Ich hatte kürzlich die Gelegenheit, einer Podiumsdiskussion unter Juristen zum Thema “Hackerparagraph” als Zuhörer beizuwohnen. Ort und Zeit sollen hier mal unerwähnt bleiben. Mir war im vorhinein schon klar, daß dabei in der Sache nichts weltbewegendes herauskommen würde. Wie denn auch, der Paragraph steht ja schließlich schon im Gesetzbuch. Wirklich ernüchtert war ich aber über ein paar Dinge, die sich am Ende herauskristallisierten, und mit denen ich wirklich nie in dieser unverhohlenen Deutlichkeit gerechnet hätte.

Hier ein kurzes Gedächtnisprotokoll:

Alle auf dem Podium sitzenden Personen waren sich klipp und klar darüber einig, daß der sogenannte Hackerparagraph eine vollkommene Fehlkonstruktion ist.

Die Verhältnismäßigkeiten der Absätze des §202a/b/c seien inkonsistent und “so schlecht gemacht, daß jeder Verteidiger seinen Mandanten problemlos rausboxen kann.” - Daß man trotzdem zunächst ein Strafverfahren an der Backe hat und vor Gericht steht, ist den Anwälten allerdings in dieser konkreten Form erstmal egal. Ein Zuhörer fragte, ob einem solchen Verfahren nicht doch erstmal der Besuch der Polizei, früh um vier, und die Sicherstellung der ganzen Hardware vorausginge. Eine schwerwiegende Befürchtung, die mit den Worten entkräftet wurde: “Keine Angst. Die kommen nicht vor sieben.”

Die Anwälte sehen dieses nach ihrem Urteil mißlungene Gesetz in gewisser Weise sportlich. Sie finden nicht schlimmes dabei, das Strafgesetzbuch hacken zu müssen, so wie unsereins nichts dabei findet, die gerade gekaufte Hardware mit einer neuen Firmware zu flashen. Ich will ihnen nicht unmittelbar unterstellen, daß ihnen die massive Rechtsunsicherheit in der Sicherheits-Community egal ist, aber ein siegessicherer Anwalt allein macht noch keinen Freispruch.

Es gab bisher zwei Verfahren nach §202c, die in kürzester Zeit eingestellt wurden: Eine Anzeige gegen das BSI und eine Selbstanzeige. Ich habe leider vergessen, nach Diskussionsende nochmal Details zu erfragen.

Im Saal fand sich nur ein einziger offener Befürworter des §202c, der aber aufgrund seiner etwas haarigen Argumente nicht unbedingt meinungsbildenden Einfluß hatte.

Ein Zuschauer schlug vor, das Veröffentlichen von Exploits könnte z.B. dann legal sein, wenn man einen Bugfix gleich mitliefert. Was natürlich Quatsch ist. Leider war das schon ganz am Ende, so daß darauf nicht näher eingegangen wurde. Dabei war vorher schon einmal von Softwareherstellern gesprochen worden, die Fehler in ihrer Software so lange ignorieren, bis sie durch Veröffentlichung eines Exploit förmlich erpreßt werden. Das war leider ein Szenario, mit dem die Juristen nicht so sehr viel anfangen konnten.

Ein Hauch von Kontroverse kam auf dem Podium lediglich bei der Frage auf, ob das mit dem §202c in seiner Interpretationsbedürftigkeit schon so in Ordnung geht, oder ob er nicht doch nachgebessert werden sollte. Die beteiligten Informatikprofessoren wiesen unmißverständlich darauf hin, daß sich aufgrund des “Hackerparagraphen” sowohl ihre eigenen Methoden als auch das Verhalten ihrer Studenten geändert hätten. Letztere würden mitunter in Situationen Anonymität wünschen, wo ihre Vorgänger noch gern ihre Namen gesehen haben. Die Juristen meinten dazu, grob gesagt, daß die Studenten sich wegen §202c mal kein Bonbon in die Hose machen sollten.

Das Wort “Kriegswaffenkontrollgesetz” wurde übrigens auch ausgesprochen. Bullshit-Bingo!

Was habe ich gelernt: Die Juristen in Deutschland wissen, daß der Gesetzgebungsprozeß in unserem Land vollkommen im Eimer ist. Sie nehmen das ganze sportlich und sind sich einfach mal sicher, daß es schon nicht so schlimm kommen wird, wie wir Sensibelchen es laienhaft direkt aus den Buchstaben des Gesetzes herauslesen.

Ich kann mir nicht vorstellen, daß ein einziger juristischer Laie aus einer solchen Vorstellung herausgehen kann, ohne dabei Bauchschmerzen zu haben. Als Bürger darf man sich nämlich nicht nur Sicherheit vor Straßenräubern und Terroristen wünschen, sondern auch Sicherheit gegenüber dem Staat und seinen Gesetzen. Das Gegenteil von staatlicher Willkür eben: Rechtssicherheit. Es liegt klar auf der Hand, daß diese im konkreten Fall in keiner Weise gegeben ist.

