Ausgabe 01/2007 - Was Unternehmern nützt

DAS TROTZKOPF-PRINZIP

- Was täten Sie, wenn Sie einen Vorschlag machten, und alle, aber auch wirklich alle, die sich mit dem Thema auskennen, sagten Ihnen, dass es so nicht geht? Erst mal auf stur schalten und versuchen, den Ärger auszusitzen? Das wäre nur menschlich. Aber dann dächten Sie bestimmt noch mal nach - und änderten Ihre Meinung, wenn sich herausstellte: Das geht so wirklich nicht.

Nicht so das Bundesjustizministerium. Dort bleibt man lieber trotzig, auch wenn als Folge eine ganze Branche kriminalisiert wird. "Wenn das Gesetz so durchgeht, kommt das für mich einem Berufsverbot gleich", sagt Felix Lindner zum Plan der Bundesregierung, den Paragrafen 202 des Strafgesetzbuches zu ändern und zu erweitern. Der Berliner Berater für IT-Sicherheit hat sich den Entwurf genau angesehen. Wer eine Straftat vorbereitet, heißt es dort, indem er "Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft".

Völlig unsinnig sei diese Formulierung, sagt Lindner, denn sie bedeute, dass man all die Instrumente, die man einsetzt, um Systeme auf ihre Sicherheit zu testen, nicht mehr besitzen oder selbst programmieren darf, ohne sich strafbar zu machen. Denn es komme nicht darauf an, mit welchem Ziel jemand diese Hacker-Tools, wie die Branche derartige Software nennt, verwendet. Allein der Besitz ist strafbar. Hacker-Tools können zahlreiche Programme sein, die jeder Nutzer auf dem PC verwendet - vom Internet Explorer bis zur Firewall.

Deshalb ging ein Aufschrei durch die Branche, als der Gesetzesentwurf veröffentlicht wurde. "Das ist ein kurzes Gesetz", sagt Volker Kitz, beim Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) zuständig für Telekommunikations- und Medienpolitik, "aber ich habe selten eine so große Beunruhigung bei unseren Mitgliedsunternehmen gespürt." Das sind fast alle, die in der Branche Rang und Namen haben. Also hat der Verband der Regierung nahegelegt, doch bitte im Gesetz zu verankern, dass der Besitz oder Einsatz solcher Werkzeuge nur dann strafbar sein soll, wenn auch beabsichtigt ist, damit Schaden anzurichten.

In seltener Einigkeit fordern der Chaos Computer Club, der Verband der deutschen Internetwirtschaft und der Verein zur Förderung der Vertrauenswürdigkeit von Informations- und Kommunikationstechnik im Grunde das Gleiche. Wenn der Entwurf nicht geändert werde, so sagen sie, hätten alle, die sich mit Computersicherheit beschäftigen, ein ernstes Problem.

Denn es liegt in der Natur der Sache, dass man die Sicherheit von Computersystemen nur überprüfen kann, wenn man sie angreift. Das funktioniert in der Praxis zum Beispiel so, dass eine Firma den Auftrag bekommt zu überprüfen, ob es bei einem Webserver Lücken gibt, durch die Angreifer ins System eindringen könnten. Dazu setzt sie Programme ein, die genau das tun, was auch die Programme von echten Angreifern täten. Und damit würden sie sich künftig strafbar machen.

Nein, kontert Ulf Gerder, Sprecher des Bundesjustizministeriums. Denn in der Begründung des Gesetzesentwurfes steht, dass es auf den Vorsatz ankommt, mit einem Hacker-Tool eine Straftat begehen zu wollen. "Im Interesse, das Strafgesetzbuch schlank zu formulieren, wurde das nicht ins Gesetz aufgenommen, sondern in die Begründung", sagt Gerder.

Wie einen feuersicheren Safe bauen, wenn Flammenwerfer-Tests verboten sind?

Volker Kitz vom Bitkom sind schlanke Gesetze grundsätzlich sympathisch. Doch "was nicht explizit im Gesetz, sondern nur in der Begründung steht, kann einem heillos überlasteten Strafrichter leicht durchgehen. Der betreibt keine lange Quellenforschung, sondern schaut aufs Gesetz und sagt: Dieses im Prinzip legitime Vorgehen fällt auch darunter."

