Der Hackerparagraph, was darf man noch?

    05.10.2007 (22:00)
    Ist zwar schon eine Weile her seit es ihn gibt, aber hier mal ein paar Info´s zum sog. "Hackerparagraphen"

    seit 10.08.2007 ist er in Kraft getreten:

    Der "Hackerparagraph"


    Alle haben schon mal davon gehört, jeder wettert dagegen an, aber keiner scheint zu wissen was genau er denn besagt. Hört sich komisch an ist aber so. Selbst nach tagelanger Suche im WWW konnte ich keine wirklich schlüssige Auslegung oder Erklärung zum neuen Strafgesetzbuchparagraphen 202c finden.

    Anfang des Jahres wurde der Änderungsentwurf im Bundestag zur "Diskussion" eingereicht. Aber viel diskutiert wurde nicht, zumindest nicht von unseren Politikern. Trotz vielfacher öffentlicher Aufrufe gerade von Herstellern von Sicherheitssoftware, zeigten sich die Politiker beratungsresistent (vielleicht auch nur uninteressiert?) und winkten den Entwurf ohne grosse Debatte durch.

    Und das haben wir nun davon!

    Was daran wirklich so nervend ist, dass sich keiner der Zuständigen überhaupt irgendwelche Gedanken über dieses Gesetz gemacht zu haben scheint. Wie sonst kann es möglich sein, dass niemand weiss welche Programme denn nun verboten sind, und ab wann genau man sich denn nun strafbar macht.

    Zitat von Henning Plöger, Sprecher des Justizministeriums:
    (gefunden im Netz)

    Zitat

    "Das Gesetz betrifft nur denjenigen, der wirklich eine Computerstraftat vorbereitet. Wer sich um die Sicherheit eines eigenen Systems oder eines fremden Systems in dessen Auftrag kümmert, muss sich keine Sorgen machen."

    • Also darf ich jetzt oder darf ich nicht ein Programm wie Netstumbler runterladen?
    • Darf ich oder darf ich nicht ein solches Programm installieren um meinen Rechner auf Sicherheitslücken zu testen?
    • Darf ich irgendwem sagen, dass es so ein Programm gibt? (möglicherweise sogar einen Downloadlink anbieten?)
    • Wer definiert ab wann ich eine Straftat vorbereite? (gilt das zufällige Sehen eines AP´s beim Test meiner eigenen WLAN Sicherheit schon als Vorbereiten einer Straftat?)
    • Muss Windows verboten werden, da man mit "ping" und "tracert" schon eine Straftat vorbereiten könnte
      (um was anzugreifen muss ich es ja erstmal finden :D )

    Was ich bisher in verschiedenen Rechtsanwaltsblogs herausgefunden habe:

    Nichts genaues weiss man nicht!!!

    Aber folgendes ist im Moment einhellige Meinung:

    • Man darf Programme zum Testen von Netzwerksicherheit besitzen und auf eigenen Rechner benutzen, solange man keine Straftat plant.
    • Man darf den Namen von Programmen die zum Testen von Sicherheitslücken geeignet sind nennen, ABER man sollte sicherheitshalber keine Links dazu veröffentlichen.
    • Man darf ein solches Programm nutzen um fremde Rechner auf Sicherheitslücken zu testen, WENN man vom Eigentümer dazu beauftragt wird
    • Man darf Passwortcracker einsetzen um eigene Dateien oder Rechner nach Passworten zu scannen oder Dateien zu öffnen (gilt wie oben auch für fremde Rechner und Dateien)
    • Nein Windows darf es auch weiterhin geben, man darf schon wissen, dass es auch andere Computer gibt :D


    (alle diese Info´s sind nur Auslegungen, ich kann und werde nicht irgendeine Gewähr für deren Richtigkeit geben!!)


    ABER, im Moment ist man sich noch nicht einmal einig, ob Linux User schon per se Verbrecher sind, da man mit Linux schon in der Standardausrüstung andere Rechner "hacken" KÖNNTE.
    (Nein, das ist kein Scherz!!! Solche Diskussionen gibt es wirklich!)


