Strafbare Sicherheits-Tools?

Für Hacker und Premiere-Schwarzseher in Deutschland wird es immer enger: Nicht nur die Strafbarkeit des "Schwarzsehens" und das Abschalten der so genannten Monitoring-Schlüssel für Händler macht den Premiere-Piraten zu schaffen, seit 23. März stellt das Zugangskontrolldiensteschutzgesetz (ZKDSG) auch das Anbieten entsprechender Crack-Software für analoge oder digitale Zugänge im Internet unter Strafe. So weit, so gut ...

Das ZKDSG ist aber allgemein verfasst und greift erheblich weiter: Der Wortlaut des Gesetzes (vgl. Kasten) spezifiziert nicht den Zweck der Verwendung von Entschlüsselungstools. Die Strafbarkeit kann daher neben den Software- und TV-Piraten auch Security Consultants erfassen, die im Auftrag von Kunden Netzwerke auf Verwundbarkeit testen.

Bereits der Download eines entsprechenden Hacker-Tools von einem US-Webserver (Einfuhr) durch einen Sicherheitsspezialisten ist mit bis zu einem Jahr Freiheitsstrafe nebst Einzug des Tatwerkzeugs (Computer) bedroht. Selbst die Entwicklung von Angriffssoftware gegen eigene Schutzvorrichtungen könnte – sofern diese bereits im Einsatz sind – unter Strafe stehen. Wer "gewerbsmäßig" auf seiner Festplatte einen Exploit zum Remote-Zugriff auf einen passwortgeschützten Webserver liegen hat (Besitz), verhält sich ordnungswidrig und könnte mit einer Geldbuße bis zu 50 000 € konfrontiert werden.

----------Anfang Textkasten----------

Gesetz über den Schutz von zugangskontrollierten Diensten und von Zugangskontrolldiensten (Zugangskontrolldiensteschutz-Gesetz – ZKDSG)

Abschnitt 1 - Allgemeine Vorschriften

§ 1 Zweck des Gesetzes

Zweck des Gesetzes ist es, Zugangskontrolldienste gegen unerlaubte Eingriffe zu schützen.

§ 2 Begriffsbestimmungen

Im Sinne dieses Gesetzes bezeichnet der Ausdruck

"zugangskontrollierte Dienste"
1. Rundfunkdarbietungen im Sinne von § 2 des Rundfunkstaatsvertrages,
2. Teledienste im Sinne von § 2 des Teledienstegesetzes,
3. Mediendienste im Sinne von § 2 des Mediendienste-Staatsvertrages, die unter der Voraussetzung eines Entgelts erbracht werden und nur unter Verwendung eines Zugangskontrolldienstes genutzt werden können,
"Zugangskontrolldienste" technische Verfahren oder Vorrichtungen, die die erlaubte Nutzung eines zugangskontrollierten Dienstes ermöglichen,
"Umgehungsvorrichtungen" technische Verfahren oder Vorrichtungen, die dazu bestimmt oder entsprechend angepasst sind, die unerlaubte Nutzung eines zugangskontrollierten Dienstes zu ermöglichen,
"Absatzförderung" jede Form der unmittelbaren oder mittelbaren Förderung des Absatzes von Waren, Dienstleistungen oder des Erscheinungsbilds eines Unternehmens, einer sonstigen Organisation oder einer natürlichen Person, die eine Tätigkeit im Handel, Gewerbe oder Handwerk oder einen freien Beruf ausübt.

Abschnitt 2 - Schutz der Zugangskontrolldienste

§ 3 Verbot von gewerbsmäßigen Eingriffen zur Umgehung von Zugangskontrolldiensten

Verboten sind

die Herstellung, die Einfuhr und die Verbreitung von Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken,
der Besitz, die technische Einrichtung, die Wartung und der Austausch von Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken,
die Absatzförderung von Umgehungsvorrichtungen.

Abschnitt 3 - Straf- und Bußgeldvorschriften

§ 4 Strafvorschriften

Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer entgegen § 3 Nr. 1 eine Umgehungsvorrichtung herstellt, einführt oder verbreitet.

§ 5 Bußgeldvorschriften

Ordnungswidrig handelt, wer entgegen § 3 Nr. 2 eine Umgehungsvorrichtung besitzt, technisch einrichtet, wartet oder austauscht.
Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.

§ 6 Einziehung

Gegenstände, auf die sich eine Straftat nach § 4 bezieht, können eingezogen werden.

