![[externer Link]](../../../../images/link.gif)
www.bsi.bund.de/taskforce/viren.htm).In der vorigen KES haben wir einen offenen Brief abgedruckt, in dem der perComp-Verlag und sechs weitere Unterzeichner(firmen) eine Verschärfung der deutschen Gesetzgebung gegen Viren-Autoren und -Verbreiter fordern und auf drastische Strafen in anderen Ländern hinweisen (KES 2001/5, S. 18) . Auf unsere Bitte um Stellungnahmen und Kommentare erreichten die KES fast ausschließlich Meinungen, die den Verfassern des offenen Briefes widersprechen.
Das Bundesministerium der Justiz (BMJ) verwies zunächst auf die Strafbarkeit nach bestehendem Recht: "Bereits bisher kann bestraft werden, wer vorsätzlich und rechtswidrig ... Datenverarbeitungen stört, die für ein Unternehmen oder eine Behörde von wesentlicher Bedeutung sind. Möglicherweise zu wenig bekannt ist, dass auch versuchte, das heißt fehlgeschlagene Sabotagehandlungen strafbar sind. Für eine verstärkte Verfolgung wäre allerdings ein verändertes Anzeigeverhalten Betroffener hilfreich." Vielfach sähen in der IT-Branche tätige Unternehmen von einer Strafanzeige bei der Polizei ab, da sie befürchten, bei einem möglichen Bekanntwerden des Vorfalls in der Öffentlichkeit einen Imageverlust oder Vertrauensschaden zu erleiden.
Zudem prüfe die Bundesregierung – wie bereits in der
KES erwähnt – im Zusammenhang mit der
Cyber-Crime-Convention, "inwieweit zusätzlich
Vorbereitungshandlungen zur Begehung von Computerdelikten unter
Strafe gestellt werden sollen. Dabei ist sicherzustellen, dass
Arbeiten an Virenschutzprogrammen nicht behindert werden. Die
Strafbarkeit sollte nur solche Vorrichtungen erfassen, die objektiv
bestimmt und geeignet sind, bestimmte Computerdelikte zu begehen
und die auch mit einer entsprechenden Absicht eingesetzt werden.
Nicht erfasst werden sollten Werkzeuge, die eigens für das
Testen oder für den Schutz von Computersystemen geschaffen
wurden." Im Übrigen betonte das zuständige
Fachreferat des BMJ die Notwendigkeit präventiver
Maßnahmen, wie etwa im Maßnahmenkatalog Schutz vor
Computerviren der Task Force Sicheres Internet ( www.bsi.bund.de/taskforce/viren.htm).
Aus dem Hause des Bundeswirtschaftsministeriums schrieb Regierungsrat Hubertus Soquat, Referent für IT-Sicherheit: "Wir sind im Rahmen unserer Partnerschaft sichere Internet-Wirtschaft im ständigen Dialog mit Unternehmen und Institutionen, die sich um die Sicherheit im IT-Bereich sorgen. Auch mit dem perComp-Verlag haben wir im Zusammenhang mit den zitierten Schreiben ein interessantes Gespräch geführt, das für die Beurteilung dieser schwierigen Frage sehr hilfreich war. Die Bundesregierung hat im Rahmen der komplexen Verhandlungen im Europarat auch dieses Thema aufgegriffen. Die Verbreitung von Viren und ähnlichem ist in der Regel schon heute strafbar, die Zurverfügungstellung allerdings nicht. Auch wir sehen, dass diese Programme ein Gefährdungspotenzial enthalten. Andererseits werden sie auch zu Testzwecken unbedingt von Experten benötigt. Ich denke die Diskussion wird uns bei den Beratungen nach einer Ratifizierung des 'Cyber Crime Abkommens' und der Umsetzung in deutsches Recht noch intensiv beschäftigen."
