Newsfeed abonnieren
In unserem Nachbarland - an dessen Rechtsprechung wir uns oft orientieren - steht eine deutliche Verschärfung der Gesetzeslage bei Computerstrafdaten vor der Tür.
Speziell heikel ist eine Formulierung des §202c des neuen Strafgesetzbuches, in dem insbesonders "...das Herstellen, Überlassen, Verbreiten oder Verschaffen von "Hacker-Tools", die bereits nach Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen..." bestraft wird (Pressemitteilung, Sept. 2006, www.bmj.bund.de)
Damit wird jeglicher Securitycheck (Wo liegt der Unterschied zwischen Hacker-Tools und einer Prüfsoftware?), ob intern oder im Auftrag unmöglich - Schwachstellen zu finden (oft nur mit einer Original-Hacker-Software aufzudecken) wird illegal. Zusätzlich gibt es keine Ausnahmeregelung für den "offline-Laborbetrieb"....wie soll man ohne Besitz sinnvolle Erforschung von Gegenmaßnahmen durchführen? Wird man als Securityexperte, der von Österreich nach Deutschland einreist und auf seinem Notebook "Nessus" installiert hat, eine Sondergenehmigung benötigen?
Heiße Diskussion
Bei "heißen" Diskussionen zu diesem Thema im Dezember des Vorjahres in München wurde seitens der Verfechter des neuen Gesetzes als Vergleichsbeispiel die Geldfälscherei genannt: der Besitz von Druckplatten für Geldnoten ist verboten - wenn diese einmal zum Einsatz kommen, kann man Fälschung kaum mehr verhindern (speziell, wenn es sich vielleicht um Originaldruckplatten handelt?).
Die Verschärfung betrifft auch den neuen §202a, der "... bereits den unbefugten Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen unter Strafe stellt", auch ohne Beschaffung von Daten.
Sollte man bei einer Überprüfung eines LOGIN-Vorgangs auf ein leeres Passwort stoßen und ein Systemprompt erhalten, ist man bereits strafbar.
Auch das Mithören im Funkbereich wird unter Strafe gestellt: "... Das Sichverschaffen von Daten aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage ..." - Interpretation: das gilt auch für ungeschützte WLANs.
Die Praxis zeigt, dass die meisten Angriffe international laufen und daher der vorliegende Gesetzesentwurf nur einen marginalen Teil der Angriffe verhindern könnte, dem entgegen steht aber die mangelnde Regelung bei Maßnahmen zum Schutz der Informations-Infrastruktur.
Dass verstärkt Maßnahmen zur Einschränkung der Computerkriminalität gesetzt werden müssen, ist jedem klar. Gemäß Rahmenbeschluss 2005/222/JI des EU-Rates ist jedes Mitgliedsland verpflichtet, entsprechende nationale Gesetze zu erlassen. Manchmal wird diese Aufgabe Juristen ohne technischen Background übergeben, die auch zu wenig Spezialisten zuziehen.
Aus berechtigtem Zugzwang, gesetzliche Änderungen vornehmen zu müssen und der mangelnden Zeit, Ausnahmeregelungen sinnvoll definieren zu können, kam es zur beschriebenen Gesetzesvorlage. Der Regierungsentwurf steht unter www.bmj.bund.de zum Abruf bereit.
Wir können nur hoffen, dass sich die österreichischen Gesetzgeber etwas mehr mit der Praxis auseinandersetzen, wichtige gesetzliche Maßnahmen setzen, aber nicht derartig überzogen auf die Hackerbedrohungen reagieren.
Dr. Manfred Wöhrl ist seit mehr als 25 Jahren im Bereich der EDV mit den Spezialgebieten Computervernetzung und Security (CCSE - Checkpoint Certified Security Engineer) tätig. Er ist Lehrbeauftragter an der Wirtschaftsuniversität Wien, Vortragender der Donau-Universität in Krems und Geschäftsführer der R.I.C.S. EDV-GmbH (Research Institute for Computer Science, www.rics.at), spezialisiert auf Securitychecks und Security-Consulting. Dr. Wöhrl ist Vortragender und Betreuer bei einer Reihe von Seminaren und Tagungen und gerichtlich beeideter und zertifizierter Sachverständiger. Manfred.Woehrl@rics.at
Hier gratis downloaden!
1/2012
8/2011
7/2011
Dr. Christine Wahlmüller-Schiller ist freie Autorin und Kommunikationsberaterin, spezialisiert auf die IT- und Telekom-Branche. 