IT-Sicherheit 04.04.2008, 19:34 Uhr

Hacker-Paragraph hinterlässt gefährliche Grauzone  

VDI nachrichten, Düsseldorf, 4. 4. 08, mg – Viele Sicherheitsvertreter wähnen sich mit einem Bein im Gefängnis. Schuld ist der Hacker-Paragraph, § 202c StGB. Er stellt „das Herstellen, Überlassen, Verbreiten oder Verschaffen von Hacker-Tools, die nach Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen“, unter Strafe. Aber der Code wird für die Angriffssicherheit des Geschäfts gebraucht.

Der Hacker-Paragraph hat es in sich. „Das Problem ist der Wortlaut des § 202c StGB“, so Lars Weimer, bei Ernst & Young verantwortlich für Informationssicherheit im Bankenbereich. „Die Straffälligkeit wird nicht von der Absicht der Person, sondern von der Machart der Software abhängig gemacht.“ Dadurch werde jeder, ob Hersteller, Dienstleister, Berater oder Mitarbeiter, der sich mit vermeintlich verdächtiger Software beschäftige, in die Illegalität gerückt. Er spricht von einer starken Verunsicherung im Markt. „So fällt es Herstellern von Anti-Viren-Software schwer, Passwort-Cracker eindeutig zu kategorisieren: Hacker-Tool oder Sicherheits-Software?“ Er fragt: „Wie soll dann ein Richter klar unterscheiden und entscheiden können?“

Dabei war die Absicht der Bundesregierung, mit dem neuen Paragraphen der Computerkriminalität einen Riegel vorzuschieben. Laut Robert Niedermeier, Rechtsanwalt bei der Heussen Rechtsanwaltsgesellschaft in München, droht stattdessen eine massive Schädigung des Standorts Deutschland, wenn sich die Richter während der Verhandlung genau am Gesetzestext orientieren werden. „Nicht vermittelbare Einzelentscheidungen wären die Folgen.“ Niedermeier stellt sich die Frage, ob der Paragraph 202c mit seiner Formulierung gewollt oder ungewollt ins StGB Eingang gefunden hat. „Im ersten Fall frage ich mich, was die Bundesregierung damit bezweckt. Im zweiten Fall muss ich Dilettantismus unterstellen.“ Der ernte unter Juristen und in der Lehre nur Kopfschütteln.

Die Bundesministerin der Justiz, Brigitte Zypries, beschwichtigt in einem Brief an 1SACA German Chapter. Der gutwillige Umgang mit Programmen im Rahmen der Sicherheitsüberprüfung von informationstechnischen Systemen werde durch den Hacker-Paragraphen nicht erfasst. Denn für eine Straftat müsse es sich um eine Software handeln, deren Zweck die Begehung einer Computerstraftat sei.

