Skip to content

Berufsverbot

Das Bundesministerium der Justiz bereitet einen Gesetzentwurf vor, der den Schutz vor Computerkriminalität mit strafrechtlichen Maßnahmen verbessern soll. Und handelt Deutschland erneut den Verlust von zahlreichen hochqualifizierten Arbeitsplätzen im Hochtechnologiesektor ein.

Der Gesetzentwurf zur Änderung des StGB fügt einen neuen Paragrafen 202 c "Vorbereiten des Ausspähens und Abfangens von Daten" in das Strafgesetzbuch ein.

Wer eine Straftat nach § 202 a oder § 202 b vorbereitet, indem er

  1. Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202 a Abs. 2) ermöglichen, oder
  2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht,

wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

§ 202 a ist heute schon "Ausspähen von Daten"; § 202 b wird "Abfangen von Daten".

Es wird also in Zukunft verboten sein,

  • Proof of Concepts für Schwachstellenausnutzung zu erstellen ("herstellen")
  • Bugtraq, Full Disclosure oder ähnliche Mailinglisten auch nur abonniert zu haben ("sich verschaffen")
  • Schwachstellenanalysen durchzuführen (da man sich vorher Tools entweder verschaffen oder herstellen muss)
  • "Live Hacking" als Schockeffekt in Seminaren ("sonst zugänglich machen")
  • Linux-Distributionen, die nmap oder nessus enthalten zum Download bereitzuhalten ("verbreiten")

Was bleibt einem Security-Consultant in Deutschland dann noch als Arbeitsmöglichkeiten offen?

Ich glaube, ich muss doch auf Schafzucht oder Lokführer umsatteln. Qualifizierte Arbeitsplätze sind in Deutschland wohl unerwünscht.

Trackbacks

Aus dem Leben eines Szlauszafs on : Gesetzentwurf zur Bekämpfung der Computerkriminalität

Show preview
Die Bundesregierung hat heute den Entwurf eines Strafrechtsänderungsgesetzes zur besseren Bekämpfung der Computerkriminalität in Umsetzung des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme sowie des Europarat-Übereinkommens über Computerkrimi

rant machine? on : \"StGB §202 neu - Berufsverbot für Security Consultants?\"

Show preview
Dies ist im Prinzip die Frage, die Marc "Zugschlus" Haber in seinem Artikel "Berufsverbot" heute vormittag aufwarf. Ich liess mich dazu hinreissen und hatte zum Auftakt der Mittagspause noch einen schnellen Kommentar hingeworfen. Grundlegend habe ich...

bitacle.org on : Bitacle Blog Search Archive - Berufsverbot

Show preview
[...] \n Das Bundesministerium der Justiz bereitet einen Gesetzentwurf vor, der den Schutz vor Computerkriminalität mit\nstrafrechtlichen Maßnahmen verbessern soll. [...]

Michael-Seitz.org on : Informatiker, bald alle hinter Gittern

Show preview
Der Gesetzentwurf zum “Hackerparagraphen” (§ 202c StGB) steht kurz davor vom Bundesrat durchgewunken zu werden.\nDie Gesellschaft für Informatik (GI) hat darauf hingewiesen, dass auch der Gedankenaustausch über “Sicherheitst...

Comments

Display comments as Linear | Threaded

Andreas Rauer on :

Ähem

Bitte vergiss nicht das kleine doofe Wort "unbefugt" zu beachten. Speziell für §202c mit "(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem (..)" er einen unbefugten Zugriff vorbereitet, gilt das mEn massivst!

Das ist weiterhin die bisherige Situation für Security Consultants -> kein Audit ohne schriftliche Beauftragung.

Ja, das ist jetzt eine punktuelle Antwort, die sich rein auf die rechtliche Situation des Consultants bei Audits bezieht.

Dass es da massive Interpretationsprobleme für die Hersteller der Tools geben wird und auch Interessierte an der Technik/Wissenschaft eine Bärenfalle vorgelegt bekommen, ist mir klar.

Aber mal für die einzelnen, genannten Fragepunkte: - "Proof of Concepts für Schwachstellenausnutzung zu erstellen" Ja, hier ist die Sau vergraben, da ich dafür ja an einem System wirklich herumfummeln muss. Gut, mein eigenes Testsystem, und meine Intention ist Hilfe anderer, aber das zu beweisen ist doof. Wobei - das ist Straf- nicht Zivilrecht. Da muss man mir immer noch meine Schuld beweisen. Das Problem ist mEn aber eher erst in der Publikation des PoC zu sehen, da ich dort die Verwendung immer so schlecht kontrollieren kann. siehe Distributionen.

  • "Bugtraq, Full Disclosure oder ähnliche Mailinglisten auch nur abonniert zu haben" Bereite ich eine Straftat vor? Nein? Get off my ass! (Intention, ich weiss. Absichten sind nicht zu beweisen... :-/ )

  • "Schwachstellenanalysen durchzuführen" Schriftlicher Auftrag -> Befugnis erteilt. Kein Problem.

  • "“Live Hacking” als Schockeffekt in Seminaren" Im Rahmen der schriftlichen Anmeldung beauftragen mich die Kunden doch damit, Ihnen sowas auf (m)einem Testsystem vorzustellen, nicht wahr?

