Vor einigen Tagen veröffentlichte der Chaos Computer Club, genauer gesagt dessen Mitglieder Constanze Kurz, Felix Lindner, Frank Rieger und Thorsten Schröder, ein Gutachten zum „Hackertoolparagraphen“ §202c StGB. Dieser lautet wie folgt:

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.

Unter Menschen, die sich (beruflich, hobbymäßig oder in der Ausbildung) mit IT-Security befassen, erfreut sich dieser im Sommer 2007 verabschiedete Paragraph keiner großen Beliebtheit, sondern steht seit seiner Einführung durchgängig in der Kritik. Insbesondere hobbymäßige, „inoffizielle“ Sicherheitsforscher befürchten durch die neue Gesetzgebung eine Kriminalisierung ihrer Tätigkeit.

In der Branche ist teilweise durchaus ein gewisser Selbstzensur-Effekt zu beobachten. Man verlegt Websites ins Ausland, löscht oder versteckt seine Sammlung entsprechender Tools und redet nicht mehr so offen wie zuvor über entsprechende Experimente. Sicher betrifft dies nicht alle mit der Materie befassten Menschen. Manch Anderer gibt sich trotzig bis fatalistisch, denkt nicht über das Thema nach oder hat das entsprechende Risiko für sich längst als akzeptabel kategorisiert. Wieso aber ist es überhaupt ein solches Thema, ob man derartige Forschung überhaupt betreiben kann und sollte? Wer sich überlegt, dass viele dieser Interessierten ihr erworbenes Wissen zum besten der Gesellschaft einsetzen, dieser nützen wollen- muss der sich nicht fragen, ob es richtig sein kann, dass das offenbar nicht mehr immer angstfrei möglichen ist? Sollte es nicht so sein, dass eine Gesellschaft, die im Bereich neuer Technologien mithalten will, diejenigen unterstützen und fördern sollte, die sich mit diesen Technologien kritisch und mit Sachverstand auseinandersetzen?

Der Chaos Computer Club, bekannt für den hervorragenden technischen Sachverstand einiger Mitglieder, aber auch sein beständiges Engagement für eine möglichst umfassende und freie Beschäftigung mit „Hackerthemen“, legt in seiner Stellungnahme nun dar, wieso und auf welche Weise er die IT-Sicherheit in Deutschland durch die aktuelle Gesetzgebung gefährdet sieht.

Der Chaos Computer Club geht, das vorab, in seiner Stellungnahme davon aus, dass es zumindest denkbar ist, §202c StGB so auszulegen, dass bereits der reine Besitz entsprechender Software (ohne zusätzliche strafbare Handlungen) zu negativen Konsequenzen führen kann. Diese Auslegung ist umstritten; nach dem Wortlaut des Gesetzes wäre es ebenso denkbar (und der zu vermutenden Intention näher), Handlungen im Zusammenhang mit Hackertools erst dann strafrechtlich zu berücksichtigen, wenn andere einschlägige Handlungen (beispielsweise im Zusammenhang mit den 303er-Paragraphen) vorliegen. Die große Problematik bei §202c StGB ist, dass beide Auslegungen denkbar sind. So wird sowohl dem Ermessen des evtl. mit einem solchen Fall befassten Richters als auch ängstlichen Spekulationen potentieller Betroffener sehr viel Raum gegeben. Folge ist die oft erwähnte Rechtsunsicherheit- niemand weiß genau, woran er ist, insbesondere, da auch aussagekräftige Grundsatzurteile bisher fehlen. Diese Konstellation hat weitreichende Folgen, vor allem für die betroffene Branche, die die Gutachter des Chaos Computer Clubs für schädlich für das IT-Sicherheitsniveau in Deutschland erachten. Hier wäre eindeutig der Gesetzgeber in der Pflicht, nachzubessern und eine eindeutigere Situation zu schaffen. Gibt es so viele verschiedene, mehr oder weniger sinnvolle und teilweise sehr problematische Auslegungen eines Gesetzes, ist eindeutig der Gesetzgeber in der Pflicht, Rechtssicherheit zu schaffen. Dabei wäre es bezogen auf den Zweck des Gesetzes schlüssiger (und auch näher am Wortlaut des entsprechenden Artikels der zugrunde liegenden Cybercrime Convention), eine Kriminalisierung des reinen Besitzes entsprechender Tools und ihrer Benutzung für nichtdestruktive Zwecke ausdrücklich auszuschließen. Von entsprechenden Plänen ist allerdings momentan nichts bekannt- mit allen negativen Folgen, die die fortgesetzte Ungewissheit hat.

Nachdem das Gesetz nun schon rund ein Jahr in Kraft ist, sollte denjenigen, denen wirklich etwas an der Verbesserung der IT-Sicherheit in Deutschland liegt, klar geworden sein, wie ungeeignet der §202c in seiner derzeitigen Version dazu ist. Falls nicht empfehle ich den betreffenden Damen und Herren Politikern dringend die Lektüre der vorliegenden Stellungnahme, in der Hoffnung, dass sie sich auch einmal mit der Perspektive der Betroffenen statt mit irgendwelchen Akten und Pseudo-Experten-Gutachten befassen.

Die Argumentation in der Stellungnahme ist meines Erachtens sehr umfassend und schlüssig, daher werde ich hier näher auf die einzelnen Punkte eingehen. In meinen Augen sind in dem Papier ein paar sehr sinnvolle Denkanstöße enthalten, die hoffentlich den einen oder anderen Politiker dazu bringen, seine Position im Bereich IT-Sicherheit doch noch einmal zu überdenken.

Einleitend führen die Autoren aus, dass eine Zweckbestimmung von Software grundsätzlich sehr schwer zu erreichen ist. Beispielhaft führen sie an, dass sonst jede Antivirus-Software die Technik nutzen würde, um erwünschte von schädlicher Software zu unterscheiden. Dass dies nicht möglich ist, liegt auf der Hand. Dementsprechend schwer ist es auch, einen Zweck für bestimmte Programme zu definieren. Viele als „Hackertools“ gebrandmarkte Programme haben auch völlig harmlose Verwendungen, während sich scheinbar harmlose und unmöglich zu verbietende Programme wie Webbrowser, Regedit oder diverse Kommandozeilen-Tools (insbesondere auf unixoiden Betriebssystemen) durchaus zur Vorbereitung, teilweise auch zur Durchführung von Angriffen eignen. Dies wird auch als “Dual Use”-Software bezeichnet und lässt sich (wie es auch der CCC in seiner Stellungnahme tut) sehr gut mit anderen, nicht IT-bezogenen Werkzeugen (denn um nichts anderes handelt es sich bei einem Computerprogramm) vergleichen. Viele Dinge in unserem Alltag können für nützliche und wichtige, ebenso aber auch für destruktive Zwecke eingesetzt werden. Ein Hammer ist dazu geeignet, ein Bücherregal zu bauen, einen Nagel für ein Bild einzuschlagen oder andere sinnvolle Dinge damit zu tun. Ebenso könnte aber auch jemand beschließen, seinem ungeliebten Mathelehrer, der Erbtante oder dem Geliebten seiner Frau mit diesem Hammer auf den Kopf zu schlagen und sie so wahrscheinlich schwer zu verletzen oder sogar zu töten. Ähnliches gilt für ein Skalpell (auch vom CCC als Beispiel verwendet), mit dem ein Arzt eine lebensrettende Operation durchführen kann, das aber ebenso als Tatwaffe für ein Gewaltverbrechen in Frage kommt, oder für ein Auto, das uns Mobilität bietet, aber auch für eine Amokfahrt genutzt werden oder bei Fehlern des Benutzers (in diesem Fall Fahrers) schwere Unfälle verursachen kann. Die Liste der Beispiele ließe sich beliebig fortsetzen.

