[DE] Hacker-Paragraf: Wie Sicherheitsexperten kriminalisiert werden

Diskutiere Hacker-Paragraf: Wie Sicherheitsexperten kriminalisiert werden im IT-News Forum im Bereich News; Grösser? Aufs Bild klicken Das Gesetz, das in Sachen IT-Sicherheit letztes Jahr in Kraft getreten ist, diskriminiert Security-Profis. Ein...
  • Hacker-Paragraf: Wie Sicherheitsexperten kriminalisiert werden Beitrag #1
Eric-Cartman

Eric-Cartman

Threadstarter
Dabei seit
22.06.2005
Beiträge
8.644
Alter
42
1376045b14d895687e.gif


800x.jpg
Grösser? Aufs Bild klicken

Das Gesetz, das in Sachen IT-Sicherheit letztes Jahr in Kraft getreten ist, diskriminiert Security-Profis. Ein wesentlicher Bestandteil ihrer Arbeit ist jetzt genau genommen ein krimineller Akt.

Live-Hacking gehört zu den besonderen Attraktionen jeder IT-Messe oder Security-Veranstaltung. Diese Vorführungen können jedoch bald der Vergangenheit gehören, denn ihr Inhalt und die dabei verwendeten Werkzeuge fallen unter den Paragrafen 202c des Strafgesetzbuches (StGB). Dieser verbietet es, Programme zu schreiben, mit denen man in fremde Netze eindringen kann.

Das Verbot wurde im Rahmen des "Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität" eingeführt und sieht vor, dass die Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang als Vorbereitung einer Straftat interpretiert werden können. Ist das der Fall, drohen dem Täter hohe Geldstrafen und bis zu einem Jahr Gefängnis.

Nun ist mit Sicherheit nicht jeder Systemadministrator, IT-Sicherheitsexperte oder Softwarehändler, der mit suspekter Software hantiert, automatisch ein Krimineller, und so hagelte es Proteste und Klagen gegen das Gesetz. Das Security-Unternehmen Visukom sah sich in seiner Existenz so bedroht, dass es Verfassungsbeschwerde einreichte. Ein anderer Sicherheitsexperte zeigte sich selbst an. Sogar die staatlichen Hüter der IT-Sicherheit, das Bundesamt für Informationssicherheit (BSI), wurde angezeigt, weil auf seiner Webseite ein Programm zum Knacken von Passwörtern aufgeführt wurde.

Die IT-Industrie in Gestalt des Bitkom reihte sich ebenfalls in den Protest ein. Bernhard Rohleder, Hauptgeschäftsführer des Verbands, stellte die Praxistauglichkeit des Verbots in Frage. "Sicherheitslücken in IT-Systemen werden seit jeher standardmäßig mit Hacker-Tools getestet", so Rohleder. Das Gesetz verbiete aber ausdrücklich die Nutzung von Spezialsoftware, die für die Entdeckung und Analyse von Sicherheitslücken in IT-Systemen notwendig ist.

Das alles führe dazu, dass Security-Firmen rechtlich gesehen am Rande der Legalität agieren und dass Sicherheitsexperten mit einem Bein im Gefängnis stehen. Für Rohleder schießt das Gesetz weit über das Ziel hinaus. Sicher sei es richtig, Gesetze gegen die Verbreitung von Viren, Spionagesoftware und anderen Schadprogrammen zu erlassen, doch müsse dabei auch berücksichtigt werden, dass die Arbeit mit Schadcode notwendig ist für die Entwicklung von Abwehrmechanismen.

Ein Leitfaden des Bitkom soll für Transparenz sorgen

Auch wenn Anzeigen und Selbstanzeigen im Sande verliefen, hängt das Damoklesschwert der Strafverfolgung nach wie vor über der IT-Branche. Hier versucht der Bitkom gegenzusteuern. Der Branchenverband entwickelte einen "Leitfaden für die praktische Bewertung von Software", der sowohl für die strafverfolgenden Behörden als auch für die Unternehmen und Sicherheitsexperten mehr Klarheit bringen soll. Während er den Behörden einen detaillierten Überblick über die Funktionen und Einsatzgebiete von Softwarewerkzeugen verschafft, die für IT-Sicherheit sorgen sollen, werden IT-Sicherheitsexperten auf eine Reihe von wichtigen Vorsichtsmaßnahmen bei ihrer Tätigkeit hingewiesen. Lutz Neugebauer, beim Verband Bereichsleiter IT-Sicherheit: "Für uns ist wichtig, dass alle Betroffenen von unserem Leitfaden profitieren." Seiner Meinung nach muss in erster Linie geklärt werden, ob die Software ethisch einwandfrei ist oder ob es sich um eine verwerfliche Funktion handelt, die kriminellen Zwecken dient.

