An folgendem ist Schäuble vermutlich gar nicht so arg schuld. Die Schuld trägt das gesamte Horrorkabinett in Deutschland. Auch die Opposition, die es nicht erreicht hat, so etwas zu verhindern.

Worum es geht? Ums neue

Computerstrafrecht

Also, ich bin juristischer Laie. Ich sehe es nicht ganz so verbissen, wie einige andere, die Vogel-Strauß-artig in Panik ihre Homepage selbstzensierten:

• www.heise.de/security/news/meldung/93585
  
• blog.php-security.org/archives/91-MOPB-Exploits-taken-down.html

Aber, als Laie, dies lesend, bekomme das kalte Grausen.

Also mal eine kleine Einführung wie ich es sehe.

• Zu Strafrecht gehört Vorsatz. Das Problem: Was Vorsatz ist und was nicht ist Auslegungssache. Schon bei einer unbedachten Äußerung kann mir ein findiger Jurist Vorsatz unterstellen, z. B. weil ich diese nicht zurückgezogen habe. Aber, so frage ich, was ist ein Rückzug bitte anderes als eine nachträgliche Selbstzensur? Eine Klarstellung zu fordern wäre in Ordnung, ein Rückzug der Aussage (im Internet gleichbedeutend mit Löschung) ist Zensur! (Vielleicht nicht Zensur im Sinne der Juristen, aber Zensur im Sinne der Bücherverbrennung im 3. Reich.) Tatsache ist einfach: Wer Vorsatz unterstellt muss den auch beweisen können. Aber allzu leicht wird inzwischen in viel zu vielen Dingen von Vorsatz ausgegangen, und das ist eine Verballhornung des Prinzips der Unschuldsvermutung!
• Recht liest sich zwar wie ein Mathematische Definition (somit hat er eine Voraussetzung, die Gegebenheiten und eine Definition), aber es ist leider keine. Ich als Mathematiker habe deshalb gravierende Probleme, juristische Texte wie Gesetzestexte zu verstehen. Denn findige Juristen drehen das Recht einfach um, getreu dem Motto: Wer die Gegebenheiten und die Definition erfüllen kann, der erfüllt somit auch die Voraussetzung. Das ist geradezu eine Ungeheuerlichkeit. Aber genau so ist das: Die Gesetze gegen die Bildung einer terroristischen Vereinigung - die Voraussetzung zur Anwendung der Antiterrorparagraphen sind - werden schlicht als gegeben vorausgesetzt damit man die Antiterrorparagraphen gegen Journalisten(!) oder Kritiker(!) anwenden kann. Wenn das nicht bedeutet dass in diesem Land inzwischen auf politischer Ebene nicht alle demokratischen Grundsätze verloren gegangen sind, dann weiß ich nicht, wie deutlich das Problem werden muss damit endlich jemand begreift, dass für unsere Führer unser Grundgesetz inzwischen nicht einmal mehr auf dem Papier existiert. Und genau hier ist die Gefahr: Wenn das Schule macht, dreht sich das Strafrecht ebenso um, zu "Wer ein Hackertool entwickelt bereitet auch eine Straftat vor, außer er kann das Gegenteil beweisen."

In einem gesunden Land mit gesunden Politikern könnte beides nicht vorkommen. Dort wäre die Präambel unseres Grundgesetzes der Garant von Freiheit, die Grundrechte würde nicht mit Hilfe fingierter Terrorgesetzanwendungen gebeugt und in Forschung und Lehre würde sich kein FUD breitmachen können.

Aber wir leben nicht mehr in einem gesunden Staat. Dieser Staat ist krank. Und der Krankheitsherd sitzt inzwischen tief im Kopf, ich würde sogar sagen, er ist pathologisch. Medizinisch gesehen wäre der Patient somit tot, denn man müsste ihm den Kopf amputieren und durch ein Ersatzorgan austauschen. Genau das passiert aber nicht. Und so schleppt sich ein Zombie durch die Gegend, das Land namens Deutschland. Und das Fatale an der Krankheit ist, dass das Immunsystem, das den Körper eigentlich gesund halten sollte, auf diese Form der Krankheit nicht anspricht.

Und genau deshalb sind die neuen Paragraphen so brisant. Es geht im Wesentlichen um:

• dejure.org/gesetze/StGB/202b.html Abfangen von Daten
• dejure.org/gesetze/StGB/202c.html Vorbereiten des Ausspähens und Abfangens von Daten
• dejure.org/gesetze/StGB/303b.html Computersabotage

Eigentlich sind diese Paragraphen harmlos:

• Sie bedürfen dem Vorsatz wie alles im Strafrecht.
  
• Sie wirken nur, wer eine Straftat vorbereitet oder begeht.
• Und sie bedürfen des Antrags, sofern kein öffentliches Interesse vorliegt.