Was haben all diese Dinge- inklusive Hackertools- gemeinsam? Sie alle haben mehrere Einsatzmöglichkeiten; einige davon sind zum Wohle der Gesellschaft, andere das genaue Gegenteil. Erst die Verwendung durch den Benutzer, dessen konkrete Handlung, entscheidet zwischen Erschaffen und Zerstören, zwischen Helfen und Schaden, zwischen Heimwerker-Gerät und Mordwaffe- oder eben zwischen verantwortungsvoller Computer-Tätigkeit und Cyberkriminalität. Allgemeiner gesprochen: Es kommt auf den Kontext an, in dem ein bestimmter Gegenstand oder eben ein Stück Software benutzt wird. Erst dieser Kontext lässt eine sinnvolle Beurteilung der Verwendung eines Gegenstandes zu, da er erlaubt, zu beurteilen, welches der verschiedenen Potentiale seines Werkzeugs jemand genutzt hat. Hackertools von vorneherein zu verbieten, hieße, nur ihr destruktives Potential zu sehen. Das ist ebenso falsch, wie Hämmer, Skalpelle oder Autos zu verbieten.

Im Zusammenhang damit gibt es eine weitere Gemeinsamkeit von “alltäglichen” Werkzeugen und den von unserer Regierung offenbar so gefürchteten Hackertools: Sie alle verlangen vom Benutzer eine bewusste Entscheidung für eine Handlungsweise- sie verlangen das Übernehmen von Verantwortung. Damit, dass wir Möglichkeiten, anderen Menschen zu schaden, nicht nutzen, übernehmen wir ein Stück weit gesellschaftliche Verantwortung. Das ist ein elementarer Teil einer freien Gesellschaft, die sich am humanistischen Menschenbild orientiert. Wir alle haben das Recht, frei zu handeln, und ebenso das Recht und die Pflicht, eigene Entscheidungen zu treffen. Das soll, ja darf uns der Gesetzgeber nicht ohne guten Grund absprechen. Nur, wer gelernt hat, Verantwortung zu übernehmen, kann positiv zum Gelingen unserer Demokratie beitragen, und nur, wer eine gewisse Handlungsfreiheit (gerade im professionellen Kontext, dort, wo er sich auskennt und sich engagieren kann und will) zugestanden bekommt, kann seine Talente wirklich einsetzen. Mit der möglichen, restriktiven Auslegung des §202c (die nun einmal von vielen als “Worst Case” angenommen wird) würde einem diese Entscheidungsfreiheit in einem bestimmten Themenbereich abgesprochen. Es wird einem nicht zugestanden (zugetraut?), diese Tools mit ihrem destruktiven Potential so einzusetzen, dass kein Schaden entsteht. Das ist eine sehr gefährliche Tendenz, hin zu einer Gesellschaft, die uns immer weniger Freiheiten zugesteht.

Die konstruktive, nicht in ihrer Intention und ihren Folgen kriminelle Verwendung solcher Tools ist nötig, ja unerlässlich. Das belegt der CCC im weiteren Verlauf seiner Stellungnahme (und es entspricht auch meiner persönlichen Überzeugung und Erfahrung).

Zunächst gehen die Autoren allgemein darauf ein, dass die Verwendung von Hackertools und Exploits wichtig für die Forschung und für die Entwicklung neuer Sicherheitssysteme ist. Sie erläutern, dass ein Fehler im Quellcode sich oft nur dann zeigt, wenn man ihn gezielt herbeizuführen oder auszunutzen versucht. Ist eine solche Handlungsweise verboten, bleiben viele Fehler unentdeckt.

Darüber hinaus versuchen viele Betreiber fehlerhafter Software oder Web-Anwendungen, Fehler geheim zu halten, um sich den finanziellen und personellen Aufwand für ihre Behebung und einen möglichen Image-Schaden zu ersparen. Da Kriminelle über einiges an Erfahrung im Aufdecken solcher Fehler verfügen, kann diese Handlungsweise unter Umständen sehr gefährlich sein. Im Interesse der Allgemeinheit ist eine möglichst zügige Behebung dieser Fehler. Diese aber wird oft nur erreicht, indem man entdeckte Sicherheitslücken veröffentlicht und so Druck auf die Firmen ausübt (“Full Disclosure”). Dies wäre natürlich höchst problematisch, wenn bereits der Besitz entsprechender Software reichen würde, um einem juristische Schwierigkeiten zu bescheren, insbesondere, wenn einige Firmen eine solche Anzeige als Druckmittel gegen ungeliebte Hacker verwenden würden.

Ebenso wird das Absichern von eigenen oder den Netzwerken und Rechnern seiner Kunden durch die derzeit herrschende Rechtsunsicherheit erschwert. Ohne wirksame Angriffstools ist es weit schwerer, oft unmöglich, eine wirklich umfassende Fehlersuche zu betreiben. Auch die Unsicherheit potentieller Kunden erschwert IT-Sicherheitsexperten die Arbeit. Ein zum Thema befragter Sicherheits-Dienstleister, Felix von Leitner, gibt in der Stellungnahme ein gutes Beispiel: Aus Sicht unserer Branche ist das ‚Hackertoolverbot‘ ein Desaster. Praktisch alle Kunden dieses Jahr haben vor Aufträgen besorgt nachgefragt, ob wir denn angesichts des ‚Hackertoolverbots‘ überhaupt noch ordentlich unsere Arbeit machen können. Wir konnten die Kunden beruhigen – die, die nachgefragt haben. Wir gehen aber davon aus, daß es hier eine Dunkelziffer an potentiellen Kunden gibt, die uns gar nicht erst angesprochen haben. Der Markt ist stark verunsichert, viele Firmen glauben, sie könnten sich juristisch angreifbar machen, wenn sie eine Sicherheitsfirma wie uns beauftragen, die dann womöglich in einer juristischen Grauzone agieren muß, und wagen daher nicht, ihre Sicherheitsprobleme offensiv anzugehen. Unter dem Strich ergibt sich hier eine deutliche Verschlechterung der Sicherheitsstandards in Deutschland. Gerade in Zeiten der Produktpiraterie und Industriespionage (die China-Trojaner seien hier beispielhaft erwähnt, die es ja sogar in diverse Ministerien geschafft haben) kann sich der Wirtschaftsstandort Deutschland das aus unserer Sicht nicht leisten. Aber auch unsere Arbeit wird durch das ‚Hackertoolverbot‘ ganz konkret beeinträchtigt. Wir hatten kürzlich einen Kunden im Ausland, eine Bank. Diese Bank betreibt einen Online-Banking-Webserver und wollte von uns wissen, ob der angreifbar ist. Auf dem Webserver lief eine alte Programmversion mit bekannten Sicherheitsproblemen. Da wir im Ausland operiert haben, konnten wir einen Exploit aus dem Internet holen und vor Ort gegen den Webserver anwenden und so nicht nur demonstrieren, daß der Webserver unsicher war, sondern sogar Spuren von früheren Einbrüchen auf dem Webserver finden. Wäre dieser Kunde eine inländische Bank gewesen, hätten wir beim Punkt ‚das ist eine alte Version mit bekannten Schwachstellen‘ aufhören müssen, die Bank hätte nie von dem ungebetenen Besuch erfahren, hätte keine Ermittlungen einleiten und die Kunden nicht warnen können. Das wäre ein großer Schaden zu Lasten der Kunden der Bank gewesen. Den angesprochenen Exploit kann man mit Hilfe von Google finden. Das kann jedes Kind.

