Sicherheitsexperte kritisiert britischen Hackerparagraphen

EnterpriseSicherheit

Ähnlich wie in Deutschland verfügt auch Großbritannien über einen Hackerparagraphen. Erklärungsversuche, wie der Paragraph angewendet werden soll, haben jetzt die Kritik von Sicherheitsexperten ausgelöst.

Die Erweiterungen zum Gesetz gegen den Missbrauch von Computern (CMA) sollen die Herstellung, den Vertrieb und die Nutzung von Software für böswillige Handlungen verbieten. Dabei entsteht Unsicherheit für Programmierer und Anwender von Programmen, die sich für gute und schlechte Zwecke gleichermaßen nutzen lassen.

Mit einer eigenen Erläuterung hat die Anklagebehörde für England und Wales, der Crown Prosecution Service (CPO), nun versucht Fälle einzugrenzen, die durch das 2006 in Kraft getretene Gesetz geregelt werden. So sollen Werkzeuge, die nur an einen geschlossenen Kreis von Sicherheitsprofis verteilt würden, von solchen unterschieden werden, die frei erhältlich seien.

Dieser Ansatz wurde vom Sicherheitsexperten Richard Clayton, Forscher an der Universität Cambridge, als zu restriktiv eingestuft. “Für alle Vergehen nach dem CMA sollten die Anklagevertreter zuerst die böse Absicht nachweisen”, sagte Clayton.

Clayton hat in seiner Kritik Diagnose-Programme, die sich auch für Hacking-Angriffe missbrauchen lassen, mit Schweizer Offiziersmessern verglichen. Niemand würde auf die Idee kommen, das Entfernen von Steinen aus einem Pferdehuf unter Strafe zu stellen. Die Strafverfolgung richte sich zu Recht gegen das Erstechen von Personen. Bezogen auf den Vertrieb solcher Programme monierte Clayton, dass bereits der Verteilung über eine Webseite strafbar sei. “Der Inhaber eines Geschäftes, das Schweizer Messer verkauft, wird ja auch nicht angeklagt”, ergänzte Clayton.

In seiner Erläuterung rät der CPS zur Einleitung von Verfahren gegen Personen, wenn bei der Verteilung von Software eine missbräuchliche Nutzung wahrscheinlich ist. “Das ist alles sehr verwirrend”, sagte Clayton. “Es gibt keinerlei Hinweise darauf, was ‘wahrscheinlich’ bedeuten soll. Ist ‘wahrscheinlich’ mehr als 50 Prozent? Das sind nicht die klaren Formulierungen, die uns versprochen wurden.”

Der CPS stand für eine Stellungnahme zur Kritik Claytons nicht zur Verfügung. Ein CPS-Sprecher hat jedoch erklärt, dass “jeder Fall im Einklang mit der gängigen Praxis anhand seiner Eigenheiten” beurteilt werde.