrenen Juristen, nämlich des Staatsanwalts, der die in Rede stehende Entscheidung erlassen hat.
Allerdings wäre dieser Einwand zum Einen sofort wieder hinfällig, sobald eine Entscheidung publiziert wird, in welcher es nur wegen § 17 Satz 1 StGB zu keiner Anklage oder Bestrafung kommt, das Verhalten aber grundsätzlich für strafbar erklärt wird.
Auch ist jeder Fall anders, so dass zum anderen schon aufgrund der konkreten Abweichungen des Einzelfalls von dem entschiedenen eine Vermeidbarkeit des Verbotsirrtums mit der Folge der Bestrafung verneint werden kann.
Lars Sobiraj: Wäre es für Netzwerk-Administratoren vielleicht auch ein gehbarer Weg, wenn sich diese wegen ihrer Tätigkeit selbst anzeigen würden? Es ist zumindest nicht unwahrscheinlich, dass es ihnen ähnlich wie Herrn Seeger ergehen wird. Ein solches Verhalten würde die Hackerparagrafen ad absurdum führen.
Michael Stehmann: Diese Gesetze sind schon absurd genug (siehe unser Interview von 2007) ;-). Derjenige, der eine Selbstanzeige in Erwägung zieht, muss die nervlichen und finanziellen Kapazitäten haben, die Sache gegebenenfalls bis zur letzten Instanz oder sogar bis zum Bundesverfassungsgericht "durchzuziehen". Hierüber verfügt ein durchschnittlicher Admin wohl eher nicht.
Hinzu kommt noch, dass eine negative Entscheidung die Berufung auf den Verbotsirrtum für künftige Fälle zunichte machen kann.
Für vorsichtige Admins ist es eher ratsam, vorsorglich ihre Tätigkeit durch einen fachkundigen Anwalt begutachten lassen. Folgen sie dann dessen Rat, können sie sich gegebenenfalls auf einen Verbotsirrtum berufen. Ein solches schriftliches Gutachten ist allerdings sicherlich nicht ganz billig zu haben, wenn es seriös sein soll.
Lars Sobiraj: In der Konsequenz müssen die Admins also weiterhin das im Verborgenen tun, was nötig ist, um ihre Netzwerke abzusichern. Wenn überhaupt, wann rechnest du mit einer Korrektur der Gesetze?
Michael Stehmann: Also in dieser Legislaturperiode, die ja noch in diesem Jahr zu Ende geht, nicht mehr. Und was in der nächsten geschieht, hängt wohl vom Wahlausgang ab. Alle wahlberechtigten gulli-Leser sollten erstens wählen gehen und zweitens genau schauen, welche Partei Ihre Interessen am ehesten im Bundestag vertreten wird.
Eine gewisse Korrektur können diese Gesetze schließlich auch durch die gemeinsame Überzeugung aller seriösen IT-Sicherheitsfachleute erfahren, dass gewisse Verhaltensweisen kein strafwürdiges Unrecht darstellen. Hierüber könnten sich Gerichte und Staatsanwaltschaften wohl nicht ohne Weiteres hinwegsetzen.
Lars Sobiraj: In dem Fall müssen Organisationen wie The Hackers Choice (THC) und viele andere weiterhin separat eine Webseite für Deutschland und eine für das internationale Publikum zur Verfügung stellen. Auch allen in der IT-Branche tätigen Personen sind dadurch in Deutschland weiterhin die Hände gebunden. Über den Sinn oder Unsinn solcher Zustände sollte sich jeder Leser selbst ein Bild machen. Michael, dir auf jeden Fall vielen Dank für deine aufklärenden Worte und das Interview!
Quelle und Links : http://www.gulli.com/news/hackerparagrafen-folgen-der-ix-2009-03-29/
-
Im Interview mit Technology Review plädiert Giovanni Vigna, Organisator eines weltweiten Hacker-Wettbewerbs "Capture the flag" (ICTF), dafür, Angriffe auf Netzwerke gezielt zu üben, um Sicherheitsexperten besser auszubilden. Technology Review 06/09 ist seit dem 20.5. am Kiosk oder portokostenfrei online zu bestellen.
"Es ist wichtig zu wissen, wie man einen Service angreift, denn nur wer genau weiß, wie sich eine Schwachstelle nutzen lässt, kann auch die richtigen Schutzmaßnahmen entwickeln", sagt Vigna im Interview mit TR. "Klassisches Beispiel: Jemand, der einen Wandsafe baut. Sie glauben doch nicht, dass diese Leute nicht wüssten, wie man einen Safe knackt? Natürlich wissen sie das. IT-Mitarbeiter, die sich Sicherheitsexperten schimpfen, aber gleichzeitig einräumen, sie wissen nicht, welche Remote-Sicherheitslücken es beim Integrieren von PHP-Dateien gibt, werden mit ziemlicher Sicherheit Fehler machen und PHP-Dateien mit der falschen Konfiguration installieren, wodurch Sicherheitslücken entstehen."
