VERFASSUNGSMÄßIGKEIT DES 202C STGB
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
ZUR DISKUSSION GESTELLT / SICHERHEIT VON IT-SYSTEMEN }
Verfassungsmäßigkeit
des § 202c StGB
Stellungnahme der Gesellschaft für Informatik e.V. (GI) zur Strafbarkeit
der Prüfung des Sicherheitsniveaus von IT-Systemen
Hartmut Pohl
Gemäß dem 2007
in Kraft getretenen Dagegen hat der Ge-
§ 202c StGB wird mit Zweck von Software
schäftsführer eines Frage: Inwieweit lässt sich aus informationstechni-
Freiheitsstrafe bis zu Sicherheitsbera- scher Sicht definieren, welchen ,,Zweck“ eine Software
einem Jahr oder mit tungsunternehmens verfolgt? Lassen sich hierfür objektive Kriterien in der
Geldstrafe bestraft, beim Bundesver- Beschaffenheit des jeweiligen Programms angeben
,,Wer eine Straftat fassungsgericht oder erfordert dies notwendig oder typischerweise
nach § 202a oder Verfassungsbeschwerde einen Rückgriff auf außerhalb des Programms lie-
§ 202b (Ausspähen und eingelegt wg. Unver- gende Umstände?
Abfangen von Daten) einbarkeit mit Art. 12
vorbereitet, indem er ... Abs. 1 GG (Freiheit der Zu Beginn werden die Eigenarten von Software und
Computerprogramme, Berufsausübung). Der ihre Entwicklung erläutert, um den ,,Zweck“ von
deren Zweck die Beschwerdeführer führt Software darzustellen.
Begehung einer solchen aus, auf Wunsch seiner
Tat ist, herstellt, sich Kunden Penetrations- Zum Begriff Software
oder einem anderen tests in möglichst allen Der Begriff ,,Software“ kennzeichnet Programme
verschafft, verkauft, Systembestandteilen für IT-Systeme und wird synonym mit dem Begriff
einem anderen über- und Anwendungen ,,Programm“ benutzt. Aktivitäten von Computern
lässt, verbreitet oder eines Netzwerkssystems werden grundsätzlich durch Programme gesteuert;
sonst zugänglich durchzuführen. Durch Programme stellen eine Folge von Befehlen (Code)
macht ...“. die Strafbarkeit der in dar, die von einem Computer ausgeführt (bearbeitet)
§ 202c bezeichneten werden (sollen). Der Zweck von Software ist daher
Handlungen sieht er seine wirtschaftliche Existenz die Steuerung von Computern.
in Frage gestellt. Software Engineering bezeichnet den Prozess
Die Gesellschaft für Informatik e.V. (GI) sieht der Softwareerstellung und meint die zielorientierte
weitergehende Folgen für den Bereich Datenschutz Bereitstellung und systematische Verwendung von
und generell für die Forschung, Entwicklung Prinzipien, Methoden und Werkzeugen für die
und Lehre sowie auch Auswirkungen auf die arbeitsteilige, ingenieurmäßige Entwicklung und
Praxis. Anwendung von umfangreichen Softwaresystemen.
Im Folgenden wird entsprechend der im Schrei-
ben vom 17. April 2008 formulierten Anregung DOI 10.1007/s00287-008-0277-6
© Springer-Verlag 2008
des Bundesverfassungsgerichts aus der Sicht der
Prof. Dr. Hartmut Pohl
Gesellschaft für Informatik e.V. (GI) zu den ge- Informationssicherheit, Fachbereich Informatik,
stellten Fragen Stellung genommen. Im Anhang 2 Fachhochschule Bonn-Rhein-Sieg,
Sprecher des Präsidiumsarbeitskreises ,,Datenschutz und
wird ein einfacher Änderungsvorschlag zu § 202c IT-Sicherheit“ der Gesellschaft für Informatik e.V. (GI),
Grantham-Allee 20, 53757 Sankt Augustin
vorgelegt. E-Mail: Hartmut.Pohl@sang.net{ SICHERHEIT VON IT-SYSTEMEN
Funktionen, Eigenschaften und Wirkungen der Datenverarbeitung, Benutzerfreundlichkeit (z.B.
