Ein umstrittenes Gesetz und seine Auswirkungen
1 Jahr Hackerparagraph
Hackerparagraph: Gut gemeint und hoch gefährlich?
Eigentlich meint es der Gesetzgeber gut und will mit dem Hackerparagraphen (§ 202c StGB: Vorbereiten des Ausspähens und Abfangens von Daten) unter anderem den Schutz von Computer-Systemen vor Virenschreibern oder Hackern verbessern.
Seit die Novelle am 11. August 2007 ins Strafgesetzbuch aufgenommen wurde, stehen Herstellung, Beschaffung und Verbreitung von Computerprogrammen unter Strafe, deren Zweck die Begehung einer Straftat nach § 202a und § 202b StGB ist. Das “Strafrechtsänderungsgesetz zur Bekämpfung von Computerkriminalität” musste allerdings von Anfang an massive Kritik von Unternehmen, Fachleuten und Datenschützern einstecken.
Der Hackerparagraph, so deren einhellige Meinung, würde die Arbeit von Sicherheitsexperten erheblich beeinträchtigen, sie mit Cyberkriminellen auf eine Stufe stellen und letztlich den IT-Standort Deutschland wirtschaftlich unattraktiv machen. Hinzu kommt, dass der Gesetzestext sehr schwammig formuliert ist und viel Raum für Spekulationen lässt.
Umstritten: Der als Hackerparagraph bekannte §202c des Strafgesetzbuchs (wichtigste Wortlaute bei Klick aufs Bild).
Einsatzzweck bestimmt rechtlichen Status
Für Sicherheitsexperten wie Lutz Neugebauer, Bereichsleiter Sicherheit beim Bundesverband Informationswirtschaft Telekommunikation und neue Medien (Bitkom), ist es letztlich entscheidend, wer mit den Hackertools hantiert und spricht daher von einer Dual-Use-Problematik. Denn einerseits werden Tools wie Passwort-Knacker oder Portscanner für Hackerangriffe verwendet, andererseits nutzen die Tools aber auch Administratoren, Sicherheitsforscher und Qualitätsprüfer, um IT-Systeme sicherer zu machen.
“Man sieht einem Computerprogramm leider nicht an, ob sein Zweck die Begehung einer Straftat ist”, erklärt Neugebauer. Allerdings muss die Staatsanwaltschaft schon beim Verdacht einer Straftat nach § 202c StGB ermitteln.
Doch erste Anzeigen sind im Sande verlaufen und spektakuläre Urteile sind bislang ebenfalls ausgeblieben. Was bleibt ist Unsicherheit, vor allem bei den Sicherheits-Verantwortlichen in Unternehmen.
Cracker-Hilfsmittel: Auf der vom Bundesamt für Sicherheit in der Informationstechnik angebotenen Security-CD stecken Tools zum Passwort-Knacken.
Auch der Gesetzgeber bewegt sich in unsicherem Terrain
Sogar der Gesetzgeber bewegt sich in Sachen Hackerparagraph auf unsicherem Terrain. Auf einer vom Bundesamt für Sicherheit in der Informationstechnik angebotenen Security-CD stecken Tools zum Passwort-Knacken.
Harmonieren CD-Programme wie “John the Ripper” und § 202c StGB also miteinander oder liegen sie grundsätzlich auf Konfrontationskurs? Um zu beurteilen, ob das Hantieren mit einer bestimmten Software nach dem Hackerparagraphen strafbar ist, sollten Unternehmen mehrere Faktoren berücksichtigen, rät der Bitkom in seinem Leitfaden. Im Blickpunkt sollten dabei insbesondere die Funktionen der Tools stehen.
Experte Neugebauer schlägt deshalb vor, am Anfang genau zu prüfen, was genau sich mit der Software anstellen lässt.
Schritt 1: Kritische und unkritische Tools erkennen
Die angebotenen Funktionen lassen sich laut Bitkom in zwei Kategorien einteilen, “kritisch” und “unkritisch”. Erstere Funktionen eignen sich dabei zum Begehen einer Straftat, unkritische dagegen nicht.
Beispiel: Das Öffnen einer Kommandozeile auf einem entfernten Rechner kann man als kritisch einstufen, eine Funktion zur Software-Analyse, wie es etwa Hex-Editoren erlauben, ist dagegen unkritisch.
