Am 20. September 2006 hat das Bundeskabinett einen Regierungsentwurf beschlossen, in dem das Strafrecht zur Bekämpfung der Computerkriminalität verschärft werden soll. Insbesondere sieht der Entwurf für den Bereich "Hacking", d.h. dem "Knacken" von Computersicherheitssystemen, einen neuen Straftatbestand (§ 202c Strafgesetzbuch) vor. Der Entwurf sieht vor, dass unter anderem bereits das Herstellen oder Verkaufen einer Software, die auch zum Begehen einer Straftat dienen kann, unter Strafe gestellt wird. Davon wäre auch Software betroffen, die IT-Sicherheitsunternehmen zur Analyse von Schwachstellen in Computersystemen zwingend benötigen. Es besteht die Gefahr, dass mit diesem neuen Straftatbestand die Arbeit von IT-Sicherheitsunternehmen in ein kriminelles Licht rückt.
Dazu Johannes Hubertz, KIU-Mitglied und Geschäftsführer der hubertz-it-consulting GmbH: "Mir ist nicht ganz klar, ob der Besitz und die Nutzung von Test-Werkzeugen weiterhin gestattet sein wird. Außerdem sehe ich die Gefahr, dass niemand mehr ein Test-Werkzeug herstellen oder anbieten wird, weil § 202c Strafgesetzbuch dies mit Strafe bedroht. Woher soll ich dann meine Arbeitsmittel bekommen? Niemand würde auf die Idee kommen, dass Herstellen eines Hammers zu verbieten, nur weil damit auch jemand erschlagen werden könnte. Es ist ebenfalls nicht eindeutig definiert, ab genau welchem Zeitpunkt eine Straftat vorbereitet wird. Wenn ich auf legale Weise keine Werkzeuge mehr bekommen kann, bin ich meiner Existenzgrundlage beraubt. Wenn ein Kunde mich beauftragt, die Sicherheit seiner Server zu überprüfen, benötige ich dazu Werkzeuge, die durch die neue Strafvorschrift nicht kriminalisiert werden dürfen. IT-Sicherheit lebt davon, überprüfbare Ergebnisse darzustellen; ohne
Werkzeuge kann das nicht funktionieren."
Rechtsanwalt Dr. Martin Eßer von Osborne Clarke, ebenfalls KIU-Mitglied sieht die ganze Sache so: "In der Anwendung könnte der erste Entwurf des § 202c Strafgesetzbuch zu Abgrenzungsproblemen führen. Es ist nicht immer ohne weiteres zu erkennen, ob eine Software dazu bestimmt ist, rechtswidrig verwendet zu werden oder ob mit ihr legitime Zwecke, wie zum Beispiel die Durchführung von Sicherheitstests in einem Unternehmen, verfolgt werden. Der Gesetzesvorschlag der Bundesregierung folgt der Cybercrime-Convention des Europarates aus dem Jahre 2001. Weder die Cybercrime-Convention, noch die Bundesregierung beabsichtigen, die legitime Verwendung von Tools und Test-Software zu verbieten. Es wäre daher wünschenswert, wenn der Gesetzgeber dies klarstellt und den neuen Straftatbestand eindeutig so gestaltet, dass Software, die dem legitimen Testen und dem Schutz der IT-Sicherheit von Unternehmen dient, nicht von § 202c Strafgesetzbuch erfasst wird."
Aufgrund dieser Kritik lehnt die KIU den Regierungsentwurf ab und fordert umgehende Ergänzung oder Änderung des Gesetzentwurfes. Forschungen, Entwicklungen und die tägliche Arbeit mit dem Thema Computersicherheit darf nicht beschränkt oder reglementiert werden. "Andernfalls steht der Computerkriminalität Tür und Tor auf und kriminellen Machenschaften würde ein regulierender Gegenpol entzogen" wie der Vorsitzende der Kölner Internet Union, Jürgen Walleneit bemerkt.
Dazu Johannes Hubertz, KIU-Mitglied und Geschäftsführer der hubertz-it-consulting GmbH: "Mir ist nicht ganz klar, ob der Besitz und die Nutzung von Test-Werkzeugen weiterhin gestattet sein wird. Außerdem sehe ich die Gefahr, dass niemand mehr ein Test-Werkzeug herstellen oder anbieten wird, weil § 202c Strafgesetzbuch dies mit Strafe bedroht. Woher soll ich dann meine Arbeitsmittel bekommen? Niemand würde auf die Idee kommen, dass Herstellen eines Hammers zu verbieten, nur weil damit auch jemand erschlagen werden könnte. Es ist ebenfalls nicht eindeutig definiert, ab genau welchem Zeitpunkt eine Straftat vorbereitet wird. Wenn ich auf legale Weise keine Werkzeuge mehr bekommen kann, bin ich meiner Existenzgrundlage beraubt. Wenn ein Kunde mich beauftragt, die Sicherheit seiner Server zu überprüfen, benötige ich dazu Werkzeuge, die durch die neue Strafvorschrift nicht kriminalisiert werden dürfen. IT-Sicherheit lebt davon, überprüfbare Ergebnisse darzustellen; ohne
Werkzeuge kann das nicht funktionieren."
Rechtsanwalt Dr. Martin Eßer von Osborne Clarke, ebenfalls KIU-Mitglied sieht die ganze Sache so: "In der Anwendung könnte der erste Entwurf des § 202c Strafgesetzbuch zu Abgrenzungsproblemen führen. Es ist nicht immer ohne weiteres zu erkennen, ob eine Software dazu bestimmt ist, rechtswidrig verwendet zu werden oder ob mit ihr legitime Zwecke, wie zum Beispiel die Durchführung von Sicherheitstests in einem Unternehmen, verfolgt werden. Der Gesetzesvorschlag der Bundesregierung folgt der Cybercrime-Convention des Europarates aus dem Jahre 2001. Weder die Cybercrime-Convention, noch die Bundesregierung beabsichtigen, die legitime Verwendung von Tools und Test-Software zu verbieten. Es wäre daher wünschenswert, wenn der Gesetzgeber dies klarstellt und den neuen Straftatbestand eindeutig so gestaltet, dass Software, die dem legitimen Testen und dem Schutz der IT-Sicherheit von Unternehmen dient, nicht von § 202c Strafgesetzbuch erfasst wird."
Aufgrund dieser Kritik lehnt die KIU den Regierungsentwurf ab und fordert umgehende Ergänzung oder Änderung des Gesetzentwurfes. Forschungen, Entwicklungen und die tägliche Arbeit mit dem Thema Computersicherheit darf nicht beschränkt oder reglementiert werden. "Andernfalls steht der Computerkriminalität Tür und Tor auf und kriminellen Machenschaften würde ein regulierender Gegenpol entzogen" wie der Vorsitzende der Kölner Internet Union, Jürgen Walleneit bemerkt.
