"Eine rechtliche Grauzone"

In seiner letzten Sendung informierte das ZDF-Magazin "Frontal 21" über eine von der TU Darmstadt entwickelte Software zum Hacken von WLAN-Netzwerken. Mit dem "AirCrack" ist es auch für Laien möglich in WEP und WPA geschützte Funknetzwerke einzudringen und sensible Daten auszuspionieren. Wired Equivalent Privacey (WEP) und Wi-Fi Protected Access (WPA) sind Verschlüsslungsalgorithmen für drahtlose Netzwerke und verhindern im Normalfall, dass übertragener Klartext von Außenstehenden mitgelesen werden kann. Gegenüber medien-mittweida.de erklärte Erik Tews, Student und Mitentwickler des "AirCrack", dass die Gesetzesänderung die Forschung im Bereich Netzwerksicherheit erheblich erschweren wird. "Bei unseren Lehrveranstaltungen gehört auch der Umgang und die Erstellung solcher Programme dazu. Die Studenten sollen so lernen wie Angriffe auf IT-Systeme funktionieren, um sich und ihre zukünftigen Arbeitgeber besser davor zu schützen." Durch die Änderung des Paragraphen 202 StGB werde dieses Wissen bei Absolventen deutscher Hochschulen in Zukunft fehlen, so Tews.

Am 25. Mai 2007 hatte der Bundestag der Strafrechtsänderung zur Bekämpfung von Computerkriminalität zugestimmt. Mit Ausnahme der PDS und eines SPD-Abgeordneten votierte das Parlament für die Änderung des Paragraphen 202 im Strafgesetzbuch. Zusätzlich zum Ausspähen gesicherter Daten wird nun auch die Herstellung von Computerprogrammen, die diesem Zweck dienen, unter Strafe gestellt. Wer Software dieser Art verbreitet oder anderen überlässt, muss mit einer Freiheitsstrafe von bis zu einem Jahr oder einer Geldstrafe rechnen. Mit der Gesetzesmodifikation passt sich Deutschland den vom Europarat angegebenen Mindeststandards zur Bekämpfung von Computerkriminalität an.

Der Begriff Computerkriminalität bezeichnet eine ganze Reihe von Straftaten, bei denen ein PC als Tatmittel eingesetzt wird. Als wichtigste Vertreter sind Kreditkartenbetrug, Phishing (das Erlangen von Passwörtern, indem man sich als vertrauenswürdige Person ausgibt), das Herstellen von Würmern und Trojanern sowie die Verbreitung von Raubkopien zu nennen. Laut aktuellster polizeilicher Kriminalstatistik gab es 2006 insgesamt 165 720 Straftaten (ohne Bayern), die über das Internet begangen wurden. Mit 52,1 Prozent nimmt der Warenbetrug den größten Anteil ein. Weiterhin ist auffällig, dass 84,4 Prozent der im Internet durchgeführten Straftaten aufgeklärt werden, jedoch nur 42,2 Prozent der Fälle mit Computerbetrug.

Sicherheitsexperten üben Kritik aus

Die Verabschiedung des Gesetzes bringt große Kritik mit sich. Administratoren und Sicherheitsexperten fühlen sich durch den Paragraphen 202 in ihrer Arbeit kriminalisiert, wie auch die Studenten um Erik Tews. Durch die allgemeine Formulierung im Gesetzestext werden ebenso Programme verboten, die eigentlich der Sicherheitsüberprüfung von Systemen dienen. Der Chaos Computer Club (CCC) stellt das Problem folgendermaßen dar. "Das allgemeine Verbot dieser Software ist etwa so hilfreich, wie die Herstellung und den Verkauf von Hämmern zu verbieten, weil damit manchmal auch Sachbeschädigungen durchgeführt werden."

Der CCC ist eine, 1981 in Berlin gegründete Vereinigung von und für Hacker. Ziele sind die Informationsfreiheit und ein "Menschenrecht auf Kommunikation". Damit distanziert sich der CCC von "Crackern", die, im Gegensatz zu "Hackern", destruktive illegale Ziele verfolgen. CCC-Sprecher Andy Müller-Maguhn weist auf eine noch viel größere Gefahr der Gesetzesänderung hin. "Hier wird systematisch ein gesetzlicher und organisatorischer Rahmen geschaffen. Dieser macht Bürger und Unternehmen wehrlos gegenüber Computerangriffen, Wirtschaftsspionage und auch dem Bundestrojaner." Sicherheitsforschung könne nur noch in einer unannehmbaren rechtlichen Grauzone stattfinden, so Müller-Maguhn.

Bundesregierung hält Befürchtungen für unbegründet

Die deutsche Bundesregierung dagegen hält die Angst für grundlos. Im Gesetzesentwurf vom 30. November 2006 heißt es: "Die Befürchtung, dass auch der gutwillige Umgang mit Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen von § 202c StGB-E erfasst werden könnte, ist nicht begründet." Laut Text würde man sich nur auf Programme beschränken, die für eine Straftat vorgesehen sind. Programme, die beispielsweise der Überprüfung der Sicherheit oder Forschung dienen, würden nicht erfasst werden.