www.burks.de

Wer kennt noch einen Dietrich? Das kleine Gerät ist ein Hackertool: Es öffnet Türen auf schöpferische Art und Weise und anders als mit einem gewöhnlichen Schlüssel. Hackertools stehen bald unter Strafe. Sobald der neue Paragraf 202c des Strafgesetzbuches in Kraft tritt - wenn er im Bundesgesetzbaltt veröffentlicht worden ist - stehen viele Systemverwalter und Netzwerktechniker mit einem Bein im Gefängnis und sind mit Berufsverbot bedroht. Software, die überprüft, ob ein System oder ein einzelnen Computer Schwachstellen hat, eignet sich auch dazu, in fremde Rechner einzudringen.

Trotz vehementer und einhelliger Kritik fast aller IT-Experten, Lobbygruppen und der Branchenverbände hat sich die Bundesregierung nicht davon abhalten lassen, das neue Gesetz zu beschließen. Es drängt sich der Verdacht auf, wie schon beim Thema "Online-Durchsuchung", dass die Verantwortlichen keinen blassen Schimmer haben, wovon sie reden und was sie da beschlossen haben. "Besserer Schutz vor Hackern, Datenklau und Computersabotage", wie es das Ministerium formuliert? Mitnichten - bestenfalls ein gut gemeintes und populistisches Placebo nach dem Motto: Bundesregierung verbietet Dietriche und Schraubenzieher - besserer Schutz vor Einbrechern, Juwelenklau und Vandalismus.

Der Europarat hat vor sieben Jahren die "Convention on Cyber-crime" beschlossen. Im Artikel sechs über "illegal devices" heißt es, die Staaten sollten Gesetze beschließen, um die Produktion und den Besitz bestimmter Programme zu verbieten: "a computer password, access code, or similar data by which the whole or any part of a computer system is capable of being accessed". Das Übereinkommen des Europarats über Computerkriminalität vom 23. November 2001 sollte Mindeststandards bei den Strafvorschriften bei bestimmten Formen der Computerkriminalität herstellen. Das ist an sich sinnvoll, da nationale Gesetze im Internet wenig helfen.

Der damals nur von wenigen Fachleuten diskutierte Beschluss des Europaras ist jetzt fast wörtlich übernommen werden. Der § 202c StGB - "Vorbereiten des Ausspähens und Abfangens von Daten" lautet: (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1.Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.".

Das ist so vage formuliert, dass alle gängigen Programme damit gemeint sein könnten, mit denen Firmen und Netzwerk-Techniker in Deutschland die Sicherheit ihrer Computer überprüfen. Die so genannten Denial-of-Service-Attacken, mit denen Rechner mit sinnlossen Anfragen so überschüttet werden, so dass sie blockert sind oder den Geist aufgeben, dienen unstrittig nicht der Sicherheit, sondern nutzen aus, dass Daten im Internet immer in zwei Richtungen fließen können - eben "interaktiv". Auch Phishing ist eindeutig kriminell - dem Nutzer wird eine seriöse Website vorgegaukelt, die ihn in Wahrheit seiner privaten Daten, vor allem die Zugangsdaten seiner Konten, beraubt. Phishing ist aber ein Sonderfalls der Computerkriminalität, weil es davon ausgeht, dass jemand unverschlüsselten E-Mails traut und technisch sehr unbedarft ist.

Nessus (www.nessus.org) aber ist zum Beispiel Programm, das bei vielen Linux-Versionen ohnehin "ab Werk" mitgeliefert wird: Es arbeitet nach dem Prinzip der Fernwartung (remote access) und überprüft Sicherheitslücken des Zielsystems, in dem es an alle möglichen digitalen Türen (ports) "klopft". Passwortscanner, Portscanner, Netzwerksniffer - alle Tools, die im weiteren Sinn die Fernwartung von Rechnern ermöglichen, können auch als "Hackertools" im Sinne des neuen Gesetzes benutzt werden.

Die Befürworter des neuen Gesetzes argumentieren, nicht der Datenklau an sich sei strafbewehrt . Es gehe nur um Daten, die als schutzwürdig deklariert wurden. Der Täter soll erst dann Täter sein, wenn er eine wie auch immer geartetete "Zuganssicherung" überwunden habe. Prof. Dr. Dr. Eric Hilgendorf von der Universität Würzburg, einer der angehörten Experten zum neuen Gesetzentwurf gegen Hackertools, meinte, es sei sogar möglich, dass der strafrechtliche Schutz entfalle, wenn das Opfer nachlässig und fahrlässig mit den eigenen Daten umgegangen sei. Aber auch Jugendliche, die sich das Passwort für Fernsehprogramme im Pay-TV besorgten, die ihre Eltern ihnen verboten haben, machten sich künftig strafbar.