sowie Zweck von Software leichte Benutzbarkeit ohne weitere Ausbildung),
großer Speicherbedarf oder unsicherer Betrieb
Funktionen. Das grundsätzliche Verfahrenser- (bricht bei der Eingabe unerwarteter Zeichen ab).
gebnis der Ausführung eines Programms (seiner Ein Programm wirkt sich – entsprechend sei-
Befehle) wird als Funktion bezeichnet. Im Rah- nen Eigenschaften und Funktionen – auf seine
men des Software Engineering werden bei der Umgebung aus und kann z.B. Dateien des Betriebs-
Erstellung eines Programms regelmäßig die Soll- systems ändern, Ressourcen wie Speicher- und
Funktionen (Requirements) formuliert. Danach Prozessorkapazität konsumieren.
wird ein Design (Entwurf) erstellt, das Design in
Befehle umgesetzt (Implementierung) und das Dual-Use Programme. Soweit bekannt, kön-
Programm (Gesamtmenge der Befehle) hinsichtlich nen alle Angriffsprogramme (,,Malware“)
seiner Funktionsfähigkeit und Korrektheit über- sowohl für schlechte als auch für gute Zwecke
prüft; danach wird das Programm freigegeben und (Informationssicherheits-Prüfprogramme) genutzt
an die Nutzer verteilt. werden.
Da weder die Soll-Funktionen insbesondere
1. Beispiel So benutzen Angreifer Passwort-Crack-
umfangreicher Programme oder Programm-
programme, um Passworte auszuspähen.
kombinationen (wie häufig ,,Malware“) unter
Für Sicherheitsbeauftragte in Unter-
Sicherheitsaspekten vollständig korrekt erstellt
nehmen und Behörden ist dasselbe
werden können, noch das Programm-Design exakt
Programm unverzichtbar zur Überprü-
entsprechend den Soll-Funktionen und auch die
fung der im Unternehmen benutzten
Überprüfung des erstellten Codes nicht vollständig
Passworte auf korrekte Einhaltung der
sein kann, bleiben – auch sicherheitsrelevante –
Unternehmens-internen Passwort-Richt-
Fehler in Programmen, die erst im Betrieb oder auch
linie (z.B. Mindestlänge des Passworts,
nie bemerkt werden.
Wechselhäufigkeit, Verwendung von
Sind z.B. bei einem Produkt die Soll-Funktionen
Buchstaben, Ziffern und Sonderzeichen).
nicht oder nicht vollständig bekannt oder liegen
Informationen zum Design nicht vor, so kann allein Im Anhang 1 sind eine Reihe von Pro-
aus dem Code eines Programms nicht vollständig grammen aufgelistet, die von Unternehmen zur
auf die Funktionen geschlossen werden (Source Prüfung des Sicherheitsniveaus ihrer IT-Systeme
Code Analysis). Dies gelingt im Gegenteil nur, wenn (Informationssicherheits-Prüfprogramme), aber
die Anzahl der Befehle des Programms gering ist gleichermaßen auch von Angreifern genutzt wer-
und ihre Bedeutung dokumentiert (beschrieben) den, um unberechtigt in IT-Systeme einzudringen;
ist. Wegen der meist vielen Funktionen eines Pro- u.a. BOSS, das im Auftrag des Bundesamtes für
gramms ist die Anzahl von Befehlen häufig groß; Sicherheit in der Informationstechnik (BSI) zu-
so umfasst ein Programm wie ein marktübliches sammengestellt wurde und angeboten wird. Diese
Betriebssystem größenordnungsmäßig 50 Millio- Informationssicherheits-Prüfprogramme können
nen Programmzeilen mit jeweils meist mehreren durchweg für gute und schlechte Zwecke verwen-
Befehlen. Derartige Programme sind wegen ih- det werden. Es kommt allein auf die Person des
res Umfangs und ihrer komplexen Struktur nicht Handelnden und seine Absichten an.
mehr überschaubar; so sind zwar die wesentlichen Selbst auf den ersten Blick nur mit gutem Zweck
Funktionen dokumentiert und anhand der Wir- einsetzbare Programme wie Anti-Virenprogramme
kungen des Programms erkennbar – allerdings werden von Angreifern dazu benutzt herauszu-
sind meist nicht alle Funktionen vollständig do- finden, welche Anti-Virenprogramme auf einem
kumentiert und einige können auch unbekannt IT-System laufen, um dann von diesen Programmen
bleiben. nicht erkennbare Viren zu platzieren.