Neben dem Aufdecken von Fehlern und der Arbeit von Sicherheitsfirmen werden auch Publikationen zum Thema erschwert. Fachzeitschriften und andere Leitmedien beschränken sich oft selbst in der Wahl ihrer Themen und verwendeter Test- und Forschungsmethoden, um Schwierigkeiten zu vermeiden. Vorsichtig agierende Rechtsabteilungen, die Schaden von der eigenen Publikation abwenden wollen, erhalten so das letzte Wort beim Beantworten der Frage, was veröffentlicht wird und was nicht. Nun ist den Rechtsabteilungen, die nur (unter erschwerten Bedingungen) ihre Arbeit tun, sicher kein Vorwurf zu machen. Trotzdem kann eine solche Entwicklung nur dem Informationsinteresse der Leser entgegen laufen.

Ebenso wie die Forschung, der Support und die Publikation zum Thema wird auch die Lehre erschwert. Teilnehmer und Dozenten von Weiterbildungsveranstaltungen und Schulungen sind ebenso z.T. verunsichert wie Professoren und Studenten an Hochschulen, oft werden auch die vermittelten Inhalte entsprechend angepasst. Mitunter haben die Lernenden sogar Angst, sich auf das sogenannte “Security Mindset” (so bezeichnet vom bekannten US-Sicherheitsexperten Bruce Schneier, er meint damit die Mentalität, sich in die Perspektive eines Angreifers zu versetzen, um Sicherheitslücken eines Systems zu entdecken) einzulassen, weil dies genau der Denkweise entspricht, die mit dem §202c (beziehungsweise seiner möglichen Auslegung) implizit verurteilt wird. Genau diese Denkweise aber ist unerlässlich für einen wirklich guten Sicherheitsexperten.

In besonderem Maße beeinträchtigt sind natürlich sogenannte “Livehacks”, bei denen (beispielsweise auf Messen) publikumswirksam bestimmte unsichere Systeme angegriffen werden, um die Zuschauer auf die Problematik aufmerksam zu machen. Man mag diesen Veranstaltungen angesichts des offensichtlichen Show-Effekts einen eher geringen inhaltlichen Wert beimessen. In meinen Augen verkennt das jedoch die Notwendigkeit einer verständlichen, breit angelegten Aufklärungsarbeit bei der “normalen”, nicht übermäßig IT-orientierten Bevölkerung (zu diesem Thema habe ich bereits einige gesonderte Beiträge geschrieben und werde das auch in Zukunft tun, hier nur soviel: Wer es nicht schafft, die Menschen auf eine interessante und nicht von oben herab belehrende Weise anzusprechen, wird sie nie wirklich erreichen- und er wird damit unserer Gesellschaft auf lange Sicht erheblich schaden). Wer sich jemals mit Laptop und aircrack-ng neben einen WEP-verschlüsselten WLAN-AP gesetzt, dem staunenden Publikum anschließend den zuvor eingestellten Key präsentiert und dann deren nachdenkliche Mienen gesehen hat, denkt möglicherweise anders über solche Veranstaltungen- mir geht es jedenfalls so. Für mich sind auch solche Demonstrationen Teil unseres gesellschaftlichen Auftrags als Experten.

Dabei bietet der neue Paragraph noch nicht einmal die zusätzliche Sicherheit, die man sich davon verspricht. Schadsoftware kommt oft aus dem Ausland, ebenso wie eine Mehrzahl der Angriffe, und ein Abdrängen möglicherweise mit problematischen Tools und Handlungsweisen experimentierender Jugendlicher in die kriminelle Szene erhöht eher die Gefahr, dass diese zu wirklichen Kriminellen werden. Man schwächt mit dieser Gesetzgebung eher seine Verteidigung, als die Angriffe zu minimieren. Weniger Freiheit? Definitiv. Mehr Sicherheit? Dafür spricht aus meiner Sicht als “Fachfrau” (und auch aus der der Gutachter) nichts.

Auch eine angeblich angedachte Zertifizierung “vertrauenswürdiger” Experten lehnt der CCC ab. Einerseits ließe eine solche Regelung die oft wichtige Impulse liefernden “Hobby-Hacker” und die Ausbildung von Nachwuchs außer acht. Andererseits würden viele typischerweise individualistisch eingestellte Sicherheitsexperten ein solches Vorgehen ohnehin ablehnen.

Zusammenfassend lässt sich die Feststellung treffen, die der CCC folgendermaßen umschreibt: “Für die tiefgehende Beschäftigung mit Fragen der IT-Sicherheit ist es unbedingt notwendig, sich auch mit diversen Techniken auseinanderzusetzen, die in Verbindung mit krimineller Energie tatsächlich einen großen Schaden hervorbringen könnten.” Geht man aber von dieser Notwendigkeit aus, dass bestimmte Menschen sich mit solcher Software auseinandersetzen, muss man diesen im Umkehrschluss auch gewährleisten, dass sie das ohne Sanktionen tun können, solange sie sich zum Besten der Allgemeinheit verhalten und ihre Verantwortung sinnvoll wahrnehmen.

Gründe, ein möglichst hohes IT-Sicherheitsniveau in Deutschland zu wollen, gibt es viele. Da ist einerseits natürlich der Schutz der Menschen vor Cyberkriminalität, die momentan ein großes (und noch im Wachsen begriffenes) Problem darstellt, der keineswegs einfacher wird, wenn man die Beschäftigung mit möglichen Gegenmaßnahmen erschwert. Auch der Wirtschaftsstandort Deutschland würde logischerweise davon profitieren, wenn die Ausbildung von Fachkräften und die spätere professionelle Arbeit von Sicherheitsfirmen problemloser möglich wären.

Nicht zuletzt wirkt sich die IT-Sicherheit, in einer zunehmend vernetzten und technisierten Welt, auch auf sehr viele andere wichtige Bereiche aus. Der CCC nennt hier exemplarisch die Raumfahrt und die Landesverteidigung, die von einem möglichst hohen Sicherheitsniveau profitieren, ja, die darauf angewiesen sind. Hinzufügen ließe sich beispielsweise noch das Gesundheitssystem, die Kriminalitätsbekämpfung und das Sozialsystem.

