![[externer Link]](../../../../images/link.gif)
www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut und bis Juni 2005 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) war.Durch die Pläne der Bundesregierung zur Bekämpfung der Computerkriminalität (s. S. 6) wird nach nunmehr 20 Jahren in einem Bereich der Kriminalität nachgelegt, der in seinen zukünftigen Auswirkungen auf die Gesellschaft immer noch unterschätzt wird. Allerdings gibt es trotz der richtigen Zielsetzung der Änderungen im Hinblick auf die Arbeit von Computer-Notfallteams "Bauchschmerzen" – jedenfalls wenn man sich Zeit nimmt und genau hinsieht.
Zwar ist an der Verschärfung der Paragraphen insgesamt nichts auszusetzen – entsprechende kritische Lücken müssen endlich geschlossen werden. Doch auch wenn die Ziele richtig sind, muss man sich fragen, ob die Implementierung angemessen ist. Hierzu einige Gedanken:
Der neue § 202b soll künftig das Abfangen auch unverschlüsselter Datenübermittlung unter Strafe stellen, sofern eine "nichtöffentliche" Übermittlung vorliegt – doch was ist das? Es stellt sich die Frage, ob das Gesetz etwas schützen soll, wo keine besondere Sicherung vorliegt? Kryptographische Verfahren gehören heute zum Standard, sowohl auf System- als auch auf Anwendungsebene, und es wäre technisch kein Problem, hier genauso wie beim Ausspähen von Daten auf eine "besondere Sicherung" abzustellen. Wo diese eingesetzt wird, bräuchte man nicht mehr zu diskutieren, ob der Benutzer eine "öffentliche" Übertragung bezweckt hat!
Spannend wird es auch, wenn man an die gängige Plug-and-Play-Philosophie heutiger mobiler Endgeräte denkt: Sobald ein WLAN in Reichweite kommt (betrieben durch einen Bürger, also nichtöffentlich), versucht sich das Endgerät aufzuschalten, erhält eventuell eine IP-Adresse und verwendet dafür definitiv Daten des WLANs. Da der Gesetzentwurf bei den abgefangenen Daten nicht differenziert... Bingo! Freiheitsstrafe bis zu zwei Jahren droht! Und wenn wir schon dabei sind: Wie sind die per Bluetooth ausgestrahlten Daten eines Handys zu bewerten?
Ganz richtig ist es allerdings, nicht-autorisierte "Sicherheitstests" oder publikumswirksame Aktionen wie Wardriving (Ausforschen ungeschützter WLANs) unter Strafe zu stellen: Hierbei werden konkret "besondere Sicherungen" gebrochen. Letztendlich vermitteln nicht zuletzt solche Handlungen in der Öffentlichkeit, dass so etwas "schon nicht so schlimm ist" – eine gefährliche Haltung.
Problematisch ist hingegen, dass Versuche per Phishing oder anderen Social-Engineering-Angriffen an Passworte von Benutzern heranzukommen, nicht strafbar sein sollen. Hier wäre mehr erforderlich! Ebenso bei Versuchen, durch das Versenden von E-Mails mit Computer-Viren oder -Würmern die eingesetzten Sicherheitsmaßnahmen zu unterlaufen. Natürlich ist es schwer, gerade im letzten Fall eine Formulierung zu wählen, die nicht gleich jedes Opfer auch zum Täter macht.
Nicht zuletzt am § 202c entzündet sich die – verständliche – Diskussion, ob es überhaupt noch möglich ist, als Forscher oder IT-Sicherheitsfirma mit Angriffswerkzeugen umzugehen. Schließt man sich der Meinung mancher Rechtsexperten an, dann ist alles nicht so schlimm – nach den Worten des Gesetzes. Es ist nur schade, dass der Entwurf selbst in seiner Begründung scheinbar auf einen ganz anderen Wortlaut eingeht, und somit der ganzen Diskussion Vorschub leistet.
Es sollte außer Frage stehen, dass sich kein Land, dass so sehr wie wir von der IT abhängt, heute leisten kann, diesen Bereich unter Strafe zu stellen – und entsprechende Arbeiten und Forschungen nur noch im staatlichen Bereich unter Verschluss hält!
Es gäbe viel zu verbessern, klarer auszudrücken und auch vielleicht anders zu bewerten. Hätte man rechtzeitig mit Experten über das Thema gesprochen und diese mit einbezogen, wäre vielleicht einiges anders gelaufen – sowohl bei der Formulierung des Referentenentwurfs als auch bei der jetzt doch sehr unglücklich verlaufenden – mehr oder minder – öffentlichen Diskussion.
Insgesamt ergibt sich der Eindruck, dass tatsächlich der "dicke Knüppel" vorgeholt wird, die Strafbarkeit von Vorfeldhandlungen und die Kriminalisierung von Bagatell-Fällen wird noch viel Ärger bereiten – langwierige und schwierige Gutachterfälle sind vorprogrammiert. Das schlimmste daran ist die Unsicherheit, die darin besteht, dass keiner so recht weiß, wie bestimmte Formulierungen zu interpretieren sind. Etwas, was bei einem Gesetz eigentlich nicht vorkommen sollte!
Die <kes>-Rubrik CERT News berichtet über aktuelle Entwicklungen aus dem Umfeld von Computer Emergency bzw. Security Incident Response Teams (CERTs/CSIRTs). Betreuer dieser Kolumne ist Klaus-Peter Kossakowski ( www.kossakowski.de), der bereits ab 1992 mit dem Aufbau des ersten CERTs in Deutschland betraut und bis Juni 2005 Vorsitzender des internationalen Dachverbands FIRST ( www.first.org) war.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#6, Seite 16
| 