[infowar.de] Chaos Computer Club: Gesetzentwurf gefährdet die Computersicherheit

[Ralf Bendrath <bendrath -! - zedat - fu-berlin - de>]

http://www.ccc.de/press/releases/2006/20060925/

Chaos Computer Club: Gesetzentwurf gefährdet die Computersicherheit

25. September 2006 (presse -!
- ccc -
de)

Das Bundeskabinett hat am 20. September einen Regierungsentwurf zur 
Änderung des Strafrechts in Zusammenhang mit Computersystemen beschlossen. 
[1] Dabei soll u. a. Software kriminalisiert werden, die zur Analyse von 
Sicherheitslücken zwingend erforderlich ist. Der Chaos Computer Club warnt 
davor, dass die Umsetzung des Entwurfes die Sicherheit von 
Computersystemen gefährdet. Stattdessen fordert der CCC eine drastische 
Verschärfung der Strafen für Datenverbrechen.

Der Gesetzentwurf wird die Arbeitsgrundlagen von Sicherheitsberatern und 
Netzwerkexperten unter Strafe stellen. Bereits der Besitz und die 
Verbreitung von Werkzeugen zur Netzwerkanalyse und zur Aufdeckung von 
Sicherheitslöchern in Rechnersystemen sollen strafbar werden. Die Arbeit 
der Sicherheitsexperten wäre damit kaum mehr möglich und von 
ungerechtfertigter Kriminalisierung bedroht.

"Dieser Gesetzentwurf wird nicht gegen Computerkriminalität helfen. 
Stattdessen werden der IT-Sicherheitsbranche dringend benötigte Werkzeuge 
zur Aufdeckung von Schwachstellen aus der Hand geschlagen", sagte 
CCC-Sprecher Andy Müller-Maguhn. "Die Vorstellungen des Gesetzgebers 
zeugen von einer ausgeprägten Unkenntnis der technischen Vorgehensweisen. 
Testangriffe zum Auffinden von Sicherheitslöchern sind für die 
IT-Sicherheit wie Crashtests für die Autoindustrie. Niemand käme auf die 
Idee, Crashtests zu verbieten", kommentierte der CCC-Sprecher.

Verboten werden sollen sogenannte 'Hackertools' und damit zugleich die 
öffentliche Diskussion von Sicherheitslücken. Der allgemein akzeptierte 
Standard zur Überprüfung der Sicherheit eines Systems ist es aber, dieses 
mit Angriffswerkzeugen zu testen (sog. penetration testing), um die dabei 
gefundenen Lücken schließen zu können.

Mit dem neuen Gesetz sollen Vorgaben der umstrittenen "Cybercrime 
Convention" und ein EU-Rahmenbeschluss umgesetzt werden, die ohne 
Hinzuziehung von Experten entstanden sind. Aus Sicht des CCC wird erneut 
versucht, über den europäischen Umweg eine gesellschaftliche Debatte in 
Deutschland über adäquate gesetzliche Rahmenbedingungen zur Handhabe von 
IT-Risiken zu umgehen.

"Der Gesetzentwurf zeugt von erschreckender Realitätsferne und fehlender 
Sachkenntnis", sagte Müller-Maguhn vom CCC. "Durch die Einschränkung der 
Freiheit der Forschung und Entwicklung im Bereich Computersicherheit wird 
das Gegenteil des beabsichtigten Ziels erreicht."

Als effektive Maßnahme zur Eindämmung der Computerkriminalität fordert der 
CCC stattdessen härtere Strafen für Verstösse gegen den Datenschutz. 
Datenverbrechen wie das illegale Abschöpfen und Weitergeben sowie das 
unkontrollierte Verknüpfen von Daten werden derzeit als Kavaliersdelikt 
behandelt, betreffen aber den Bürger im Alltag immer mehr.

Der CCC fordert deshalb statt der unsinnigen und kontraproduktiven neuen 
Regelungen ein zeitgemässes Bundesdatenschutzgesetz mit einem harten 
Strafkatalog für Datenverbrechen. Zusätzlich dazu sind weitgehende 
Schadenersatzansprüche der Geschädigten gegen Firmen, die ihre persönliche 
Daten ungenehmigt weitergeben oder unsicher verarbeiten und lagern 
erforderlich.

"Es muss endlich Rechtssicherheit in der riesigen Grauzone des Datenbasars 
geschaffen werden. Derzeit verarbeiten und verkaufen internationale 
Datendealer-Ringe und skrupellose Unternehmen weitgehend ungestört ganz 
persönliche Daten deutscher Bürger. Hier sind auch eine Vielzahl von 
Datenlecks in privatisierten Staatsbetrieben und bei 
Public-Private-Partnerschaften zu schließen", fasste Müller-Maguhn zusammen.

[1] [Externer Link]http://www.bmj.bund.de/media/archive/1317.pdf

Forderungen

* 1. Beschränkung des Besitzverbots nach §202c StGBE auf unmittelbar 
kriminelle Aktivitäten

* 2. Klarstellung der Forschungsfreiheit im Computer-Sicherheitsbereich

* 3. Beschränkung des Schutzbereiches von Datenspionage auf besonders 
gesicherte Daten (§202b StGBE)

* 4. Klarstellende Engerfassung des Verbotes des Abfangens von 
elektromagnetischen Abstrahlungen

* 5. Einführung eines "Tätige Reue" Tatbestandes für Computereinbrüche

* 6. Beibehaltung des Strafantragserfordernis (§ 205 StGBE)

* 7. Umfassende Novelierung des BDSG zur Erfassung moderner 
Datenverbrechen mit deutlicher Strafverschärfung

* 8. Einführung von weitgehenden Schadenersatzansprüchen für von 
Datenverbrechen Betroffene

Für Rückfragen zu dieser Meldung steht das Presseteam des CCC unter 
presse -!
- ccc -
de oder der Funkrufnummer 0177 2888706 zur Verfügung.


---------------------------------------------------------------------
To unsubscribe, e-mail: infowar -
de-unsubscribe -!
- infopeace -
de
For additional commands, e-mail: infowar -
de-help -!
- infopeace -
de