Der Paragraph 202c des Strafgesetzbuches zeigt die erste Wirkung, meint der CCC. In der Tat, seit der “Hackerparagraph” vom BVG verschärft wurde, gehen nicht nur die Sicherheitsstandarts in der Software zurück, auch Deutschland als IT-Standort ist potentiell gefährdet.

§ 202c
Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

	1.	Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
	2.	Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.

Dieser Gesetzestext besagt, dass jegliche Art von Software zum benutzen von Sicherheitslücken ´sowohl in der Entwicklung als auch in der Anwendung strengstens verboten ist. Dies gilt nicht nur für potentielle Angreifer, welche in fremde Systeme eindringen und Daten stehlen oder Manipulieren möchten, sondern auch für die Entwickler seriöser Software, welche mit solchen “Hackertools” die eigene Software auf Sicherheitslücken testen.

Aus Angst vor einer rechtlichen Verfolgung nimmt die Zahl der “Bugreporter”, Personen, die Softwarefehler, insbesondere Sicherheitslücken beim Hersteller der Software melden ab und damit verbunden auch die Lösungen. So kann man sagen, dass durch dieses Gesetz der genaue Gegenteil des eigentlichen Ziels erwirkt wurde. Denn die Angreifer mit der Absicht, Schaden zu verursachen, lassen sich von diesem Paragraph noch lange nicht beeindrucken und werkeln munter an ihren Werken weiter, während den Personen, welche solchen Angriffe vorbeugen sollen, der Hahn abgedreht wird.

So meint der CCC:

“Aus dem neuen Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ergibt sich nach Ansicht des CCC, dass jeder die eigenen Computersysteme auf Sicherheitslücken testen können muss. Dazu ist der Besitz, das Testen, der öffentliche Informationsaustausch und die Weiterentwicklung von sog. Hackertools zwingend notwendig.”

Niemand möchte heutzutage eine unsichere Software und sogar bei den kleinsten Programmen wird von Programmierern auf ein hohes Maß an Sicherheit geachtet. So planen einige Unternehmen in der IT-Sicherheit sogar schon, ins Ausland auszuwandern, um den Hackerparagraph umgehen zu können.

Die Grundrechte der Berufs-, Forschungs- und Pressefreiheit werden durch dieses Gesetz maßgeblich eingeschränkt und dies ist definitiv Verfassungswiedrig!

Besucher des Forums hacksector.cc haben Besuch der Exekutive in Form von Polizei und Staatsanwaltschaft erhalten.

Die Staatsanwaltschaft brüstet sich momentan mit der “Zerschlagung” des 33.000-Nutzer starken Forums einen Schlag gegen die Internetkriminalität gelandet zu haben.

Gut, aus meiner Sicht spricht die gigantische Zahl an Ermittlungen (ganze 11 ) im Kontrast zu den Nutzern eher dafür, dass man einen Treffpunkt der nationalen Script-Kiddie-Szene gefunden hat. Aber, hey, ich habe ja wahrscheinlich auch mehr Ahnung von diesen Dingen als der Durchschnittliche Beamte, der diese Seite beim Surfen im Internet “durch die daran anschließende Überwachung” gefunden hat.

Auch das Alter der Verdächtigen (15-21 Jahre) und das auffinden der Benutzer (Tor, anyone?) lässt meines Erachtens eher auf kleine Fische denn echte Schwerkriminelle schließen.

Gut, ich kenne hacksector.cc nicht. Will ich auch nicht. Aber, echte Hacker oder Leute die sich für das Thema IT-Sicherheit interessieren müssen sich nicht in irgendwelchen dubiosen in schwarz gehaltenen .cc-Foren treffen.  Die können sich auch auf den Seiten rund um IT-Sicherheit informieren, die es zu tausenden im Netz gibt und i.d.r. von Firmen geführt werden (Heise/Slashdot) oder sie chatten gleich in geschützten IRC-Channels.

Aber, was mir viel mehr Sorgen bereitet, als das Schließen einer Script-Kiddie-Seite ist der Verweis auf den neuen §202 c (StGB) der bereits das erstellen von Programmen deren “Zweck es ist” das Ausspähen von Daten.

Dieser Einsatz könnte, je nach Erfolg und dem was die Polizei bei den Durchsuchungen sichergestellt hat, als Musterfall für den neuen Hacker-Paragraphen werden. (Wäre z.B. interessant, ob die “Hacker” z.B. ihre Systeme geschützt/verschlüsselt haben…)

Nach dem neuen Gesetz dürfte auch schon der Besitz der Security-Auditing-Distribution BackTrack oder  der vom BSI herausgegebenen BOSS strafbar sein. Die Frage, ob dies dann auch geahndet wird, dürfte wie so häufig, vom Ermessensspielraum der beteiligten Ermittlern abhängen.

Oder anders ausgedrückt, danach ob der Besitz eines Küchenmessers einem zum potenziellen Mörder macht oder nicht. Hallo, Gedankenverbrechen.