Die Reform des § 202c StGB (Hackerparagraph) nimmt Gestalt an

Seit 2007 steht ja jede technisch versierte im Bereich der IT-Sicherheit dank des mit dem §202c StGB neu eingeführten Straftatbestands " Vorbereiten des Ausspähens und Abfangens von Daten" mit einem Bein im Knast.

Wer sich 2007 nicht mehr so richtig in Erinnerung rufen kann, man hatte Probleme nachzuweisen wer was getan hat, also ging man den anderen Weg und hat einfach den Besitz von Software unter Strafe gestellt, sofern diese geeignet ist bei einem Angriff auf fremde Systeme zum Einsatz zu kommen.

Es war schon damals naiv zu glauben man könnte Software entsprechend kategorisieren, entsprechende Fachverbände haben vehement gegen diesen Paragraphen gesprochen, und wurden ignoriert. Es sind eben weitgehend dieselben Tools, die man einsetzt um eine Schwachstelle überhaupt zu ermitteln, als auch um sie auszunutzen - aber in der Genese dieses Gesetzes spielte die Absicht der Leute keine Rolle. Das mussten dann im Nachgang erst Gerichte mit gesundem Menschenverstand auslegen.

Das hat seitdem vereinzelt auch bizarre Stilblüten getragen… kurz gesagt, wann immer es einer Organisation nicht in den Kram passte, dass sie auf Sicherheitslücken hingewiesen wurde, hat sie im Zweifel Strafanzeige gegen die Person gestellt.

Prominenter Fall war z.B. Lilith Wittmann, die in einer Wahlkampf App der CDU gravierende Sicherheitslücken fand, dieser auch der CDU umgehend gemeldet hat, sofort von der CDU dafür bei der Polizei angezeigt wurde.

Der CCC gab daraufhin bekannt dass man Sicherheitslücken in der Infrastruktur der CDU dieser dann einfach nicht mehr melden würde.

Die CDU ruderte damals dann auf Grund der massiven öffentlichen Kritik zurück, und sagte sie habe die Strafanzeige zurückgestellt (was allerdings keinerlei Relevanz für ein bereits laufendes Verfahren um Strafrecht hatte, und somit in den Bereich PR-Maßnahme fallen dürfte).

Das Verfahren wurde letztlich dennoch eingestellt, weil sich herausstellte dass die Daten in der CDUconnect App so katastrophal geschützt waren, dass sie de fakto einfach jedem ohne Zugangsbeschränkung öffentlich einsehbar waren.

In der Zwischenzeit ist alles mögliche mal zum Hackertool deklariert worden… mal war es nmap, mal war es Firefox, … weitestgehend wird von Gerichten dieser Paragraph nahezu ignoriert, weil er ganz offensichtlich nicht geeignet ist eine Rechtssicherheit darzustellen.

Und nun, endlich, scheint sich in dem Bereich was zu tun. Das Justizministerium hat einen Entwurf geliefert, der Reformentwurf sieht vor, dass das Eindringen in ein fremdes Computersystem nicht mehr automatisch unbefugt erfolgt, wenn es in der Absicht erfolgt, eine Schwachstelle festzustellen und diese den Verantwortlichen beim Nutzer oder beim Hersteller zu melden.

Halleluja… ich schlag drei Kreuze wenn das endlich kommt, und Leute nicht schon Gefahr laufen sich angreifbar zu machen, wenn sie gängige Tools im Bereich Pentesting auf dem Rechner haben.

Oder Firefox.

1 Like

Wie zur Hölle ist Firefox auf diese Liste gekommen? Und ist die Liste Schuld daran, dass Firefox nicht mal mehr 3% globalen Marktanteil hat?

Das hätte im Prinzip auch jeder andere Browser sein können - konkret in dem Beispiel ging es darum dass jemand mit F12 die DevTools von Firefox geöffnet hat, und darin irgendeinen auf dem Client ausgeführten Check umgangen hat, in dem er den lokal gespeicherten Inhalt der Seite geändert hat.

Es ist ja prinzipiell schon keine besonders geschickte Idee Autorisierungen und Inhalte Client-Seitig und nicht Server-Seitig durchzuführen oder zu erstellen… aber wo es so geregelt ist (das sind in der Mehrheit zum Beispiel irgendwelche albernen Browserspielchen, wo sich der Server nicht groß mit Rechenlast rumärgern will) kann man über die DevTools Änderungen vornehmen

Hier zum Beispiel auch mit Edge… aber in dem Gerichtsverfahren wollte man wohl nicht zu sehr auf die Absurdität eingehen und implizit in den Raum stellen dass alle Rechner, die Windows installiert haben, unter den Hackerparagraphen fallen.

Damn… Das ist wirklich absurd…Im Endeffekt muss nach dem Paragraph also eigentlich jede Person die einen Rechner besitzt in den Knast… und alle mit Handy auch… o0

Der Paragraph ist halt ein Kind seiner Zeit gewesen…

Man muss sich 2007 (die Älteren werden sich erinnern) vielleicht noch mal in Erinnerung rufen, wie sah die Welt damals aus?

2005 Youtube geht an den Start
2006 Wikileaks wird begründet
2006 Anonymous taucht in den Nachrichten auf
2006 Twitter geht an den Start

Kurz gesagt - politisch gab es Unwohlsein, und irgendwas musste getan werden, also hat man folgerichtig halt „irgendwas“ getan.

Ulrich Kerner hat vor ein paar Jahren mal dazu einen rückblickenden Vortrag beim 36C3 dazu gehalten

1 Like

Tja, sieht ganz so aus als traut sich auf Bundesebene doch niemand an die wirklichen Probleme im Hackerparagraphen dran - der Passus mit dem Besitz von Software scheint nach aktuellem Entwurf drin zu bleiben.

Was gerade wieder schön aktuell ist, denn Anfang des Jahres wurde ein Sicherheitsforscher verurteilt, der bei einer IT-Bude eine Sicherheitslücke gefunden, und der Bude direkt gemeldet hat. Die hatten dann offenbar nichts besseres zu tun als den Sicherheitsforscher anzuzeigen … und gestern ist dann die Berufung final gekippt worden. Auf chaos.social gibt es dazu einen Prozessbericht.

Auch den Hinweis dass hier nicht mal ein Tool nötig gewesen ist, sondern man das fest einprogrammierte Passwort mit notepad anzeigen kann, oder den Vorschlag einen Sachverständigen herbeizuziehen, hat die Richter an der Stelle nicht interessiert.

Auch wegen solcher Geschichten schießen wir uns in Deutschland geradezu selbst ins Bein… man kann wirklich nicht gut argumentieren warum irgendjemand gefundene Sicherheitslücken beim Hersteller melden sollte, wenn er dafür angezeigt und verurteilt wird.

In der frühen Phase des Internets gab es dafür so viele beknackte Beispiele… man sollte wirklich meinen dass auch der letzte mittlerweile daraus gelernt hätte.