Eigenschaften und Wirkungen. Ein Programm hat – Zusammenfassung zum Zweck von Software. Com-
u.a. entsprechend seinen Funktionen oder seiner Co- puterprogramme haben typischerweise keinen
dierungsweise – Eigenschaften wie: Geschwindigkeit eindeutigen ,,Zweck“. Selbst wenn der Entwickler(Programmierer) einen bestimmten – positiven – von Herstellern und Anwendern Sicherheitslücken
Zweck intendiert, können sie immer missbraucht in Programmen gesucht. Im Rahmen des Secure
werden. Software Development Lifecycle (SDL) geschieht
Die Funktion eines Computerprogramms, eine dies bereits in der Designphase von Programmen
Sicherheitslücke auf einem Computer (oder in mit Verfahren wie Threat Modeling; weiterhin wird
einem Netz) zu erkennen, unterscheidet sich aus z.B. der generierte Code auf Sicherheitslücken mit
technischer Perspektive nicht von der Funktion, Programmen zur Source Code Analysis überprüft
einen Angriff gegen einen Computer (oder ein und es werden bekannte Angriffsverfahren z.B.
Netz) auszuführen. Aus Sicht der GI kann deshalb zur Erkennung von Pufferüberläufen eingesetzt
ein Straftatbestand nicht am Zweck oder der Art (Exploiting Frameworks).
des Programms festgemacht werden, sondern aus- Software zur Prüfung des Sicherheitsniveaus
schließlich an der Art der Verwendung durch einen wird so lange für größere Programme unverzicht-
Nutzer. bar bleiben, wie es nicht möglich ist, ihr Design
als korrekt im Sinne der Sicherheitsforderungen
⇒ Aus informationstechnischer Sicht lässt sich mathematisch zu beweisen und (anschließend) den
nicht definieren, welchen ,,Zweck“ eine Software Programmcode als dem Design entsprechend ma-
verfolgt. Hierfür lassen sich auch keine objekti- thematisch zu beweisen und damit nachzuweisen,
ven Kriterien in der Beschaffenheit des jeweili- dass ein Programm sicher ist.
gen Programms angeben. Eine Unterscheidung Programme können keine Unterscheidun-
von Software für Anwendungen, die zur Bege- gen zwischen Anwendungen zur Begehung von
hung von Straftaten hergestellt und eingesetzt Straftaten und solchen ausschließlich für le-
wird und Software, die ausschließlich für legale gale Zwecke treffen. Die heute verwendeten
Zwecke hergestellt und eingesetzt wird, ist nicht Informationssicherheits-Prüfprogramme zur Auf-
möglich. deckung von Sicherheitslücken in IT-Systemen
Dies kann allenfalls für den einzelnen Anwen- werden deshalb auch für Angriffe auf IT-Systeme
dungsfall durch einen Rückgriff auf außerhalb verwendet.
des Programms liegende Umstände erfolgen: Es Tatsächlich werden weit überwiegend ur-
liegt im Belieben des Anwenders, eine Software sprünglich als ,,Malware“ für Angriffszwecke
für gute oder schlechte Zwecke einzusetzen. entwickelte Programme von Herstellern und An-
wendern zum Aufspüren von Sicherheitslücken als
Sachdienlichkeit von Malware Informationssicherheits-Prüfprogramme in den
Frage: Inwieweit sind aus informationstechnischer Bereichen IT-Sicherheit und Datenschutz genutzt
Sicht der Besitz und die Analyse von Software, die – in Anhang 1 sind dazu Web-Seiten aufgelistet mit
ausschließlich oder weit überwiegend für nicht ,,Malware“ aus Bereichen wie Cracking, Exploiting,
autorisierte Zugriffe auf informationstechnischen Footprinting, Fuzzing, Scanning, Sniffing, Source
Systemen eingesetzt wird (,,Malware“), sachdienlich Code Analysis, Spoofing etc.
