Was würden Sie tun, wenn Sie etwas planen, von dem Sie keine Ahnung haben? Klar, Sie holen sich die Meinung von Experten, gern auch von mehreren. Und dann? Richtig, Sie ignorieren sämtliche Meinungen und frickeln Ihre eigene Lösung zusammen. Undenkbar, weltfremd, kommt nicht vor?
202c. Drei Ziffern, ein Buchstabe. Doch dieser Zusatz zum StGB könnte die IT-Sicherheit um Jahre zurückwerfen. Denn in Absatz 1, Unterpunkt 2 heißt es „Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.“
In der Praxis heißt das, dass jedes Programm, das sich unter Umständen für eine illegale Aktion einsetzen lässt, potenziell verboten ist. Dass das Internet nicht an deutschen Grenzen endet, scheint noch nicht nach Berlin durchgedrungen zu sein. Kaum verwunderlich, sind doch die IT-Kenntnisse deutscher Politiker nicht gerade ausgereift, wie dieses Video zeigt.
Anders gesprochen: Die Regierung verbietet die Hämmer, die zum Hausbau zwingend notwendig sind, da man diese Hämmer auch zum Einbruch nutzen könnte. So entsteht zu Recht die Angst, dass Programmierer im IT-Standort Deutschland kriminalisiert werden (Spiegel Online).
Alles nicht so schlimm? Oh doch!
Die Folgen dieses Paragrafen sind dramatisch, votiert doch die ganze „große Koalition der Ahnungslosen dafür, Deutschland zur Berufsverbotszone für Computersicherheitsexperten zu machen“ (CCC). Passend ist da durchaus die neue Startseite des Chaos Computer Clubs, auf der das Internet zu einer Blümchenwiese wird.
Klar, da die Tools jetzt alle verboten sind, gibt es keine Sicherheitsprobleme mehr, ergo kann nichts mehr passieren. Auch handfeste Aktionen hat der CCC auf Lager. Auf dem diesjährigen Chaos Communications Camp haben sich Sicherheitsexperten mit Netzwerkkabeln sinnbildlich die Hände gebunden.
Auch der Vorsitzende der Nationalen Initiative für Informations- und Internet-Sicherheit (NIFIS), Peter Knapp, bezweifelt den Sinn von § 202c: „Das Thema Sicherheit macht nicht an Landesgrenzen halt, und wir müssen daher für maximalen Schutz werben und nicht durch von Staats wegen verbotene Absicherung zum Hacking einladen.“ Pikantes Detail: Kurz nachdem der Paragraf durchgewunken wurde, hat der Spiegel massive Hacker-Angriffe auf Bundestags-Server aufgedeckt.
Das Magazin Brand Eins bezieht einen ähnlichen Standpunkt. Beim § 202c sei keine Rechtsicherheit gegeben, heißt es hier. Und: In letzter Zeit zeige sich der Gesetzgeber oft beratungsresistent.
Die Blogosphäre, vor allem die IT- und Rechtsblogs, schließen sich in ihren Meinungen den großen Medien an. Das Blog der Kanzlei Sewmona etwa prophezeite schon früh, dass der Paragraf für Zündstoff sorgen wird. Zusätzlich wird bemängelt, dass von der Regierung bestimmte Hof-Experten ein Monopol in der legalen Sicherheitsprüfung aufbauen können.
Wegbereiter für den Bundestrojaner?
In den Verschwörungstheorien hat der § 202c noch eine andere Funktion. So mutmaßte der CCC bereits im Mai, dass damit der Weg für den Bundestrojaner frei geräumt werden soll. Denn wenn keine Sicherheitslücken mehr gefunden werden dürfen, kann man diese auch nicht flicken.
Ähnlich sehen es auch die Blogs Bundestrojaner.Blogspot.com, das RA-Blog oder bei Datenstaub. Andere wiederum feixen, dass sich die Bundesregierung damit ein Grab für den Trojaner gräbt. So sei es laut S-Fels kein Wunder, dass nur zehn Durchsuchungen pro Jahr geplant sein. Denn die Programmierer müssten nach Schreiben des Trojaners ja erst einmal ins Gefängnis. Auch das Notizblog denkt in diese Richtung. Zudem hat das Blog noch einen schönen Eintrag zum technischen Verständnis der Schnüffelsoftware.
