Skip to content

Abgesegnet

7. Juli 2007

Nach einigen Verzögerungen ist es nun soweit: Die umstrittenen „Hackerparagraphen“ sind endgültig vom Bundesrat abgesegnet worden. Damit akzeptierte der Bundesrat laut heise online die Entscheidung des Parlaments, dass das illegale Eindringen in fremde Netze auch mit dem Ziel der Aufdeckung von Schwachstellen nicht schutzwürdig sei. Schlechte Zeiten also für Total Disclosure, also das aufdecken sämtlicher Schwächen in einem System. Scheinbar überlässt man deren Auffinden lieber Kriminellen, die sie dann auf Exploit-Börsen meistbietend versteigern- oder riskiert, eine halbe Branche zu kriminalisieren. Dies bemängelte auch die Gesellschaft für Informatik in einem Protest, in dem die Gesellschaft jegliche Lehre, Forschung und Entwicklung und selbst die Diskussion über Prüftools zur IT-Sicherheit unter Strafe gestellt sieht.

Das mag sich auf den ersten Blick übertrieben anhören, aber da im Gesetzestext momentan keine Ausnahmeregelungen vorgesehen sind, könnten sich diese düsteren Befürchtungen durchaus als zutreffend herausstellen. Man könnte sich nun auf die Gerichte verlassen, aber auch diese haben in letzer Zeit nicht immer das rechte Maß bei der Anwendung restriktiver Gesetze walten lassen.

Die einzigen, die von dem neuen Gesetz profitieren werden, sind einerseits die Anwälte, die wahrscheinlich mit dem Verteidigen von übereifrigen Informatikern gut verdienen werden, und andererseits die Cyberkriminellen. Wer nämlich glaubt, dass diese sich von den neuen Gesetzen abschrecken lassen, ist einfach nur bodenlos naiv (was unsere Regierung in IT-Dingen ja leider des Öfteren ist). Wer seine IT-Kenntnisse und entsprechende Tools benutzt, um andere bewusst zu schädigen und/oder sich zu bereichern, handelt sowieso kriminell. Ein weiteres Gesetz, gegen das man verstößt, wird diese Leute allerhöchstens dazu bringen, sich noch weniger erwischen zu lassen. Eine sonstige Verhaltensänderung ist vorsichtig ausgedrückt unwahrscheinlich.

Eher dürften die Bad Guys des Internet in den nächsten Monaten, wie man so schön sagt, „fröhliche Urständ‘ feiern“. Denn die Gegenseite, die sich mit IT-Security zum Broterwerb, aus Spaß oder zu Forschungszwecken beschäftigt, wird für diese Ziele nicht unbedingt eine Vorstrafe riskieren wollen. Die logische Schlussfolgerung ist, dass mit dem neuen Gesetz die meisten Exploits wirklich nur noch Kriminellen bekannt sein werden- oder aber es bald Prozesse gegen Informatiker hageln wird. Es sei denn dieses Gesetz wird auch von den Verantwortlichen nach dem Motto „legal, illegal, sch…egal“ gehandhabt (was momentan extrem unwahrscheinlich ist) oder aber diese sind zu inkompetent, um Verstöße aufzudecken und zu ahnden (was durchaus möglich ist, aber keine Basis, auf der man seine Karriere riskieren möchte).

Alle Möglichkeiten sind extrem suboptimal. Kein Informatiker möchte Kriminellen das Feld überlassen, gegenüber Kollegen aus dem Ausland ins Hintertreffen geraten oder sich vor dem Richter wiederfinden. Natürlich gäbe es technische Lösungen, ein erwischt werden unwahrscheinlicher zu machen. Aber das kann bestenfalls eine Notlösung sein, ebenso unsicher wie unbefriedigend. Was die Branche braucht ist die Anerkennung und Unterstützung ihrer Arbeit, gerade in Zeiten wie diesen wo Cyberkrieg, Spam, DDoS-Angriffe und immer neue Viren und Trojaner allzu oft die Schlagzeilen bestimmen. Denjenigen, die diese Bedrohungen bekämpfen könnten, weitere Steine in den Weg zu legen, ist irgendwo zwischen unlogisch und selbstzerstörerisch anzusiedeln.