„Genau dieser Zweck ist an der Software nicht abzulesen“, rückt Pino v. Kienlin, Geschäftsführer von Sophos, zurecht. Er vermutet einen tieferen Sinn hinter dem Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität: die geplante Online-Durchsuchung. Für diesen Fall kündigt er an: „Wir als Hersteller von Sicherheitslösungen werden uns mit keiner Regierung darauf einigen, Bundestrojaner für Deutschland durchzulassen.“ Denn das heiße, wissentlich potenziellen Schadcode zu ignorieren. „Unsere Aufgabe ist es, das Geschäft der Unternehmen zu schützen“, stellt v. Kienlin klar.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
Netzgesellschaft Potsdam GmbH-Firmenlogo
Projektingenieur (m/w/d) für Automatisierung und Netzführung Netzgesellschaft Potsdam GmbH
Potsdam Zum Job 
B. Braun Melsungen AG-Firmenlogo
Project Manager (w/m/d) Operational Technology B. Braun Melsungen AG
Melsungen Zum Job 
Tebis ProLeiS GmbH-Firmenlogo
MES Consultant (m/w/d) Tebis ProLeiS GmbH
Martinsried/Planegg, Erndtebrück, Aachen, Home-Office Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
BIM-Managerin oder BIM-Manager (w/m/d) Die Autobahn GmbH des Bundes
Hannover Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
Gottfried Wilhelm Leibniz Universität Hannover-Firmenlogo
Mitarbeiter (m/w/d) Anwendungsbetreuung für IT-gestützte Bau- und Gebäudemanagementprozesse, CAFM, interne BIM-Koordination Gottfried Wilhelm Leibniz Universität Hannover
Hannover Zum Job 
FCP Ingenieure Deutschland GmbH-Firmenlogo
BIM-Modeller Infrastruktur (m/w/d) FCP Ingenieure Deutschland GmbH
IMS Röntgensysteme GmbH-Firmenlogo
Entwicklungsingenieur (m/w/i) für digitale Inspektionssysteme IMS Röntgensysteme GmbH
Heiligenhaus Zum Job 
HygroMatik GmbH-Firmenlogo
Junior Entwicklungsingenieur für Hard- und Softwarelösungen (m/w/d) HygroMatik GmbH
Henstedt-Ulzburg Zum Job 
THU Technische Hochschule Ulm-Firmenlogo
W2-Professur Technische Informatik THU Technische Hochschule Ulm
IMS Messsysteme GmbH-Firmenlogo
Systemingenieur (m/w/i) für Oberflächeninspektion IMS Messsysteme GmbH
Heiligenhaus Zum Job 
Iqony Solutions GmbH-Firmenlogo
Projektingenieur (m/w/d) Prozesssimulation/Verfahrenstechnik Iqony Solutions GmbH
IMS Messsysteme GmbH-Firmenlogo
Entwicklungsingenieur (m/w/i) Systemsoftware IMS Messsysteme GmbH
Heiligenhaus Zum Job 
HygroMatik GmbH-Firmenlogo
Entwicklungsingenieur für Hard- und Softwarelösungen (m/w/d) HygroMatik GmbH
Henstedt-Ulzburg Zum Job 
Narda Safety Test Solutions GmbH'-Firmenlogo
Entwicklungsingenieur Hardware (m/w/d) Narda Safety Test Solutions GmbH'
Pfullingen Zum Job 
Bundesamt für Strahlenschutz-Firmenlogo
Ingenieur*in (m/w/d) Liegenschafts- und Gebäudemanagement im Referat "Bau, Liegenschaften und Innerer Dienst" Bundesamt für Strahlenschutz
Oberschleißheim (bei München), Salzgitter, Berlin Zum Job 
Netzgesellschaft Potsdam GmbH-Firmenlogo
Projektingenieur (m/w/d) für Automatisierung und Netzführung Netzgesellschaft Potsdam GmbH
Potsdam Zum Job 
B. Braun Melsungen AG-Firmenlogo
Project Manager (w/m/d) Operational Technology B. Braun Melsungen AG
Melsungen Zum Job 
Tebis ProLeiS GmbH-Firmenlogo
MES Consultant (m/w/d) Tebis ProLeiS GmbH
Martinsried/Planegg, Erndtebrück, Aachen, Home-Office Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
BIM-Managerin oder BIM-Manager (w/m/d) Die Autobahn GmbH des Bundes
Hannover Zum Job 

Als wie kritisch sich die Urteilsfindung speziell für Vertreiber von Sicherheitssoftware herauskristallisieren könnte, wurde gegen Ende des letzten Jahres an der Reaktion der Staatsanwaltschaft Bonn deutlich. Die Redaktion von TecChannel hatte versucht, für mehr Rechtssicherheit den Spieß umzudrehen, und gegen das Bundesamt für Sicherheit und Informationstechnik (BSI) geklagt.

Der Link auf der Website des Bundesamts zum Hersteller der Hacker-Software „John the Ripper“ sei kein Tatbestand des § 202 c, verwarf die Staatsanwaltschaft die Klage. Es fehle dazu am Charakter des Softwarevertriebs als Vorbereitungshandlung für derartige Taten. Außerdem läge es angesichts der Aufgabenstellung der Behörde auf der Hand, dass die Vermeidung von Straftaten und nicht deren Begehung intendiert werde.

Rechtsanwalt Niedermeier sieht seit dieser Reaktion die Rechtslage für Anbieter und Dienstleister im IT-Sicherheitsumfeld noch kritischer. Weimer empfiehlt allen Personen, die mit verdächtiger Software umgehen, an ihre Beweisführung vor Gericht zu denken. „Dazu gehört, die zu untersuchenden Systeme, das Vorgehen und die einzusetzenden Werkzeuge genau zu inspizieren. Danach sollte potenziell strittiger Code so weit wie möglich aus den Werkzeugen eliminiert werden.“ Bei Tests empfiehlt er alle Eingaben gemäß dem Vier-Augen-Prinzip genau zu überwachen, parallel sämtliche Aktivitäten zu protokollieren. HADI STIEL

Das Problem ist der Wortlaut des Paragraphen

Ein Beitrag von:

  • Hadi Stiel

Themen im Artikel

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.