Das hört sich eigentlich wenig spektakulär an. Ist es aber leider doch. Denn die Feinheiten sind es, die das Problem darstellen:

• Ich kann kein "Hackertool" ohne Vorsatz schreiben. Wenn ich damit also unabsichtlich eine Straftat begehe, falle ich sofort unter das Strafrecht.
• Das wäre nicht weiter schlimm, wenn das niemanden interessieren würde, also keiner einen Strafantrag stellt. Aber genau davon darf man nicht ausgehen, im Gegenteil. Genau darauf warten die Konkurrenten oder Gegner doch nur, dass man sich als Experte eine Blöße gibt. Nichts ist einfacher als jemandem eine strafbare Handlung anzudichten, vor allem dann nicht, wenn dies ganz klar und leicht zu dokumentieren ist. Es ist vollkommen zweitrangig ob die Strafverfolgung anschließend erfolg hat oder das Verfahren eingestellt wird. Es reicht die Exekutive in dieser Sache für sich zu instrumentalisieren um jemand für eine Zeit kaltzustellen und ggf. so an seinen Auftrag zu kommen.

Manch einer mag meinen, wir leben nicht in solch einer Welt. Aber leider tun wir es doch. Ich erinnere nur an die Anzeigenmaschinerie der Musikindustrie (MI) gegen unschuldige Tauschbörsennutzer. Ja, unschuldig waren sie, alle ohne Ausnahme. Ein Richter hat das klar formuliert, nämlich dass dies in den Bereich der Bagatelldelikte fällt, etwas, das nicht verfolgt werden kann!

Solch eine Bagatelle ist z. B. gleichrangig zu dem, was früher Mundraub war und heute abgeschafft ist. D. h. wenn ein Kind sich in einem Laden einen Lutscher krallt bevor die Mutter das verhindern kann, dann muss dieser Lutscher nicht bezahlt werden. Der Fehler lag beim Ladenbesitzer, der es dem Kind ermöglichte, trotz elterlicher Kontrolle so leicht an den Lutscher zu kommen.

Richtig, die Eltern bezahlen dann den Lutscher. Aber das tun sie alleine aus einem falschen Anstand heraus! Denn der Ladenbesitzer war es, der gegen Moral und Anstand verstoßen hat, als er die Leckereien genau in die Griffweite der unschuldigen Kinder gehängt hat, um seinen Absatz zu optimieren. Wären die Eltern aufrichtige Bürger, sie wären empört über so viel Unverschämtheit des Ladenbetreibers und würden die Bezahlung verweigern!

Und genau dann kommt das Bagatellrecht zum Tragen. Der Richter würde sagen, dass der geraubte Lutscher unter die Bagatellgrenze fällt und somit nicht verfolgt wird, und was der Ladenbesitzer tut zwar moralisch nicht zu rechtfertigen ist, aber ebenso die Bagatellgrenze unterschreitet, somit ebensowenig verfolgt werden kann. Der Ladenbesitzer hat ja seinen Schaden, nämlich den nicht-bezahlten Lutscher.

Um solche Bagatellen ging es hier. Die MI hat somit versucht, über eine Anzeigenmaschinerie unsere Justiz in Bagatellen zu ersäufen. Das werte ich geradezu als gezielten Angriff auf die öffentliche Ordnung!

Aber in Sachen Hackertools ist eine Bagatelle ausgeschlossen. Bagatellen liegen ab einem bestimmten Strafmaß ganz sicher nicht vor. Und was die MI kann, das kann Spammern nur billig sein. Da schreibt jemand ein Tool, das wirklich mal gegen SPAM gut sichert? Schieben wir ihm den Hackerparagraphen unter, mit gerichtsverwertbaren Beweisen. Und dann lassen die SPAMmer die Staatsanwälte den für sie unangenehmen Zeitgenossen aus dem Verkehr ziehen.

Ob ich hier übertrieben habe oder meine Phantasie nicht einmal ausreicht wird die Zukunft wohl erweisen. Das mit dem SPAMmer mag vielleicht wirklich weit hergeholt sein, aber ich gebe zu bedenken:

• Der Vorwurf von Besitz von Kinderporno wurde schon verwendet, um per Staatsanwalt einen Konkurrenten zu behindern, damit dieser aus dem Rennen geworfen wurde. (finde leider den Link nimmer.) Nur weil die Staatsanwaltschaft in Sachen Internet inzwischen nicht mehr ganz zu blauäugig ist wie früher und der Staatsanwalt auf Zack war konnte schlimmeres verhindert werden. Dazu kam aber auch, dass derjenige, dem es vorgeworfen wurde, wirklich unschuldig war. Dadaraufhin schlug das Verfahren natürlich auf denjenigen zurück, der ungerechtfertigt Anzeige erstattete. Allerdings ist das in diesem Fall nicht zu erwarten, denn wenn jemand Exploits veröffentlicht, dann ist auch ganz klar deren Urheber.
• Es ist leicht, einem Tauschbörsenteilnehmer fast beliebiges Material unterzuschieben. Dazu braucht man nur genug Informationen, was dieser Teilnehmer sucht, und packt genau das gesuchte (mit gefälschtem Inhalt) in die Tauschbörse.
• Es ist leicht, beliebigen Personen illegales Material unterzuschieben. Das Versenden einer eMail mit entsprechendem Attachment reicht. Das geht vollständig Anonym.
• Es sind Autoren bereits Viren entkommen. Sie sind also in freie Wildbahn geraten, obwohl der Autor das gar nicht wollte. Oft waren es wirklich Virenautoren, deren Produkt sich nur in einer meist unfertigen Version schneller verbreitet hat als "erwünscht". Aber es sollen auch "akademische Viren" darunter gewesen sein, also Dinge, die eigentlich nur geschrieben wurden, um die Machbarkeit zu demonstrieren. Ja, natürlich ist es fahrlässig, wenn so etwas passiert, aber es ist nicht vorsätzlich! Das ist im Strafrecht eben der Unterschied zwischen Mord bzw. Totschlag und (fahrlässiger) Tötung.
• Firmen haben ein Interesse, Bugs zu verschweigen. Insbesondere, wenn es um die Reputation geht (Cisco, Microsoft, Oracle) könnten Firmen Autoren, die einen Exploit für eine Schwachstelle veröffentlichen, einer strafbaren Handlung bezichtigen. Sie müssen dazu lediglich einen "Angriff" auf ihre Infrastruktur fingieren, und die Logs der Staatsanwaltschaft zur Verfügung stellen. Ich sage nicht, dass Firmen das machen werden. Aber es ist sehr gut möglich, dass es im Zusammenhang mit 0-Day-Exploits tatsächlich zu derartigen Fällen kommt, in denen die Firmen hier eine strafbare Handlung sehen, die in Wirklichkeit nicht vorhanden ist, die aber aufgrund der kurzen Zeitspanne auf den Entdecker des Exploits hinzuweisen scheint. Deshalb wird es in Zukunft gefährlich, Sicherheitslücken zu publizieren. Dies behindert vor allem die freie Entwicklung von Gegenmaßnahmen und fördert somit kommerzielle Anbieter von Sicherheitslösungen sowie Industriespionage durch fremde Geheimdienste. Und um noch ein Lieblingsthema unserer Politiker anzuführen: Es fördert auch den Terrorismus. (Terrorismus will Terror verbreiten. Wenn freie Plattformen angreifbarer werden hilft dies vor allem denjenigen, die Terror verbreiten wollen.)
• Irrtümer passieren. Wenn jemand ein "Hackertool" entwickelt (um die Sicherheit zu testen) kann beim Testen durchaus ein Angriffszenario schiefgehen, und somit ein unerwünschter Angriff auf ein anderes System erfolgen. Zwar werden diese Angriffe - da sie ungezielt und unerwünscht sind - meistens nicht von irgendeinem Erfolg begleitet sein, aber dies ist den Paragraphen egal! In ihnen wird nicht die erfolgreiche Straftat verurteilt, sondern deren Vorbereitung. Somit kann ein Irrtum oder eine leichte Fahrlässigkeit zu einer objektiv strafbaren Handlung führen. Es sind dann 3 Punkte erfüllt: Jemand hat vorsätzlich ein Hackertool entwickelt. Es kam zu einem Angriff auf ein System. Und der Systembetreiber erstattet Strafanzeige. Es muss also von der Vorbereitung einer Straftat ausgegangen werden, und entsprechend wird ermittelt. Ist dann der Entwickler des Hackertools ermittelt wird er einen sehr schweren bis unmöglichen Stand haben, zu beweisen, dass er keine Straftat vorhatte. Insbesondere da §303b nun eine besondere Bedeutung bekommt, denn jeder - auch unerwünschte - Angriff auf ein System unterdrückt Daten (es können Datenpakete deshalb verlorengehen, Verbindungen nicht zustandekommen). Ob so etwas erheblich ist oder nicht ist in diesem Fall zweitrangig, da bereits der Versuch strafbar ist, und hier argumentiert werden kann, da durch die Herstellung eines Hackertools ja ein Versuch nicht mehr von der Hand zu weisen ist.