Der iCTF-Wettbewerb, der einmal jährlich, meist im Dezember, stattfindet, ist in der Regel in ein fiktives Szenario eingebettet. Im vergangenen Jahr hatten die Veranstalter um Vigna eine Art Terrorübung angesetzt: Die Teilnehmer hatten sieben Stunden Zeit, um ein mit der Site Softerror.com verbundenes Netzwerk zu knacken, da sie nur so das dort laufende Steuerprogramm für "einen atomaren Sprengsatz" entschärfen konnten. TR-Redakteur Gordon Bolduan hat den Vorjahressiegern des Teams Squareroot Mannheim in dieser Nacht über die Schulter geschaut. Die Mannheimer mussten sich allerdings in diesem Jahr der Berliner Mannschaft ENOFLAG geschlagen geben.
Bedenken, die Studenten könnten die so erworbenen Kenntnisse missbrauchen, hat Vigna nicht. "Jeder kann einen Baseballschläger kaufen. Der dient dazu, Baseball zu spielen. Aber niemand kann verhindern, dass jemand den Schläger nimmt und damit einen anderen Menschen erschlägt", sagt Vigna. "Was soll man denn dann machen? Den Leuten nicht mehr beibringen, wie man Baseball spielt? Oder wie man einen Baseballschläger benutzt? In meinen Vorlesungen verwende ich übrigens eine Menge Zeit darauf, ethische Aspekte anzusprechen. Was ist legal, was ist illegal? Wie werden diese Sicherheitstests ausgeführt? Im eigenen Netzwerk, nicht in fremden. Und das ist ziemlich effektiv. Ich hatte in dieser Hinsicht noch nie irgendwelche Probleme mit meinen Studenten."
Quelle : www.heise.de
-
Die seit zwei Jahren geltende Strafbarkeit des Umgangs mit sogenannter Hackersoftware ist mit dem Grundgesetz vereinbar. Das Bundesverfassungsgericht lehnte die Beschwerden eines EDV-Unternehmers, eines Wissenschaftlers und eines Computernutzers als unzulässig ab. Sie hatten gegen zwei Paragrafen geklagt, die die Herstellung und Verbreitung von Programmen zum Ausspähen und Abfangen von Daten unter Strafe stellen. Die Kläger sahen sich durch den Wortlaut der Normen bedroht, weil sie – wenn auch ohne kriminelle Absicht – mit Hackerprogrammen umgehen.
Die Karlsruher Richter dagegen sahen die Grundrechte nicht betroffen. Nach ihren Worten gelten die Vorschriften aber nur für Programme, die mit illegaler Absicht entwickelt wurden. Allein die Eignung eines Programms zur Verwendung für einen Hackerangriff mache dessen Einsatz noch nicht strafbar, heißt es in dem am Freitag veröffentlichten Beschluss (Az: 2 BvR 2233/07, 1151/08 und 1524/08, Beschluss vom 18. Mai 2009).
Die Paragrafen 202a und 202b Strafgesetzbuch, mit denen ein Übereinkommen des Europarats zur Bekämpfung der Computerkriminalität umgesetzt worden war, sollen bereits bestimmte Vorbereitungshandlungen für kriminelle Hackerangriffe unter Strafe stellen und sind deshalb relativ weit gefasst. In einer ausführlichen Entscheidung stellt eine Kammer des Zweiten Senats aber klar, dass der Bundestag damit ausdrücklich nur Software erfassen wollte, die für einen kriminellen "Zweck" hergestellt worden sind. Sogenannte "Dual use"-Produkte, die im Dienste der Computersicherheit genutzt werden, aber eben auch für Hackerangriffe taugen, sind laut Gericht nicht davon erfasst, weil sie einem legalen Zweck dienten. Zumindest aber fehle jedem, der solche Programme zu erlaubten Tätigkeiten nutze, der für eine Strafbarkeit notwendige Vorsatz.
Erst im vergangenen März stellte die Staatsanwaltschaft Hannover ein Verfahren gegen Jürgen Seeger, Chefredakteur des IT-Magazins iX, ein. Seeger hatte sich Ende 2008 selbst angezeigt. Ausgangspunkt dafür war die Veröffentlichung von Sicherheitssoftware auf der Heft-DVD des iX Special "Sicher im Netz".
Quelle : www.heise.de (http://www.heise.de)
-
Vier Beteiligte des Hackerboards alpha-accz.ws sollen kürzlich Hausdurchsuchungen wegen Verstoßes gegen den Paragrafen 202c des Strafgesetzbuches zum Opfer gefallen sein. Im Forum geht es vor allem um Kreditkartenbetrug und den Austausch von Tipps und Software im Bereich Hacking und Faking.
