Skip to content

Gesetzentwurf zur Bekämpfung der Computerkriminalität

Die Bundesregierung hat heute den Entwurf eines Strafrechtsänderungsgesetzes zur besseren Bekämpfung der Computerkriminalität in Umsetzung des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme sowie des Europarat-Übereinkommens über Computerkriminalität beschlossen.

Begrüßenswert ist, daß künftig nicht nur das Verschaffen besonders gesicherter Daten strafbar sein soll, sondern bereits das Verschaffen des Zugangs zu diesen Daten. Die Neufassung des § 202a StGB entspricht dem besonderes Gewicht des Datenschutzes und dürfte auch Beweisschwierigkeiten beseitigen. Gleichfalls zu begrüßen ist die vorgesehene Ausweitung der Vorschriften über Computersabotage auf private Datenverarbeitungsanlage und die auch strafrechtliche Sanktionierung von (d)DOS-Angriffen durch die Neufassung des § 303b StGB, die zugleich eine Qualifikation für besonders schwere Fälle vorsieht.

Ergänzt wird der bestehende strafrechtliche Schutz der Übermittlungswege gegen den Zugriff von Mitarbeitern von Telekommunikations- und Postunternehmen (Post- und Fernmeldegeheimnis, § 206 StGB) und gegen das Belauschen von Telefon- und Briefkommunikation (§§ 201, 202 StGB) nun durch den Schutz elektronisch übertragener Daten, gleichviel, ob drahtgebunden oder drahtlos, auch gegen Dritte, die nicht beruflich Telekommunikationsdienste erbringen.

Bedenken erregt die vorgesehene Kriminalisierung von Vorbereitungshandlungen in § 202c StGB, soweit nicht nur berechtigter Weise das Verschaffen, Verkaufen, Zugänglichmachen usw. von Paßworten und Sicherheitscodes unter Strafe gestellt werden soll, sondern auch der Umgang mit sog. "Hacker-Tools", d.h. "Computerprogrammen, deren Zweck die Begehung einer solchen Tat [im Sinne dee §§ 202a, 202b StGB] ist". Ich fürchte, daß es schwierig sein wird, Tools zur Sicherheits- und Netzwerkanalyse sowie zum (automatisierten) Finden von Schwachstellen von "Cracking"programmen oder Exploits - einschließlich sog. "proofs of concept" - sauber zu trennen. Zwar halte ich es durchaus für berechtigt, jedenfalls aber zur Erreichung des Schutzzieles für vertretbar, Software, die gezielt und nur dem Eindringen in fremde Systeme dient, zu kriminalisieren; die Veröffentlichung eines "proof of concept" mag zwar im Sinne von "full disclosure" von mancher Seite für wünschenswert gehalten werden, sie ist aber jedenfalls nicht zwingend. Jedoch steht zu befürchten, daß - soll die Strafnorm insoweit nicht völlig leer laufen - auch "neutrale" Anwendungen erfaßt werden; man denke nur an Software wie "John the Ripper" o.ä., die dem automatisierten Brechen von Paßworten dienen, aber durchaus legitime Anwendungen - nämlich zur Prüfung und Sicherstellung der Paßwortsicherheit! - dienen und auch verwendet werden, von Netzwerkanalysesoftware im weitesten Sinne gar nicht zu reden.

Ich fürchte, so sehr es notwendig und wünschenswert ist, den teilweise eingerissenen Wildwestmanieren Einhalt zu gebieten, so sehr schießt diese Regelung (§ 202c Abs. 1 Nr. 2 RegE) über das Ziel hinaus.

Trackbacks

Aus dem Leben eines Szlauszafs am : "Letzte Instanz" reloaded

Vorschau anzeigen
Nachdem sich kurz nach dem ersten CCCS-Treff in der "Letzten Instanz" in Untertürkheim am Bahnhof herausstellte, daß der bisherige Betreiber die Lokalität aufgeben will, erschien guter Rat erst einmal ziemlich teuer; dennoch fand auch das gestri

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Marc 'Zugschlus' Haber am :

Marc 'Zugschlus' Haber

Einen "Proof of Concept" zu haben ist essentielle Hilfe für den Systemadministrator. Denn nur so kann er sicher sein, dass der Patch seines Vendors das tut was er verspricht: Vor dem Patch funktioniert der PoC, danach nicht mehr.

Kommentar schreiben

HTML-Tags werden in ihre Entities umgewandelt.
Markdown-Formatierung erlaubt
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Gravatar, Favatar, Pavatar, Twitter, Identica, Identicon/Ycon Autoren-Bilder werden unterstützt.
Formular-Optionen
tweetbackcheck