Ein weiterer wichtiger Aspekt ist die Tatsache, dass jeder deutsche Bürger das vor Kurzem vom Bundesverfassungsgericht definierte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systems besitzt, was vereinfacht gesagt bedeutet, dass er das Recht hat, dass die Daten auf seinem Computer von Unbefugten weder gelesen noch verändert werden. Daraus leitet sich nach Ansicht des CCC unter Umständen ein Recht auf Selbstschutz ab, das womöglich nur mit Hilfe entsprechender Software ausgeübt werden kann (womit unter Umständen sogar die Verfassungsmäßigkeit des fraglichen Paragraphen in Zweifel gezogen werden muss).

Man kann nur noch einmal an den Gesetzgeber appellieren, Rechtssicherheit zu schaffen und die Eigenverantwortung der in diesem Bereich tätigen Menschen zu stärken. Das würde die Sicherheitslage in Deutschland eher verbessern und Menschen, die als Fachkräfte zu einer positiven Entwicklung in unserem Land beitragen können, die Arbeit sehr erleichtern und ihnen einige Ängste nehmen. Man kann nur hoffen, dass hier, endlich einmal, auf die Experten gehört wird.

PS: Wer glaubt, dass dies allein die IT-Branche betrifft- hier gibt es ein Beispiel dafür, dass diese Mentalität durchaus auch in anderen Fachgebieten mitunter einzugreifen versucht.

Die Intention des Gesetzgebers und auch der dem Gesetz zugrundeliegenden Cybercrime Convention war es, eine Verbesserung der IT-Sicherheitslage durch die Beschränkung des Zugangs zu Schadsoftware und Angriffswerkzeugen zu erreichen. Die derzeitige Fassung des § 202c StGB erreicht in der Gesamtschau das Gegenteil. Die abstrakte Kriminalisierung von Softwareherstellern und -benutzern, für deren Werkzeuge sich ein Zweck grundsätzlich nicht definieren läßt, führt zu einer Senkung des Sicherheitsniveaus. Gleichzeitig folgt daraus ein Standortnachteil für die deutsche Forschung und Wirtschaft. Die Strafnorm des § 202c StGB ist daher in der Praxis weder zielführend noch geeignet, das gesetzte Ziel zu erreichen.
(Constanze Kurz/Felix Lindner/Frank Rieger/Thorsten Schröder, Chaos Computer Club)

Komplette Stellungnahme findet sich hier

Zu später Stunde noch im Netz unterwegs fand ich heute eine verhalten optimistisch stimmende Nachricht. Wie Blogger-Kollege Lasse schreibt, soll eine IT Security-Firma, die unter anderem sogenannte Penetration Tests durchführt, Verfassungsbeschwerde gegen den sogenannten „Hackertool-Paragraphen“ §202c StGb eingelegt haben (Infos dazu gibt es auch hier). Bei Penetration Tests handelt es sich um den unter kontrollierten Bedingungen und mit Genehmigung der Betreiber stattfindenden Versuch, in Rechner oder Netzwerke einzudringen, um Sicherheitslücken aufzuspüren.

Diese Tätigkeiten sehen die Mitarbeiter der Firma VisuKom offenbar gefährdet, da beispielsweise die Beschaffung oder das Erstellen von als „Hackertools“ eingestuften Programmen nach der seit Sommer diesen Jahres gültigen Gesetzgebung bereits strafbar ist. Der genaue Wortlaut ist folgendermaßen: „Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.“ Ohne diese Programme aber sind viele Tests nur eingeschränkt oder unter stark erhöhtem Aufwand möglich (logischerweise, schließlich hat man sich beim Erstellen solcher Programme etwas gedacht). „Mit dem sehr weit gefassten Gesetz wurden auch Firmen oder Professoren in die enge getrieben, da auch sie jene Programme gebrauchen,“ schreibt Lasse dazu.

In dieser Hinsicht bin ich vollkommen mit meinem Blogger-Kollegen, den Mitarbeitern von VisuKom und anderen Gegnern der neuen, verschärften Gesetzgebung einer Meinung. Meines Erachtens kann eine wirksame Absicherung informationstechnischer Systeme nicht gewährleistet werden, wenn es bereits rechtlich problematisch ist, diese unter realistischen Bedingungen zu testen. Erkennt man Sicherheitslücken erst im Ernstfall, ist es in den meisten Fällen schon zu spät. Ebenso wenig ist eine realistische und praxisnahe Ausbildung angehender Fachleute möglich, wenn diese nicht die Möglichkeit erhalten, sich mit den Tools vertraut zu machen, die ihre Gegner später möglicherweise nutzen und/oder die sie selbst zu Testzwecken später brauchen könnten (abgesehen davon, dass die Beschäftigung mit dieser Art Software, wenn es nicht gerade die schlimmste bunte Scriptkiddy-Version ist, oft auch eine interessante Möglichkeit bieten würde, sich näher mit einem System und seinen Charakteristika auseinanderzusetzen).

Was allerdings weit weniger eindeutig ist, ist die Antwort auf die Frage, woran genau VisuKom nun die mangelnde Verfassungsmäßigkeit dieses Paragraphen festmacht. Auf entsprechenden Websites ist nur etwas von „existenzieller wirtschaftlicher Bedrohung von Security-Firmen“ zu lesen. Auf einen bestimmten Artikel des Grundgesetzes wird nicht explizit Bezug genommen, wodurch sich nur schwer beurteilen lässt, wie genau die Verfassungsbeschwerde aufgebaut ist (ich persönlich fände die Fragestellung interessant, wie dieses Gesetz mit Artikel 5 Absatz 3, also der Freiheit von Forschung und Lehre, vereinbar ist, aber darauf bezieht sich VisuKom allem Anschein nach nicht).

So bin ich momentan etwas skeptisch, was von dieser ganzen Angelegenheit zu halten ist. Argumente gegen die neue Gesetzgebung gibt es zahlreiche, eine wirklich schlüssige Argumentation für deren mangelnde Verfassungsmäßigkeit habe ich allerdings bis dato noch nicht zu Gesicht bekommen. So bleibt abzuwarten, wie gut die Argumente von VisuKom sind und ob sich die Richter in Karlsruhe von diesen überzeugen lassen.

Mit Cyberkriminalität der wirklich gemeinen Sorte haben wir es offenbar beim bereits seit einiger Zeit bekannten „Storm Worm- Botnet“ zu tun. Dabei handelt es sich um eine große Anzahl von PCs und Servern, die mit besagtem Trojaner infiziert und damit zu fernsteuerbaren „Zombies“ gemacht worden sind. Kontrolliert wird dieses Netz von Kriminellen, den sogenannten „Bot Herdern“, die den Rechnern (meist über eine Art Peer-to-Peer-Infrastruktur) Befehle geben können.

Soweit ist das leider heutzutage ein relativ normales Geschehen. Immer wieder gibt es Epidemien von Trojanern, die das Ziel haben, Rechner fernsteuerbar zu machen und in Botnets zu integrieren. Diese haben die früher bekannten destruktiven Schädlinge, die Dateien löschen oder das ganze Betriebssystem unbrauchbar machen, mittlerweile in der Bedeutung überholt- wieso soll man auch etwas zerstören, was man noch sehr gut für eigene Zwecke gebrauchen kann?