Nicht nur das, sagt Marco Gercke, Sprecher des Fachausschusses Strafrecht der Deutschen Gesellschaft für Recht und Informatik. "Der gesamte Entwurf erstaunt", sagt der Experte für Medienstrafrecht. "Wenn man sich die Literatur anschaut, die zur Begründung dient, dann stellt man fest, dass sie Mitte der neunziger Jahre aufhört. Viele der Probleme, die jetzt auf dem Tisch liegen, hätte man schon im Vorfeld sehen können, als der Entwurf entwickelt und begründet wurde." Nun werde der Selbstschutz der Unternehmen ausgehebelt, ohne dass der Gesetzgeber die Firmen schützen könne. "Hacker-Tools wird es weiter geben", sagt Gercke, denn diejenigen, die sie unerlaubt benutzen wollen, können sie sich jederzeit über das Internet besorgen.

In die Röhre schauen diejenigen, die sie für Forschung und Entwicklung einsetzen wollen, befürchtet Paul Frießem, vom Fraunhofer-Institut für Sichere Informationstechnologie in Sankt Augustin. "Unsere Studenten und Wissenschaftler schauen sich diese Werkzeuge an, um zu überprüfen, was man mit ihnen machen kann. Wenn ich mir Sicherheitsvorkehrungen ausdenke, die ich nicht überprüfen kann, habe ich ein Problem." Das sei ungefähr so, wie zu sagen, man solle einen feuersicheren Safe bauen, aber darf dann keinen Flammenwerfer verwenden, um ihn zu testen, weil der zu gefährlich und daher verboten sei.

Betroffen wären auch Vorzeige-Unternehmen wie die Essener Secunet Security Network AG mit mehr als 220 Mitarbeitern. Für das Auswärtige Amt hat die Firma das System entwickelt, mit der deutsche Botschaften im Ausland verschlüsselt mit der Berliner Zentrale kommunizieren können. Gerade derartige Anwendungen müssen auf alle erdenklichen Sicherheitslücken getestet werden. Der Unternehmenssprecher Kay Rathke findet die Diskussion, die um den Paragrafen 202 entbrannt ist, zwar sinnvoll und berechtigt, hofft aber, dass das "Gesetzgebungsverfahren so vernünftig ablaufen wird, dass man mit dem Ergebnis arbeiten kann". Er könne sich etwa vorstellen, dass es für Unternehmen wie Secunet Ausnahmegenehmigungen geben wird, die es ihnen erlauben, die Werkzeuge einzusetzen. "Das wäre dann wie bei den Betäubungsmitteln, die man zwar privat nicht besitzen darf, die aber zugelassene Ärzte eben doch in bestimmten Fällen einsetzen dürfen."

Der Fraunhofer-Forscher Frießem ist skeptischer. Derartige Ausnahmegenehmigungen seien in der Praxis nicht handhabbar: "Es geht um Werkzeuge, die der Netzwerkadministrator in jedem Unternehmen verwendet - denen kann man nicht allen eine Ausnahmegenehmigung geben." Genau, sagt auch Rolf vom Stein, Leiter der Abteilung Technische Sicherheit bei der TÜV Secure IT GmbH in Köln, einem der großen IT-Dienstleister, die in Deutschland Firmen wie die Bundesdruckerei nach internationalen Standards überprüfen und zertifizieren. "Vielleicht hätten wir als TÜV mit unserem Ruf eine gute Chance, eine Ausnahmegenehmigung zu bekommen. Aber wir empfehlen den Unternehmen sogar, ständig Sicherheits-Checks durch ihre eigenen IT-Leute machen zu lassen die brauchten dann alle eine solche Ausnahmegenehmigung."

Überhaupt findet vom Stein kein gutes Wort für die Pläne des Bundesjustizministeriums: "Wenn der Entwurf so durchgeht, dann muss jeder meiner Techniker von drei Rechtsanwälten begleitet werden, die dafür sorgen, dass er nicht in Schwierigkeiten gerät." Er hat den Eindruck, dass sich die Bundesregierung von Experten beraten lasse, "die von dem Feld nur eine oberflächliche Ahnung haben". Das sei besonders ärgerlich, weil in der IT-Sicherheit in den vergangenen Jahren viel erreicht worden sei. "Früher hatten wir große Akzeptanzprobleme", erinnert sich vom Stein, "aber inzwischen kommen Banken mit fünf oder sechs Millionen Kunden zu uns, um ihre Systeme überprüfen zu lassen mit diesem Gesetz würde das ganze Geschäft ad absurdum geführt." Das hätte auch zur Folge, dass der gesamten Volkswirtschaft Schäden durch unsichere Computersysteme entstünden.

