Mannheim, 28. November 2007 - Trotz heftiger Kritik der Fachwelt haben Bundestag und Bundesrat im Sommer diesen Jahres den so genannten Hackerparagraphen § 202c StGB verabschiedet. Die absehbaren Konsequenzen sind inzwischen eingetreten: Administratoren, die ihr Netzwerk schützen oder einfach nur effektiv administrieren möchten, bewegen sich in der Illegalität. Konstantin Mroncz von train+consult gibt Tipps, wie man mit der aktuellen Gesetzeslage umgeht.
Schon bevor der Gesetzgeber im August die umstrittene Novelle des Strafgesetzbuches (StGB) zur Bekämpfung der Computerkriminalität verabschiedet hat, haben IT-Branchenverbände wie die Bitkom die - in Fachkreisen weithin als realitätsfern angesehene - Gesetzesänderung erbittert bekämpft. Indes, genutzt hat es nichts, der Bundestag hat die Vorlage ohne inhaltliche Änderungen einfach durchgewinkt. Im Zentrum der Kritik stand vor allem der neu eingeführte § 202c StGB, der so genannte Hackerparagraph.
Das Problem ist nicht, dass Hacken illegal wird, das war es schon immer. Neu ist, dass alle für das Hacken potenziell geeigneten Programme und Unterlagen pauschal verboten sind. Das ist ungefähr so, als würde man in Deutschland den Besitz von Messern, Hämmern, Äxten, Spaten und Kettensägen untersagen. Man könnte mit diesen Werkzeugen ja jemanden umbringen", erläutert Konstantin Mroncz vom Mannheimer Schulungsanbieter train+consult den Inhalt des § 202c StGB.
Damit sind praktisch alle für den Administrator sicherheitsrelevanten Tools wie beispielsweise Netzwerkanalyse-Programme inzwischen illegal. Herstellung, Beschaffung, Besitz, Verkauf, Überlassung und Verbreitung dieser Programme können als Vorbereitung für eine Straftat angesehen werden, die möglicherweise eine Geldstrafe oder eine Freiheitsstrafe von bis zu einem Jahr nach sich zieht.
Der Gesetzgeber meint, er könne gute von bösen Werkzeugen unterscheiden, aber das ist totaler Quatsch", kommentiert Mroncz die Debatte. So kann man etwa mit dem Netzwerk-Sniffer Wireshark Datenpakete analysieren. Wireshark eignet sich hervorragend, um Performance-Probleme im Netzwerk zu lokalisieren und zu beheben. Weil auch Passwörter - wie jede andere Information auch - über Datenpakete transportiert werden, ist er jetzt illegal. Der Hackerparagraph ist im Grunde nicht anderes als ein Berufsverbot für alle Techniker, die in der IT-Security arbeiten."
Für eine besondere Unsicherheit sorgen vor allem die unterschiedlichen Auslegungsmöglichkeiten. Nach massiven Protesten gab es beispielsweise diese im Handelsblatt vom Dienstag, 18.09.2007 veröffentlichte Stellungsnahme des Bundesjustizministeriums*: Das Gesetz betrifft nur denjenigen, der wirklich eine Computerstraftat vorbereitet." (...) Wer sich um die Sicherheit eines eigenen Systems oder eines fremden Systems in dessen Auftrag kümmert, muss sich keine Sorgen machen."
Demzufolge wäre ein Schwachstellen-Scan bei eigenen oder Kundensystemen zwar grundsätzlich durchaus zulässig, der Besitz oder die Herstellung entsprechender Programme bliebe aber weiterhin strafbar. Stellt sich also die Frage, womit man dann scannen soll. Der Wortlaut des § 202c StGB lässt wenig Interpretationsspielraum: Wer eine Straftat (...) vorbereitet, indem er (...) Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft."
Engagierte Open-Source-Projekte wie www.kismac.de und www.phenoelit.de waren die ersten Opfer der Neuregelung. Da sie sich keinen juristischen Beistand leisten können, haben sie Deutschland verlassen, beziehungsweise ihre Projekte eingestellt. Um etwas Licht in die diffuse Gesetzeslage zu bringen, ist eine Verfassungsbeschwerde der VisuKom Deutschland GmbH anhängig, die eine klare rechtliche Regelung fordert. VisuKom sieht sich und andere Security-Unternehmen in ihrer Existenz bedroht und strebt daher eine höchstrichterliche Entscheidung an.
Von dem momentanen Regelungschaos profitieren nur die Rechtsanwälte, für die Sicherheitslage in deutschen Unternehmen ist der § 202c StGB jedenfalls fatal", beschreibt Mroncz die Situation. Bei train+consult bieten wir beispielsweise eine Ausbildung zum Ethical Hacker an. Denn wer sein Netzwerk effektiv verteidigen möchte, muss nun einmal wissen, wie Hacker arbeiten. Streng genommen ist das jetzt illegal, weil man Wissen eben auch missbrauchen kann. Ich werde den Kurs aber weiterhin anbieten, und hoffe, dass das Verfassungsgericht dem Spuk zügig ein Ende bereitet."
* Quelle: Handelsblatt, 18.09.2007
Diese Presseinformation kann unter www.pr-com.de abgerufen werden.
train+consult ist ein Schulungsanbieter mit Sitz in Mannheim, der sich auf IT-Kurse für Microsoft, Cisco, Oracle, CompTIA und den Security-Bereich spezialisiert hat. Das Unternehmen unterhält Lernzentren in Berlin, Bremen, Frankfurt, Kempten, Köln, Mannheim und Wiesbaden. Im Gegensatz zu anderen Trainingsinstituten verwendet train+consult statt der gängigen Hersteller-Lehrbücher selbst entwickelte Schulungsunterlagen. Damit wird das für die Zertifizierung erforderliche Wissen den Teilnehmern in praxisgerechter Form kompakt vermittelt. Die Kurse von train+consult sind wesentlich kürzer als die offiziellen Hersteller-Curricula. Weitere Informationen zum Unternehmen und zum Kursangebot gibt es im Internet unter www.trainandconsult.de.
Weitere Informationen:
train+consult e.K.
Konstantin Mroncz
Geschäftsführer
Rennershofstr. 27
68163 Mannheim
Tel. 08237-9524413
Fax 089-954398922
kmroncz@trainandconsult.de
www.trainandconsult.de
PR-COM GmbH
Sabine Kastl
Account Manager
Nußbaumstraße 12
80336 München
Tel. 089-59997-757
Fax 089-59997-999
www.pr-com.de
sabine.kastl@pr-com.de
X