oder notwendig, um mögliche Schwachstellen der Vor dem Einsatz von Informationssicherheits-
Systeme auffinden und beheben zu können? Prüfprogrammen muss vom Anwender wie dem
IT-Sicherheitsbeauftragten oder Datenschutz-
Nach dem Stand der Technik (z.B. ISO/IEC beauftragten der funktionale Umfang analysiert
27000-Familie und entsprechend IT-Grund- werden, um über die gewünschte Art der Ergebnisse
schutzkataloge des Bundesamts für Sicherheit und damit den konkreten Einsatz im Unter-
in der Informationstechnik (BSI)) [2] ist Soft- nehmen (Zeitpunkt, IT-System) entscheiden zu
ware (Informationssicherheits-Prüfprogramme können.
– ,,Malware“) zur Prüfung des Sicherheitsni-
veaus von unternehmensinternen IT-Systemen ⇒ Besitz und Analyse von Informationssicherheits-
(mit Anwendungsprogrammen, Betriebssyste- Prüfprogrammen (,,Malware“) ist zur Feststel-
men etc.) ein unverzichtbarer Bestandteil von lung und Behebung von Schwachstellen von
Sicherheitsprüfungen im IT-Bereich. Mit diesen IT-Systemen in den Bereichen IT-Sicherheit und
Informationssicherheits-Prüfprogrammen werden Datenschutz unverzichtbar.{ SICHERHEIT VON IT-SYSTEMEN
Auswirkungen auf Forschung, Entwicklung Vielmehr kann davon ausgegangen werden, dass im
und Lehre an Hochschulen Rahmen des Lehrbetriebs berechtigt und befugt ge-
Frage: Liegen Ihrer Organisation Erkenntnisse dar- handelt wird, sowie nur auf Daten zugegriffen wird,
über vor, wie sich das Inkrafttreten der angegriffenen die für die Studierenden bestimmt und ggf. für sie
Norm – namentlich des Abs. 1 Satz 2 – auf die uni- so gesichert sind, damit diese die Zugangssicherung
versitäre Forschung und Lehre zur Sicherheit von überwinden lernen.
Informationssystemen tatsächlich ausgewirkt hat?
2. Beispiel Kryptoanalyse: Im Bereich der Informa-
Wurden insbesondere Lehrveranstaltungen modi-
tionssicherheit wendet die Kryptoanalyse
fiziert oder nicht mehr angeboten? Lassen sich –
als Teilgebiet der Wissenschaft der Kryp-
gegebenenfalls – Aussagen darüber treffen, inwieweit
tologie Methoden und Techniken an,
sich die etwaigen Änderungen in der Lehre auf die
um Informationen aus verschlüsselten
Sicherheit der Informationstechnik auswirken?
Texten zu gewinnen oder allgemeiner
die Analyse kryptographischer Verfah-
Auswirkungen auf Forschung und Lehre ren mit dem Ziel, die Verschlüsselung
Eine nicht-repräsentative Umfrage bei Mitgliedern entweder zu ,,brechen“, d.h. ihre Schutz-
der Gesellschaft für Informatik an Informatik- funktion aufzuheben bzw. zu umgehen
lehrstühlen ergab, dass das Inkrafttreten der oder ihre Sicherheit nachzuweisen und
angegriffenen Norm im Lehrbereich vielfach zu quantifizieren.
starke Verunsicherung hervorgerufen hat. Als Eine Beschäftigung mit diesem Wissen-
Reaktion auf den § 202c wurden die Inhalte von schaftsbereich wäre gleichermaßen nicht
Lehrveranstaltungen modifiziert. Dies gilt auch für mehr möglich.
Lehrveranstaltungen zur Praxis des Datenschutzes.
