Deutscher Hacker-Paragraph verunsichert Sicherheitsforscher

EnterpriseSicherheit

Der deutsche Hacker-Paragraph ‘202c StGB’ hat viele Sicherheitsforscher veranlasst, ihre Aktivitäten einzuschränken und dem Gesetzgeber zu vage Formulierungen vorzuwerfen.

Mit dem am 11. August in Kraft getretenen Hacker-Paragraphen 202c des Strafgesetzbuches hat der Gesetzgeber nicht nur für mehr Sicherheit gesorgt. Viele Anbieter von Sicherheitssoftware und auch Forscher und Entwickler schränken ihre Angebote ein, weil sie sich von der Formulierung des Gesetzestextes betroffen fühlen.

Nach Ansicht der Experten ist das Gesetz so allgemeingültig formuliert, dass es eigentlich unmöglich sei, der Vorgabe Folge zu leisten. Der Sicherheitsexperte und CEO von Sabre Security, Thomas Dullien, nannte als Beispiel, dass der Kauf eines Windows Betriebssystems mit der Ankündigung, damit Daten stehlen zu wollen, den Verkäufer zum Mittäter machen würde, wenn der das Betriebssystem verkaufen würde.

Viele Sicherheitsfirmen haben mit Inkrafttreten des Gesetzes ihre Angebote stark eingeschränkt. So hat der PHP-Forscher Stefan Esser die Proof of Concept Exploits aus dem Netz genommen, die er für das Month-of-PHP-Bugs-Projekt entwickelt hatte. Phenoelit haben den Standort der Webseite von Deutschland nach Amerika ausgelagert, weil dort die Default-Passwörter gängiger Netzwerkprodukte gelistet sind.

“Prinzipiell begrüßen wir die neue Regelung”, kommentiert Pino von Kienlin, Geschäftsführer der Sophos GmbH. “Sie stuft die Produktion und Verwendung von Schad- und Spionagesoftware zu unlauteren Zwecken als illegal ein und gibt vor allem privaten PC-Anwendern die Möglichkeit, sich rechtlich gegen die Angreifer zu wehren.” Bei der Formulierung des Gesetzes sei jedoch übersehen worden, dass auch zum Aufspüren von Sicherheitslücken und zum Schutz von Rechnern und Netzwerken Monitoring-Tools benutzt werden, die Hacker-Programmen gleichen. Daher sehe der Sicherheitshersteller bei dem Gesetz “dringenden Nachbersserungsbedarf”.

“Um die künftige Entwicklung von IT-Sicherheits-Lösungen nicht zu gefährden, muss klar unterschieden werden, mit welcher Absicht die Programme verwendet werden”, forder Kienlin. Das Gesetz könne bis zur Neuformulierung aufgrund der unscharfen  Differenzierung gegebenenfalls dazu beitragen, die Sensibilität von Unternehmen und PC-Anwendern gegenüber verdächtigen Programmen zu schärfen. Insgesamt mache der Hacker-Paragraf deutlich, dass es sich bei der Verbreitung von Viren längst nicht mehr um ein Kavaliersdelikt handelt, “sondern um ein kriminelles Vergehen, das strafrechtlich sanktioniert werden muss.”

Die Auswirkungen des Hacker-Paragraphen sind aber auch außerhalb Deutschlands zu spüren. HD Moore, der Entwickler des Metasploit-Hacking-Tools, befürchtet, unter das deutsche Gesetz zu fallen und hat angekündigt, bis auf weiteres nicht mehr nach Deutschland reisen zu wollen. Moore sieht auch Probleme für die meisten Linux-Distributionen, da diese die Open-Source-Sicherheitsscanner Nmap oder Metasploit enthalten.

Eine Klärung erhoffen sich einige Fachleute nun durch erste Urteile zum neuen Gesetz oder den Bundesgerichtshof. Ein Gesetz, das so schwammig formuliert ist, sollte vom Bundesgerichtshof verworfen werden, fordert der Sabre-Security-CEO Dullien. Er hoffe allerdings, nicht selbst mit einer Klage vor das oberste deutsche Gericht ziehen zu müssen.