Genau darum geht es nämlich den Besitzern eines Botnets: Nicht um Ruhm und Ehre und schon gar nicht um die kreative Beschäftigung mit der Technik, die den wahren Hacker ausmacht, sondern um knallharten Profit. Was diese Leute treiben, ist Cyberkriminalität der untersten Stufe. Sie bringen tausende von Rechnern (im Falle des Storm Worm-Netzwerkes weiß niemand, wie viele genau, die Zahl wird von Experten aber auf eine mindestens fünfstellige Nummer geschätzt) unter ihre Kontrolle, schaffen eine entsprechende Infrastruktur, und vermieten das Netzwerk dann weiter für Spamversand und DDoS-Angriffe. Interessenten gibt es genug und so floriert dieses mehr als fragwürdige Geschäft, während ehrliche Unternehmer und Internet-Surfer unter den Risiken und Nebenwirkungen wie zugemüllten Mailkonten, streikenden Mailservern, nicht erreichbaren Websites und immer neuen Angriffen leiden.

Im Falle des Storm Worm-Botnets aber kommt ein weiterer Aspekt hinzu, der den Umgang mit diesem Botnet für IT-Sicherheitsexperten stark erschwert. Das berichtet unter anderem die Seite Network World.

Laut dem dort zu lesenden Bericht verfügt dieses Botnet über besondere Fähigkeiten, sich gegen IT-Sicherheitsexperten, die es ausspionieren oder vom Netz nehmen wollen, zu wehren. So sollen Forscher, die versuchen, sich an die „Command and Control“-Server des Botnets heranzumachen (indem sie beispielsweise modifizierte Versionen des Wurmes verwendeten), identifiziert und mit tagelangen DDoS-Angriffen außer Gefecht gesetzt werden. Einige Experten haben offenbar schon Angst, mit ihren Erkenntnissen an die Öffentlichkeit zu gehen, und behalten diese für sich.

Wieviel von diesen „Vergeltungsschlägen“ automatisiert geschieht und wo die Kriminellen selbst Hand anlegen ist bisher noch unklar, aber der Effekt ist bisher einzigartig und höchst besorgniserregend. Man kann wohl ohne zu übertreiben davon Sprechen, dass hier eine neue Dimension von Internet-Kriminalität erreicht worden ist.

Diese gilt es nun effektiv zu bekämpfen, und ich bin überzeugt, es gibt eine Menge kompetente Leute, die schon dabei sind, sich Lösungsvorschläge auszudenken. Das tut not, denn sonst könnte sich die Sicherheitslage im Internet weiter verschlechtern, was dessen normale Benutzung zunehmend einschränken könnte. Bereits heute sind unerfahrene User ja einem durchaus realen Risiko ausgesetzt, im Netz Opfer von Kriminalität zu werden- anderenfalls wären dieses und andere Botnets ja gar nicht erst so groß geworden.

Meines Erachtens überwiegt der Nutzen des Internets die Risiken bei weitem. Und damit genau das so bleibt, brauchen wir, neben Leuten, die kreativ sind, schreiben, designen, Geschäfte machen und neue Ideen beisteuern auch solche, die die ganze Geschichte absichern und aufpassen, dass unerfahrenere User nicht zu Opfern werden.

Angesichts der jüngsten Gesetzgebung kann man nur hoffen, dass unsere Regierung sich genau dieser Tatsache endlich bewusst wird und aufhört, Sicherheitsleute und Forscher auf eine Stufe zu stellen mit genau den Kriminellen, die sie bekämpfen. Zwischen beiden Seiten gibt es elementare Unterschiede, denn nicht das Werkzeug macht den Handwerker aus, sondern vor allem dessen Benutzung, das ist im Cyberspace nicht anders als seit Jahrhunderten im Real Life. Gerade jetzt, wo zunehmend klar wird, welches destruktive Potential in neuen Technologien steckt, sollte deren konstruktive Nutzung honoriert und gefördert werden.

Nach einigen Verzögerungen ist es nun soweit: Die umstrittenen „Hackerparagraphen“ sind endgültig vom Bundesrat abgesegnet worden. Damit akzeptierte der Bundesrat laut heise online die Entscheidung des Parlaments, dass das illegale Eindringen in fremde Netze auch mit dem Ziel der Aufdeckung von Schwachstellen nicht schutzwürdig sei. Schlechte Zeiten also für Total Disclosure, also das aufdecken sämtlicher Schwächen in einem System. Scheinbar überlässt man deren Auffinden lieber Kriminellen, die sie dann auf Exploit-Börsen meistbietend versteigern- oder riskiert, eine halbe Branche zu kriminalisieren. Dies bemängelte auch die Gesellschaft für Informatik in einem Protest, in dem die Gesellschaft jegliche Lehre, Forschung und Entwicklung und selbst die Diskussion über Prüftools zur IT-Sicherheit unter Strafe gestellt sieht.

Das mag sich auf den ersten Blick übertrieben anhören, aber da im Gesetzestext momentan keine Ausnahmeregelungen vorgesehen sind, könnten sich diese düsteren Befürchtungen durchaus als zutreffend herausstellen. Man könnte sich nun auf die Gerichte verlassen, aber auch diese haben in letzer Zeit nicht immer das rechte Maß bei der Anwendung restriktiver Gesetze walten lassen.

Die einzigen, die von dem neuen Gesetz profitieren werden, sind einerseits die Anwälte, die wahrscheinlich mit dem Verteidigen von übereifrigen Informatikern gut verdienen werden, und andererseits die Cyberkriminellen. Wer nämlich glaubt, dass diese sich von den neuen Gesetzen abschrecken lassen, ist einfach nur bodenlos naiv (was unsere Regierung in IT-Dingen ja leider des Öfteren ist). Wer seine IT-Kenntnisse und entsprechende Tools benutzt, um andere bewusst zu schädigen und/oder sich zu bereichern, handelt sowieso kriminell. Ein weiteres Gesetz, gegen das man verstößt, wird diese Leute allerhöchstens dazu bringen, sich noch weniger erwischen zu lassen. Eine sonstige Verhaltensänderung ist vorsichtig ausgedrückt unwahrscheinlich.

Eher dürften die Bad Guys des Internet in den nächsten Monaten, wie man so schön sagt, „fröhliche Urständ’ feiern“. Denn die Gegenseite, die sich mit IT-Security zum Broterwerb, aus Spaß oder zu Forschungszwecken beschäftigt, wird für diese Ziele nicht unbedingt eine Vorstrafe riskieren wollen. Die logische Schlussfolgerung ist, dass mit dem neuen Gesetz die meisten Exploits wirklich nur noch Kriminellen bekannt sein werden- oder aber es bald Prozesse gegen Informatiker hageln wird. Es sei denn dieses Gesetz wird auch von den Verantwortlichen nach dem Motto „legal, illegal, sch…egal“ gehandhabt (was momentan extrem unwahrscheinlich ist) oder aber diese sind zu inkompetent, um Verstöße aufzudecken und zu ahnden (was durchaus möglich ist, aber keine Basis, auf der man seine Karriere riskieren möchte).