"IT-Sicherheitsexperten, die sich an die Vorsichtsmaßnahmen des Leitfadens halten, können sich einigermaßen sicher fühlen", meint Neugebauer. Schließlich basiere der Leitfaden zum großen Teil auf den internen Richtlinien, die Konzerne wie Siemens oder die Deutsche Telekom ihren eigenen Security-Profis zur Verfügung stellen. Der Bitkom-Mann weiter: "Sicherheitsexperten, die feststellen wollen, wie eine Software in puncto Strafbarkeit einzuordnen ist, sollten die Funktionen einschätzen, den Einsatzzweck feststellen sowie die Intention der handelnden Person ermitteln. Wenn diese drei Punkte geprüft wurden, steht nach unserer Meinung mit hoher Wahrscheinlichkeit fest, ob im Einzelfall eine strafbare Handlung zu vermuten ist."

Wolfgang Schäfer, Leiter der Organisationseinheit IT-Sicherheit bei der Datev, leitet den Bitkom-Arbeitskreis Sicherheitstechnologie, in dem der Leitfaden erstellt wurde: "Für die Security-Mitarbeiter ist es wichtig zu wissen, wie sie sich beispielsweise bei Penetrationen verhalten sollen." Neu sind die Regeln den Datev-Mitarbeitern indes nicht. Schließlich sind sie in ähnlicher Form auf der Internet-Seite des Unternehmens veröffentlicht. Schäfer: "Mit dem Bitkom-Leitfaden sollen den Unternehmen Checklisten an die Hand gegeben werden."

Leidtragende sind vor allem die Sicherheitsfirmen

So ganz kann Bernd Hilgenberg, IT-Leiter bei der Fressnapf Tiernahrungs GmbH in Krefeld, die Aufregung nicht verstehen. Schließlich sei jedes Unternehmen in dem Moment aus dem Schneider, in dem es die IT-Security-Überprüfung aus dem Haus gibt. Den Sicherheitsfirmen selbst, so Hilgenberg, mache der Hacker-Paragraf in der Tat das Leben schwer. Sie müssten aufpassen, sich auf einem rechtlich einwandfreien Terrain zu bewegen. Ihn erinnert die Diskussion um die Software-Tools an Werkzeuge, die eventuell auch von Einbrechern eingesetzt werden könnten. Hilgenberg: "Da es aber keinem Unternehmen recht sein kann, wenn der eigene Sicherheitsdienstleister plötzlich den Staatsanwalt im Haus hat, sollte die IT-Branche schon aus reinem Selbstschutz darauf drängen, dass hier eine ausreichende Rechtssicherheit geschaffen wird." Um zu einer Lösung zu kommen, müssten die Vertreter der Behörden allerdings über entsprechendes IT-Verständnis verfügen - und genau das zweifelt Hilgenberg an.

Zu den Sicherheitsfirmen, die mit dem Besuch des Staatsanwalts rechnen müssen, gehört Visukom. "Hacker-Angriff gefällig?" fragt die Bamberger Firma auf ihrer Website. Mit den so genannten Penetrationstests prüfen Visukom-Mitarbeiter die Sicherheit der Netzwerke ihrer Kunden. Das könnte aber nach dem Hacker-Paragrafen strafbar sein. Visukom fürchtet eine Kriminalisierung seiner Dienstleistungen und sieht seine wirtschaftliche Existenz in Frage gestellt.

Der Vertrag muss den Auftrag sehr präzise beschreiben

Im September des vergangenen Jahres reichte das Unternehmen deshalb Verfassungsbeschwerde ein. Thomas Feil, Fachanwalt für IT-Recht in Hannover: "Auch wenn der Hacker-Paragraf bislang noch zu keiner strafrechtlichen Verurteilung geführt hat, so ist bei den Sicherheitsprofis doch eine erhebliche Rechtsunsicherheit zu spüren. Darüber hinaus fürchten viele Unternehmen, dass Mitbewerber Strafanzeigen wegen eines Verstoßes gegen den Paragrafen erstatten, um den Betroffenen zu diskreditieren. Hier kann jede Live-Hacking-Aufführung zum Risiko werden."