    Na ja, da bleibt dann nur zu hoffen, dass das mal ein Urteil ergibt mit dem man was anfangen kann:

    Zitat

    Der “Hackerparagraph” zur Bekämpfung der Computerkriminalität zeigt Wirkung - aber anders als erwartet. Gerade wird das Bundesamt für Sicherheit in der Informationstechnik verklagt: Die Behörde verstoße selbst gegen das Gesetz.


    Quelle:Hackerparagraph « “Die Dreckschleuder”

    In diesem Artikel findet man den Hinweis, dass "Tecchannel" Klage gegen das BSI eingereicht hat, da auf deren Homepage Links zu Downloads von Programmen sind, die nach dem neuen Gesetz eigentlich ja illegal sein müssten.
    Ausserdem basiert die BSI eigene Programmsuite BOSS (BSI OSS Security Suite) auf dem nun eigentlich illegalen Netzwerkscanner Nessus.

    Wir werden sehen was dabei rauskommt!

    Also: Immer schön sauber bleiben!!
    Und falls jemand noch weitergehende Informationen findet: Immer her damit!!

    Wer nicht weiss wovon er redet sollte besser die Klappe halten.
    Also: Schnauze Welt!

    Hallo

    Wenn man einmal genau über die Sachlage nachdenkt könnte man fast zu dem Schluss kommen das unser Minister Schäuble etwas damit zu tun hat.

    Zitat

    So kritisierte dann auch der SPD-Abweichler Jörg Tauss im Vorfeld der Abstimmung, dass der Wortlaut des Gesetzentwurfes zu einer "Kriminalisierung der heute millionenfach verwendeten Programme führe, welche auch für das Entdecken von Sicherheitslücken in IT-Systemen notwendig sind". Und Andy Müller-Maguhn vom Chaos Computer Club prognostizierte sogar: "Das Verbot des Besitzes von Computer-Sicherheitswerkzeugen öffnet auch dem Einsatz des Bundestrojaners Tür und Tor".

    Und auch Linux User sind dann schon potenzelle Straftäter.
    Denn die auf Linux Rechnern installierte Software "nmap" und "tripwire" beziehungsweise dessen Nachfolger "Wireshark" dienen dazu offene Türen auf dem Rechner aufzuspüren.
    Ebenso kann der gesamte Netzwerk-Verkehr mitgeschnitten werden.

    Was ich einmal wieder nicht verstehe ist wie man so ein komplexes Thema einfach als Wischi-Waschi Schnellschuss Gesetz auf den Markt wirft.
    Einmal mehr wird der einfache User nur verunsichert.

    Zum Thema "Tecchannel"

    Zitat

    Inwieweit das Gesetz Auslegungen zulässt, will das Magazin "Tecchannel" aus dem IDG Verlag klären. Es reichte bei der Staatsanwaltschaft Bonn Klage gegen das Bundesamt für Sicherheit in der Informationstechnik (BSI) wegen Verstoßes gegen Paragraf 202c StGB ein. Das BSI bietet auf seinen Internet-Seiten die Software BOSS (BSI OSS Security Suite) zum Download an. Pikanter Bestandteil der Security Suite ist - neben anderen Programmen, die unter das Hackergesetz fallen könnten - der Passwort-Cracker "John the Ripper", über dessen Einsatzzweck wohl keine Zweifel bestehen dürften. Zwar ist das vom BSI in die Suite eingebundene Programm ausgebremst, aber über einen direkten Link zur Hersteller-Seite kann sich jeder Besucher die voll funktionsfähige Version herunterladen - nach Ansicht von "Tecchannel" ein klarer Verstoß gegen den Paragrafen 202c.

    Die Staatsanwaltschaft in Bonn (Sitz des BSI) hat nun zwei Möglichkeiten: Entweder wird der Anzeige nicht stattgegeben, weil das BSI nach Meinung der Staatsanwaltschaft keine strafbare Handlung begeht, oder ihr wird stattgegeben und die Staatsanwaltschaft nimmt die Ermittlungen auf.

    Für den Fall, dass der Anzeige nicht stattgegeben wird, rät "Tecchannel" den Betroffenen, sich am BSI zu orientieren: In einem seriösen Umfeld sei es demnach durchaus möglich, Sicherheitstools anzubieten und zu benutzen. Im anderen Fall empfiehlt "Tecchannel", Selbstzensur zu üben - erst recht, wenn es zu einer Verurteilung kommt. Ein Freispruch des für die BOSS-CD Verantwortlichen brächte ebenfalls Klarheit, so das Magazin.