Das Programm Back Orifice (BO2K), von der Hackergruppe "Cult Of The Dead Cow" konzipiert, richtete sich von Anfang an besonders gegen die zahlreichen Sicherheitslücken des Betriebssystems Windows. Die Software ist ein so genanntes "Trojanisches Pferd" und kostenlos, ihr Quellcode wurde veröffentlicht. Jeder kann also nachprüfen, wie es funktioniert. Programme, die nach diesem Prinzip aufgebaut sind, gelten als besondern zuverlässig und sicher. Im Gegensatz dazu steht kommerzielle Software - nach dem Motto Security by Obscurity (Sicherheit durch Geheimniskrämerei) - immer unter dem Generalverdacht, dass eine Hintertür vergessen oder bewusst eingebaut worden ist, von der man nicht weiß, wen sie warum hereinlassen könnte. Die Hacker des "Kultes von der toten Kuh" verkündeten die pädagogische Absicht, wozu man BO2K benutzen könnte, ganz offen: "Hackers can use it to hack. Administrators can use it to make their lives a lot easier. Administrators, be responsible with this tool. End-users, don't trust random people on the internet, and they won't hit you with a hammer." Back Orifice ist für das Bundesjustizministerium so sympathisch wie Knoblauch für einen Vampir.

Deutschland hat ohnehin mit die schärfsten Gesetze aller europäischen Staaten gegen Computerkriminalität. Wer sich fremde Daten unbefugt verschaffte, machte sich auch bisher strafbar. Die Absicht und die Zielgruppe der neuen Gesetzesversion ist aber klar. Auf der Website des Bundesjustizministierums heisst es: "Künftig soll bereits der unbefugte Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen unter Strafe gestellt werden (§ 202a StGB). Ein Verschaffen von Daten wird nicht mehr erforderlich sein. Damit wird klargestellt, dass 'Hacking' strafbar ist." Nicht mehr die Personen und ihr Handeln werden bestraft, sondern der Besitz digitaler Werkzeuge, mit denen man handeln könnte.

Das Bundesjustizministerium und die Sympathisante des neuen Paragrafen 202c des Strafgesetz führen an, es spräche nichts gegen die "Hackertools", wenn diese in guter Absicht benutzt würden- " zum Zwecke der Sicherheitsprüfung oder zur Entwicklung von Sicherheitssoftware". "Entscheidend sei, dass es sich um eine 'Tathandlung zur Vorbereitung einer Computerstraftat' handele." Man darf also einen Dietrich benutzen, um die eigene Wohnungstür zu öffnen, wenn man sich ausgeschlossen hat, nicht aber, wenn es eine fremde Wohnung ist? Das genau ist das Problem: Im Gesetz steht es anders und unscharf: Alle kostenlosen und quelloffenen Sicherheitsprogramme können zu allen Zwecken benutzt werden. Entweder unterstellt man allen, die an ihnen mitgewirkt haben, finstere Absichten oder dass sie den Missbrauch billigend in Kauf genommen haben, oder man will nur die Nutzer bestrafen, die Böses damit anstellen. Das ist aber absurd, da man so die Programme nicht aus der Welt schafft und man sich das Gesetz gleich hätte sparen können. Konsequent wäre nur eines - zum Beispiel ein Waffenschein für Linux.

Schon die Experten des Europarats waren in einer Zwickmühle: Zum Einen wollten sie offenbar alles verbieten, was die Sicherheit des Datenverkehrs gefährden könnten. Zum Anderen haben sie seit 2001 den Sicherheitsbehörden immer weitere Befugnisse gegeben, die Bürgerinnen und Bürger zu belauschen und zu überwachen, in deren Privatsphäre einzudringen und Datern zu sammeln. Das Verbot, bestimmte Software in einer bestimmten Absicht zu benutzen, passt zu diesem Trend - jeder Bürger unter Verdacht und potenziell kriminell. Die Behörden und Strafverfolger können im Kampf gegen Internet-Kriminalität jedoch nichts anders tun als alle anderen auch. Wer glaubt, es gebe einen "Bundestrojaner", muss einräumen, dass man genau den auch gegen den Staat und seine Institutionen einsetzen kann. Wer irrig glaubt, der Staat könne sich in private Rechner hacken und dort Daten jagen und sammeln, sollte sich vor Augen halten, dass das auch andersherum funktionierte.