Es ist einhellige Meinung, dass für eine qua- Aus Sicht der Gesellschaft für Informatik ist dies
lifizierte Lehre in Informationssicherheit an nicht nur zur Förderung der Informationssicherheit
Hochschulen die fundierte Vermittlung der theo- dringend geboten, sondern ist auch Ausfluss der
retischen Funktionsweise von ,,Malware“, ihr Freiheit von Forschung und Lehre gemäß Art. 5
exemplarischer praktischer Einsatz und auch die Abs. 3 GG. Dazu sollte zur Klarstellung jedenfalls
beispielhafte Entwicklung derartiger ,,Malware“ ausdrücklich auf die auch hier geltende Wissen-
an Hochschulen unverzichtbar sind. Ziele der schaftsfreiheit gemäß Art. 5 Abs. 3 GG hingewiesen
Hochschulen in diesem Bereich sind werden.
1. sachkundige Informationssicherheits-Fachleute Auswirkungen auf die Entwicklung
auszubilden und Die Ausweitung der Strafandrohung auch auf
2. den Entwicklern zukünftiger sicherer Systeme die Forschung und Entwicklung kann dazu
eine wissenschaftlich fundierte Kompetenz zu führen, dass die notwendige Forschung und
vermitteln. Entwicklung in diesem Bereich entscheidend
In Forschung, Lehre und Entwicklung müs- gebremst wird, was wiederum die Gefahr von
sen vielmehr auch die zur Verfügung stehenden Angriffen aus dem globalen Internet erhöhen
Sicherheits-Prüfprogramme hinsichtlich ihrer Funk- wird. Eine gezielte und ständige Verbesserung von
tionen untersucht, bewertet und weiterentwickelt Informationssicherheits-Prüfprogrammen kann
werden. nicht durch die Beschränkung der Entwicklung er-
Diese Auffassung teilen auch die von der reicht werden, sondern im Gegenteil ausschließlich
Gesellschaft für Informatik e.V. befragten durch einen breiten Zugang von Forschung und
Datenschutzbeauftragten. Lehre in diesem Bereich und darauf aufbauenden
Es kann regelmäßig davon ausgegangen werden, eigenen Arbeiten. So müssen bei der Evaluie-
dass weder die Informatik-Professoren noch die rung eines Systems unter Sicherheitsaspekten alle
Studierenden konkrete Taten planen oder auch Komponenten eingehend analysiert werden.
nur vor Augen haben noch generell in Forschung, Ein Computersystem wird nicht dadurch un-
Entwicklung und Lehre Straftaten vorsätzlich oder sicher, dass ein Angriffswerkzeug entwickelt wird.
im Wege des Eventualvorsatzes vorbereitet werden. Das Angriffswerkzeug nutzt nur in der Softwarevorhandene Schwachstellen, zeigt sie auf oder der Informationssicherheits-Prüfprogramme
deutet zumindest auf sie hin – ermöglicht aber mehr möglich sein, könnten entsprechende
dadurch auch, die erkannten Schwachstellen zu Fachleute in Deutschland nur unzureichend
schließen. Ein Verbot von Werkzeugen fördert somit ausgebildet werden; damit ständen deutschen
direkt die Verbreitung unsicherer IT-Systeme, da die Anwendern (Unternehmen, Hersteller von
Schwachstellen nicht mehr offen zu Tage treten. Informationssicherheits-Prüfprogrammen und
3. Beispiel Anti-Virenprogramme: Angriffe mit Sicherheitsbehörden) keine wissenschaftlich
Computerviren lassen sich nur erkennen ausgebildeten Nachwuchskräfte mehr zur Ver-
und abwehren, wenn der benutzte Vi- fügung – diese Mitarbeiter müssten ggf. im
rus oder zumindest seine Funktionsweise Ausland akquiriert werden; die Qualität der
bekannt sind. Im betrieblichen Einsatz in Deutschland entwickelten Produkte dürfte
müssen die Randbedingungen (z.B.: nicht erheblich leiden.
alle Viren werden von allen Produkten Dürfen Informationssicherheits-Prüfprogramme
erkannt) und die Funktionsweise (z.B. nicht mehr eingesetzt werden, wird das Informa-
Vergleich bekannter Vireneigenschaf- tionssicherheitsniveau von Unternehmen und
ten mit dem aktuellen Datenstrom) dem Behörden sehr stark absinken und Unterneh-
Entwickler (Hersteller) bekannt sein; men und Behörden werden IT-Angriffen hilflos
neue Viren müssen sowohl hinsichtlich ausgeliefert sein.
