Seit der so genannte Hacker-Paragraf 202c StGB gilt, herrscht Unsicherheit in der Sicherheitsbranche: Macht sich nun strafbar, wer an der Verbesserung der Sicherheit von IT-Systemen arbeitet? Die IT-Branche fürchtet Behinderungen ihrer Arbeit.
Frankfurt am Main - Seit einem Monat gilt der sogenannte
Hackerparagraf: Dieser Zusatz zum Strafgesetzbuch verbietet es, sich
Computerprogramme zu beschaffen, selbst herzustellen oder zu verbreiten, mit
denen man in fremde Computernetze eindringen kann. Ein Verfahren wegen Paragraf
202c StGB gibt es bislang offenbar nicht. Gleichwohl ist die Sicherheitsbranche
zutiefst verunsichert.
"Dieser Hacker-Paragraf wird auf jeden Fall die Tätigkeit von
Security-Unternehmen einschränken", sagt Dirk Hochstrate, der im Vorstand des
Bochumer Unternehmens G Data für die Software-Entwicklung zuständig ist. "Wir
finden, dass der Ansatz des Paragrafen falsch ist, weil er sich auf die
Kriminalitätswerkzeuge konzentriert statt auf die kriminellen Taten." Dies sei
so, als würde man den Besitz und die Herstellung von Stahl verbieten, weil man
daraus Schwerter herstellen könne.
Der aufgrund eines Rahmenbeschlusses der EU vom Februar 2005
eingeführte StGB-Zusatz richtet sich vor allem gegen sogenannte Hackertools, mit
denen man Sicherheitslücken ausnutzen kann, um in fremde Rechner einzudringen.
Eben diese Programme werden aber auch dazu verwendet, um ein Computernetz auf
solche Sicherheitslücken zu überprüfen und diese dann zu
schließen.
Einen solchen Scanner von Sicherheitslücken mit der Bezeichnung BOSS
bietet auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) an.
Die Behörde weist aber darauf hin, dass sich das Gesetz allein gegen das
"unbefugte" Eindringen in fremde Netze richte. "Wo eine Einwilligung dessen
vorliegt, bei dem Daten untersucht werden, etwa im Rahmen einer
IT-Sicherheitsberatung, erfolgt der Datenzugang mit einer entsprechenden
Befugnis", erklärt BSI-Sprecherin Katrin Alberts. "Eine Strafbarkeit scheidet in
solchen Fällen aus."
Justizministerium:
Alles halb so wild
Auch das Justizministerium in Berlin hält den Wortlaut des Gesetzes
für eindeutig. "Das Gesetz betrifft nur denjenigen, der wirklich eine
Computerstraftat vorbereitet", sagt der Sprecher des Ministeriums, Henning
Plöger. "Wer sich um die Sicherheit eines eigenen Systems oder eines fremden
Systems in dessen Auftrag kümmert, muss sich keine Sorgen machen." Die Free
Software Foundation Europe (FSFE) kritisiert jedoch, dass der Gesetzgeber ohne
Not eine Unsicherheit geschaffen habe, wann ein Werkzeug erlaubt sei. "Damit
laufen wir Gefahr, weitere Kompetenzen und kreative Menschen zu verlieren,
welche wir in unserem Land dringend brauchen", erklärt der
FSFE-Sicherheitsexperte Bernhard Reiter.
SPIEGEL ONLINE ist nicht verantwortlich für die Inhalte externer
Internetseiten.
G Data fürchtet nach den Worten von Vorstandsmitglied Hochstrate zwar
nicht, rechtlich belangt zu werden, sieht aber dennoch die eigene
Geschäftstätigkeit betroffen. "Das ist genau wie in der Medizin", sagte
Hochstrate. "Wir müssen die Viren besitzen, um sie bekämpfen zu können." Und
manche Viren ermöglichten eben auch das Eindringen in fremde Rechner. Der
Paragraf benachteilige die deutschen Anbieter von Sicherheitssoftware gegenüber
den Konkurrenten aus dem Ausland und gefährde damit die technologische
Führungsrolle des Standorts Deutschland in der Branche. Betroffen sei auch die
Forschung in den Universitäten.
Professor Johannes Buchmann vom Darmstädter Zentrum für IT-Sicherheit
will sein Forschungs- und Lehrprogramm aufgrund des Hacker-Paragrafen nicht
umstellen. "Darauf lassen wir es ankommen", sagte Buchmann. An der TU Darmstadt
sei nachgewiesen worden, wie leicht sich der WEP-Standard für die
Verschlüsselung von drahtlosen Netzen knacken lasse. Dies müsse auch künftig
legal bleiben. Trotz der Zusicherung des Justizministeriums lasse der Wortlaut
des Gesetzes unterschiedliche Interpretationen zu. "Die Sicherheitstechnik ist
nie hundertprozentig sicher. Sie lebt davon, dass wir sie überprüfen", erklärte
Buchmann und fügte hinzu: "Wenn wir das nicht machen, werden es die Bösen
tun."