Dass die derzeitige Strafandrohung nicht unwesentlich ist, betonte zudem Ulrich Emmert, esb Rechtsanwälte Tübingen: "Das deutsche 'Hackerstrafrecht' reicht in dem Bereich Viren, Trojaner, Würmer bereits aus, um Virenprogrammierer und -verbreiter angemessen zu bestrafen. Der § 303b StGB, Datensabotage, bedroht jemanden, der wissentlich fremde betriebswesentliche Daten beschädigt, mit einer Freiheitsstrafe von bis zu fünf Jahren Haft (wie Diebstahl). Das ist im Vergleich zu anderen Delikten eine erhebliche Strafdrohung, die nur von wenigen Straftatbeständen überschritten wird. Und im Gegensatz zu anderen Sachbeschädigungsdelikten ist bei Datensabotage kein Strafantrag erforderlich, das heißt es wird von Amts wegen ermittelt. Durch die Vorschriften zur mittelbaren Täterschaft werden dabei dem Autor oder absichtlichen Vertreiber eines Virus auch alle Schäden zugerechnet, die durch die Weiterverbreitung der Malware durch unwissende Computernutzer angerichtet werden."
Ob das Strafrecht überhaupt eine sinnvolle Möglichkeit zur Eindämmung von Malware-Attacken ist, bezweifelt unter anderem Lukas Gundermann vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein: "Die Forderung, die Strafbarkeit weiter in das Vorfeld der Tat auszudehnen, unterstellt einen unmittelbaren Zusammenhang zwischen dem Erlass von Strafgesetzen und dem Ausbleiben entsprechender Delikte. Obwohl viele Delikte seit Jahren mit hohen Strafen belegt sind, finden sich immer noch Straftäter, die sie verüben. Strafrecht ist kein Allheilmittel, sondern ultima ratio. Wichtiger ist es, die Löcher zu schließen, die immer wieder von schädigenden Programmen ausgenutzt werden."
Höhere Anforderungen an die Softwarelieferanten befürwortet auch Dr. Rainer W. Gerling, Datenschutzbeauftragter in München: "Die Forderung nach einer härteren Bestrafung der Virenherstellung und -verbreitung ist auf den ersten Blick attraktiv. Aber sie ist auf den zweiten Blick genauso unnütz. Viel wichtiger ist es, das Herstellen und Verbreiten von Malware aus dem Bereich des Kavaliersdeliktes oder sogar der 'Heldentat' (Aufdecken von Sicherheitslücken) in den Bereich der Straftaten zu verweisen. Solange eine Diskussion über die Begriffe Hacker, Cracker und Skript Kiddies und ihre Abgrenzung geführt wird, bleibt der kriminelle Charakter ihres Handelns auf der Strecke. Die eigentliche Ursache für die Verbreitung der Malware sind aber nicht zu geringe Strafen, sondern zu große und zu viele Sicherheitslücken in monokulturartig eingesetzten Betriebssystemen."
Der Bundesbeauftragte für den Datenschutz, Dr. Joachim Jacob nimmt die Anbieter ebenfalls in die Pflicht: "Eine strengere Gesetzgebung scheint mir nicht vertretbar, solange die Softwareindustrie derart fehlerhafte Programme auf den Markt bringt, dass 10- bis 14-jährige Schüler Viren programmieren können, die diese Systeme schädigen oder deren Sicherheitsfunktionen außer Kraft setzen. Ich plädiere für eine Verpflichtung der Softwareindustrie, Programme vor ihrer Marktfreigabe auf Fehler bzw. funktionierende Sicherheit zu prüfen. Ebenso sollte ein Sicherheitskonzept für jede vernetzte Anwendung obligatorisch sein. Wenn beides funktioniert, wird keine strengere nationale Gesetzgebung notwendig sein."
