Donnerstag, 09. Dezember 2021

Archiv

Sicherheitsexperten in Not

IT-Themen treiben derzeit das politische Berlin um: Der Bundestrojaner sorgt für heftige Diskussionen, und ausländische Spionageprogramme dringen in Bundescomputer ein. Währenddessen bereitet ein neues Gesetz der IT-Industrie völlig neue Sorgen: der sogenannte Hackerparagraf.

Von Pia Grund-Ludwig | 08.09.2007

Wer Computerprogramme besitzt oder verbreitet, mit denen man sich Zugang zu fremden IT-Systemen verschaffen kann, der soll künftig strafrechtlich verfolgt werden können. Das sehen Änderungen des Paragrafen 202 des Strafgesetzbuchs vor. Das hört sich erst einmal gut an. Das Problem dabei: Auch Sicherheitsexperten besitzen solche Programme. Die fürchten Kriminalisierung. Er brauche Schadsoftware, so Dirk Hochstrate, dessen Unternehmen G-Data Virenscanner entwickelt:

"Um vor einem Virus zu schützen, muss man diesen erst einmal haben, das ist bei der Computerindustrie genauso wie in der Medizin. Ist dieser Virus verfügbar, wird er analysiert, seine Gestalt, seine Verhaltensmuster und so weiter. Anhand dessen wird dann eine Gegenmaßnahme entwickelt und letztendlich verbreitet. Ab diesem Zeitpunkt können unsere Virenscanner weltweit vor diesem neuen Virus schützen. Nun fällt aber genau dieses Beschaffen von Schadsoftware unter den Paragrafen 202c. Damit rutscht streng genommen unsere Arbeit zum Schutz des Internets in eine rechtsunsichere Zone."

Das beklagt auch der IT-Branchenverband Bitkom. Unsicherheit herrsche nicht nur bei Herstellern von Virenschutzsoftware, sondern auch bei denen, die so genannte Dual-Use-Software vertreiben. Das sind Programme mit zwei Gesichtern: Unternehmen können mit ihnen testen, ob ihre Systeme sicher sind, Kriminelle sie für Einbrüche nutzen. Er hoffe, dass das Gesetz in Bezug auf solche Programme restriktiv ausgelegt werde, so Guido Brinkel, Rechtsexperte des Verbands. Schließlich habe das Bundesjustizministerium in den Begründungen zum Gesetz dargelegt, dass solche Werkzeuge gar nicht gemeint sind. Aber es steht eben nur in der Begründung, nicht im Gesetz selbst. Das sorgt in Unternehmen für Unsicherheit, aber auch an den Universitäten. Wenn deren Professoren Experten für Netzwerksicherheit ausbilden, dann stellen sie ihren Studenten auch Programme zur Verfügung, die sich für Einbrüche in fremde IT-Systeme nutzen lassen. Die Studis müssten wissen, wie solche Werkzeuge funktionieren. Nur dann könnten sie später, wenn sie in Unternehmen als IT-Architekten arbeiten, die dortigen DV-Anlagen schützen, argumentiert Professor Bernhard Stütz. Er ist Experte für IT-Sicherheit an der Fachhochschule Stralsund. Im nächsten Semester stellt Stütz sein Lehrprogramm um und wird seinen Studenten die Werkzeuge nicht mehr zeigen. Er wolle zwar eine gute Ausbildung bieten, sich aber nicht der Gefahr aussetzen, rechtlich belangt zu werden. Damit erreicht der Paragraf genau das Gegenteil dessen, was bezweckt ist: meint auch Sebastian Schreiber, dessen Unternehmen Systeme auf ihre Sicherheit testet:

"Der Paragraf ist Ursache dafür, dass die Internet-Sicherheit in Deutschland gesunken ist, weil die Sicherheitsexperten verunsichert sind. Unternehmen im Bereich IT-Security investieren lieber im Ausland, wachsen lieber im Ausland, Spezialisten trauen sich nicht mehr, sich mit Hacker-Tools zu beschäftigen."

Klarheit könnte seiner Meinung nach eine Art Waffenschein für diese Softwarepakete schaffen:

"Ich könnte mir vorstellen, dass die Hacker-Tools als besonders gefährliche, aber an manchen Ecken nützliche und erforderliche Werkzeuge ähnlich reglementiert werden wie der Besitz von Waffen."

Diese Idee hatte Bundesinnenminister Schäuble auch schon. Auf einer Tagung des Bundesamts für Sicherheit in der Informationstechnik hatte er vorgeschlagen, man könne doch Lizenzen für vertrauenswürdige Sicherheitsdienstleister einführen. Der Branchenverband Bitkom ist nicht besonders angetan von einem solchen Vorschlag. Das sei kaum praktikabel, so dessen Fachmann Guido Brinkel gegenüber dem Deutschlandfunk. Gerade die Unterscheidung zwischen dann frei zugänglichen und nur noch mit IT-Waffenschein erhältlichen Programmen sei schwierig. Die Problematik der Abgrenzung müsse dann eine Behörde leisten. Auch Dirk Hochstrate kann dieser Idee nichts abgewinnen:

"Mal abgesehen, dass die Zertifizierung welcher Art auch immer ein langwieriger und kostspieliger Prozess ist, der für viele Unternehmen einen klaren Wettbewerbsnachteil nach sich bringt, muss man fragen: Wer erteilt eigentlich solche Waffenscheine. Soll es dann letztendlich die Regierung sein, die zwischen gut und böse bei Tätigkeiten von Unternehmen unterscheidet? Ich halte das für recht willkürlich, was auch die Möglichkeit von Missbrauch zulässt."