Mit einer deutlichen Verschärfung des Strafrechts will die Regierung den “Schutz vor Hackern, Datenklau und Computersabotage” verbessern. Eine heute vom Bundeskabinett beschlossene Gesetzesänderung stellt klar, dass “Hacking” strafbar ist.
heise security news

der gesetzentwurf birgt neben dem üblichen »du darfst keine daten haben die du nicht haben sollst« in verschiedenen variationen - unter anderem ist jetzt auch ein angriff auf private computersysteme strafbar - seitenlange erklärungen zur allgemeinen lage der computernation sowie zu den einzelnen änderungen. pathos immer schön mit einstreuen, ein beispiel:

[begründung, allgemeiner teil A.1]
Die Einbeziehung von Telekommunikations- und Informationssystemen, die eine entfernungsunabhängige Speicherung und Übertragung von Daten aller Art gestatten, bieten ein breites Spektrum neuer Möglichkeiten, aber auch des Missbrauchs. Insbesondere komplexe Attacken gegen moderne Informationsstrukturen durch Computerviren, digitale trojanische Pferde, logische Bomben oder Würmer und Denial-of-Service-Attacken verursachen hohe Schäden. Auch kriminelle, extremistische und terroristische Gruppen nutzen moderne Informations- und Kommunikationstechnologien verstärkt für ihre Zwecke.

der straftatbestand liegt nun nicht mehr, wie bisher, im sich daten verschaffen, sondern darin, sich zugang zu den daten zu verschaffen, und dabei zugangssicherungverhinderungsdingsis zu umgehen, sich passwörter zu beschaffen, und achtung:

§ 202c
Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit
Geldstrafe bestraft.

mit diesen computerprogrammen sind unter anderem tools zur netzwerkanalyse und zum finden von schwachstellen in rechnersystemen gemeint. dass gezielte angriffe auf systemen eben erst sicherheitslücken aufdecken, die dann gefixed werden können, wurde wohl nicht bedacht.

[pressemitteilung des ccc]
Der Gesetzentwurf wird die Arbeitsgrundlagen von Sicherheitsberatern und Netzwerkexperten unter Strafe stellen. Bereits der Besitz und die Verbreitung von Werkzeugen zur Netzwerkanalyse und zur Aufdeckung von Sicherheitslöchern in Rechnersystemen sollen strafbar werden. Die Arbeit der Sicherheitsexperten wäre damit kaum mehr möglich und von ungerechtfertigter Kriminalisierung bedroht.

“Dieser Gesetzentwurf wird nicht gegen Computerkriminalität helfen. Stattdessen werden der IT-Sicherheitsbranche dringend benötigte Werkzeuge zur Aufdeckung von Schwachstellen aus der Hand geschlagen”, sagte CCC-Sprecher Andy Müller-Maguhn. “Die Vorstellungen des Gesetzgebers zeugen von einer ausgeprägten Unkenntnis der technischen Vorgehensweisen. Testangriffe zum Auffinden von Sicherheitslöchern sind für die IT-Sicherheit wie Crashtests für die Autoindustrie. Niemand käme auf die Idee, Crashtests zu verbieten”, kommentierte der CCC-Sprecher.[…]
“Der Gesetzentwurf zeugt von erschreckender Realitätsferne und fehlender Sachkenntnis”, sagte Müller-Maguhn vom CCC. “Durch die Einschränkung der Freiheit der Forschung und Entwicklung im Bereich Computersicherheit wird das Gegenteil des beabsichtigten Ziels erreicht.”

Als effektive Maßnahme zur Eindämmung der Computerkriminalität fordert der CCC stattdessen härtere Strafen für Verstösse gegen den Datenschutz. Datenverbrechen wie das illegale Abschöpfen und Weitergeben sowie das unkontrollierte Verknüpfen von Daten werden derzeit als Kavaliersdelikt behandelt, betreffen aber den Bürger im Alltag immer mehr.
more