Auch aus der "täglichen Praxis" kamen Kommentare von KES-Lesern. Beispielsweise stellte sich Jörg Brünner etwas belustigt die Frage nach der Grenze zwischen regulären Programmen und Malware: "Ein Trojaner wird landläufig mit 'Software die Gutes scheint und Böses ist' definiert. Gehören diverse Webserver oder weit verbreitete E-Mail-Clients auch dazu? Wenn sich aufgrund lausiger Programmierung Wege finden lassen, mit 'Steuerparametern' à la ActiveX oder anderen Bugs, diese Programme zu Schadsoftware zu machen, unterscheidet sich dies de facto nicht von dokumentierten Parametern für 'andere' Software." Und: "Was ist eigentlich eine Hintertür? Berühmte Exemplare dienten erst als klassische Malware und später der Fernwartung. Was ist, wenn ich heimlich offizielle Fernwartungsprogramme installiere? Wird der Hersteller dann auch als Entwickler von Malware belangt? Hier ist praktisch keine Grenze zwischen Gut und Böse zu ziehen." Mit seinen Anmerkungen wolle er keine Virenprogrammierer in Schutz nehmen, glaube aber nicht an die Wirksamkeit legislativer Maßnahmen: "Ich halte es für einen Lernprozess bei Softwareanbietern, die dafür Sorge zu tragen haben, dass ihr programmierter Unsinn nicht im heutigen Umfang missbraucht werden kann."
Letztlich werde es aber immer Wege geben, Produkte entgegen ihrem eigentlichen Zweck einzusetzen. Zudem dürfte sich, global betrachtet, das Problem der Virenentwicklung durch härtere Gesetze in einem Staat nur auf andere Staaten verlagern. Dieser These widerspricht allerdings Raimund Genes, President of Europe Operations bei Trend Micro Deutschland, der seinen Anti-Virus-Kollegen beipflichtet: "Es ist eigentlich unverantwortlich, dass ein Technologiestandort wie Deutschland hier keinerlei Anstalten macht, Gesetze zu ändern und anzupassen. Spätestens nach Melissa 1999 dürfte allen klar sein, wie verwundbar die bundesdeutsche Wirtschaft bei solchen Vorfällen ist. Wenn Virenprogrammierer problemlos und straffrei Baukästen für Computerviren in Deutschland verbreiten und erstellen können, wird Deutschland zur Schutzzone für diese Programmierer werden."
Andreas Schaffner wünscht sich vor allem "mehr Kompetenz bei den Behörden in Sachen Computerkriminalität. Sicherlich ist die Verbreitung eines Virus kein Kavaliersdelikt, aber drakonische Strafen für die Verbreitung von Viren zu fordern, finde ich doch arg überzogen. Für mich scheint hier ein wenig die Angst der Virensoftwarehersteller durchzuschlagen mit der neuen Generation von Malware wie netzwerkfähigen Viren oder Viren mit Multi-Prozess-Residenz nicht mithalten zu können. Ein Virus oder ein Wurm zeigt mir immer wieder, dass es noch erhebliche Lücken in den Systemen und den Sicherheitsprozessen gibt, die ohne sie nicht erkannt und behoben werden, sondern darauf warten würden bis ein Hacker vorbeikommt, um sie auszunutzen. Nicht, dass ich eine Verbreitung für gut halte, aber sie hat auch manchmal ihre positiven Seiten."
Nicht zuletzt mit den Praktikern selbst geht Adolf Hohl ins Gericht. Er meint, dass neue Gesetze nur "die Inkompetenz von vielen Administratoren und die Fehlerträchtigkeit von Software" fördert würden. Es werde zwar auch bei sorgfältig betriebenen Anlagen immer mal wieder Lücken geben, die man ausnutzen könne, aber "die Diebstahlrate bei Pkws ist schließlich auch gesunken, weil Wegfahrsperren eingebaut wurden und nicht weil Diebstahl neuerdings verboten ist. Packen wir das Problem bei den Ursachen und nicht bei den Symptomen. Denn die Ursachen kennen wir. Wir bzw. die Entscheidungsträger sind nur zu bequem, um zu handeln."
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2001, Seite 72
