Computersicherheit: Gesetz kriminalisiert Programmierer (Spiegel Online, 6.7.2007)

7 Juli 2007 — 4 minuten gelesen

Computersicherheit

Gesetz kriminalisiert Programmierer

Jetzt hat auch der Bundesrat zugestimmt: Ein neuer Paragraf im Strafrecht verbietet die Nutzung von Programmen, die Computern schaden können – mit riskanten Nebenwirkungen. Denn das Gesetz untersagt auch Sicherheitsexperten, Computersysteme mittels entsprechender Software zu schützen.

Spiegel Online, 6.7.2007

Wenn Hartmut Pohl, Professor für Informationssicherheit, weiter forscht und lehrt, wird er sich strafbar machen. In seinen Übungen an der Fachhochschule Bonn-Rhein-Sieg spürt er mit Studenten Schwachstellen in den Computersystemen von Firmen und Behörden auf – mit Zustimmung der so Erforschten. Doch bald sind die dafür notwendigen Programme verboten. Der Bundesrat hat heute das entsprechende Gesetz beschlossen, im Bundestag ist die entsprechende Änderung des Strafrechts längst durch.

Das Gesetz gilt , sobald es im Bundesgesetzblatt verkündet ist – das dürfte in wenigen Wochen geschehen. Die Folgen beschreibt Informatiker Pohl gegenüber SPIEGEL ONLINE so: "Dieses Gesetz verbietet, was ich mit meinen Studenten jeden Tag in Übungen und Seminaren mache."
Denn um die Sicherheit von Computersystemen zu prüfen, muss man Schwachstellen suchen. Ganz so wie man die Sicherheitssysteme von Autos in Crash-Tests mit Schlitten- oder Spurführungssystemen prüft.

Das Problem: Das beschlossene Gesetz verbietet nicht bestimmte Handlungen, sondern das "Verschaffen, Überlassen und Verbreiten" von Werkzeugen zum Ausspähen und Abfangen von Daten. Der neue Paragraf 202c des Strafgesetzbuchs bezieht sich auf "Computerprogramme, deren Zweck die Begehung einer solchen Tat ist". Der Gesetzestext unterscheide nicht zwischen dem Systemadministrator, der sein Schutzsystem testen und dem Angreifer, der dieses System durchbrechen will. Beide nutzen ähnliche, womöglich dieselben Programme – und beide verstoßen gegen den neuen Paragrafen 202c.

Forscher: "Von der Gnade der Richter abhängig"

Dass nun ein deutscher Richter einen Forscher ins Gefängnis schickt oder zu einer Geldstrafe verurteilt, ist wenig wahrscheinlich. Aber es ist möglich, wie Juristen der "Gesellschaft für Informatik" bestätigen. Informatik-Professor Pohl: "Ich bin als Forscher von der Gnade der Staatsanwälte und Richter abhängig. Der Gesetzestext verbietet meine Arbeit, ein Staatsanwalt kann Anklage erheben." Und bei der IT-Rechtssprechung sind die Urteile deutscher Gerichte selten einheitlich und nicht immer nachvollziehbar, wie das Beispiel Forumshaftung zeigt.

Experten kritisieren das Gesetz schon seit langem

Auf diese Probleme des Gesetzentwurfs weisen Experten, Verbände und Interessengruppen seit gut einem Jahr in seltener Eintracht hin. Beispiele

EXPERTEN-KRITIK AM HACKER-PARAGRAFEN

Bundesverband Informationswirtschaft
Eine "Kriminalisierung sicherheitsrelevanter Handlungen" befürchtet der "Bundesverband Informationswirtschaft, Telekommunikation und neue Medien" (Biktom) in einer Stellungnahme zum Gesetzentwurf am 16. Juli 2006.

Verband der Internetwirtschaft
Die "Gefahr einer Überkriminalisierung" skizziert der Verband der deutschen Internetwirtschaft eco in einer Erklärung am 1. August 2006. Sorge der Fachleute: "Computerprogramme, die für einen legitimen Zweck benötigt und eingesetzt werden", könnten von "dieser Vorschrift erfasst werden".

Chaos Computer Club
Der "Chaos Computer Club" erklärt in einem Kommentar am 25. September 2006, das Gesetz würde die "Sicherheit von Computersystemen gefährden"

Jura-Professor Georg Borges
Bei einer Expertenanhörung im Bundestag am 21. März 2007 nennt Rechts-Professor Georg Borges die Sorge der Verbände "teilweise begründet, da § 202c Abs. 1 Nr. 2 E-StGB sowohl im objektiven als auch im subjektiven Tatbestand zu weit gefasst ist".

