Wie einer Meldung bei Heise zu entnehmen, ist die umstrittene Novelle des Strafgesetzbuches (StGB) seit heute in Kraft. Die Veröffentlichung der neuen Strafvorschriften fand am gestrigen Freitag statt und erlangt nun mit einem Tag Verzögerung Wirksamkeit.

Mit dem “Einundvierzigsten Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität” liegt es nun durchaus im Bereich des Möglichen, dass hier eine Gesetzesnovellierung zu Lasten von Qualitätssicherungsmaßnahmen und somit auf Kosten der Sicherheit von Softwaresystemen durchgeführt wurde. Neben vielen anderen Quellen im Netz berichtete auch Wortsetzer am 30. Juli 2007 bereits über die ersten Folgen und möglichen Seiteneffekte der Gesetzesänderung.

Grundsätzlich regte sich bei Fachleuten Widerstand gegen die “schwammige” Formulierung im Gesetztesvorschlag, welcher theoretisch auch die Herstellung, Verbreitung und Anwendung solcher Software, welche auch Anwendung im Bereich der Qualitätssicherung und Eigendiagnose von Sicherheitsproblemen findet, unter Strafe stellt.
So findet man viele kritische Veröffentlichungen von Fachleuten im Internet.
Ich will an dieser Stelle zumindest einige dieser Veröffentlichungen stellvertretend heranziehen:

1. Die kritischen Anmerkungen des Verbands der deutschen Internetwirtschaft e.V. “Computerkriminalität bekämpfen – nicht Sicherheitstechnik ausbremsen!” anlässlich des Beschlusses des Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität durch den Bundestag:
   

   [...]In der Beschlussempfehlung des Rechtsausschusses und damit höchstwahrscheinlich im endgültigen Gesetzesbeschluss des Bundestages wurden leider Mängel, auf die die Experten bei der Anhörung am 21. März einhellig hingewiesen hatten, nicht behoben. Damit besteht die Gefahr, dass das Gesetz die Sicherheitsbemühungen der Unternehmen ausbremst, anstatt Computerkriminalität wirksam zu bekämpfen. Die dazu abgegebene Erklärung der Abgeordneten, wie das Gesetz auszulegen sei, reicht nicht aus, denn Gerichte urteilen nach dem Text des Gesetzes.[...]

   [Quelle: eco - Verband der deutschen Internetwirtschaft e.V.]

2. Den kritischen Beitrag von Philipp Otto bei eRecht24 Recht der neuen Medien anläßlich des Beschlusses der Gesetzesänderung durch den Bundesrat:
   

   [...]Diese Formulierung stellt nach Ansicht von Experten die gesamte Branche der Computersicherheit mit einem Bein ins Gefängnis. Denn nur wer beispielsweise versteht und auch ausprobiert, wie eine Firewall umgangen werden kann, ist in der Lage die Sicherheit einer solchen zu verbessern. Dies ist auf alle Bereiche der Computersicherheit übertragbar.[...]

   [Quelle: eRecht24]

3. Die kritische Pressemitteilung der Gesellschaft für Informatik:
   

   [...]Der gewählte Wortlaut führt zu einer Kriminalisierung der heute in allen Unternehmen, Behörden und von Privaten verwendeten Programme zur Aufdeckung von Sicherheitslücken in IT-Systemen. Derartige Programme und Tools sind zur Absicherung gegen Angriffe jedoch unverzichtbar (Penetration Testing).[...]Am 24.05.2007 hat der Bundestag trotz fundierter Proteste in 2. und 3. Beratung alle Änderungsanträge abgelehnt und damit den Regierungsentwurf: “Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität” ohne Debatte verabschiedet.[...]

   [Quelle: Gesellschaft für Informatik]

Das Grundproblem, welches von der Gesetzesänderung außer Acht gelassen wird, ist, dass zur Absicherung gegen Sicherheitslücken selbstverständlich auch Tools zum Einsatz herangezogen werden müssen, welche in Funktionsumfang und Funktionsweise durchaus auch Potential zur kriminellen Verwendung haben.
Die allgemeinhin als “Hacker” bezeichneten kriminellen Elemente, welche sich auf Ausnutzung von Sicherheitslücken spezialisiert haben, scheren sich jedoch per Definition nicht um Gesetze.
Die Softwarehersteller, also auch Banken, Finanzdienstleister und Hersteller von Software, welche mit sensiblen Kunden- und Adressdaten umgeht, sind jedoch darauf angewiesen ihre Software so gut wie möglich gegen Angriffe abzusichern und dabei derartige angesprochene Tools als Hilfsmittel anzuwenden. Dies dient normalerweise als Qualitätssicherungsmaßnahme, welche die Hersteller vor Imageverlust bewahrt und schlußendlich uns Konsumenten schützt. Dieser Schutz wurde jetzt wirksam beeinträchtigt.

Leider haben sich sowohl Bundestag als auch – der ursprünglich eher ablehnende – Bundesrat trotz Anhörung diverser Expertengruppen beratungsresistent gezeigt.

Schlußendlich scheint leider auch Bundespräsident Horst Köhler der kritischen Einstellung der Fachleute und gewerblichen Sicherheitsexperten nicht ausreichend Gewicht beigemessen zu haben.

Es bleibt momentan leider nur die unbegründete Hoffnung, dass der 11.08.2007 nicht als schwarzer Tag für die Softwaresicherheit in Deutschland in die Geschichte eingehen wird. Es wäre allerdings ein Novum, wenn Politiker anstelle von Fachleuten aus Praxis und Forschung in einem komplexen, techniknahen Fachthema Recht behalten würden.

Leave a Reply

Using Gravatars in the comments - get your own and be recognized!

XHTML: These are some of the tags you can use: <a href=""> <b> <blockquote> <code> <em> <i> <strike> <strong>