Alle Möglichkeiten sind extrem suboptimal. Kein Informatiker möchte Kriminellen das Feld überlassen, gegenüber Kollegen aus dem Ausland ins Hintertreffen geraten oder sich vor dem Richter wiederfinden. Natürlich gäbe es technische Lösungen, ein erwischt werden unwahrscheinlicher zu machen. Aber das kann bestenfalls eine Notlösung sein, ebenso unsicher wie unbefriedigend. Was die Branche braucht ist die Anerkennung und Unterstützung ihrer Arbeit, gerade in Zeiten wie diesen wo Cyberkrieg, Spam, DDoS-Angriffe und immer neue Viren und Trojaner allzu oft die Schlagzeilen bestimmen. Denjenigen, die diese Bedrohungen bekämpfen könnten, weitere Steine in den Weg zu legen, ist irgendwo zwischen unlogisch und selbstzerstörerisch anzusiedeln.

Selbst wenn es einmal Ausnahmeregelungen für entsprechende Firmen geben sollte (was momentan ja nicht der Fall zu sein scheint) ist das lediglich ein schwacher Trost. Was ist mit hobbymäßigen „Hackern“, die schon oft wertvolle Hinweise geliefert haben? Und was ist mit der Ausbildung von Nachwuchs? Soll man in ein paar Jahren alle Fachkräfte in diesem Bereich aus dem Ausland anwerben, weil an deutschen Unis höchstens noch Programmieren und ein bisschen Computertechnik gelehrt wird, aber die halbe Netzwerktechnik und die ganze IT-Security aus Angst vor Strafverfolgung aus dem Lehrplan zensiert wurde? Mal vorsichtig angefragt: Wieso sollten diese Leute bei der bestehenden Gesetzeslage überhaupt nach Deutschland kommen? Da ist es schon wahrscheinlicher, dass sich an den Grenzen eine Schlange in die andere Richtung bildet…

Momentan herrscht noch eine Gnadenfrist, aber die wird wohl bald zuende sein: Das Gesetz kann jetzt nach der Zeichnung durch den Bundespräsidenten gleich am Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten. Die entsprechende Ausfertigung dauert erfahrungsgemäß drei bis sechs Wochen, sodass die neuen Bestimmungen im Hochsommer Gültigkeit erlangen dürften.

So kurz vor Ultimo herrscht in der Szene scheinbar die Angst vor. Heise berichtet: Die in Fachkreisen gut bekannte deutsche Hackergruppe Phenoelit, die auf den Jahreskongressen des Chaos Computer Clubs (CCC) immer wieder mit Aufdeckungen erheblicher Sicherheitslücken etwa bei SAP-Software, Blackberry-Geräten oder integrierten Systemen und Druckern für Aufsehen sorgte, hat daraus bereits ihre Konsequenzen gezogen und ihre deutsche Website dicht gemacht. Die Hackerwerkzeuge und Exploits der Sicherheitstester können nun nur noch über einen ausländischen Server in Augenschein genommen werden. Auch auf Happy Security, einer meiner persönlichen Lieblings-Spielwiesen, kündigt man bereits Konsequenzen an: Hinweis in Bezug auf Happy-Security:
Wir werden mit dem in Kraft treten dieses Gesetzes den Download-Bereich drastisch reduzieren, wenn nicht gar schließen. Wir hoffen allerdings das ihr weiterhin auf Happy-Security kommt und viel Spass hier habt.

Beim Chaos Computer Club versucht man dagegen noch, die Sache mit Humor zu nehmen und hat auf der Homepage eine durchaus treffende Karikatur veröffentlicht. Insgeheim dürfte man aber auch dort alles andere als glücklich über die neue Gesetzgebung sein.

Das ist innerhalb der IT-Branche wohl kaum jemand. Leider aber wurden auch zu diesem Thema die Experten mal wieder am wenigsten gefragt, so dass jetzt völlig weltfremde Gesetze bisher unbescholtenen IT-Profis das Leben schwer machen. Es bleibt abzuwarten, ob die Rechtssprechung diese Gesetze wenigstens ansatzweise entschärft. Ansonsten sieht es düster aus für Deutschlands Status in dieser Zukunftsbranche. Zwar leben wir im 21. Jahrhundert, aber das ist offenbar bei einigen Politikern noch nicht ganz angekommen. Statt dessen versucht man, wie die Kirche im finsteren Mittelalter, den Zugang zu „verbotenem Wissen“ einzuschränken- und ebenso wie damals handelt man damit fortschrittsfeindlich und bestraft unabhängiges Denken. Früher oder später aber werden Vernunft und Wahrheit wieder den Sieg davontragen. Die Frage ist, was wir bis dahin tun…

Nach dem Bundestag (der dieses Gesetzespaket vorsichtshalber in einer Nacht- und Nebelaktion Samstags morgens um halb drei auf den Weg gebracht hat) will nun auch der Bundesrat die umstrittenen „Hackerparagraphen“ ohne weiteres durchwinken. Es zeichnete sich im Bundesrat „kein Widerstand“ gegen die Gesetze ab, berichtet heise online.

Was erwartet man auch vom Bundesrat. Widerstand gegen überzogene bis kontraproduktive „Sicherheitsmaßnahmen“ wohl leider nicht. In meinem Bekanntenkreis war „das muss noch durch den Bundesrat“ zwar ein paar Mal zu hören, aber es war eigentlich jedem klar, dass das lediglich einen Aufschub bedeutet statt Hoffnung darauf, möglicherweise von diesen Gesetzen verschont zu bleiben.

Sieht aus, als würde sich diese Vermutung bewahrheiten. Bereits im Sommer soll die flächendeckende Pauschalkriminalisierung aller Besitzer von „Hacker-Tools“ kommen. Ab dann werden Pentester, Admins, Software-Entwickler und Informatik-Studenten sich warm anziehen müssen, wenn sie sich aus irgendwelchen Gründen mit Password-Crackern, Network-Sniffern, oder Reverse-Engineering beschäftigen oder Schwachstellen in Netzwerken, Rechnern und Websites suchen. Nicht, dass ihnen noch Mitgliedschaft in einer terroristischen Vereinigung unterstellt wird.

Der Bundesrat hätte noch eine Chance, diese Gesetze aufzuhalten, bevor sie mit allen negativen Folgen in Kraft treten. Scheinbar aber zieht man es vor, die Gerichte mit der Auslegung der mehr als missverständlich formulierten Glanzstücke deutscher Rechtsgeschichte zu beschäftigen- wie sinnvoll das auch sein mag.

Mit der oft beschworenen „IT-Sicherheit am Standort Deutschland“ nimmt man es offenbar auch nicht so genau, denn wie sonst wäre es zu erklären, dass man diejenigen, die genau diese IT-Sicherheit am ehesten erreichen könnten, offenbar am liebsten im Knast sehen würde? Noch einmal- wer sowieso Straftaten begeht (wie beispielsweise mutwillig fremde Server per DDoS abzuschießen, Betriebsspionage zu begehen oder andere über das Internet zu betrügen) dem dürften die Hackertool-Paragraphen tendentiell eher egal sein. Er oder sie riskiert sowieso eine Haftstrafe und ist bereits zu dem Schluss gekommen, dass sie das Risiko wert ist.