Bei der IT-Sicherheitsfirma Arago in Frankfurt am Main reagiert man gelassen. Bereichsleiter Systembetrieb und Security Oliver Heinz: "Der Hacker-Paragraf hat keinen echten Einfluss darauf, welche Tools Security-Consultants einsetzen. Man ist aber sicherlich vorsichtiger, wo und wie man die Tools benutzt." Eine Art von Security-Überprüfungen könne heute nicht mehr in der Form stattfinden, wie dies früher vom Kunden gefordert wurde: Ein kompletter "Blackbox-Test" auf ein überregionales Netzwerk oder Unternehmen, also ein Test, bei dem man nichts über die Netze oder Systeme des Kunden weiß, höchstens dessen Firmennamen kennt. Wer das tut, so der Arago-Vertreter, riskiert, verklagt zu werden. Zu ungenau könnten bei diesem Typ von Test die Randbedingungen definiert werden, zu groß sei das Risiko, Systeme unbeteiligter Dritter zu scannen. "Die IT-Consultants stehen vor dem Problem, dass nicht die Firma, sondern derjenige, der ein Security-Audit realisiert, verklagt wird", meint Heinz. Deshalb müsse der Vertrag präzise den Auftrag enthalten. Die Dokumentation sei nicht Sache des Vertrags, sondern die Firma müsse die Mitarbeiter zur Dokumentation aller Aktivitäten anweisen, damit im Falle einer Klage nachgewiesen werden könne, dass es sich nicht um kriminelle Aktivitäten gehandelt habe. Mit Floskeln wie "Prüfen Sie mal mein Netz" sollte sich seiner Meinung nach kein IT-Berater mehr zufriedengeben.

Ein weiteres Dilemma sieht der Arago-Vertreter darin, dass es sich bei einer möglichen Straftat um ein Offizial-Delikt handele, gegen das jeder Staatsanwalt im Bundesgebiet verpflichtet sei, zu ermitteln. Der Sicherheitsexperte: "Ohne jemandem zu nahe treten zu wollen, besteht die Gefahr, dass ein Staatsanwalt in einem ländlichen Gebiet nicht über ausreichende IT-Kenntnisse verfügt, um bei einem Hinweis die richtige Entscheidung treffen zu können. Wie soll auch ein Außenstehender zwischen einem guten und einem bösen Hacker unterscheiden können?" Nach seiner Ansicht muss hier grundsätzlich mehr Transparenz geschaffen werden.

Für Constanze Kurz vom Chaos Computer Club (CCC) ist es nach wie vor unverständlich, dass der Gesetzgeber mit dem Paragrafen derart weit über das Ziel hinausgeschossen ist. Schließlich hätten alle Experten, die bei der Entstehung mit am runden Tisch saßen, ihre Bedenken geäußert. Kurz erläutert: "Sowohl ein Hacker als auch jeder Informatiker hat nicht nur eines von diesen so genannten Hacker-Tools auf seinem Rechner. Das gehört zur Standardausrüstung, wenn ein Netz getestet wird." Abgesehen von der drohenden Kriminalisierung der IT-Sicherheits-Consultants sieht die CCC-Frau noch eine weitere Gefahr: "Die Kriminalisierung kann auch Dozenten an den Universitäten oder Ausbilder an Schulungsträgern treffen. Wenn hier keine Lösung gefunden wird, dann fehlen den Unternehmen künftig die Sicherheitsprofis. Und davon gibt es sowieso zu wenige."

Powered by: IDG Magazine Media GmbH/PC-Welt.de
 
  • Hacker-Paragraf: Wie Sicherheitsexperten kriminalisiert werden Beitrag #2
DiableNoir

DiableNoir

Dabei seit
18.01.2004
Beiträge
6.069
Die ganze Situation zeigt wieder einmal wie viel Politik und Gesetzgebung mit Realität und Praxis gemein haben. ;)
 
  • Hacker-Paragraf: Wie Sicherheitsexperten kriminalisiert werden Beitrag #4
mic5

mic5

Dabei seit
12.05.2007
Beiträge
407
Alter
35
erst wollen die den Gamer an den Kragen, nun auch den admins :confused:sneaky
Da geht doch was nicht auf. :thumbdown
 
  • Hacker-Paragraf: Wie Sicherheitsexperten kriminalisiert werden Beitrag #5
H

HighDx

Dabei seit
24.04.2007
Beiträge
927
Alter
49
Ort
JWD
alles zum wohle des bundestrojaners!!!
 
  • Hacker-Paragraf: Wie Sicherheitsexperten kriminalisiert werden Beitrag #6
K

katze2807

Dabei seit
24.08.2005
Beiträge
105
Ort
Südlich von Schweden
Das kommt dabei raus, wenn der Horizont von der Nasenspitze bis zur Stirn nur reicht :wut
 
  • Hacker-Paragraf: Wie Sicherheitsexperten kriminalisiert werden Beitrag #7
I

Intelpower

Gast
Ich frag mich eigentlich wie einer etwas beschließen kann und selbst keine ahnung davon hat.
Ist ja genau son Blödsinn wie jemanden für verrückt erklären und niichtmal wissen was verrückt ist...