Selbst wenn es einmal Ausnahmeregelungen für entsprechende Firmen geben sollte (was momentan ja nicht der Fall zu sein scheint) ist das lediglich ein schwacher Trost. Was ist mit hobbymäßigen „Hackern“, die schon oft wertvolle Hinweise geliefert haben? Und was ist mit der Ausbildung von Nachwuchs? Soll man in ein paar Jahren alle Fachkräfte in diesem Bereich aus dem Ausland anwerben, weil an deutschen Unis höchstens noch Programmieren und ein bisschen Computertechnik gelehrt wird, aber die halbe Netzwerktechnik und die ganze IT-Security aus Angst vor Strafverfolgung aus dem Lehrplan zensiert wurde? Mal vorsichtig angefragt: Wieso sollten diese Leute bei der bestehenden Gesetzeslage überhaupt nach Deutschland kommen? Da ist es schon wahrscheinlicher, dass sich an den Grenzen eine Schlange in die andere Richtung bildet…

Momentan herrscht noch eine Gnadenfrist, aber die wird wohl bald zuende sein: Das Gesetz kann jetzt nach der Zeichnung durch den Bundespräsidenten gleich am Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten. Die entsprechende Ausfertigung dauert erfahrungsgemäß drei bis sechs Wochen, sodass die neuen Bestimmungen im Hochsommer Gültigkeit erlangen dürften.

So kurz vor Ultimo herrscht in der Szene scheinbar die Angst vor. Heise berichtet: Die in Fachkreisen gut bekannte deutsche Hackergruppe Phenoelit, die auf den Jahreskongressen des Chaos Computer Clubs (CCC) immer wieder mit Aufdeckungen erheblicher Sicherheitslücken etwa bei SAP-Software, Blackberry-Geräten oder integrierten Systemen und Druckern für Aufsehen sorgte, hat daraus bereits ihre Konsequenzen gezogen und ihre deutsche Website dicht gemacht. Die Hackerwerkzeuge und Exploits der Sicherheitstester können nun nur noch über einen ausländischen Server in Augenschein genommen werden. Auch auf Happy Security, einer meiner persönlichen Lieblings-Spielwiesen, kündigt man bereits Konsequenzen an: Hinweis in Bezug auf Happy-Security:
Wir werden mit dem in Kraft treten dieses Gesetzes den Download-Bereich drastisch reduzieren, wenn nicht gar schließen. Wir hoffen allerdings das ihr weiterhin auf Happy-Security kommt und viel Spass hier habt.

Beim Chaos Computer Club versucht man dagegen noch, die Sache mit Humor zu nehmen und hat auf der Homepage eine durchaus treffende Karikatur veröffentlicht. Insgeheim dürfte man aber auch dort alles andere als glücklich über die neue Gesetzgebung sein.

Das ist innerhalb der IT-Branche wohl kaum jemand. Leider aber wurden auch zu diesem Thema die Experten mal wieder am wenigsten gefragt, so dass jetzt völlig weltfremde Gesetze bisher unbescholtenen IT-Profis das Leben schwer machen. Es bleibt abzuwarten, ob die Rechtssprechung diese Gesetze wenigstens ansatzweise entschärft. Ansonsten sieht es düster aus für Deutschlands Status in dieser Zukunftsbranche. Zwar leben wir im 21. Jahrhundert, aber das ist offenbar bei einigen Politikern noch nicht ganz angekommen. Statt dessen versucht man, wie die Kirche im finsteren Mittelalter, den Zugang zu „verbotenem Wissen“ einzuschränken- und ebenso wie damals handelt man damit fortschrittsfeindlich und bestraft unabhängiges Denken. Früher oder später aber werden Vernunft und Wahrheit wieder den Sieg davontragen. Die Frage ist, was wir bis dahin tun…

Advertisements
2 Kommentare leave one →
  1. Johann permalink
    7. Juli 2007 7:48 pm

    Bezüglich Startseite des CCC:
    So wahr das auch sein mag, leider sieht (und schmunzeult, heult, etc) das sowieso nur der bereits „eingeweihte“ Kreis.

Trackbacks

  1. mapa’s Blog » Blog Archive » Mit einem Bein im Knast

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: