Die Änderung des Computerstrafrechtes - §202 des StGB

Auszug aus dem §202 des StGB:

“Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.”

Bei dieser Formulierung stellt sich unter anderem die folgende Frage:

Würden Kurse und Lehrgänge zum Thema Netzwerk- und Computersicherheit im Allgemeinen, eine strafbare Handlung darstellen?

Es wäre ja möglich, dass ScriptKiddis, Hacker, oder sonstige Personen die strafbare Handlungen im Sinne des §202 planen, an diesen Kursen teilnehmen und sich dadurch Wissen verschaffen welches sie auf die Durchführung einer strafbaren Handlung vorbereitet.

Weiterhin besagt §202c StGB , dass jeder mit Freiheitsentzug bis zu einem Jahr oder finanziell bestraft werden kann der eine Straftat vorbereitet durch das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von Computerprogrammen, deren Zweck die Begehung einer entsprechenden Tat ist.
Der Kursleiter käme in einen erheblichen Gewissenskonflikt, denn bereits im Betriebssystem integrierte Werkzeuge eignen sich hervorragend dazu, eine Straftat im Sinne des §202 vorzubereiten.

Um zu sehen, wie Hacker vorgehen und um die Sicherheit vom PC´s und Netzwerken zu prüfen, werden in solchen Kursen meist Werkzeuge und Tools vorgestellt, die eben dies - das Ausspähen von Daten und das Abhören von Datenverkehr im Netzwerk - erlauben und es wird in solchen Kursen sehr häufig gezeigt, wie man mit einfachsten Skripten Systeme penetrieren und Manipulieren kann.
Paragraph 202a StGB sieht vor, dass auch bereits der unbefugte Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen eine Straftat darstellt.

Dass kaum ein System absolut sicher ist, ist allgemein Bekannt. Auch wenn es nichts mit IT zu tun hat, ziehen wir als Beispiel doch einmal eine Haustür heran.

Ein Haustür ist mit einfachsten Mitteln zu überwinden - das kann ein jeder fast täglich im Fernsehen sehen – sei es in schlechten (und auch guten) Krimis – sei es in irgendwelchen TV-Magazinen oder in dem ein oder anderen Ratgeber. Man kann miterleben, wie die Sicherheitsmechanismen einer Haustür überwunden werden.

Trotz allem ist und gilt eine Haustür regelmäßig als ausreichend sicher. Keiner würde auf die Idee kommen, an der Strafbarkeit des Aufbrechens fremder Türen zu zweifeln und auch nicht an der Strafbarkeit spezieller Einbrecherprodukte.

Wie aber sieht es denn mit einem Vorschlaghammer, einer Axt oder einer Bohrmaschine aus? All diese Dinge eignen sich hervorragend dafür, eine Haustür aufzubrechen. Sind das jetzt im Sinne des Gesetzes illegale Werkzeuge? Wohl kaum. Niemand käme auf solch eine absurde Idee.

Nach diesem kurzen Ausflug kommen wir zurück zur IT-Welt. Viele der nun als illegal geltenden Werkzeuge sind – wenn Sie nicht von Hackern sondern von System- und Netzwerkadministratoren eingesetzt werden – Werkzeuge wie die oben beschriebenen.

Der Einsatzzweck ist entscheidend.

Vergleichen wir nun erneut die eine Haustür mit einem IT-System, ließe sich folgendes ableiten:
Es muss legal sein eine Haustür aufzubrechen, damit man dem Inhaber der Wohnung zeigen kann, wie einfach es ist, seine Sicherheitsmechanismen zu überwinden.

Nun, das ist völliger Unsinn – mindestens so unsinnig wie die Aussage eines Hackers, er wollte nur aufzeigen, wie unsicher die gehackten Systeme sind.

In diesem Fall muss doch die Vorgehensweise des Hackers die strafbare Handlung darstellen und nicht die Herstellung der Werkzeuge die ihm diese Straftat ermöglichte.

Es käme ja auch niemand auf die Idee, die Fa. Zwilling aus Solingen zu bestrafen, nur weil diese Messer herstellen – damit lassen sich ganz prima Straftaten begehen - erinnern Sie sich an den Film Psycho?

Ihren Einwand, dass das Messer ja nur ein Werkzeug ist, kann ich leider nicht gelten lassen.

Sehen Sie mal in einen Frankonia Katalog (Jagdzubehör – es gibt sicher noch andere, die fallen mir nur leider im Moment nicht ein), die Messer die Sie dort finden sind sicherlich Werkezuge – sie sind auch passend benannt (Kampfmesser, Bajonett, …). Sie können dort übrigens auch Blankwaffen (Schwerter, …) kaufen.

Würden wir die Gesetze die für Hacker gelten auch hier anwenden – unsere Gefängnisse wären voll, denn (Zitat §202) … deren Zweck die Begehung einer solchen Tat (Straftat) ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft ... .

Ich bin mit dessen Bewusst, dass das o.g. Beispiel leicht übertrieben ist. Aber, jeder halbwegs gebildete Mensch weiß, dass nicht das Herstellen einer Waffe oder die Waffe selbst gefährlich ist, sondern der, der Sie in Händen hält, bzw. den Abzug betätigt.

Bei Computersoftware ist dies nichts anderes. Nicht die Software verursacht den Schaden, sondern der, der sie einsetzt und der unbedarfte Benutzer.

Ich kann Ihnen aus eigener Erfahrung sagen, dass in 6 von 10 Fällen alle Warnung und Sicherheitshinweise ignoriert werden – selbst wenn diese noch so penetrant auf dem Bildschirm aufpoppen.

Ist der Inhalt einer solchen Nachricht auch noch in Englisch gehalten, wird diese Meldung sogar in 9 von 10 Fällen einfach mit dem Klicken auf den OK Knopf bestätigt – so poppt Sie wenigsten nicht mehr auf.

Fragen Sie den Benutzer anschließend, was er denn da gerade bestätigt hat, erhalten Sie 8 von 10 mal die Antwort: „Das kommt ab und zu mal. Aber wenn man auf OK klickt, ist alles wieder in Ordnung.“

Noch besser wird es bei E-Mails. Dass man keine E-Mails mit Angeboten zu Viagra, Sex und Millionengewinnen von fremden Adressaten öffnet, hat sich mittlerweile herumgesprochen.

Aber die E-Mail vom Kollegen in der Filiale Berlin oder dem Kollegen aus dem Büro im 3 Stock – was soll da schon schlimmes drin sein. Besonders interessant wird es ja auch wenn diese noch den Betreff „Bilder vom Chef und seiner Sekretärin aus dem letzen Urlaub“ haben und auch gleich noch ein Video als MPEG beigefügt ist.

Ich kann Ihnen versichern, 8 von 10 Benutzern öffnen diese E-Mail und versuchen das MPEG File abzuspielen.

Es ist unnötig zu erwähnen, dass weder die E-Mail vom Kollegen noch das Video vom Chef und seiner Sekretärin sind. Vielleicht sollte ich erwähnen, dass sich hinter dem Video ein Rootkit versteckt hat und ein Hacker nun die Kontrolle der oben erwähnten 8 PC´s hat.

Müsste man nun nicht den Hersteller der E-Mail Programme bestrafen weil man mit diesem Mittel die oben beschriebene Straftat durchgeführt hat?

Muss man ihn nicht schon deshalb bestrafen, weil der E-Mail-Client (ihr Outlook, Pegasus Mail, …) dem Angreifer Passworte zugänglich gemacht hat (Auszug aus §202 … Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes …).

Ohne den E-Mail Client wäre das Rootkit niemals auf das System gelang und der Hacker hätte nur die Möglichkeit gehabt, sich persönlich an dem zu hackenden System anzumelden – mit all der Gefahr entdeckt zu werden. Aber Dank E-Mail…. .

Ich bin der Meinung, dass man viel mehr die User sensibilisieren und die Sicherheitssysteme der Firma auf solche Sicherheitslücken und Schwachstellen testen müsste – nur, dies wird bald nicht mehr möglich sein, da Programme und Scripts bzw. Hardware die genau dies ermöglichen unter den §202 fallen und der Einsatz somit eine Straftat darsellen würde.

Zitat aus heise Security:
Für die IT-Sicherheit sind Testangriffe zum Auffinden von Sicherheitslöchern wie Crashtests für die KFZ-Industrie.
Also man sieht, da ist einiges ungeklärt oder es wird mit vielem völlig über das Ziel hinausgeschossen. Man kann dem Gesetzgeber nur Unkenntnis der technischen Vorgehensweisen vorwerfen.

Was ich zu erwähnen vergaß:
Gibt man entsprechende Abfragen in Google ein, so wird man feststellen, dass Google ganze Datenbanken mit Passworten und Usernamen führt und auch darstellt.

Mit den richtigen Fragen kann man da schon mal an Kundendaten von Onlineshops kommen.

Hat man sich nun strafbar gemacht? Eigentlich hätte man ja zu den Daten keinen Zugang gehabt. Google wäre in diesem Fall ein illegales Tool, denn es hat mir sensitive Daten die dem Datenschutz unterliegen zugänglich gemacht ohne dass ich diese - rechtliche betrachtet - hätte sehen dürfen.

Da fällt mir noch ein, dass Paragraph 202b regelt, dass üblicherweise mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe belegt wird, wer sich oder einem anderen unbefugt unter Anwendung von Hacker-Tools nicht für ihn bestimmte Daten aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft.

Dies könnte bedeuten, dass – schalte ich meinen Laptop ein und suche nach Wireless LANs oder Hotspot´s - und gerate ich zufällig in ein ungesichertes Netzwerk (da jemand sein WLAN „T-Online“ genannt hat – was übrigens öfter vorkommt als man denkt), ich mich strafbar gemacht habe.
Denn, allein das Werkzeug zum scannen nach Netzzugängen könnte man als Hackertool bezeichnen und das Auffinden eines ungesicherten Netzes ist ein unbefugtes beschaffen von Daten.

Ist WLAN jetzt strafbar?

Ich spreche hier nicht von WAR-Driving - hierbei handelt es sich um das systematische suchen nach Wireless LANs mit Hilfe eines Fahrzeugs. Der Begriff leitet sich von Wardialing ab, einer Methode, durch Probieren vieler Telefonnummern offene Modem-Zugänge zu finden. WAR leitet sich übrigens nicht vom englischen Wort für Krieg (War) sondern von „Wireless Access Revolution“ ab.

Nochmal zurück zum Thema Hackertools. Was sind überhaupt Hackertools?

Hackertools machen nichts anderes als Informationen zu liefern, die ein Zielrechner oder Netzwerk preisgibt. Die Kunst des Hackers liegt nunmehr darin, sich aus den vielen Informationen diejenigen herauszuholen, die Ihn zum Ziel bringen.

Ein Hackertool ist kein Werkzeug wie z.B. eine Bohrmaschine die man auspackt, benutzt und wieder wegpackt.

Ein Hacker muss mitunter Unmengen an Daten sammeln und auswerten um seine nächsten Schritte vorzubereiten. Dazu gehört auch das sog. „Social Engineering“.

Das Grundmuster des „Social Engineering“ kann man mit Hilfe des folgenden Beispiels erklären:

Der Social Engineer versucht einen Mitarbeiter einer Firma davon zu überzeugen, dass er ein Problem hat (was selbstverständlich in der Realität nicht existiert) oder dass unter Umständen bald ein Problem mit seinem Computer auftreten wird.

Damit ein solcher Angriff möglichst schnell zum Erfolg führt, versucht der Angreifer zunächst sich den Jargon einer Firma anzueignen und sich möglichst viele Informationen über die „anzugreifende“ Firma und deren interne Struktur zu besorgen (wer ist wofür zuständig, …).

Aus öffentlich zugänglichen Quellen und/oder aus vorangegangenen Telefonaten hat er kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation – seinem eigentlichen Angriff - helfen.
Ausgestattet mit diesem Wissen ruft er sein Opfer (Mitarbeiter dieses Unternehmens) an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen oder um einem drohenden Risiko (z.B. Datenverlust, …) vorzubeugen.
In seiner nun folgenden Erklärung verwirrt der Angreifer sein technisch ungebildetes Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, den Vorgesetzten stören zu müssen.
Unter Umständen hat der Mitarbeiter sogar tatsächlich technische Hilfe angefordert und erwartet bereits einen derartigen Anruf.

Zu Hilfe kommt dem Angreifer eine ganz unerwartete Stelle – „die Natur des Menschen“. Zur Natur des Menschen gehört es, anderen zu vertrauen. Insbesondere dann wenn für ihr handeln eine vernünftige Begründung vorliegt und wenn jemand die gleichen Interna kennt wie man selbst.
Sie können sich sicher selbst vorstellen wie es nun weitergeht. Hat der Hacker erst einmal entsprechende Zugangsdaten, kann er sich in aller Ruhe überlegen wie und mit welchen Mitteln er weiter vorgeht.

Zählt das Telefon jetzt zu den Hackertools weil man sich damit Informationen unter Umgehung von Sicherheitsmechanismen beschaffen kann?

Auch hier zählt wieder – nicht das Werkzeug sondern der der es benutzt ist gefährlich. Lediglich bei Software sieht man dies völlig anders.

In einem Forum von „heise Security“ kann man folgendes lesen:
http://www.heise.de/security/news/meldung/78646

"Der IT-Sicherheitsbranche werden dringend benötigte Werkzeuge zur Aufdeckung von Schwachstellen aus der Hand geschlagen", kommentiert CCC-Sprecher Andy Müller-Maguhn den Regierungsentwurf. Er wirft dem Gesetzgeber Unkenntnis der technischen Vorgehensweisen vor. Für die IT-Sicherheit seien Testangriffe zum Auffinden von Sicherheitslöchern wie Crashtests für die Autoindustrie. Niemand käme auf die Idee, diese zu verbieten.
Hingegen werde das illegale Abschöpfen und Weitergeben sowie das unkontrollierte Verknüpfen von Daten derzeit als Kavaliersdelikt behandelt, moniert der CCC. Davon werde aber der Bürger im Alltag immer mehr betroffen. Deshalb müsse das Bundesdatenschutzgesetz mit einem harten Strafkatalog für Datenverbrechen versehen werden. Auch seien weitgehende Schadenersatzansprüche der Geschädigten gegen Firmen erforderlich, die ihre persönliche Daten ungenehmigt weitergeben oder unsicher verarbeiten und lagern.