Wichtig: Kritisch sind alle Funktionen, wenn Sie auf PCs ohne Wissen und Zustimmung des legitimen Nutzers ausgeführt werden. So ist etwa das Knacken eines Passworts auf dem Rechner eines Bürokollegen ohne dessen Wissen ein kritischer Vorgang. Entsperrt ein Admin aber mit dem gleichen Programm den PC eines Mitarbeiters, weil der das Passwort vergessen hat, so ist dieser Vorgang unkritisch. Im Bitkom-Leitfaden finden Anwender dazu eine ausführliche Tabelle mit den passenden Einstufungen.
Schritt 2: Einsatzzweck festlegen
Unternehmen, die in Schritt 1 kritische Funktionen in ihren Analysetools ausfindig gemacht haben, sollten diese anschließend nach dem primären Einsatzzweck analysieren. Auch hier hilft eine kleine Tabelle weiter, um kritische von unkritischen Szenarien zu unterscheiden:
| Einsatzzweck | Einstufung |
| Verwendung von regulär angebotenen Internetapplikationen (z.B. Browser, E-Mail) | Unkritisch |
| Technische Qualitätssicherung | Unkritisch |
| Administration von Netzen und IT-Systemen (Installation, Betrieb, Wartung) | Unkritisch |
| Sicherheitsadministration | Kritisch |
| Sicherheitstests (Penetrationstest, Entschlüsselung, IT-Forensik, …) | Kritisch |
| Sicherheitsforschung (Wirkung von Schadsoftware, …) | Kritisch |
Quelle: Bitkom
Eine Software mit kritischen Funktionen, deren Einsatzzweck ebenfalls kritisch zu sehen ist, muss jetzt noch in einem dritten Schritt geprüft werden, welche Intention der Nutzer verfolgt. Wird die Software wirklich für die Vorbereitung einer Straftat genutzt oder nicht? So handeln etwa Sicherheitsfirmen nicht strafbar, wenn sie von einer Firma den Auftrag erhalten zu prüfen, ob die Unternehmensnetzwerke auch Hackerangriffen standhalten.
Profis: Dienstleister wie die Syss GmbH aus Tübingen bieten professionelle Sicherheitstests an und arbeiten täglich mit Hacker-Tools.
Software-Tools im Überblick
Die eher akademische Unterteilung in kritische und unkritische Tools lässt sich etwas mehr Richtung Realität rücken, wenn man sie anhand konkreter Programme beleuchtet.
Dazu zählen zum Beispiel Portscanner und Software-Analyse-Werkzeuge. Gerade ersteres Tool ist eine unbestritten praktische Software – Admins untersuchen damit, welche offenen und nicht benötigten Kommunikationskanäle es auf ihren IT-Systemen gibt und können so mögliche Datenlecks abdichten.
Über Ports laufen Dienste ab, die beispielsweise für die Kommunikation mit Webservern (Port 80) oder FTP-Servern (Port 21) benötigt werden. Vulnerability Scanner gehen noch einen Schritt weiter und prüfen zusätzlich, ob sich über einen offenen Port Schwachstellen auf dem Zielsystem ausnutzen lassen.
Natürlich können auch Hacker von beiden Tools profitieren, indem sie potenzielle Sicherheitslücken ausfindig machen und ins System einfallen. Dennoch bewertet die Bitkom-Studie zum Hackerparagraphen den Einsatz von Portscannern wie Nmap und Vulnerability Scanner wie Nessus in einem Unternehmen als unkritisch, weil sie in erster Linie der Verbesserung der Sicherheit dienen.
Gesetzeskonform: Vulnerability Scanner wie Nessus.
Ebenfalls unkritisch: Software-Analyse-Werzeuge
Auch mit Software-Analyse-Werkzeugen wie Fuzzern, Disassemblern und Debuggern bewegen sich Admins auf rechtlich sicherem Terrain. Mit diesen Programmen spüren IT-Profis Schwachstellen in Anwendungen auf und tragen somit ebenso wie bei bei Portscannern und Vulnerability-Scannern dazu bei, Sicherheitslücken zu schließen.