    Na, da kommt einmal wieder etwas auf uns zu.
    Ich konnte auch trotz intensiver Suche nichts finden wo genau beschrieben steht :

    Erlaubt.....
    Verboten....

    So müssen wir uns alle wohl wirklich in Selbstzensur üben um nicht böse Post von Saatsanwalt zu bekommen.

    Gruß

    Das Problem an dem ganzen Paragraphen ist nicht das Gesetz selbst. Dieses ist *eigentlich* völlig eindeutig und unauslegbar.
    (und mal ernsthaft, so wie es die EU 2001 gedacht hatte, macht es auch Sinn: Wer ein Programm schreibt um PC´s in kriminneler Absicht auszuspionieren oder anzugreifen... muss bestraft werden)

    Zitat

    Wer eine Straftat vorbereitet indem..

    Genau das wird  hier im Heise Forum ausdrücklich behandelt. Also *eigentlich* alles gar kein Problem für den Endbenutzer.

    Das wirkliche Problem ist die Definition der Software!!

    *Eigentlich* sind Programme wie z.B Nessus und ophcrack und ....
    ja nicht explizit dafür geschrieben worden um eine Straftat zu begehen. Darum müssten sie eigentlich auch legal sein.

    Genauso müsste auch der Verweis auf eines dieser Programme legal sein. Und da ich ja ein solches Programm hier im Forum nicht extra dafür umschreibe um in ein bestimmtes Computersystem einzubrechen mache ich mich *eigentlich* auch nicht strafbar, wenn ich einen Link zum Programmierer angebe (der das Programm ja auch nicht explizit nur dafür geschrieben hat, um in ein bestimmtes Computersystem einzubrechen)

    Ich für mich persönlich habe also keine Angst, dass mich morgen der Staatsanwalt abholen lässt, weil ich eine Knoppix CD besitze oder Nessus auf meinem Laptop installiert habe.

    Auch der vielzitierte "Normalnutzer", der ein Programm wie Nessus oder Netstumbler auf der Festplatte hat, oder es seinem Kumpel, damit der sein Netzwerk testen kann, weitergibt muss keine Angst vor dem Knast haben. (Soviel Auslegungsfreiheit hat kein Richter!!!)

    Aber zumindest hat sich der Gesetzgeber (ob absichtlich oder nicht, darüber werde ich nicht spekulieren) eine grossen Raum für Verdächtigungen gelassen, und bekanntlich reicht ein Verdacht für die Einleitung einer Ermittlung aus.

    Ob das so gewollt war um eine bessere Grundlage für die Durchsetzung des Bundestrojaners zu schaffen, wage ich zu bezweifeln, ich glaube eher, das da einfach nicht genug nachgedacht wurde und man nicht vorrausgesehen hat, welche Verunsicherung dadurch in der Bevölkerung geschaffen wird.

    Aber zumindest wird es viele unabhängige Tester von Sicherheitslücken davon abhalten weiterzumachen und damit die Entwicklung auf diesem Sektor um einiges zurückwerfen.

    Wer nicht weiss wovon er redet sollte besser die Klappe halten.
    Also: Schnauze Welt!

    Die Folgen. Bisher.

    Die ersten Spezialisten auf dem Gebiet haben schon die Segel gestrichen und das Land verlassen. Nur große Konzerne mit angemessen ausgestatteter Rechtsabteilung, so scheint es, können sich eine Arbeit in Deutschland unter derartig unsicheren gesetzlichen Rahmenbedingungen noch erlauben. Für alle anderen gilt vorerst wohl erstmal:[INDENT]
    [Blockierte Grafik: http://kismac.de/Goodbye.jpg]
    (Bild: KisMAC)
    [/INDENT]Zwei beliebig herausgegriffene Beispiele der Flucht vor dem deutschen Gesetz stehen für die Sorgen einer ganzen Zunft:

    http://kismac.de/

    MOPB Exploits taken down - PHP Security Blog

    Denn es ist eine Binsenweisheit: Wer Sicherheitslücken entdecken will, muß sich zwangsläufig damit befassen, wie man ein System angreift, er benötigt das gleiche Fachwissen, die gleichen Werkzeuge, er muß das gleiche tun. Wer es richtig machen will, muß darin sogar besser sein, als die schlimmsten Hacker, und unterscheidet sich von diesen nur durch ein einziges Kriterium: Er tut es nicht zu kriminellen Zwecken. Ein schmaler Grat, auf dem jeder in diesem Bereich Tätige neuerdings balanciert. Denn eben die nichtkriminellen Absichten gegenüber einem Gericht zu beweisen, dürfte nicht ganz leicht fallen: Wer kann schon in den Kopf eines vermutlichen Straftäters hineinsehen? Soll der Richter ihm das einfach glauben? Warum sollte er das, wo doch wohl jeder wirkliche Straftäter sich vor Gericht nicht anders äußern würde: "Herr Richter, ich bin unschuldig wie 'ne junge Braut"...

    In jedem Fall wird es Zeit und Geld kosten, einen solchen Unschuldsbeweis zu führen, wenn dank der neuen Gesetzeslage erstmal ermittelt wird.

    Und jeder ist darüber hinaus noch verantwortlich dafür, was Dritte mit seinen zum Sicherheitstest benötigten Werkzeugen machen. Wie soll man beweisen, daß man nicht doch von den kriminellen Absichten des anderen gewußt hat, als man ihm die Software verkaufte, die er dann zum Einbruch in ein Bankensystem mißbraucht hat?


    Eines steht jedenfalls fest: Der Rest der Welt (zumindest der Fachwelt!) lacht über uns und Deutschland mit seiner neuesten "Sicherheits"-Gesetzgebung. Künftig sind wir wohl darauf angewiesen, alle diese Leistungen bei global operierenden Konzernen oder gleich im Ausland einzukaufen -- sofern uns das nicht auch noch aus "Sicherheitsgründen" verboten wird.

    Und die wirklichen Computerkriminellen drehen uns derweil eine lange Nase.


    Grüße
    Funkenzupfer.

    \"Wo kämen wir hin, wenn alle sagten, wo kämen wir hin, und niemand ginge, um einmal zu schauen, wohin man käme, wenn man ginge.\" (Kurt Marti)

    Zitat

    In jedem Fall wird es Zeit und Geld kosten, einen solchen Unschuldsbeweis zu führen, wenn dank der neuen Gesetzeslage erstmal ermittelt wird.



    ... und ich dachte in Deutschland muss die Schuld bewiesen werden... wenn in Deutschland die Unschluld bewiesen werden muss sollte man langsam wirklich ans Auswandern denken!

    Wir lernen aus Erfahrung, daß die Menschen nichts aus Erfahrung lernen.(George Bernard Shaw Irischer Dramatiker, 1856-1950)

    Zitat

    ... und ich dachte in Deutschland muss die Schuld bewiesen werden...


    Also zum Glück hast Du mit dieser Antwort völlig recht, auch hier in Deutschland ist man solange unschuldig, bis einem die Schuld bewiesen wurde!!

    Aber man bedenke einfach mal folgendes:

    Jemand testet mit völlig legalen und ehrlichen Absichten die Sicherheit einer Banken-Homepage, oder der HP von ebay (was ja schon mehrfach passiert ist). Solange er aber vom Betreiber der Homepage keinen offiziellen Auftrag dazu hat, ist es eben inzwischen so, dass er automatisch schuldig ist.

    Eben einfach deswegen, weil die Gesetzänderung besagt, dass jeder der ohne offiziellen Auftrag des Systemeigners einen Eindringversuch durchführt, dies automatisch illegal tut.

    Das Problem an dem Gesetz ist also nicht, dass der Normaluser bestraft wird, weil er sein eigenes System testet. Dieser tut es ja in seinem eigenen Auftrag :D also macht er sich auch nicht strafbar (genau deswegen darf er ja auch in Zukunft weiterhin diese Programme besitzen und benutzen)

    Sondern dass es in Zukunft keine unabhängigen Sicherheitstests mehr geben wird, weil natürlich genau dort, wo Sicherheitsprobleme die grössten Auswirkungen haben, der Betreiber gar kein Interesse daran hat, dass irgendjemand etwas davon erfährt.

    Wer nicht weiss wovon er redet sollte besser die Klappe halten.
    Also: Schnauze Welt!