  • "Linux-Distributionen, die nmap oder nessus enthalten(...)" Oder andere, einschlägige Tools. Ja, hier sind wir wieder beim Intentionsproblem. Hier hängt dann sicher sowas wie "Mittäterschaft" dran, wenn mit Hilfe dieser Tools es irgendwo kracht. Hier wird hoffentlich die Industrie auch anfangen noch massiv zu heulen, denn §202c (1), 2 ist der eigentliche scheiss Knackpunkt der Änderung, die anderen beiden sehe ich tatsächlich als unkritisch an. Hier werden wirklich Arbeitsplätze und Informationsaustausch gefährdet. Zumindest mit dieser Formulierung.

Dummerweise will mir keine einfallen, die einem dort in der Intention dieses Absatzes hilft, ohne weitere Probleme aufzureissen...

-thh on :

Das Wörtchen "unbefugt" hilft im Zusammenhang mit § 202c Abs. 1 Nr. 2 StGB-E - um den es hier ja geht - leider nicht weiter. Denn die Vorschrift betrifft "Computerprogramme, deren Zweck die Begehung einer solchen Tat ist", also bspw. des unbefugten Verschaffens von Zugang zu Daten oder des unbefugten Abfangens von Daten. Diese Eigenschaft eines Computerprogrammes kann diesem aber nur entweder generell anhaften oder generell nicht anhaften; es geht ja nicht darum, ob im Einzelfall dieses Programm bsp.w mit dem Einverständnis des "Opfers" (= befugt) oder ohne dessen Einverständnis verwendet wird, sondern es geht bereits um das Herstellen oder Sichverschaffen solcher Programme, also der eigentlichen Tat vorgelagerte Handlungen.

Um ein Beispiel zu bringen: ein "fertiger" Exploit, der quasi auf Knopfdruck Zugang zu besonders gesicherten Daten verschafft, wenn die "angegriffene" Software verwundbar ist, kann der Vorschrift daher nur ganz oder gar nicht unterfallen: entweder ist er ein Computerprogramm, dessen Zweck die Begehung einer Straftat des Verschaffens von unbefugtem Zugang zu Daten ist, oder er ist es nicht. Diese Frage muß man unabhängig davon beantworten können, ob nun ein "Blackhat" damit tatsächlich Angriffe ausführen will oder ein "Whitehat" einen Verwundbarkeitstest machen soll, schon deshalb, weil die ganze Vorschrift sonst sinnlos wäre, da bei dieser Auslegung erst zu prüfen wäre, ob es um ein befugtes oder unbefugtes Verschaffen von Daten geht, will sagen, ob das "Hacker-Tool" nun wirklich von einem "bösen Hacker" oder von einem "lieben Sicherheitstester" eingesetzt wird. Die Vorschrift soll ja gerade im Vorfeld der Tatbegehung eingreifen und die entsprechenden Programme generell treffen.

Natürlich ist ein Audit weiterhin zulässig, wenn die Zustimmung des "zu auditenden" vorliegt; denn dann ist eine Strafbarkeit nach §§ 202a, 202b, 303b StGB-E ausgeschlossen. Aber: es soll zukünftig dann nicht mehr zulässig sein, entsprechende Software ("Hacker-Tools") herzustellen oder sich zu verschaffen. Auch nicht dann, wenn man sie bspw. nur aus wissenschaftlichem Interesse auf seiner eigenen Maschine ausprobiert. Und genau da liegt das Problem dieser Vorschrift, das sich auch durch Auslegung nicht beseitigen läßt (weil bei einer anderen Auslegung die Vorschrift leer läuft - dann müßte man nämlich die Beurteilung eines "Hacker-Tools" von der damit begangenen oder versuchten Tat abhängig machen, käme also immer nur dann zu einer Strafbarkeit nach dieser Vorschrift, wenn auch eine Strafbarkeit aus §§ 202a, 202b, 303b StGB-E schon gegeben ist; das ist gerade nicht das Ziel der Regelung, die ja u.a. gezielt Downloadseiten treffen will.)

-thh on :

Das Problem wird nicht nur Deutschland treffen, da der Gesetzentwurf lt. Begründung auch insoweit der Umsetzung europäischer Vorgaben dient ...

Andreas Rauer on :

... nur dummerweise grosse (relevante) Teile der Vorgabe ignoriert. In der wird nämlich auch eine saubere Regelung bzgl. der durch 202c (neu) inkriminierten Programme getroffen.

Andreas Rauer on :

Du hast Recht. Wie ich inzwischen an anderer Stelle auch lesen konnte, ist das Problem aber, das die Änderungen nicht vollständig die Vorgaben abbilden. Dort wird afaik eine saubere Regelung für Programme getroffen (!).

Nur wie so üblich, wenn ich mal ne Quelle für 'nen Kommentar brauche, finde ich es nicht mehr gnarf

layday on :

die abgrenzung von wirtschaftsrecht und freiheit der wissenschaft wäre zu diskutieren. es muss dem wirtschaftsstaat grundsätzlich auch wirtschaftsrechtlich fortschritt und wissensgenerirung willkommen sein.

layday

Add Comment

Markdown format allowed
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
Form options