ihres Aufbaus als auch ihrer Funktion Schließlich müssten sich viele Wissenschaftler
detailliert analysiert werden. an Hochschulen und Forschungseinrichtun-
gen, die im Bereich der IT-Sicherheit tätig
Sollte auch die Beschäftigung mit Sicherungs- sind, bei einem Verbot der Verwendung von
codes und Computerprogrammen verboten sein, Informationssicherheits-Prüfprogrammen in
dürfte insgesamt nicht nur die (international ihrer persönlichen Arbeit neu ausrichten; be-
erhebliche) deutsche IT-Sicherheitsforschung son- stehende Forschungsaktivitäten und -projekte
dern auch die deutsche IT-Sicherheitsindustrie könnten nicht fortgeführt werden. Die gesamte
einen erheblichen Rückschlag erleiden. Damit Wissenschaftsdisziplin Informationssicherheit
würden einige Tausend Arbeitsplätze wegfallen. sowie die benachbarte Disziplin Praxis des
Weiterhin würde ein entscheidender Anteil der Datenschutzes müsste eingestellt werden.
Informationssicherheits-Ausbildung an Hochschu-
len wegfallen und damit der Informationsfluss Auswirkungen auf die Praxis
neuester Sicherheitstechnologien an Unternehmen
durch die Absolventen unterbrochen. Deutsche Auswirkungen auf Behörden
Unternehmen könnten sich dann im internatio- und Unternehmen
nalen Vergleich nur unzureichend schützen, es sei IT-Sicherheitsbeauftragte. IT-Sicherheitsbeauf-
denn, sie werben an ausländischen Hochschulen tragte in Unternehmen und Behörden müssen u.a.
ausgebildete Informatiker an. zur Erfüllung ihrer gesetzlichen Verpflichtungen
Damit entstünde eine Wettbewerbsverzer- im Rahmen der IT-Compliance die Sicherheit
rung gegenüber anderen EU-Mitgliedsstaaten ihrer IT-Systeme wirkungsvoll überprüfen; da-
und auch international (Israel, Russland, USA bei kommen die Beauftragten nach dem Stand
etc.). Die gesamte deutsche IT-Sicherheitsbranche der Technik (z.B. ISO/IEC 27000-Familie und
wäre benachteiligt, weil Informationssicherheits- IT-Grundschutzkataloge des BSI) nicht ohne
Prüfprogramme ausschließlich nur noch in anderen Informationssicherheits-Prüfprogramme aus.
Staaten entwickelt würden. Dies gilt gleichermaßen für von IT-Sicherheits-
⇒ Durch die Strafnorm ist in Wissenschaftskrei- beauftragten für ihre Unternehmen beauftragte
sen (Forschung, Lehre und Entwicklung) an Sicherheitsberater und Sicherheitsberatungsunter-
Hochschulen und Forschungseinrichtungen nehmen.
eine erhebliche Unsicherheit zu erkennen; Lehr- Aus dem Ausland werden Informationssicher-
veranstaltungen wurden modifiziert. Sollten heits-Prüfprogramme bereits seit Ende 2007 unter
keine wissenschaftlichen Aktivitäten im Bereich Hinweis auf die neue Strafnorm nicht mehr oder{ SICHERHEIT VON IT-SYSTEMEN
nur zögerlich nach Deutschland exportiert; da- ware muss das Sicherheitsniveau von IT-Systemen
durch dürfte das Sicherheitsniveau deutscher kontinuierlich erhöht werden. Dazu sind aus Sicht
Unternehmen zukünftig drastisch sinken. der Gesellschaft für Informatik die beiden folgenden
Punkte unverzichtbar:
Datenschutzbeauftragte. Für den Datenschutzbe- 1. Alle sicherheitsrelevanten Aspekte von Software
auftragten in öffentlichen und nicht-öffentlichen müssen allgemein bekannt gemacht werden und
Stellen sind Informationssicherheits-Prüfpro- sie müssen frei untersucht werden können.