Die entsprechende Information wurde uns gestern aus anonymer Quelle zugespielt. Die Privatwohnungen der beiden Admins und Co-Admins von alpha-accz.ws wurden dabei jeweils mit einer Hausdurchsuchung bedacht. Das StGB besagt: "Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, [...]", wird für eine sehr lange Zeit nicht mehr glücklich. (oder so ähnlich)
Der "Hackerparagraf" war eines der umstrittensten Gesetze, welches in jüngster Vergangenheit in das Strafgesetzbuch aufgenommen wurde. Insbesondere seine vage Formulierung führte dazu, dass er von vielen Sicherheitsexperten und IT-Verbänden überaus kritisch betrachtet und auch inhaltlich attackiert wurde. Lange Zeit war es still geworden, um die Nutzung des Paragrafen, bis uns heute morgen die vorliegende Meldung erreichte. Eine Seite des Beschlusses einer Hausdurchsuchung liegt uns in geschwärzter Form vor. Darin wird dem Durchsuchten zur Last gelegt, dass er als Administrator oder Moderator in wesentlichem Maße an der Gestaltung und Pflege der Internetseite alpha-accz.ws beteiligt ist. Einziges Ziel des Forums sei es gewesen, den Teilnehmern Software zur Verfügung zu stellen, die gegen den Paragrafen 202c verstößt. Die Betroffenen haben bewusst an dieser Seite mitgewirkt und diese gepflegt, auch mit bisher weiteren unbekannten Mittätern.
Dabei spricht der Durchsuchungsbeschluss von einem User namens "Marst", welcher am 19.12.2008 durch eine Software Zugriff auf die Festplatte eines Geschädigten nahm. Die dort erlangten Daten stellte er im Forum ein. Es bestehe deshalb auch der Verdacht, dass sich der User die hierfür benötigte Software bei alpha-accz.ws besorgt habe. Die Betreiber hätten dies gezielt gefördert.
Im weiteren wird darauf hingewiesen, dass auf der Seite seit Mitte 2008 sogenannte Trojaner zur Verfügung gestellt werden. Dabei konnten die User entsprechende Software untereinander austauschen. Aus diesen Tatsachen ergebe sich, dass die Software zur Vorbereitung von Straftaten im Sinne des §202c StGB genutzt wurde, was auch den Verantwortlichen des Forums bewusst war.
Die Tat des Betroffenen sei als Beihilfe zum Ausspähen von Daten sowie als Beihilfe zum Vorbereiten des Ausspähens und Abfangens von Daten zu bewerten, weshalb sich dieser gegen mehrere Gesetze des Strafgesetzbuches verstoßen habe.
Weitere Details zum Umfang der Ermittlungen liegen uns leider noch nicht vor.
Quelle : www.gulli.com (http://www.gulli.com)
-
Wer andern ihren Rechner hackt - fällt oft selbst hinein, wie Sicherheitsexperten feststellten. Bei ihrer Untersuchung beliebter "Hackertools" stellten die Forscher fest, dass diese oftmals selbst erhebliche Sicherheitslücken aufweisen.
Wie die BBC berichtet, sind viele der beliebten Tools, mit deren Hilfe sich Hacker, Cyberkriminelle und Scriptkiddies Zugang zu fremden Rechnern verschaffen, alles andere als sicher. Während einige Angreifer mit selbst geschriebenen Programmen vorgehen würden, bedienten sich viele andere bei im Internet verfügbaren vorgefertigten Tools. Diese Pakete würden zwar alles enthalten, was Hacker brauchten, seien aber selbst kaum gegen Angriffe geschützt, so die Ergebnisse der Untersuchung des französischen Sicherheitsexperten Laurent Oudot von Tehtri Security.
Viele der Lücken sind dabei offenbar so leicht zu finden, dass sie ohne Weiteres ausgenutzt werden können. So läßt sich oft die Identität des Angreifers herausfinden und dessen Rechner seinerseits angreifen. Mit diesen Erkenntnissen ging der Forscher bereits im Rahmen der SyScan 2010 Security Conference in Singapur an die Öffentlichkeit und nannte dabei dreizehn unterschiedliche Sicherheitslücken, die er in einigen der populärsten und meist verwendeten Programmen gefunden hatte.
Natürlich profitieren teilweise auch "White Hats" und Sicherheitsforscher von diesen Lücken. In vielen Fällen könnten Sicherheitsexperten diese Schlupflöcher dazu nutzen um Hacker wiederum selbst zu hacken, so Oudot. Das soll dazu dienen, mehr Informationen über mögliche Angreifer zu bekommen und sie auf diese Weise zu identifizieren, ihre Methoden kennenzulernen oder die Spur bis zum PC des Hackers zurückzuverfolgen. Dieses Vorgehen steht allerdings teilweise im Konflikt mit aktuellen Gesetzen. Dass dieses Vorgehen rechtlich problematisch sein könnte, gestand Oudot bei der Präsentation ein. Die praktische Anwendung stünde momentan auch nicht im Vordergrund. Die Ergebnisse der Untersuchung sollten dazu dienen, im Bereich der Internet-Sicherheit neue Möglichkeiten anzudenken.
Quelle : www.gulli.com