Ganz anders sieht es dagegen mit den „Good Guys“, den „White Hats“ aus. Diese machen ihre Arbeit aus Spaß und Forscherdrang und/oder um Geld zu verdienen. Ein Aufenthalt hinter schwedischen Gardinen ist da eher nicht eingeplant. Diese Leute dürften sich also teilweise sehr wohl überlegen, ob sie ihre Aktivitäten einschränken? Qui bono? Der Bundesregierung jedenfalls nicht- eher schon den Kriminellen.

Die Logik hinter dem Ganzen entzieht sich mir. Das ist wie wenn es auf der Straße zu Schießereien kommt und man allen, einschließlich Polizisten, das Tragen von Waffen verbietet- um sich dann hinterher zu wundern, dass die Verbrecher trotzdem noch mit Wumme kommen. Kriminelle spielen nicht nach den Regeln. Die einzigen, die durch diese Gesetze eingeschränkt werden, sind also Leute, die bisher nicht kriminell waren- und es erst durch eine Umdefinition des Wortes werden.

Ich wette, wenn wieder mal die Server der Regierung dran glauben, wird geschrieen. Ich hoffe, dass der zuständige Admin dann sagen wird „Tut mir leid, aber ohne das Netz vorher zu testen konnte ich nicht wissen, dass es diese und diese Sicherheitslücken hat, aber ich wollte halt keine Gesetze brechen.“

Bundesinnenminister Wolfgang Schäuble hat sich auf der internationalen IT-Sicherheitskonferenz „Innovation und Verantwortung“ in Berlin für eine Verbesserung der IT-Sicherheit in Deutschland ausgesprochen. Er wolle einen „sicheren Kommunikationsraum schaffen“, so Schäuble laut heise News.

Das Anliegen ist löblich; längst zeichnet sich ab, dass angesichts immer weiterer Viren-, Trojaner- und Spamwellen, massenhafter Betriebsspionage über elektronische Wege und der ständigen Gefahr, mit einem schlecht abgesicherten PC demnächst Ehrenmitglied eines chinesischen Botnets zu werden, dringender Handlungsbedarf besteht. Das Sicherheitsbewusstsein der User muss gestärkt werden und es muss endlich vernünftige und umsetzbare Sicherheitskonzepte für alle geben. Ab und zu auf die Experten zu hören würde vielleicht auch nicht schaden (Admins und gerade IT-Sicherheitsleute werden ja oft erst gefragt, wenn das Kind schon in den Brunnen gefallen ist).

Die Konzepte, die Wolfgang Schäuble entwickelt, lassen aber einmal mehr Hintergedanken vermuten. Da ist beispielsweise von „europaweit standardisierter Online-Identifizierung“ die Rede, was doch wieder sehr nach ständigen Kontroll- und Überwachungsmöglichkeiten klingt.

Schäuble hat in diesem Vortrag sehr viele wichtige und richtige Dinge gesagt. So ist ihm beispielsweise zuzustimmen, dass die mittlerweile für ein funktionierendes öffentliches Leben unerlässliche Infrastruktur des Internets besser geschützt werden muss. Auch die Unternehmen müssen, wie Schäuble es fordert, hierbei weit mehr in die Pflicht genommen werden. Selbst „total disclosure“ wurde von ihm kurz erwähnt.

Paradox wird es dann allerdings, wenn man sich ins Gedächtnis ruft, dass der selbe Mann die Online-Durchsuchung durchsetzen will, die einerseits das Vertrauen vieler Menschen in elektronische Arbeitsmittel und Kommunikationswege nachhaltig verringern dürfte und andererseits permanent im Verdacht steht, möglicherweise die Sicherheit der betroffenen Systeme dauerhaft zu kompromittieren. Oder wenn man sich überlegt, dass Schäuble einer Regierung angehört, die durch das pauschale und wenig durchdachte „Hackertool-Verbot“ (§202c StGB, mehr Infos hier) die Arbeit eben jener Leute erschwert, auf die er zur Umsetzung seiner Pläne dringend angewiesen ist- Software-Entwickler, Admins und IT-Sicherheits-Experten. Und wie sieht es mit der Vorratsdatenspeicherung aus, Herr Schäuble? Denken Sie wirklich, eine solche pauschale Überwachung, die Unterstellung, dass jeder, der das Internet nutzt, ein potentieller Verbrecher ist und dementsprechend kontrolliert werden muss, erhöht das Vertrauen der Menschen in das Internet und lässt es sie ihre Daten dem Netz „ebenso gerne wie der Post“ anvertrauen? Ein Brief steckt normalerweise in einem geschlossenen Umschlag, und auch wenn gerade Ihre Regierung wohl ab und zu auch Post liest, die sie nichts angeht, wird wenigstens nirgendwo erfasst, wer genau wann wem einen Brief geschrieben hat.

Mal ehrlich, wie geht das alles zusammen? Einen Kurs in Doppeldenk gehabt, Herr Minister?

Da fragt man sich doch, was Bruce Schneier zu einer solchen Denkweise sagen würde. Auch er spricht sich in seinem Buch „Secrets and Lies“ (das ich übrigens an dieser Stelle jedem an der Thematik Interessierten wärmstens empfehlen möchte) für eine maßgebliche Verbesserung der IT-Sicherheit aus (und stellt dazu auch sehr umfassende Konzepte vor)- und versucht außerdem immer wieder, in eindrucksvoller Form den Wert der Privatsphäre deutlich zu machen.

Laut heise News haben Botnet-Betreiber seit dem vergangenen Wochenende eine verstärkte Spam-Welle auf das Internet losgelassen. Zahlreiche Mailserver sind durch diesen Dauerbeschuss bereits hart am Limit, teilweise haben die Provider sogar schon begonnen, Hardware nachzurüsten, nur um überhaupt noch einen halbwegs normalen Betrieb gewährleisten zu können.

Anscheinend verdienen die Kiddies, die sich Trojaner basteln (oder irgendwo herunterladen) und damit Botnets unter ihre Kontrolle bringen, die sie dann an Cyberkriminelle und Spamversender vermieten, immer noch recht gut an diesem „Nebenjob“. Es sieht nicht so aus, als wäre in absehbarer Zeit ein Ende der Spamflut abzusehen. Eher im Gegenteil, das Ganze scheint eher noch in eine neue Dimension zu gehen. Auch wenn ich persönlich einen von einigen Experten prophezeihten „Totalzusammenbruch des Internets“ für eher unwahrscheinlich halte, ist es doch absehbar, dass viele Provider in nächster Zeit ernsthafte Probleme bekommen werden, die Verfügbarkeit ihrer Dienste zu gewährleisten.

Für Admins sind es definitiv stressige Zeiten- zur Arbeitsüberlastung durch das immer weiter anwachsende Spam-Problem (wenn demnächst der Kaffee knapp wird, weiß ich wieso) kommt ja noch die momentan herrschende rechtliche Unsicherheit durch die neu gestrickten Paragraphen 202c, 129a und den erweiterten 303b (Strafgesetzbuch). Anscheinend muss man ja mittlerweile warten, bis einem die Botnet-Herder Gelegenheit zu einem Praxistest geben, bevor man die Sicherheit eines Systems im Härtefall realistisch überprüfen kann. Leider ist es für das Beheben eventueller Fehler ohne Ausfall dann meistens schon zu spät. Auch wenn die Vorstellung, dass eine Horde bewaffneter Polizisten das Rechenzentrum stürmt und Admins bei der Arbeit festnimmt, extrem unwahrscheinlich ist, kann man doch nicht unbedingt von idealen Arbeitsbedingungen sprechen, wenn Admins und Penetration Testers mit dem sprichwörtlichen einen Bein im Knast stehen.