gramme zur Überprüfung der Wirksamkeit 2. Insbesondere müssen erkannte Sicherheitslücken
der nach der Anlage zu § 9 BDSG ergriffe- allgemein bekannt gemacht werden und unter-
nen technischen Maßnahmen nach dem Stand sucht werden können, um sie beheben zu können.
der Technik (z.B. ISO/IEC 27000-Familie und
IT-Grundschutzkataloge des BSI) unverzichtbar. ⇒ Der Einsatz von Informationssicherheits-Prüf-
programmen (,,Malware“) und eine breite
Sicherheitsunternehmen, Sicherheits- und Da- öffentlich geführte Fachdiskussion ist für
tenschutzberater. Die Strafnorm trifft auch Unternehmen, Behörden und Private und insbe-
die Hersteller sowie die Anbieter von Si- sondere für Techniker und Informatiker wie auch
cherheitslösungen und der entsprechenden Fachjuristen in Forschung, Lehre, Entwicklung
Informationssicherheits-Prüfprogramme sowie und Anwendung unverzichtbar.
Security-Spezialisten und -Berater. Die gesamte
IT-Sicherheitsbranche ist aber auf solche Compu- Anhänge
terprogramme angewiesen, mit denen nicht nur die Anhang 1: Web-Seiten und E-Mail Dienste
eigenen Systeme überprüft werden können, sondern
Im Folgenden werden – ohne einen Anspruch auf
auch Straftaten im Sinne der Strafnorm begangen
Vollständigkeit – einige wenige öffentlich zugängli-
werden könnten. Insbesondere die Hersteller dieser
che Webseiten im Internet beispielhaft aufgeführt,
Computerprogramme sind darauf angewiesen,
auf denen sich mehr als 1.000 Informationssicher-
dass ihnen gute Absicht und guter Wille unterstellt heitsprüfprogramme, Angriffsprogramme sowie
werden, wenn sie Informationssicherheits-
Sicherheitslücken finden.
Prüfprogramme herstellen oder zugänglich
machen, mit denen Dritte eine Straftat begehen Webseiten mit Informationssicherheitsprüfpro-
können.
grammen und Angriffsprogrammen. Webseiten
zum Download von Informationssicherheits-
Risiken aus dem Internet prüfprogrammen und Angriffsprogrammen
Da Angriffe im weltweiten Internet auch aus Re-
gegen IT-Systeme (letzter Zugriff: 15. August
gionen und Bereichen durchgeführt werden,
2008):
die den Einsatz von Informationssicherheits-
Prüfprogrammen (noch) nicht reglementieren, – http://board.kanzleramt.ca/
überwachen oder unter Strafe stellen, muss IT- showthread.php?t=3343
Anwendern die Möglichkeit gegeben sein, im – http://www.bsi.bund.de/produkte/boss/index.htm
Vorgriff auf solche Angriffe die Sicherheit ihrer des Bundesamtes für Sicherheit in der
eigenen IT-Systeme überprüfen zu können. Informationstechnik (BSI)
Ohne die Informationssicherheits- – http://www.crackstore.com./
Prüfprogramme ist die Identifizierung von – http://www.foundstone.com/us/
Sicherheitslücken aber nicht oder kaum möglich und resources-free-tools.asp
würde dadurch zur ,,Informations-Unsicherheit“ in – http://freeworld.thc.org/releases.php
Unternehmen und Behörden führen. Dies wäre auch – http://www.hacken-lernen.de/
aus der Sicht des Datenschutzes bedenklich. hacker-programme.php
– http://insecure.org/ mit mehr als 100 Scannern,
Zusammenfassung Crack-Programmen und Sniffern
Angesichts der großen Zahl bekannter, unbekannter – http://www.netzwelt.de/software/
und unveröffentlichter Sicherheitslücken in Soft- 6924-metasploit-framework-.htmlWebseiten mit Informationen zu aktuellen nach den Artikeln 2 bis 5 umschriebenen Straftat
Sicherheitslücken. zu verwenden“, zu bestrafen. Es wird deshalb sogar
vorgeschlagen [1], explizit schon den Besitz zu
– http://www.cve.mitre.org/ bestrafen. Dagegen ließe sich einwenden, dass die
– http://www.milw0rm.com/ Formulierung der Konvention jedenfalls enger ist als
– http://www.securityfocus.com/archive/1 der Gesetzeswortlaut, weil sie wohl auf eine konkrete
– http://www.vulnwatch.org/index.html Straftat hindeutet.
