{"id":550,"date":"2008-03-09T13:01:53","date_gmt":"2008-03-09T11:01:53","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/550-zwischenstand-%c2%a7-202c-stgb"},"modified":"2025-04-05T22:56:42","modified_gmt":"2025-04-05T20:56:42","slug":"zwischenstand-%c2%a7-202c-stgb","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/550-zwischenstand-%c2%a7-202c-stgb","title":{"rendered":"Zwischenstand \u00a7 202c StGB"},"content":{"rendered":"<p>Die erste Runde im Kampf gegen den \u00a7 202c StGB ist offensichtlich vorbei, allerdings ist f\u00fcr keine Seite ein Punktsieg, geschweige denn ein K.O. ersichtlich. Da es inzwischen in der Presse recht ruhig geworden ist, m\u00f6chte ich hier kurz zusammenfassen wie der Stand zur Zeit ist.<\/p>\n<p><strong>Unverbindliche Meinung des Bundesjustizministeriums<\/strong><\/p>\n<p>Das Bundesjustizministerium, insbesondere Frau Zypries best\u00e4tigt jedem, der es gar nicht wissen will, dass Security-Programme nat\u00fcrlich weiterhin legal sind und eingesetzt werden d\u00fcrfen. Ich habe hier einerseits das Schreiben des Bundesministeriums der Justiz an EC-Council vertreten durch Herrn Kistemaker zur Legalit\u00e4t des Certified Ethical Hacker Seminars, das SSR-I f\u00fcr EC-Council in Europa anbietet (<a href=\"\/blog\/wp-content\/uploads\/2008\/03\/ceh.pdf\">PDF-Schreiben, 50 KB<\/a>). Au\u00dferdem best\u00e4tigt Frau Zypries pers\u00f6nlich dem Dachverband der IT-Revisoren in Deutschland ISACA (<a href=\"\/blog\/wp-content\/uploads\/2008\/03\/coresecurity.pdf\">PDF-Schreiben, 1,5 MB<\/a>), dass bei der Nutzung von Hacking-Tools zur Sicherheits\u00fcberpr\u00fcfung kein Problem vorliegt. Das klingt ja alles ganz gut, ber\u00fccksichtigt aber zwei m\u00f6gliche Probleme nicht.<\/p>\n<p>1. Wollen wir dem BMJ wirklich vertrauen?<\/p>\n<p>Hat das Bundesjustizministerium und im besonderen Frau &#8222;ich habe keine Ahnung&#8220; Zypries \u00fcberhaupt Ahnung wovon sie reden? Ich m\u00f6chte hier nur mal das Beispiel der Widerrufsbelehrung bei Online-Verk\u00e4ufen nennen. Da gibt es sogar eine offizielle amtliche, vom Bundesjustizministerium herausgegebene angeblich rechtssichere Widerrufsbelehrung. Aber nur angeblich rechtssicher. Das Landgericht Halle (Az. 1 S 28\/05) hat geurteilt, die amtliche Widerrufsbelehrung <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/76374\">gen\u00fcgt nicht den gesetzlichen Vorgaben<\/a>. Oder anders ausgedr\u00fcckt, das BMJ ist nicht einmal in der Lage, die eigenen Gesetze richtig zu verstehen und anzuwenden. In die <a href=\"http:\/\/www.talkteria.de\/forum\/topic-7420.html\">Abmahnfalle<\/a> ist insbesondere die <a href=\"http:\/\/www.spiegel.de\/netzwelt\/web\/0,1518,507693,00.html\">Staatsanwaltschaft Magdeburg getappt<\/a>. Selbst die beamteten Juristen verstehen die Gesetze nicht mehr. Und da sollen wir der unverbindlichen Aussage von Frau Zypries vertrauen? Pers\u00f6nliche Amtshaftung f\u00fcr Falschaussagen w\u00e4re hier sinnvoll und notwendig. Ein zweites Beispiel ist die Anwendung des Bundesdatenschutzgesetzes im Bundesjustizministerium. Auch hier hat das BMJ den Inhalt des selbst geschriebenen Gesetzes nicht verstanden und konnte (oder wollte) es nicht richtig anwenden. Erst nach <a href=\"http:\/\/www.heise.de\/newsticker\/meldung\/103440\">Androhung von Haft und Ordnungsgeld<\/a> sah sich das BMJ veranlasst, Gesetze einzuhalten. Wundert sich hier eigentlich noch irgendjemand \u00fcber Steuerhinterzieher?<\/p>\n<p>2. Ungel\u00f6ste Rechtsfragen<\/p>\n<p>Der \u00a7 202c StGB sieht insbesondere auch Strafen f\u00fcr denjenigen vor, der anderen die Tools zur Verf\u00fcgung stellt (w\u00f6rtlich: &#8222;einem anderen \u00fcberl\u00e4sst&#8220;). Ich kann leider die Gesinnung der Schulungsteilnehmer meiner Hacking-Seminare nicht \u00fcberpr\u00fcfen. Was ist, wenn ein Teilnehmer bereit ist, ein paar Tausend Euro zu investieren um sp\u00e4ter damit illegale Handlungen durchzuf\u00fchren? Sozusagen den Kurs im Wissen bucht, die dadurch erlernten Techniken und die erhaltenen Programme zu illegalen Zwecken einsetzen zu wollen. Klar, jeder Teilnehmer muss unterschreiben, dass er das nicht tut aber who cares. Leider treffen die Schreiben des BMJ hierzu keine Aussage, die Rechtsunsicherheit bleibt.