![[ Porträtfoto: Norbert Luckhardt]](../nl2k1.jpg)
Farewell White Hat?! Farewell White Hat?!Wenn die Bundesregierung die Gesetze zur Computerkriminalität verschärft, so darf sie wohl mit Zustimmung rechnen – nicht zuletzt von 49 % der Teilnehmer an der <kes>/Microsoft-Sicherheitsstudie, die das deutsche Strafgesetz in dieser Hinsicht als unzureichend ansehen (s. S. 40). Der jetzt vorgelegte ![[externer Link]](../../../../images/link.gif)
Regierungsentwurf zum "Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität (StrÄndG)" verspricht – so eine Pressemitteilung des Justizministeriums – "besseren Schutz vor Hackern, Datenklau und Computersabotage". Mehr Möglichkeiten zur Strafverfolgung wären damit sicher gegeben – doch bedeutet das auch besseren Schutz?
Zwei wesentliche Änderungen sind die Strafbarkeit des bloßen Eindringens (unbefugter Zugang zu Daten) und von Vorbereitungshandlungen. Dazu gehört auch das Erstellen oder Beschaffen von Zugangskennungen und Software, deren "objektivierter Zweck" die Begehung einer Computer-Straftat ist. Die Begründung zum Gesetzentwurf nennt hier ausdrücklich auch Hacker-Tools, selbst wenn diese nicht ausschließlich für Straftaten bestimmt sind.
Darf dann nächstes Jahr ein Administrator noch einen Exploit aus dem Internet beziehen, um eine gemeldete Schwachstelle zu überprüfen? Das erscheint zumindest sehr fraglich – trotz Formulierungen, die versuchen nur den mit Strafe zu bedrohen, der Böses plant. Ziemlich sicher darf kein Deutscher mehr ein solches "Hacker-Tool" programmieren – schließlich lässt sich fast jeder Exploit auch für Angriffe missbrauchen. Doch wie soll man vor einer neuen Sicherheitslücke warnen, wenn man keinen Beweis dafür verbreiten darf? Wie soll man Gegengift erforschen, wenn man nicht an den Giftschrank darf?
Wenn weniger Menschen nach Sicherheitslücken suchen, bedeutet das besseren Schutz vor Angriffen? Wenn auch "White Hat Hacker" kriminell sind, die Schwachstellen nach dem Auffinden melden – bedeutet das mehr Sicherheit für die Betreiber von derart "angegriffenen" Systemen oder weniger? Entweder werden die "unbezahlten Penetrationstests" rapide abnehmen oder die Zahl der Computer-Straftäter deutlich steigen. Hat, wer ohnehin als "kriminell" gilt, womöglich auch weniger Skrupel vor wirklich kriminellem Handeln?
Die "Guten" müssen demnächst wohl noch einiges diskutieren – oder sich ein Prinzip der "Bösen" aneignen und das eine oder andere schlicht ignorieren. "Gut" wär das aber nicht...
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#5, Seite 3
| 