– http://www.zerodayinitiative.com/ Zum anderen hätte der Gesetzgeber auch den
Eventualvorsatz streichen können: Das hätte es
Informationsservice über Sicherheitslücken mit zumindest ausgeschlossen, Wissenschaftler zu be-
E-Maillisten. strafen, die lediglich billigend in Kauf nehmen, dass
die von ihnen in Forschung und Lehre verwendeten
– http://www.bsi.de/certbund/infodienst/ des Bun- Programme auch zu schädlichen Zwecken benutzt
desamtes für Sicherheit in der Informationstechnik werden. Die entstehenden Strafbarkeitslücken
(BSI): ,,Warn- und Informationsdienst (WID)“ wären aus Sicht der Gesellschaft für Informatik
angesichts der ohnehin weiten Vorverlagerung des
Anhang 2: Änderungsvorschlag zu § 202c Tatbestandes vertretbar gewesen. Man hätte etwa
Aus Sicht der Gesellschaft für Informatik bleibt in Anlehnung an [1] die Formulierung in ,,Wer
anzumerken, dass der Gesetzgeber die bestehenden [Nr. 1 und Nr. 2, Text bis zugänglich macht], mit
Unsicherheiten um die Reichweite der Strafbarkeit dem Wissen oder in der Absicht, dass sie zur Be-
nach § 202c StGB, die daraus resultierenden Ver- gehung einer konkreten Straftat nach § 202a oder
unsicherungen der Wissenschaftler und Anwender § 202b gebraucht werden, wird ... bestraft.“ ändern
im Bereich der IT-Sicherheit sowie die verfassungs- können.
rechtlichen Probleme des vorliegenden Verfahrens
durch leichte Korrekturen im Gesetzgebungsverfah-
Danksagung
Die Stellungnahme wurde vom Präsidiumsar-
ren weithin hätte vermeiden können. Sowohl aus den
technischen wie den juristischen Wissenschaften la- beitskreis ,,Datenschutz und IT-Sicherheit“ der
Gesellschaft für Informatik erarbeitet. Besonderer
gen entsprechende Stellungnahmen vor; auch die GI
Dank gebührt den Herren Dr. Bernd Beier, Prof. Dr.
hat auf die Probleme der aktuellen Gesetzesfassung
Dr. Herbert Fiedler, Dr. Gerrit Hornung, LL.M., Prof.
hingewiesen [3].
Dr. Klaus-Peter Löhr, Prof. Dr. Andreas Pfitzmann
Der § 202c StGB ließe sich auf zwei Arten ent-
und Prof. Dr. Alexander Roßnagel.
schärfen. Zum einen könnte eine Bezugnahme auf
eine konkrete Tat erfolgen, sodass nicht im Sinne
Literatur
eines abstrakten Gefährdungsdeliktes bereits der 1. Borges G, Stuckenberg C-F, Wegener C (2007) Bekämpfung der Computerkrimi-
bloße Besitz strafbar wäre. Dagegen wird zwar nalität – Zum Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der
Computerkriminalität. D u D 275–278
eingewandt, dass dem die Cybercrime-Convention 2. Bundesamt für Sicherheit in der Informationstechnik (BSI) http://www.bsi.
entgegenstehe, die in Art. 6 vorsieht, ,,den Besitz bund.de/gshb/deutsch/index.htm
3. Gesellschaft für Informatik e.V. (GI) (2007) Entwurfsfassung des § 202c StGB
eines unter Buchstabe a Ziffer i oder ii bezeichneten droht Informatiker/innen zu kriminialisieren. http://www.gi-ev.de/aktuelles/
Mittels mit dem Vorsatz, es zur Begehung einer meldungsdetails/meldung/159/ (3. Juli 2007)Sie können auch lesen