Bei den aktuellen Gesetzen gegen "Hackertools" und zur "Online-Durchsuchung" prallen zwei unvereinbare Gegensätze aufeinander: Die Mentalität der Sechziger und des klassischen Obrigkeitsstaates auf der einen Seite und die technische Realität des Internet und des 21. Jahrhunderts. Beides ist nicht miteinander kompatibel. Die Idee, man können Hackertools verbieten, fußt auf der Vorstellung des Informationsmonopols der Herrschenden. Wie schon in der DDR sollen bestimmte Dinge, die die Untertanen sittlich gefährden könnten oder die diese gegen die Obrigkeit benutzten könnten, in den Giftschrank, ummauert mit Erlaubnissen, Genehmigungen und Durchführungsbestimmungen. Heute jedoch lässt sich ein derartiger Giftschrank nicht mehr verschließen - dem Internet sei Dank.

Das größte Problem ist nicht ein sinnloses Gesetz wie das Verbot, "Hackertools" zu benutzen, sondern der öffentliche Diskurs, der genausowenig rational ist wie das Gesetzesvorhaben selbst. Diese Art von Abschrekcung funktioniert - es bleibt bei der Mehrheit das lähmende Gefühl der Ohnmacht gegenüber dem scheinbar allmächtigen und allwissenden Staat und die Furcht, jederzeit strafrechtlich belangt werden zu können, weil die Gesetze so vage formuliert worden sind, dass die gegen und für alles ausgelegt werden können.

Ulf Buermeyer, Straf- und Ermittlungsrichter am Berliner Amtsgericht Tiergarten und ehemaliger Netzwerk-Administrator der Universität Leipzig, hat in der Online-Zeitschrift zur Strafrecht (HRRS, hrr-strafrecht.de) im April einen detaillierten und mit Quellen gespickten Aufsatz verfasst: "die 'Online-Durchsuchung'. Technischer Hintergurnd des verdeckten hoheitlichen Zugriffs auf Computersysteme". Das Fazit ist einfach: Es hat bisher noch keine einzige erfolgreiche Online-Durchsuchung gegeben – und er wird auch keine geben. Es gabe einen Zugriff auf eine Mailbox (Bulletin Board System) Mitte der neunziger Jahre und einen offenbar dilettantischen und aus technischen Gründen gescheiterten Versuch, einem Verdächtigen eine Software ohne dessen Wissen unterzujubeln, um ihn behördlich auszuspionieren. Alles andere ist frei erfunden - auch wenn sogar die Tagesschau etwas anders behauptet hat. Alle Wege der Infiltration fremder Rechner - Ausnutzung von Sicherheitslücken, eine noch zu konstruierenden "Bundes-backdoor", Manipulation der Internet-Infrastruktur, "social engineering" - seien schon "mit wenig technischem Sachverstand relativ problemlos zu verstellen."

Das ändert nichts daran, dass sich die Online-Durchsung im kollektiven Unterbewussten festgesetzt hat: weil man den "Hackern" so gut wie alles zutraut, auch die magische Fähigkeit, überall einzudringen, weil sich die Gegner des Überwachungsstaates an der gruslig schönen Idee berauschen, dass SIE schön überall lauern

und uns, die Guten, schon umzingelt haben, weil sich bei den Schäubles der Wahn, unter dem digitalen Bett der Untertanen schnüffeln zu können und zu müssen, zu einer fixen Idee verfestigt hat.

Anders formuliert: Die Online-Durchsuchung ist eine Medienente, ein sogenannter Hoax, eine mehr oder weniger fromme Legende, eine Wunschvorstellung des Überwachungsstaates, die sich nicht realisieren lässt und höchstens ein paar dumme Kleinkriminelle träfe, als schösse man mit einer Schrotflinte auf eine Gruppe Eichhörnchen mit der Absicht, einen Fuchs zu treffen, der sich vielleicht hinter ihnen versteckt haben könnte. Beim Gesetz gegen "Hackertools" ist es ähnlich, nur dass der Schütze anschließend das Gewehr noch gegen sich selbst richtet.

Dieser Artikel erschien leicht verändert und gekürzt am 26.07.2007 in der Jungle World unter der Überschrift "Waffenschein für Linux".

------------------------------------------------------------

KOMMENTARE
nur für registrierte Nutzerzinnen und Nutzer

COMPUTER UND INTERNET

Heise Hoax-verseucht
- Die unendliche Enten-Geschichte

Richter erklärt die Online-Durchsuchung zur Ente
- Der bekannte Hoax, neue Folge

Wie Enten geklont werden
- Wie Enten geklont werden

Sex-Verbot für Terroristen?
- Online-Durchsuchungen, die Wasweissichwievielte

Wie tötet man eine Online-Ente?
- Online-Durchsuchungen, die 1115te

Digitale Spaltung?
- Online-Durchsuchungen, die 1113te

Wie tötet man eine Online-Ente?
- Online-Durchsuchungen, die 1112te

Schließt Google? - Goggle gegen Überwachung

Schweinebande, update
- Phishing