Das Ende für deutschte Sicherheitsexperten?
Und was meinen die Betroffenen? Die ersten Entwickler von Sicherheits-Tools verlegen ihre Server ins Ausland (Kommentar im Medien-Gerecht Blog) oder schließen ihre deutschen Webseiten. So etwa auch Stefan Esser, dessen Arbeit Month of PHP-Bugs durch das Gesetz an den Rand der Legalität gerückt wird. In der Blogosphäre kochen die Emotionen über den anscheinend fehlenden Technikverstand der Regierung hoch.
Martin Schmitt, der Autor von #!/bin/blog, hat beispielsweise sein Blog geschlossen. Als Grund nennt der spezielle Spezialspezialist für Linux, UNIX und Internetdienste, dass er keine Lust habe, für ein paar peinlich-triviale Scripts, die in seinem Blog steckten, mit einem Jahr Freiheitsstrafe zu rechnen.
Andere, etwa Martin Böhler vom Signalpirat, stellen gerade extra vierzeilige Codefragmente ins Netz, mit denen sie auf die Sinnlosigkeit und Ungenauigkeit des § 202c hinweisen wollen. Und doch sind es nicht nur die kleinen Blogger, die auf die Missstände aufmerksam machen. Die Gesellschaft für Informatik hat bereits im Juli darauf hingewiesen, dass Informatiker möglicherweise kriminalisiert werden. Auch der Branchenverband Bitkom, und das Blog von Blindwerk.de kritisieren den Paragrafen in der jetzigen Form.
Internationales Kopfschütteln über politisches Unwissen
Nicht nur in Deutschland häufen sich die Beschwerden über die mangelnde Genauigkeit des „Hacker-Paragrafen“. Auch im Ausland hat man für die Umtriebe der deutschen Gesetzgebung meist nur Kopfschütteln übrig. Stefan Schlott führt in seinem Blog einige Meinungen und Kommentare auf.
So heißt es beispielsweise bei ArsTechnica, dass Deutschland eine No-Go-Area für IT-Sicherheitsexperten würde. Auf ZDNet merkt man an, dass nicht die Tools für illegale Einsätze verantwortlich sind, sondern, na ja, eben die Hacker. Der Vergleich dort ist wortwörtlich. „If a lot of skiers get killed by collisions with trees, cut down the trees!”.
Bei Infoworld geht man einen Schritt weiter und warnt, dass das neue Gesetz genau das Gegenteil dessen bewirken könnte, wozu es geschaffen wurde. Nämlich, dass sich ausländische Hacker (etwa, hm, aus, sagen wir, China?) deutlich leichter Zugang verschaffen könnten.
Letzter Ausweg Selbstanzeige?
Die Regierung hält sich zum Thema bedeckt, praktischerweise ist auch noch Sommerpause. Aber wie erhalten die betroffenen Berufsgruppen Rechtssicherheit? Es bleibt abzuwarten, wie die Gerichtsentscheidungen ausfallen, heißt es bei E-Recht24. Vertrackte Situation: Erst muss man gegen das Gesetz verstoßen, um zu klären, ob man überhaupt dagegen verstößt.
Damit bleibt der Weg der Selbstanzeige. Das denken sich wohl auch die Macher von IchBinHacker.de, einem Portal, in dem sich jeder eintragen kann, der für die alltägliche Arbeit „Hacker-Tools“ nutzt. Aktuell stehen 121 Nutzer in der Liste, die auf Programme wie nmap, Traceroute, oder Nessus angewiesen sind. Nicht zu illegalen Zwecken, sondern für ihre tägliche Arbeit.
Ernst gemacht hat auch der Securityexperte Michael Kubert. Laut dem Spitblog bietet er viele der "unsicheren" Tools an, zusammen mit einer Selbstanzeige bei der Staatsanwaltschaft Mannheim. Kubert selbst sagt: "Dann werden wir ja definitiv sehen, ob's strafbar ist oder nicht." Traurig, dass man im vielbeschworenen IT-Standort Deutschland zu solchen Mitteln greifen muss, um seine Arbeit zu rechtfertigen. (mja)