----------Ende Textkasten----------

Nötig wurde das ZKDSG, um die Forderungen von Artikel 6 der Cybercrime Convention sowie der entsprechenden EU-Richtlinie zu erfüllen (vgl. Kasten "Strafbarkeitslücken"). Die derzeitige Fassung könnte aber dennoch mehr unerwünschte Nebenwirkungen als Lösungen bringen. Die Bedenken sind nicht einmal neu. Fachleute hatten vor der Verabschiedung des Gesetzes Zweifel geäußert.

Auch der Bundesrat nahm schon Ende September 2001 dazu Stellung: "Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren in geeigneter Weise klarzustellen, dass Zugangskontrolldiensteanbieter, die Umgehungsvorrichtungen verwenden, um Zugangskontrolldienste auf ihre Tauglichkeit zu testen bzw. deren Sicherheitsstandards zu verbessern, nicht vom Verbot des § 3 Nr. 1 und 2 ZKDSG und den Straf- und Bußgeldvorschriften in den §§ 5 und 6 ZKDSG erfasst werden. In diesen Fällen besteht für ein Verbot und damit auch für eine Bestrafung kein Anlass. Der Bundesrat weist auf die ähnliche Problematik bei Artikel 6 des Entwurfs eines Übereinkommens des Europarates über Datennetzkriminalität (Draft Convention on Cyber-Crime) und die diesbezüglichen Ausführungen in Nummer 76 des Entwurfs eines Erläuternden Berichts hierzu hin."

Die Bundesregierung äußerte sich hierzu wie folgt: "Die Bundesregierung hat den Vorschlag geprüft. Die Bundesregierung tritt dem Antrag entgegen. Eine Klarstellung ist nicht erforderlich. Zweck des Gesetzes ist es, zugangskontrollierte Dienste gegen unerlaubte Nutzungen zu schützen. Wenn Zugangskontrolldiensteanbieter Umgehungsvorrichtungen verwenden, um Zugangskontrolldienste auf ihre Tauglichkeit zu testen bzw. deren Sicherheitsstandards zu verbessern, liegt schon kein nach § 3 verbotenes Verhalten vor. Abgesehen davon, dass Tests und Verbesserungen des Sicherheitsstandards zu einem großen Teil schon von den Tathandlungen in den §§ 3, 5 und 6 nicht erfasst werden, beziehen sich diese in einem solchen Fall nicht auf technische Verfahren oder Verfahren, die dazu bestimmt oder angepasst sind, die 'unerlaubte' Nutzung eines zugangskontrollierten Dienstes zu ermöglichen. Auch liegt kein verbotenes Verhalten 'zu gewerbsmäßigen Zwecken' vor. Schließlich liegt auch noch eine Einwilligung der von den §§ 3, 5 und 6 geschützten und verfügungsberechtigten Zugangskontrolldiensteanbieter vor."

Diese Entgegnung vermag aber aus logischen und juristischen Gründen in keiner Weise zu befriedigen. Erstens kann die Definition "unerlaubt" in einem Straftatbestand kein zusätzliches Kriterium bieten, da dies zu einem Zirkelschluss führen würde: "Wenn es unerlaubt ist, dann ist es nach diesem Gesetz nicht erlaubt!". Zweitens greift die angesprochene Verfügungsberechtigung der Rechteinhaber nicht in jedem Fall, da der Netzwerkbetreiber und der Inhaber des Urheberrechts an der geknackten Software in der Regel auseinanderfallen. Damit ist nicht klar aus dem Gesetz erkennbar, wer mit seiner Einwilligung die Strafbarkeit der Handlungen eines Security-Dienstleisters verhindern kann.

In diesem Fall können sich Administratoren nicht mehr ausreichend über den Schutzbedarf informieren und Lücken nicht mehr selbst testen. Netzwerksicherheitsexperten würden sowohl bei ihren Sicherheitstests als auch bei Schulungen für Systemadministratoren durch eine solche Interpretation schwer behindert.

Um die Sicherheit von Netzen effektiv testen zu können, müssen Security-Firmen die gleichen effektiven Hilfsmittel benutzen können wie die Hacker selbst. Wenn der Vertrieb und die "Einfuhr" von Hackertools und Demonstrationen von Sicherheitslücken strafbar sind, so würden diese "Offenbarungen" in den Untergrund von Insiderkreisen versinken. Wenn Besitz und Einrichtung solcher Tools ordnungswidrig sind, verlieren die Security-Experten in dem Hase-und-Igel-Spiel Sicherheit noch weiter an Boden, weil sich böswillige Angreifer naturgemäß weiterhin unter Verstoß gegen das Gesetz solcher Hilfsmittel bedienen werden.