Naja, wir haben den Bundestrojaner, unsere verbindungen werden protokoliert.
Würde mich nicht wundern wenn in einem Jahr ein Skandal aufkommt, das die Telekom daten vom PC zeiht/ PC´s Online durchsucht.
Würde mich wirklich nichtmehr wundern.
 
  • Hacker-Paragraf: Wie Sicherheitsexperten kriminalisiert werden Beitrag #8
E

eifelyeti

Dabei seit
10.03.2006
Beiträge
1.187
Alter
64
Ist doch logisch: Wenn ein Wahnsinniger mit einen Küchenmesser 10 Menschen niedermetzelt , muss auch derjenige in den Knast ,der dem Mörder das Messer verkauft hat.
Und wenn Rolli-Wolli denn mal in meine Wohnung eindringt , um den Bundestrojaner zu installieren , dann beschlagnahmt er gleich noch alle Messer - ach ja , im Keller habe ich noch ein halbes Dutzend Hämmer ,solche potenziellen Totschläger darf ich ja auch nicht besitzen. Und die Schraubendreher sind ja auch gefährliche Waffen! Das Perverse an der Sache ist doch , dass diejenigen , die solchen Schwachsinn produzieren , von uns Steuerzahlern auch noch fürstlich entlohnt werden - bzw sich die dicke Knete selber nehmen , ohne auch nur ein bisschen rot dabei zu werden! Der Mond ist noch zu nah als Entsorgungsplatz für solche Hirnis!!!!!
 
  • Hacker-Paragraf: Wie Sicherheitsexperten kriminalisiert werden Beitrag #9
T

Typhon

Dabei seit
07.08.2006
Beiträge
99
Und wenn Rolli-Wolli denn mal in meine Wohnung eindringt [...]
In meine Wohnung kann der zum Glück nicht eindringen. Ich hab nämlich Treppen :rofl1
 
  • Hacker-Paragraf: Wie Sicherheitsexperten kriminalisiert werden Beitrag #10
I

Intelpower

Gast
Genau so muss man das machen.
Der Messer verkäufer muss in den Knast, der Messerhersteller auch noch weil er ja vorher sehen hätte müssen das Messer verkäufer messer an verrückten verkauft, dann noch der, der die rohstoffe gewinnt weil... :D

Ist doch wirklich blösinn. Irgendwann im TV kam ein Bericht wo leute wen verklagen wollten und dieser hat dann dem richter gesagt die und der sind verrückt und dann drohte der richter wirklich mit der einweisung, obwohl der die noch nie gesehen hatte.


Aber wie kann einer der davon keine Ahnung, nicht im geringsten Ahnung davon hat sowas beschließen.
Ist der Postbote jetzt ein Spion oder ein Datensammler weil er weiss das Frau XXX und Herr XXX einen Brief von XXX bekommen?
Wenn man mal jemanden was verbieten sollte dann ist das Singen und zwar den ganzen *****en von dem DSDS mist und von so kinderliedern wie schnappie oder der knut schei**

Stimmt, der Mond ist viel zu nah für die.
 
Thema:

Hacker-Paragraf: Wie Sicherheitsexperten kriminalisiert werden

Hacker-Paragraf: Wie Sicherheitsexperten kriminalisiert werden - Ähnliche Themen

Jobmöglichkeiten mit SAP-Kenntnissen: Standardsoftware wie SAP ERP ist ein integraler Bestandteil vieler Unternehmen rund um den Globus. Sie ist unverzichtbar, weil es sich um...
auch bei mir rief ein englischsprechender. Mitarbeiter des Support Teams an: Hallo zusammen, auch mir ist es so ergangen wie den anderen Teilnehmern. Heute morgen hatte auch ich einen Anruf von einem Englisch sprechenden...
Freelancing als ITler: Pro und Contra: Der Fachkräftemangel macht sich vor allem in der IT zunehmend bemerkbar. Dies eröffnet ausgebildeten IT-Spezialisten ganz neue...
Internetsicherheit 2018 – Neue Bedrohungen aus dem Web: Wer glaubt, gut geschützt vor Schadsoftware oder fremden Zugriffen auf den eigenen Rechner zu sein und seine Informationen und Daten in Sicherheit...
Ransomware Petya stellt keine Gefahr auf aktualisierten Systemen dar - UPDATE: Nachdem Mitte Mai die Ransomware "WannaCry" ihr Unwesen getrieben hat, soll sich seit gestern ein Ableger mit dem Namen "Petya" in bislang über 60...
Oben