Auch die Nachwuchsgewinnung dürfte nicht allzu einfach sein für eine Branche, die mit derartigen Problemen (nein, ich meine nicht den Spam, der ist zwar kriminell, sinnlos und gehört effektiv bekämpft, aber sowas ist eine professionelle Herausforderung und gehört momentan zum Job) zu kämpfen hat. Und wie sich der eine oder andere dunkel erinnern mag herrscht was die Informatik angeht in Deutschland eh seit längerem heftiger Fachkräftemangel. Ein Blick in die halbleeren Hörsäle an der FH lässt mich nicht gerade glauben, dass sich das sehr bald ändern wird- und mit solchen Gesetzen schon gar nicht.

Naja, laut besagtem heise-Artikel sollen auch die Server der Bundesregierung momentan heftigst unter Beschuss stehen. Vielleicht sehen die Damen und Herren Minister ja endlich einmal ein, dass sie lieber mehr Geld in Bildung und Forschung investieren sollten, um im 21. Jahrhundert konkurrenzfähig zu sein, anstatt mit Sinnlos-Gesetzen mal eben eine halbe Branche zu kriminalisieren. Taiwanesische Teenager, die Tausende von Rechnern in aller Welt fernsteuern, scheren deutsche Gesetze nämlich ohnehin nicht. Schaden tun 202c und Co. nur denjenigen, die gegen solche Angriffe vorzugehen versuchen. Vielleicht ist ja die derzeitige Spamlawine in dieser Hinsicht ganz heilsam. Immerhin haben schon mehr scheinbar hoffnungslose Fälle Dinge auf die harte Tour gelernt…

Jetzt ist es also soweit: Ab heute gibt es in Deutschland eine ganze Menge neuer Terroristen. Nein, keine Sorge, ich rede nicht davon, dass eine Gruppe AK 47 schwenkender Taliban aus Afghanistan eingewandert ist oder an jeder Bushaltestelle jetzt fanatische Jugendliche mit Sprengstoffgürteln stehen (meine Güte, so viele „Keywords“ schon nach zwei Sätzen…). Ich rede vielmehr von den Paragraphen 202c und 129a, die jetzt den Besitz von Hackertools oder damit zusammenhängende Aktivitäten zumindest potentiell (wenn der Richter mal wenig Augenmaß hat, und auch solche gibt’s ja leider) in die Nähe der „Bildung einer terroristischen Vereinigung“ rücken- nähere Infos hierzu liefert wie üblich heise News. Man darf gespannt sein, was daraus noch erwächst. Mehr als ein Mitglied des Chaos Computer Club hat sich, wenn man diversen Blogs und Websites glauben darf, schon gefragt, ob er/sie jetzt zu einer Terrorgruppe gehört. Es wäre möglicherweise einfacher, wenn wie in Counterstrike jeder Terrorist ein rotes Stirnband, Sonnenbrille, Tarnklamotten und ‘ne entsprechende Wumme trägt, ansonsten blickt doch in diesem Staat bald keiner mehr durch… Ich finde es jedenfalls verwirrend, wenn Verstöße gegen das Grundgesetz, die erst vom Bundesverfassungsgericht unterbunden werden müssen (siehe Onlinedurchsuchung oder den Fall El Masri) okay sind und für die Verantwortlichen folgenlos bleiben, während der Besitz von Cain and Abel oder Aircrack-ng möglicherweise bald ausreicht, um einen zum Staatsfeind zu machen und einem im Morgengrauen (wie Udo Vetter in seinem Vortrag auf dem 23C3 so schön sagte: Nomen est Omen) netten Besuch in Grün zu bescheren…
Besonders interessant fand ich aber folgenden Satz zu der neuen Gesetzgebung (zu finden beim CCC):
„Auf dem Jahreskongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat Innenminister Schäuble die geplante Zertifizierung „vertrauenswürdiger“ Sicherheitsdienstleister angekündigt.“
Also wenn das kein Missbrauchspotential hat, dann weiß ich es auch nicht. Wie definiert man „vertrauenswürdig“? Wahrscheinlich hat dazu jeder seine sehr eigene Meinung, aber es steht zu befürchten, dass für den Staat Leute mit einer sehr abweichenden Meinung (und möglicherweise hervorragenden professionellen Fähigkeiten) nicht unbedingt in diese Kategorie fallen. Es wurde in letzter Zeit ja oft genug deutlich, dass die amtierende Regierung mit Kritik und Widerspruch ihrer Bürger lange nicht so souverän umgeht, wie das in einem demokratischen Rechtsstaat angemessen wäre. Statt dessen wird mit Druck und Zwang reagiert, werden unbescholtene Bürger, die sich um ihre Privatsphäre sorgen und nicht bei jeder neuen Terrorwarnung aus Angst einen Bunker in den Garten bauen misstrauisch beäugt, präventiv unter Generalverdacht gestellt und im Verfassungsschutzbericht (nachzulesen hier) als latent gewaltbereite Linksextreme diffamiert. So schafft man nämlich gerade kein Vertrauen, das sollte unserer Regierung eigentlich bewusst sein. Und in diesem Kontext sind leichte Zweifel angebracht, ob die Auswahl der „vertrauenswürdigen“ IT Profis wirklich so objektiv erfolgt, wie es wünschenswert (und ebenso vom rechtsstaatlichen wie vom wirtschaftlichen Standpunkt her unerlässlich) ist. Man kann sogar noch einen Schritt weiter gehen und überlegen, ob nicht möglicherweise die Zusammenarbeit mit der Regierung honoriert (oder sogar direkt gefordert) wird. Es ist ja in der Vergangenheit mehr als einmal deutlich geworden, dass der Staat sich nach Kräften bemühte, diese Art von Skill für sich zu gewinnen. Wieso nicht auch mal mit einer kleinen Erpressung, ist ja schließlich für einen guten Zweck und der heiligt anscheinend die Mittel… Angesichts drohender Probleme, wenn man seinen Job nicht mehr oder nur noch sehr eingeschränkt ausüben kann, dürften es sich wohl einige Betroffene zehn Mal überlegen, ob sie dem netten Beamten des Innenministeriums aus Gewissensgründen sagen, dass er sich seinen Appell an Patriotismus und braves angepasstes Verhalten… (ihr wisst schon) und besagter IT-Profi eben keinen Bundestrojaner programmiert oder Leute ausspioniert.
Nein, ich bin gar nicht zufrieden mit der derzeitigen Entwicklung, und das liegt nicht nur daran, dass momentan definitiv keine guten Zeiten sind für Informatiker oder solche die es (wie ich) noch werden wollen. Nein, mir mangelt es momentan auch definitiv an Vertrauen in unseren Staat- aber das dürfte wohl auf Gegenseitigkeit beruhen…