Hackerparagraph Datensicherung verboten?

Seit der so genannte Hacker-Paragraf 202c StGB gilt, herrscht Unsicherheit in der Sicherheitsbranche: Macht sich nun strafbar, wer an der Verbesserung der Sicherheit von IT-Systemen arbeitet? Die IT-Branche fürchtet Behinderungen ihrer Arbeit.

Frankfurt am Main - Seit einem Monat gilt der sogenannte Hackerparagraf: Dieser Zusatz zum Strafgesetzbuch verbietet es, sich Computerprogramme zu beschaffen, selbst herzustellen oder zu verbreiten, mit denen man in fremde Computernetze eindringen kann. Ein Verfahren wegen Paragraf 202c StGB gibt es bislang offenbar nicht. Gleichwohl ist die Sicherheitsbranche zutiefst verunsichert.

"Dieser Hacker-Paragraf wird auf jeden Fall die Tätigkeit von Security-Unternehmen einschränken", sagt Dirk Hochstrate, der im Vorstand des Bochumer Unternehmens G Data für die Software-Entwicklung zuständig ist. "Wir finden, dass der Ansatz des Paragrafen falsch ist, weil er sich auf die Kriminalitätswerkzeuge konzentriert statt auf die kriminellen Taten." Dies sei so, als würde man den Besitz und die Herstellung von Stahl verbieten, weil man daraus Schwerter herstellen könne.

Der aufgrund eines Rahmenbeschlusses der EU vom Februar 2005 eingeführte StGB-Zusatz richtet sich vor allem gegen sogenannte Hackertools, mit denen man Sicherheitslücken ausnutzen kann, um in fremde Rechner einzudringen. Eben diese Programme werden aber auch dazu verwendet, um ein Computernetz auf solche Sicherheitslücken zu überprüfen und diese dann zu schließen.

Einen solchen Scanner von Sicherheitslücken mit der Bezeichnung BOSS bietet auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) an. Die Behörde weist aber darauf hin, dass sich das Gesetz allein gegen das "unbefugte" Eindringen in fremde Netze richte. "Wo eine Einwilligung dessen vorliegt, bei dem Daten untersucht werden, etwa im Rahmen einer IT-Sicherheitsberatung, erfolgt der Datenzugang mit einer entsprechenden Befugnis", erklärt BSI-Sprecherin Katrin Alberts. "Eine Strafbarkeit scheidet in solchen Fällen aus."

Justizministerium: Alles halb so wild

Auch das Justizministerium in Berlin hält den Wortlaut des Gesetzes für eindeutig. "Das Gesetz betrifft nur denjenigen, der wirklich eine Computerstraftat vorbereitet", sagt der Sprecher des Ministeriums, Henning Plöger. "Wer sich um die Sicherheit eines eigenen Systems oder eines fremden Systems in dessen Auftrag kümmert, muss sich keine Sorgen machen." Die Free Software Foundation Europe (FSFE) kritisiert jedoch, dass der Gesetzgeber ohne Not eine Unsicherheit geschaffen habe, wann ein Werkzeug erlaubt sei. "Damit laufen wir Gefahr, weitere Kompetenzen und kreative Menschen zu verlieren, welche wir in unserem Land dringend brauchen", erklärt der FSFE-Sicherheitsexperte Bernhard Reiter.

G Data fürchtet nach den Worten von Vorstandsmitglied Hochstrate zwar nicht, rechtlich belangt zu werden, sieht aber dennoch die eigene Geschäftstätigkeit betroffen. "Das ist genau wie in der Medizin", sagte Hochstrate. "Wir müssen die Viren besitzen, um sie bekämpfen zu können." Und manche Viren ermöglichten eben auch das Eindringen in fremde Rechner. Der Paragraf benachteilige die deutschen Anbieter von Sicherheitssoftware gegenüber den Konkurrenten aus dem Ausland und gefährde damit die technologische Führungsrolle des Standorts Deutschland in der Branche. Betroffen sei auch die Forschung in den Universitäten.

Professor Johannes Buchmann vom Darmstädter Zentrum für IT-Sicherheit will sein Forschungs- und Lehrprogramm aufgrund des Hacker-Paragrafen nicht umstellen. "Darauf lassen wir es ankommen", sagte Buchmann. An der TU Darmstadt sei nachgewiesen worden, wie leicht sich der WEP-Standard für die Verschlüsselung von drahtlosen Netzen knacken lasse. Dies müsse auch künftig legal bleiben. Trotz der Zusicherung des Justizministeriums lasse der Wortlaut des Gesetzes unterschiedliche Interpretationen zu. "Die Sicherheitstechnik ist nie hundertprozentig sicher. Sie lebt davon, dass wir sie überprüfen", erklärte Buchmann und fügte hinzu: "Wenn wir das nicht machen, werden es die Bösen tun."

Peter Zschunke, AP