Dass "die gesamte Sicherheitsszene pauschal kriminalisiert wird", befürchtet auch Frank Rosengart vom Chaos Computer Club. "Es ist unmöglich, abzugrenzen, um welche Programme es hier geht; im Grunde fallen sämtliche Bordmittel von Linux oder Windows unter diese Definition", beschreibt Rosengart den Stand der Technik: "Selbst Outlook, denn das kann genutzt werden, um Viren zu verbreiten."

Vor allem kleine Firmen und Freiberufler träfe das Gesetz hart, weil sie kaum von einem Tag auf den anderen etwas völlig anderes machen könnten, sagt IT-Berater Felix Lindner. Er habe sogar schon überlegt, den Unternehmensteil, der sich mit derartigen Überprüfungen beschäftigt, ins Ausland zu verlegen, wo andere Regelungen gelten. "Aber das nützt nichts", denn gerade kritische Systeme in Unternehmen seien nicht über das Internet erreichbar, weil sie nach außen abgeschottet sein müssen. "Wenn ich die überprüfen will, mache ich das mit dem Laptop in der entsprechenden Firma" - also dort, wo deutsches Recht und Gesetz gelten.

Bisher haben Firmen Sicherheits-Checks versäumt, künftig dürfen sie nicht mehr

Gerade deutsche Firmen in der Sicherheitsbranche haben einen Ruf zu verteidigen. So hat Microsoft sein neues Betriebssystem im Sommer von neun Unternehmen auf Lücken testen lassen. Fünf von ihnen kommen aus den USA, eines aus England, eines aus Indien und zwei aus Deutschland. Eines davon ist die Berliner Firma Code Blau. Ihr Gründer Felix von Leitner sagt, dass er sich zwar überlegen müsste, wie er weitermacht, wenn das Gesetz so durchgeht wie angekündigt. Aber die wirtschaftliche Situation sei nicht das größte Problem: "Wir machen auch sogenannte Quellcode-Audits, das heißt, wir analysieren den Programmcode", so von Leitner. "Das könnten wir weiterhin tun, und programmieren können wir auch."

Viel wichtiger sei, dass durch das Gesetz den Kunden das "einzige Schwert, das sie haben, um auf die Anbieter von Software Einfluss zu nehmen, aus der Hand geschlagen wird", so von Leitner - nämlich selbst zu überprüfen, ob deren Systeme sicher seien. "Die ganze Hacker-Kultur hat sich entwickelt, weil Firmen ihre Sicherheitslücken nicht schließen." Der Weltkonzern Oracle etwa veröffentliche nur alle drei Monate neue Updates für seine Software, manche bekannten Schwachstellen seien seit Jahren nicht beseitigt. Darüber hinaus gebe es genug Anwendungen, bei denen alle ein Recht darauf hätten zu erfahren, ob sie sicher seien. "Die neuesten Reisepässe haben Smart Cards, und ich kann nicht herausfinden, ob die sicher sind, wenn ich keine Hacker-Tools verwenden darf", sagt von Leitner.

"Beim Paragrafen 202 ist einfach keine Rechtssicherheit gegeben", ist auch der Jurist Gercke überzeugt. Das Gesetz müsse so ergänzt werden, dass der legitime Einsatz derartiger Programme explizit erlaubt wird. "Aber in letzter Zeit", fasst Gercke seinen Eindruck von diesem und anderen Gesetzgebungsverfahren zusammen, "zeigt sich der Gesetzgeber oft beratungsresistent, bisweilen sogar arrogant."

Und bei den Hacker-Tools? Nachdem auch der Bundesrat die Kritik der Interessenverbände, Unternehmen, Hacker und Forscher in den wichtigen Punkten übernommen und den Gesetzgeber aufgefordert hatte, den Entwurf zu ändern, veröffentlichte das Justizministerium Anfang Dezember seine Erwiderung. Darin heißt es: "Die Befürchtung, dass auch der gutwillige Umgang mit Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen von § 202c StGB-E erfasst werden könnte, ist nicht begründet." -

Mehr aus diesem Heft

Selbstständigkeit

Einsame Klasse

Selbstständige sind die Grundlage alles Unternehmerischen, der Motor der Ökonomie. Anderswo. In Deutschland sind sie Bürger zweiter Klasse, die von einem verbiesterten System zu Außenseitern gemacht werden. Dabei steht immer öfter Willkür vor Recht.

Lesen

Selbstständigkeit

Fürsorgliche Entmündigung

In Deutschland soll niemand gegen seinen Willen seine Selbstständigkeit verlieren. So steht es im Gesetz. Die Wirklichkeit sieht anders aus.

Lesen

Idea
Read