Microsoft kann sich aus einem anderen Grund über das Gesetz freuen: Jede Linux-Distribution enthält bereits in der Standard-Variante zahlreiche Tools, die der Wortlaut des Gesetzes erfasst. Weder den Linux-Distributoren noch den Netzwerk-Security-Firmen wird letztlich die Beschränkung auf die Gewerbsmäßigkeit etwas helfen, da sie Firmen wie der Suse Linux AG oder einem Beratungsunternehmen ja kaum abzusprechen ist.

----------Anfang Textkasten----------

Strafbarkeitslücken

Bisher haben Hacker häufig die fehlende internationale Harmonisierung der Strafrechtsvorschriften ausgenutzt. In den relativ liberalen Niederlanden konnten Musiktauschbörsen, Raubkopie- und Pornoanbieter noch bis vor kurzem weitgehend unbehelligt ihrer Tätigkeit nachgehen. Staaten wie Togo vergeben Domains, die keinem Besitzer zugeordnet werden können und daher häufig zu illegalen Zwecken missbraucht werden usw.

Diesen Problemen will man angesichts der ansteigenden Cyber-Kriminalität zumindest im europäischen Rahmen zu Leibe rücken. Am 9. November 2001 ist der 27. Diskussionsentwurf des Cybercrime-Abkommens des Europarats endgültig abgesegnet worden. Es enthält Vereinbarungen zur Überwachung und Verfolgung von Straftaten im und über das Internet. Damit will man sowohl die strafrechtlichen Grundlagen des "Hacker-Strafrechts" als auch die Überwachungs- und Verfolgungsmaßnahmen vereinheitlichen und die internationale Zusammenarbeit verbessern.

Die 41 Mitgliedsstaaten des Europarats verpflichten sich, bei der Verfolgung von Hackern einen ganzen Katalog von Verhaltensweisen unter Strafe zu stellen. In vielen Ländern fehlen einzelne oder auch eine ganze Reihe von Strafvorschriften, um die Cyberkriminalität wirksam bekämpfen zu können. Im Bereich Hacking sollen unerlaubter Zugriff auf Rechnersysteme, Abhören (Sniffen) von Daten, Störung oder Veränderung der Kommunikation, Störung von Computersystemen und der Missbrauch von Geräten und Programmen (auch der Besitz mit der Absicht des Missbrauchs) sowie Fälschung von Daten und Betrug durch Datenveränderung in allen Mitgliedsstaaten unter Strafe stehen.

Beim Ausspähen von Daten wird den Mitgliedsstaaten die Möglichkeit eingeräumt, die Überwindung von technischen Schranken, eine besondere Absicht des Ausspähens oder das Ausspähen über vernetzte Computer zur Voraussetzung der Strafbarkeit zu machen. Demnach entsprach schon das bisherige deutsche Recht in diesem Bereich den Anforderungen der Konvention, da hier das Überwinden einer technischen Hürde und das tatsächliche Ausspähen von Daten zur Strafbarkeit erforderlich sind. Das bedeutet:

Ist keine technische Hürde eingebaut, macht sich ein "Einbrecher" nicht strafbar, da er keine "besonders geschützten" Daten ausspäht. Freigegebene Windows-Shares ohne Passwort behandelt das Gesetz genau so wie Webserver. Denn es handelt sich in beiden Fällen um freiwillig ins Netz gestellte, für jedermann ohne technischen Schutz über das Internet abrufbare Inhalte. Ob dies in jedem Fall Absicht ist, darf bezweifelt werden, ist aber für den externen Nutzer nicht erkennbar.
Gegen das Hacken von Systemen besteht kein strafrechtlicher Schutz, solange der Eindringling keine Daten ausspäht oder verändert. Der Hacker darf sich also mithilfe eines Exploits die Möglichkeit verschaffen, Root-Rechte auf einem System zu erlangen, solange er diese Möglichkeit nicht zum Anschauen oder "Korrigieren" der Daten nutzt. Allerdings setzt hier das neue Zugangskontrolldiensteschutzgesetz Grenzen, sofern es sich beim Zielsystem um einen geschützten Tele- oder Mediendienst handelt.

Gesetzgebungsbedarf gab es hingegen für Deutschland im Bereich der (Weiter-)Verbreitung von Passwörtern und anderen Zugriffsberechtigungen oder -methoden. Zur Umsetzung der EU-Richtlinie vom 20.11.1998 hat der Bundestag am 01.02.2002 den Entwurf eines Zugangskontrolldiensteschutzgesetzes verabschiedet, ohne die Einwände des Bundesrates und von Fachleuten zu berücksichtigen. Danach hat das Gesetz am 22.03.2002 den Bundesrat passiert und ist bereits am darauf folgenden Tag in Kraft getreten.

