Gesetzentwurf zur Bekämpfung der Computerkriminalität
Die Bundesregierung hat heute den Entwurf eines Strafrechtsänderungsgesetzes zur besseren Bekämpfung der Computerkriminalität in Umsetzung des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme sowie des Europarat-Übereinkommens über Computerkriminalität beschlossen.
Begrüßenswert ist, daß künftig nicht nur das Verschaffen besonders gesicherter Daten strafbar sein soll, sondern bereits das Verschaffen des Zugangs zu diesen Daten. Die Neufassung des § 202a StGB entspricht dem besonderes Gewicht des Datenschutzes und dürfte auch Beweisschwierigkeiten beseitigen. Gleichfalls zu begrüßen ist die vorgesehene Ausweitung der Vorschriften über Computersabotage auf private Datenverarbeitungsanlage und die auch strafrechtliche Sanktionierung von (d)DOS-Angriffen durch die Neufassung des § 303b StGB, die zugleich eine Qualifikation für besonders schwere Fälle vorsieht.
Ergänzt wird der bestehende strafrechtliche Schutz der Übermittlungswege gegen den Zugriff von Mitarbeitern von Telekommunikations- und Postunternehmen (Post- und Fernmeldegeheimnis, § 206 StGB) und gegen das Belauschen von Telefon- und Briefkommunikation (§§ 201, 202 StGB) nun durch den Schutz elektronisch übertragener Daten, gleichviel, ob drahtgebunden oder drahtlos, auch gegen Dritte, die nicht beruflich Telekommunikationsdienste erbringen.
Bedenken erregt die vorgesehene Kriminalisierung von Vorbereitungshandlungen in § 202c StGB, soweit nicht nur berechtigter Weise das Verschaffen, Verkaufen, Zugänglichmachen usw. von Paßworten und Sicherheitscodes unter Strafe gestellt werden soll, sondern auch der Umgang mit sog. "Hacker-Tools", d.h. "Computerprogrammen, deren Zweck die Begehung einer solchen Tat [im Sinne dee §§ 202a, 202b StGB] ist". Ich fürchte, daß es schwierig sein wird, Tools zur Sicherheits- und Netzwerkanalyse sowie zum (automatisierten) Finden von Schwachstellen von "Cracking"programmen oder Exploits - einschließlich sog. "proofs of concept" - sauber zu trennen. Zwar halte ich es durchaus für berechtigt, jedenfalls aber zur Erreichung des Schutzzieles für vertretbar, Software, die gezielt und nur dem Eindringen in fremde Systeme dient, zu kriminalisieren; die Veröffentlichung eines "proof of concept" mag zwar im Sinne von "full disclosure" von mancher Seite für wünschenswert gehalten werden, sie ist aber jedenfalls nicht zwingend. Jedoch steht zu befürchten, daß - soll die Strafnorm insoweit nicht völlig leer laufen - auch "neutrale" Anwendungen erfaßt werden; man denke nur an Software wie "John the Ripper" o.ä., die dem automatisierten Brechen von Paßworten dienen, aber durchaus legitime Anwendungen - nämlich zur Prüfung und Sicherstellung der Paßwortsicherheit! - dienen und auch verwendet werden, von Netzwerkanalysesoftware im weitesten Sinne gar nicht zu reden.
Ich fürchte, so sehr es notwendig und wünschenswert ist, den teilweise eingerissenen Wildwestmanieren Einhalt zu gebieten, so sehr schießt diese Regelung (§ 202c Abs. 1 Nr. 2 RegE) über das Ziel hinaus.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Marc 'Zugschlus' Haber am :
Einen "Proof of Concept" zu haben ist essentielle Hilfe für den Systemadministrator. Denn nur so kann er sicher sein, dass der Patch seines Vendors das tut was er verspricht: Vor dem Patch funktioniert der PoC, danach nicht mehr.