Sturm im Was­serglas?

Nach gut 10 Jahren Hacker­pa­ra­graph folgt nun eine neue Runde zum Schutz von Pri­vat­per­sonen und Unter­nehmen.

Ich habe noch die Ein­führung des Hacker­pa­ra­graphen in Erin­nerung. Auch hier ist es eine richtige Ent­scheidung gewesen, das Know-how von Orga­ni­sa­tionen und deren Funk­ti­ons­fä­higkeit zu schützen. Wenn auch eine gefähr­liche.

Haupt­säch­licher „Stein des Anstoßes“ rund um das 41. Straf­rechts­än­de­rungs­gesetz ist der neue Para­graph 202c StGB. Danach soll die Vor­be­reitung einer Straftat durch Her­stellung, Beschaffung, Verkauf, Über­lassung, Ver­breitung oder Zugäng­lich­ma­chung von Pass­wörtern oder sons­tigen Sicher­heits­codes für den Daten­zugang sowie von geeig­neten Com­pu­ter­pro­grammen künftig mit Geld­strafe oder Frei­heits­entzug bis zu einem Jahr geahndet werden, so schrieb heise.de damals.

Durch diese ‑aus tech­ni­scher Sicht- sehr vage Umschreibung wurden viele gängige Tools von Admi­nis­tra­toren und Dienst­leistern für Pene­tra­ti­ons­tests kri­mi­na­li­siert.

Wenn man sich mit gel­tendem Recht und dessen Aus­legung aus­ein­an­der­setzt, muss man leider fest­stellen, dass nicht immer die gute Absicht, die in Gesetze ein­ge­flossen ist auch tat­sächlich umge­setzt wird. Für den Laien: Es gibt in der Aus­legung von Gesetzen immer eine herr­schende Meinung und Min­der­mei­nungen.

Kurzum: Ein Gesetz wird nicht von allen Juristen in der gleichen Weise aus­gelegt. Bei Recht­strei­tig­keiten kann – und hier ist in einer öffent­lichen Dis­kussion immer der aktuelle poli­tische Rahmen zu beachten – das Gesetz keine sichere Bank! Unter dem Deck­män­telchen der “öffent­lichen Sicherheit“ oder einer mehr oder weniger latenten Ter­ror­gefahr kann bei einem Not­stand ein Gesetz doch immer auch „zurecht­ge­bogen“ werden.

Doch zurück zum Thema: mit einem Verweis auf die  aktuelle Ausgabe des Magazins “der Spiegel” schreibt heise.de  Hessens Jus­tiz­mi­nis­terin Eva Kühne-Hörmann will eine Geset­zes­in­itiative in den Bun­desrat ein­bringen, der das Infi­zieren fremder Com­puter für Bot­netze unter Strafe stellt.

Dies ist sicher ein guter Ansatz. Doch wie auch schon damals ist hier Augenmaß gefragt!

Ein Bei­spiel: Ihr Com­puter wurde von einem brand­neuen Tro­janer infi­ziert, den für die ersten 12 Stunden nur sehr wenige Viren­scanner erkennen. Der Tro­janer bindet Ihren Com­puter in ein Botnetz ein. Dar­aufhin sendet Ihr Com­puter ver­seuchte E‑Mails an alle Ihre Geschäfts­partner.

Und jetzt: …Nach­denken! Worin besteht nun Ihr Problem! Bei­spiels­weise könnte man Ihnen vor­werfen, Sie hätten nur eine Freeware-Version eines Viren­scanners ein­ge­setzt, die nicht über die erfor­der­lichen Mecha­nismen verfügt. Oder Sie hätten mehr Energie auf die Kon­fi­gu­ration Ihrer Firewall auf­wenden müssen. Diese läuft noch im Standard-Modus und ver­spielt so ihr Potenzial. Wie sieht es mit dem Ver­ständnis ihrer Mit­ar­beiter aus? Haben diese grund­le­gende Ein­wei­sungen in gängige Ver­hal­tens­regeln bekommen?

Und wenn Sie nun selbst Anzeige gegen Unbe­kannt erstatten? Woher kam die E‑Mail oder wem gehört die Internet-Seite, mit der sich Ihre Com­puter infi­ziert haben? Ist der Ver­sender viel­leicht selbst Opfer?

Wie ist die Beweislage? Können Sie durch Netz­werk­pro­to­kolle die His­torie über­haupt nach­voll­ziehen?

Kam die E‑Mail aus Deutschland? Europa? Oder gar von einem Land, dem es egal ist, dass von einem seiner Com­puter andere Länder infi­ziert werden?

Ich bin gespannt, wie die Geschichte wei­tergeht!