Insgesamt im Zusammenhang mit anderen Paragraphen sehe ich hier die gefährliche Konsequenz, dass Forschung und Lehre massiv bedroht werden. Die Tatsachen liegen so:

• Jedes geeignete pre-pubertäre nicht strafmündige Kind ist inzwischen in der Lage, selbst Firmen wie Yahoo in die Knie zu zwingen. Das liegt IMHO zwar an der fahrlässigen Art und Weise wie solche Firmen das Internet für sich nutzen und weniger an den Kindern, aber das Strafrecht ist hier auf der Seite solch unverantwortlicher Firmen. Nur bei verantwortlich handelnden Firmen (dazu fällt mir eigentlich derzeit nur Google ein) wird so etwas nicht funktionieren (und wird auch keine strafrechtlichen Konsequenzen haben wie damals als Yahoo das FBI gegen einen Jugendlichen aktivieren musste, weil Yahoo selber nicht die Konsequenzen des eigenen Versagens tragen wollte).
• Das Internet ist ein Ort, in dem technische Kleinigkeiten dem unvorbereiteten Nutzer schnell über den Kopf wachsen können. Beispielsweise reicht es, wenn jeder Mensch auf diesem Planeten nur eine(!) eMail an eine einzige Person schicken würde, um den ISP dieser Person nachhaltig zu überlasten. Da sich aber einige Anwendungen in Netzen wie ein Lauffeuer verbreiten, kann ein kleiner Programmierfehler bereits nachhaltigste gravierende Auswirkungen haben (beispielsweise der Fall DLINK vs. GPS.dix.dk). Die Abgrenzung zwischen erlaubt, gefährlich und verboten ist da nicht mehr fließend, sondern nicht mehr möglich. Wenn der Gesetzgeber da den Richtungspfeil ganz klar auf verboten dreht, behindert er wichtigste Forschung.
• Eine wichtigere Forschung als Netze gegen Gefahren zu sichern kennt dieser Planet derzeit wahrscheinlich nicht (ich sehe das in Richtung Nachhaltigkeit). Wir sind da nicht in der Situation, dass wir eine tickende Zeitbombe aufhalten müssen, sondern dass die Bomben momentan permanent explodieren und wir derzeit nur in der Lage sind, die Explosionsauswirkung nach und nach zu mildern. So weit, dass wir die Detonationen verhindern können bevor sie auftreten sind wir noch nicht einmal ansatzweise, dazu ist noch extrem viel Forschung notwendig. Und da bedroht der Gesetzgeber die Forscher mit Strafbarkeit. Etwas kontraproduktiveres gibt es wohl nicht.
• Viele dieser "Forscher", ich würde sogar sagen, 95% der Leute die irgendwann einmal wichtig werden, haben exakt 0 Budget für Ihre Forschung zur Verfügung. Es beginnt oft schon in der Kinderzeit, wenn sich diese Leute damit beschäftigen, wie sie den Kopierschutz(sic!) ihres Konsolenspiels aushebeln können. Was man zu diesen Zeiten lernt kann einem das Leben nie wieder bieten. Von diesen Leuten zu fordern, dass sie sich, vor Entwicklung eines Virus, ein passendes Hochsicherheitsnetz zulegen müssen, damit sie nicht strafbar handeln, wäre so, als ob man von Eltern verlangen würde, sie müssten vor dem Sex ein (kostenpflichtigen und fast nicht bezahlbaren) Elternpass zulegen, der ihnen die Qualifikation zur Kindererziehung bestätigte. Natürlich kann man so etwas für wünschenswert halten, aber es ist inpraktikabel und inhuman. Natürlich könnte man Sex per se rechtlich sehr gefährlich werden lassen, aber wollen wir das? Also wieso geschieht das mit Sicherheitsforschung?

Fazit

Die Paragraphen mögen harmlos aussehen, aber in ihnen befindet sich gefährlicher Sprengstoff. Ich habe hier nur aufgeführt, was mir als juristischem Laien daran so auffällt.

Ich selber bin allerdings zu stur um mich durch diese Paragraphen nur irgendwie einschüchtern zu lassen. Wenn ich an einem Loch vorbeikomme (es geschieht eigentlich nie) werde ich den Exploit veröffentlichen. Und ich werde mich auch nicht davon abhalten lassen, "Hackertools" zu entwickeln (oder weiterzuentwickeln) wenn mir der Sinn danach stünde und das ebenso zu veröffentlichen.

Ich weiß, ich gehe damit durchaus ein Risiko ein. Aber das tue ich auch, wenn ich ins Auto steige oder die Straße überquere. Das einzige, was man mir dann vorwerfen könnte wäre, dass ich mir der Risiken wohlauf bewusst war. Allerdings lasse ich mich von solchen Gesetzen, die von unserem Horrorkabinett beschlossen worden sind, nicht ins Boxhorn jagen. Im Gegenteil, ich werde immer lauter werden und es immer lauter hinausschreien.

Bis mich jemand irgendwann mal erhört. Oder mich verstummen lässt.

Aber wahrscheinlich verhallt sowieso alles ungehört in der weiten Wüste des Internet.

-Tino, 2007-08-17