Der Einsatz geknackter Schlüssel oder Passwörter zur kostenlosen Nutzung von kostenpflichtigen Fernseh- oder Online-Angeboten war bereits früher unter Strafe gestellt (§ 265a StGB oder § 263a StGB). Da derartige Straftaten zu Hause schon wegen des grundgesetzlichen Schutzes der Privatsphäre (Art. 13 GG) aber kaum zu entdecken sind und ein großer Schaden für die Urheberrechtsinhaber droht, war es notwendig, schon im Vorfeld der eigentlichen Rechtsverletzung einzugreifen. Jetzt stehen daher bereits die Verbreitung von Passwort-Listen, von Knackprogrammen für Pay-TV oder Schlüsselgeneratoren für Shareware- Programme unter Strafe.

----------Ende Textkasten----------

Geplante weitere Verschärfungen des Urheberrechtsschutzes

Die Bemühungen der Urheberrechtslobby zu effektiveren Schutzmaßnahmen gehen aber noch weiter. Die neue EU-Urheberrechtsrichtlinie lässt für die Umsetzung in deutsches Recht relativ viel Spielraum, was Erlaubnis oder Verbot privater Kopien anlangt. Der vorliegende Entwurf verschärft jedoch die derzeit geltende Rechtslage. Es wird zwar das bestehende Recht auf die private Kopie beibehalten, aber die Umgehung von Kopierschutzmechanismen soll in Zukunft in jedem Fall verboten sein, auch dann, wenn bisher die Privatkopie trotz Kopierschutz erlaubt war. Bei Privatleuten soll allerdings keine Strafbarkeit daran gebunden werden.

Den Urheberrechtsinhabern geht selbst diese Änderung nicht weit genug. Sie streben an, zwingend Digital Rights Management (DRM) Mechanismen einzuführen. In einem Entwurf des "Security System and Copyright Act" in den USA wird in einem noch weiter gehenden Schritt sogar gefordert, dass die Industrie nur noch Computer mit vorinstalliertem Digital Rights Management System ausliefern dürfen soll. Microsoft könnte damit seine beherrschende Marktposition noch weiter festigen, da die Firma Inhaberin mehrerer Patente im Bereich Digital Rights Management ist. Die Verbreitung von Linux und anderen Betriebssystemen könnte das effektiv torpedieren.

Durch das Zugangskontrolldiensteschutzgesetz dürfte niemand mehr die Qualität dieser DRM-Modelle und deren eventuell vorhandene Spionageaktivität durch Übertragung von Lizenzinformationen auf legale Weise untersuchen. Wenn man sich die Funktionen des Windows Media Players in der Version 8 einmal genauer anschaut, kann man sich etwa vorstellen, welche Spionagemöglichkeiten sich zukünftig unter dem Deckmantel des Urheberrechts auftun. Bei Windows XP lässt sich Microsoft schon jetzt im Lizenzvertrag das Recht einräumen, jederzeit auf den Rechner des Nutzers zugreifen zu können. Darüber hinaus ist ein User vorinstalliert, der dies auch technisch ermöglicht.

Fazit

Durch die Beteiligung von Lobbyisten an der Erarbeitung von Gesetzesentwürfen werden häufig berechtigte Interessen anderer Gruppen, beispielsweise diejenigen der IT-Security-Branche, nicht genügend berücksichtigt. Dies geschieht leider in letzter Zeit häufiger: Auch bei der Änderung des Teledienstedatenschutzgesetzes durch das Elektronische Geschäftsverkehrsgesetz sind Ausnahmeregeln für Speicherungsrechte auf Fälle des Abrechnungsbetrugs beschränkt worden, während der Gesetzentwurf vom 14.02.2001 auch noch andere Sicherheitsverletzungen berücksichtigt hatte. Firewall-Protokolle bleiben daher vermutlich weiterhin meist unrechtmäßig, sofern keine kostenpflichtigen Dienste für externe Nutzer angeboten werden.

Durch die unklare Formulierung des Zugangskontrolldiensteschutzgesetzes wird es in Zukunft immer wieder zu Irritationen bezüglich der Zulässigkeit etwa von "Hackerschulungen" für Systemadministratoren oder bei Penetrationstests kommen, obwohl man dies auf Anregung des Bundesrates hätte klar und deutlich formulieren können. Wenn man an die eigenwillige Gesetzesauslegung durch Richter wie im Fall des früheren Compuserve-Chefs Somm denkt, kann man jetzt schon die Gefahren erahnen, in die Security Consultants zukünftig geraten könnten.

Rechtsanwalt Ulrich Emmert ist Sozius der Kanzlei e|s|b Rechtsanwälte, Tübingen.

Management und Wissen

Anti-Hacker-Gesetz