Im Gegensatz zu Scannern und Software-Analyse-Werkzeugen stufen die Bitkom-Experten Zero-Day-Exploits dagegen als kritisch ein. Damit lassen sich zum einen Sicherheitslücken in Programmen ausnutzen, die deren Hersteller noch nicht bekannt sind. Zum anderen kommt noch erschwerend hinzu, dass letztere nichts über das Datenleck erfahren und damit keine Möglichkeit erhalten, ihre Software zu verbessern. Der Einsatzzweck dieser Tools lässt also grundsätzlich darauf schließen, dass ihr Anwender eine Straftat damit plant.
Gesetzeskonforme Sicherheitstests
Damit der Hackerparagraph nicht greift, sollten Firmen jede Phase ihrer IT-Sicherheitschecks sorgfältig planen und umfassend dokumentieren. Am Anfang muss dabei immer ein offizieller Auftrag der Geschäftsleitung oder des Managements stehen. Deren Arbeitsanweisung sollte unmissverständlich eine fachlich für diese Aufgabe geeignete Personengruppe bestimmen, die sämtliche Tests durchführen und die dazu benötigten Software-Werkzeuge einsetzen soll.
Außerdem empfiehlt es sich, alle Tools, Scan-Policies und Lizenzen genau festzulegen und von einer dafür verantwortlichen Firmenabteilung verwalten zu lassen. Damit verhindern Unternehmen, dass unautorisierte Tools versehentlich zum Einsatz kommen.
Gesetzeskonform: Firmen sollten die Sicherheitstests eines IT-Systems genau dokumentieren.
Wichtig: Transparente Tests
Kein Test ohne Zustimmung des Systemeigners: Sind Firmen für interne oder externe Kunden tätig, müssen sie sich dessen Genehmigung vor Teststart schriftlich einholen. Darin sollte der Test möglichst ausführlich beschrieben werden, also beispielsweise Angaben zu IT-Systemen, beteiligten Mitarbeitern und verwendete Software. Während der Sicherheitsüberprüfung sollten Firmen die einzelnen Tests genau dokumentieren und die Testsysteme keinen unbefugten Personen zugänglich machen. Führt ein Mitarbeiter einen Sicherheitstest von einem privaten Zugang aus durch, muss das ebenfalls in der Dokumentation auftauchen. Generell gilt: Alle Informationen, die im Zusammenhang mit dem Test unter den Beteiligten kursieren, unterliegen der Geheimhaltungspflicht. Dabei müssen Firmen bei den Tests auch gesetzliche Bestimmungen wie das Bundesdatenschutzgesetz, das Fernmeldegeheimnis oder das Telekommunikationsgesetz beachten.
Unternehmen sollten den Sicherheitstest sofort abbrechen, wenn die Beteiligten dabei versehentlich in ein Netz oder in ein System eines Dritten eindringen und diesen unverzüglich informieren. Hier ist zudem wichtig, die Methoden zu nennen, mit denen der Schaden anschließend behoben wurde. Außerdem sollte dokumentiert werden, warum die am Test beteiligten Mitarbeiter davon ausgingen, mit ihrer Methode keinen Dritten zu schädigen.
Auswirkungen des Hackerparagraphen
Befragt man Sicherheitsexperten und Rechtsanwälte ein Jahr später nach der aktuellen Lage, zeigt sich, dass die einhellig befürchteten Einschränkungen für Administratoren in der Praxis nicht aufgetreten sind. Ganz im Gegenteil: “In der Praxis passiert Gott sei Dank kaum etwas”, sagt Bernd Harder, Anwalt mit Tätigkeitsschwerpunkt im IT-Bereich.
Und in der Tat gibt es keine spannenden Urteile, es sei denn der Hackerparagraph kommt als Zusatzoption ins Spiel. Beispielweise hatten erst kürzlich elf Gymnasiasten mit Hackertools die Daten von Privatleuten, Firmen und Behörden ausspioniert und weiterverkauft. Die Anklage konnte deshalb mit dem Hackerparagraph § 202c begründet werden.
Bei Firmen sehen die Behörden dagegen kaum Handlungsbedarf: “Es hat sich wohl bei den Ermittlungsbehörden bereits herumgesprochen, dass es die Dual-Use-Problematik gibt”, sagt Harder. Der Rechtsanwalt wäre an dieser Stelle für klarer formulierte Gesetze und rät: “IT-Administratoren sollten sich an den Bitkom-Leitfaden halten”.