123780

Wie Sicherheitsexperten kriminalisiert werden

01.07.2008 | 10:01 Uhr |

Das Gesetz, das in Sachen IT-Sicherheit letztes Jahr in Kraft getreten ist, diskriminiert Security-Profis. Ein wesentlicher Bestandteil ihrer Arbeit ist jetzt genau genommen ein krimineller Akt.

Live-Hacking gehört zu den besonderen Attraktionen jeder IT-Messe oder Security-Veranstaltung. Diese Vorführungen können jedoch bald der Vergangenheit gehören, denn ihr Inhalt und die dabei verwendeten Werkzeuge fallen unter den Paragrafen 202c des Strafgesetzbuches (StGB). Dieser verbietet es, Programme zu schreiben, mit denen man in fremde Netze eindringen kann.

Das Verbot wurde im Rahmen des " Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität " eingeführt und sieht vor, dass die Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang als Vorbereitung einer Straftat interpretiert werden können. Ist das der Fall, drohen dem Täter hohe Geldstrafen und bis zu einem Jahr Gefängnis.

Nun ist mit Sicherheit nicht jeder Systemadministrator , IT-Sicherheitsexperte oder Softwarehändler, der mit suspekter Software hantiert, automatisch ein Krimineller, und so hagelte es Proteste und Klagen gegen das Gesetz. Das Security-Unternehmen Visukom sah sich in seiner Existenz so bedroht, dass es Verfassungsbeschwerde einreichte. Ein anderer Sicherheitsexperte zeigte sich selbst an. Sogar die staatlichen Hüter der IT-Sicherheit, das Bundesamt für Informationssicherheit (BSI), wurde angezeigt, weil auf seiner Webseite ein Programm zum Knacken von Passwörtern aufgeführt wurde.

Die IT-Industrie in Gestalt des Bitkom reihte sich ebenfalls in den Protest ein. Bernhard Rohleder, Hauptgeschäftsführer des Verbands, stellte die Praxistauglichkeit des Verbots in Frage. " Sicherheitslücken in IT-Systemen werden seit jeher standardmäßig mit Hacker-Tools getestet", so Rohleder. Das Gesetz verbiete aber ausdrücklich die Nutzung von Spezialsoftware, die für die Entdeckung und Analyse von Sicherheitslücken in IT-Systemen notwendig ist.

Das alles führe dazu, dass Security-Firmen rechtlich gesehen am Rande der Legalität agieren und dass Sicherheitsexperten mit einem Bein im Gefängnis stehen. Für Rohleder schießt das Gesetz weit über das Ziel hinaus. Sicher sei es richtig, Gesetze gegen die Verbreitung von Viren, Spionagesoftware und anderen Schadprogrammen zu erlassen, doch müsse dabei auch berücksichtigt werden, dass die Arbeit mit Schadcode notwendig ist für die Entwicklung von Abwehrmechanismen.

0 Kommentare zu diesem Artikel
123780