Seit 2007 steht ja jede technisch versierte im Bereich der IT-Sicherheit dank des mit dem §202c StGB neu eingeführten Straftatbestands " Vorbereiten des Ausspähens und Abfangens von Daten" mit einem Bein im Knast.
Wer sich 2007 nicht mehr so richtig in Erinnerung rufen kann, man hatte Probleme nachzuweisen wer was getan hat, also ging man den anderen Weg und hat einfach den Besitz von Software unter Strafe gestellt, sofern diese geeignet ist bei einem Angriff auf fremde Systeme zum Einsatz zu kommen.
Es war schon damals naiv zu glauben man könnte Software entsprechend kategorisieren, entsprechende Fachverbände haben vehement gegen diesen Paragraphen gesprochen, und wurden ignoriert. Es sind eben weitgehend dieselben Tools, die man einsetzt um eine Schwachstelle überhaupt zu ermitteln, als auch um sie auszunutzen - aber in der Genese dieses Gesetzes spielte die Absicht der Leute keine Rolle. Das mussten dann im Nachgang erst Gerichte mit gesundem Menschenverstand auslegen.
Das hat seitdem vereinzelt auch bizarre Stilblüten getragen… kurz gesagt, wann immer es einer Organisation nicht in den Kram passte, dass sie auf Sicherheitslücken hingewiesen wurde, hat sie im Zweifel Strafanzeige gegen die Person gestellt.
Prominenter Fall war z.B. Lilith Wittmann, die in einer Wahlkampf App der CDU gravierende Sicherheitslücken fand, dieser auch der CDU umgehend gemeldet hat, sofort von der CDU dafür bei der Polizei angezeigt wurde.
Der CCC gab daraufhin bekannt dass man Sicherheitslücken in der Infrastruktur der CDU dieser dann einfach nicht mehr melden würde.
Die CDU ruderte damals dann auf Grund der massiven öffentlichen Kritik zurück, und sagte sie habe die Strafanzeige zurückgestellt (was allerdings keinerlei Relevanz für ein bereits laufendes Verfahren um Strafrecht hatte, und somit in den Bereich PR-Maßnahme fallen dürfte).
Das Verfahren wurde letztlich dennoch eingestellt, weil sich herausstellte dass die Daten in der CDUconnect App so katastrophal geschützt waren, dass sie de fakto einfach jedem ohne Zugangsbeschränkung öffentlich einsehbar waren.
In der Zwischenzeit ist alles mögliche mal zum Hackertool deklariert worden… mal war es nmap, mal war es Firefox, … weitestgehend wird von Gerichten dieser Paragraph nahezu ignoriert, weil er ganz offensichtlich nicht geeignet ist eine Rechtssicherheit darzustellen.
Und nun, endlich, scheint sich in dem Bereich was zu tun. Das Justizministerium hat einen Entwurf geliefert, der Reformentwurf sieht vor, dass das Eindringen in ein fremdes Computersystem nicht mehr automatisch unbefugt erfolgt, wenn es in der Absicht erfolgt, eine Schwachstelle festzustellen und diese den Verantwortlichen beim Nutzer oder beim Hersteller zu melden.
Halleluja… ich schlag drei Kreuze wenn das endlich kommt, und Leute nicht schon Gefahr laufen sich angreifbar zu machen, wenn sie gängige Tools im Bereich Pentesting auf dem Rechner haben.
Oder Firefox.