Rechts-Professor Eric Hilgendorf
Bei derselben Anhörung im Bundestag urteilt Jura-Professor Eric Hilgendorf: "§ 202c scheint mir zu weit geraten zu sein. Der objektive Tatbestand umschreibt keinen klaren Unrechtstypus, sondern erfasst z.B. auch die Tätigkeiten von Systemadministratoren."

Strafrechts-Experte Carl-Friedrich Stuckenberg
Diese Meinung teilt auch der Jurist Carl-Friedrich Stuckenberg. In seiner Stellungnahme für den Bundestag heißt es: "Besser wäre, die Gefahr einer ungewollten Ausdehnung durch einen eindeutigen Gesetzestext sicher zu vermeiden und deshalb den objektiven und subjektiven Tatbestand des § 202c Abs. 1 Nr. 2 E-StGB klarer und enger zu fassen."

Gesellschaft für Informatik
Der "202c StGB drohe Informatikerinnen und Informatiker zu kriminalisieren", fürchtet die Gesellschaft für Informatik und appelliert am 3. Juli 2007 an den Bundesrat, diesen Gesetzentwurf zu verhindern.

Die massiven, wohl begründeten Proteste von Experten aus Wirtschaft und Forschung haben weder das Justizministerium noch die Bundesregierung oder das Parlament beeindruckt. Dabei geht es nur um eine minimale Konkretisierung, eine engere Definition des Straftatbestandes, die sich nicht allein am Werkzeug, sondern an der Tat selbst orientiert.

Informatik-Professor Pohl zu SPIEGEL ONLINE: "Nach dieser Logik müsste man auch den Schraubenzieher oder den Dietrich verbieten. Ein Gesetz kann sich doch nicht auf ein neutrales Werkzeug beziehen, sondern auf das Handeln einer Person."

Politik ignoriert Bedenken von Wirtschaft und Forschung

Das sehen fast alle Politiker anders. Im Bundestag haben nur der Abgeordnete Jörg Tauss, forschungs- und medienpolitischer Sprecher der SPD-Fraktion, und die Fraktion der Linkspartei gegen das Gesetz gestimmt. Keiner der Beteiligten zeigt sich beeindruckt von der Experten-Kritik.

Und so ist es heute passiert. Das Gesetz wird in wenigen Wochen gelten – mit den seit Monaten von allen Experten kritisierten schwammigen Formulierungen. Informatik-Professor Pohl: "Seit mehr als einem Jahr weisen Experten auf die fehlerhafte, ja schlampige Formulierung hin. Aber der Gesetzestext geht so durch alle Instanzen. Und niemand scheint zu verstehen oder verstehen zu wollen, worum es dabei geht."

Pohl wird weiter Seminare zum Thema IT-Sicherheit geben – so lange, bis sich irgendein Staatsanwalt an den Wortlaut des heute verabschiedeten Gesetzes hält.

Konrad Lischka

Projektmanagement, Kommunikations- und Politikberatung für gemeinnützige Organisationen und öffentliche Verwaltung. Privat: Bloggen über Software und Gesellschaft. Studien, Vorträge + Ehrenamt.
Immer gut: Newsletter abonnieren

auch interessant

25 Feb. 2023

Wer investiert in die Zukunft, wenn alle sparen?

Der common senf aktueller Debatten um Staatsausgaben, Tarifverhandlungen und Zinspolitik scheint mir gerade ein gefährlicher: Alle sollen sparen. Der Staat soll weniger ausgeben und damit der Gesamtwirtschaft Geld entziehen. Arbeitnehmer sollen Reallohnverluste akzeptieren, sparen und damit der Gesamtwirtschaft Geld entziehen. Und Unternehmen sollen sparen, bloß keine Kredite aufnehmen für Investitionen

19 Nov. 2022

Paradox der Gegenwart

Einerseits sehen so viele Menschen ihre individuellen (Konsum)Bedürfnisse als das wichtigste Gut, als absolut schützenswert. Überspitzte Maxime: Was ich will, ist heilig – alles geht vom Individuum aus. Andererseits erscheint genauso viele Menschen das Individuum ganz klein, wenn es darum geht, etwas zu verändern in der Welt. Überspitzte Maxime: Ich

11 Nov. 2022

Wie Schmecken funktioniert

Gelernt: Geschmack und Aroma sind zwei ganz unterschiedliche Wahrnehmungen. Für jede ist ein anderer Teil im Gehirn verantwortlich. Und jede basiert auf unterschiedlichen Daten: Für den Geschmack kommen Eindrücke von der Zunge, fürs Aroma von Rezeptoren in der Nase. Beides vermischt das Gehirn zum Gesamteindruck Schmecken. Sehr lesenswerter Aufsatz darüber