Das Unbehagen der Technikforscherin
Das ganze Unbehagen, dass sich zurzeit bei mir einstellt, resultiert nicht zuletzt auf dem Pochen auf "den Einsatz moderner IT-Technolgie" und den sonstigen Umgang (und Kompetenzbeweis) in diesem Themenfeld. Man nehme zum Beispiel den Mitte August in Kraft getretenen "Hacker-Paragraphen" (Hervorhebung von mir):
§ 202c
Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.
Das Problem ist nun, dass die hervorgehobene Formulierung derartig schwammig ist, dass momentan niemand weiß, was damit eigentlich gemeint ist. Ping? Portscan? Telnet? Ein nicht unerheblicher Teil an Programmen, die, je nach Auslegung, für einen potentiellen Angriff auf einen fremden Rechner nützlich sein könnten, sind nun aber leider fester Bestandteil normaler netzwerkadministreller Tätigkeit und darüber hinaus
eh Bestandteil aller modernen Betriebssysteme, meint: Wenn man einen Computer kauft, hat man die sowieso. Mal ganz abgesehen von der Nützlichkeit und Sinnhaftigkeit von Penetrationstests.
Darauf wurde auch wiederholt im Vorfeld, beispielsweise durch die Gesellschaft für Informatik, hingewiesen:
Problematisch ist die Einfügung des 202c StGB, weil Programme und Tools nicht nach ihrer Einsatzart, sondern vielmehr nach ihrem Aufbau definiert werden. Eine Unterscheidung in Anwendungen, die zur Begehung von Straftaten und solche, die ausschließlich für legale Zwecke hergestellt werden, ist aber nicht möglich. Der gewählte Wortlaut führt zu einer Kriminalisierung der heute in allen Unternehmen, Behörden und von Privaten verwendeten Programme zur Aufdeckung von Sicherheitslücken in IT-Systemen.
Umsonst. Diese Unterscheidungsfähigkeit war nicht herbeizuführen. Aber man braucht dringend den "Einsatz morderner IT-Technologie".
Update: Ich habe mich dann durch die Öffentliche Anhörung und Stellungnahme des Rechtsausschusses (pdf) gequält: Michael Bruns, Bundesanwalt beim Bundesgerichtshof, meint, da sei nix missverständlich,
Prof. Borges und Prof. Hilgendorf sehen das wohl eher nicht so...
§ 202c
Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.
Das Problem ist nun, dass die hervorgehobene Formulierung derartig schwammig ist, dass momentan niemand weiß, was damit eigentlich gemeint ist. Ping? Portscan? Telnet? Ein nicht unerheblicher Teil an Programmen, die, je nach Auslegung, für einen potentiellen Angriff auf einen fremden Rechner nützlich sein könnten, sind nun aber leider fester Bestandteil normaler netzwerkadministreller Tätigkeit und darüber hinaus
eh Bestandteil aller modernen Betriebssysteme, meint: Wenn man einen Computer kauft, hat man die sowieso. Mal ganz abgesehen von der Nützlichkeit und Sinnhaftigkeit von Penetrationstests.
Darauf wurde auch wiederholt im Vorfeld, beispielsweise durch die Gesellschaft für Informatik, hingewiesen:
Problematisch ist die Einfügung des 202c StGB, weil Programme und Tools nicht nach ihrer Einsatzart, sondern vielmehr nach ihrem Aufbau definiert werden. Eine Unterscheidung in Anwendungen, die zur Begehung von Straftaten und solche, die ausschließlich für legale Zwecke hergestellt werden, ist aber nicht möglich. Der gewählte Wortlaut führt zu einer Kriminalisierung der heute in allen Unternehmen, Behörden und von Privaten verwendeten Programme zur Aufdeckung von Sicherheitslücken in IT-Systemen.
Umsonst. Diese Unterscheidungsfähigkeit war nicht herbeizuführen. Aber man braucht dringend den "Einsatz morderner IT-Technologie".
Update: Ich habe mich dann durch die Öffentliche Anhörung und Stellungnahme des Rechtsausschusses (pdf) gequält: Michael Bruns, Bundesanwalt beim Bundesgerichtshof, meint, da sei nix missverständlich,
Prof. Borges und Prof. Hilgendorf sehen das wohl eher nicht so...
annekewolf - 8. Sep, 23:37
Trackback URL:
https://technikforschung.twoday.net/stories/4243205/modTrackback