<\/p>\n<p><strong>Tecchannel Anzeige gegen das BSI<\/strong><\/p>\n<p>Die Zeitschrift Tecchannel hatte im September <a href=\"http:\/\/www.tecchannel.de\/sicherheit\/grundlagen\/1729025\/\">Strafanzeige gegen das Bundesamt f\u00fcr Sicherheit in der Informationstechnik<\/a> wegen Verbreitung von Hackingtools (Versto\u00df gegen \u00a7 202c StGB) gestellt, insbesondere wird (immer noch) das Programm &#8222;John the Ripper&#8220; auf der Webseite des BSI zum <a href=\"http:\/\/www.bsi.de\/produkte\/boss\/index.htm\">Download<\/a> angeboten. Die Staatsanwaltschaft Bonn will die Anzeige gegen das BSI jedoch <a href=\"http:\/\/www.tecchannel.de\/sicherheit\/news\/1737140\/\">nicht weiter verfolgen<\/a>. Die Begr\u00fcndung erscheint etwas haneb\u00fcchen, die Staatsanwaltschaft schreibt, dass das Setzen eines Links nicht strafbar sei. Offensichtlich verkennen die Beamten, dass das BSI nicht nur einen Link setzt sondern direkt die Software auf der eigenen Webseite vorh\u00e4lt und zum Download anbietet. Alternativ k\u00f6nnte man den Bonner Beamten auch unterstellen, dass sie sich nicht trauen, sich mit dem m\u00e4chtigen BSI anzulegen. Tecchannel hat daher <a href=\"http:\/\/www.tecchannel.de\/sicherheit\/news\/1737683\/\">Beschwerde beim Leitenden Oberstaatsanwalt<\/a> am Landgericht Bonn eingelegt. Bisher gab es keine weiteren Neuigkeiten.<\/p>\n<p><strong>Selbstanzeige von Michael Kubert<\/strong><\/p>\n<p>Der Informatiker <a href=\"http:\/\/www.javaexploits.de\/\">Michael Kubert<\/a> hat sich selbst wegen Versto\u00df gegen \u00a7 202c <a href=\"http:\/\/mediaoffice.net\/2008\/02\/11\/auf-duennem-eis\/\">angezeigt<\/a>, da er auf seiner Homepage &#8222;Hackertools&#8220; ver\u00f6ffentlicht und verbreitet. Die Anzeige wurde von der Staatsanwaltschaft Mannheim mit <a href=\"http:\/\/mediaoffice.net\/2008\/02\/20\/hackerparagraf-verfahren-eingestellt\/\">Bescheid vom 13. Februar 2008 eingestellt<\/a>. Als Begr\u00fcndung wurde angegeben, das Programm sei &#8222;lediglich zum Zwecke der Tests durch Administratoren geeignet [&#8230;]&#8220;. Auch hier l\u00e4sst die Begr\u00fcndung nach Ansicht von Michael Kubert zu w\u00fcnschen \u00fcbrig. Insbesondere bedauert Kubert, &#8222;dass die Einstellung mehr mit den Erkenntnissen der Kripo begr\u00fcndet wurde als mit dem \u00a7 202c StGB&#8220;.<\/p>\n<p><strong>Verfassungsbeschwerde der VisuKom<\/strong><\/p>\n<p>Die VisuKom GmbH hat Verfassungsbeschwerde <span class=\"content\"> (Aktenzeichen BVR 2233\/07) <\/span>gegen den \u00a7 202c eingelegt (<a href=\"http:\/\/www.visukom.net\/fileadmin\/presse\/reports\/016_Verfassungsbeschwerde_202c.pdf\">PDF der Pressemitteilung<\/a>). Ob sich die Firma davon wirklich was verspricht oder es sich dabei haupts\u00e4chlich um eine Marketingaktion handelt ist mir nicht ganz klar. Pressewirksam war die Aktion auf jeden Fall. Ob was sinnvolles herauskommt wage ich zu bezweifeln. In der <a href=\"http:\/\/www.bundesverfassungsgericht.de\/organisation\/erledigungen_2008.html\">Liste der geplanten Urteile f\u00fcr 2008<\/a> des BVG ist das Aktenzeichen jedenfalls nicht enthalten. Hier passiert offensichtlich in absehbarer Zeit auch nichts.<\/p>\n<p><strong>EICAR Gutachten zum \u00a7 202c<\/strong><\/p>\n<p>Die <a href=\"http:\/\/www.eicar.org\/\">EICAR<\/a> European Expert Group for IT-Security, die u.a. den <a href=\"http:\/\/www.eicar.org\/anti_virus_test_file.htm\">EICAR-Testvirus<\/a> entwickelte, hat auf ihrer Webseite ein <a href=\"http:\/\/www.eicar.org\/press\/infomaterial\/JLUSSI_LEITFADEN_web.pdf\">Gutachten zu den Konsequenzen des \u00a7 202c<\/a> (PDF, 226 KB) f\u00fcr Sicherheits- und Penetrationstestunternehmen ver\u00f6ffentlicht. Eine Rechtssicherheit kann ein solches Gutachten nat\u00fcrlich auch nicht herstellen, es liefert jedoch ein paar Anhaltspunkte, wie man aus der m\u00f6glichen Strafbarkeit herauskommt:<\/p>\n<ol>\n<li>Sorgfalt: &#8222;Im Umgang mit Hackertools und Malware, die zu Testzwecken beschafft oder erstellt wird, ist besondere Sorgfalt geboten. Solche Software sollte an niemanden weitergegeben werden, bei dem nicht sicher ist, dass er die Software zu gutartigen Testzwecken einsetzen will.&#8220;<\/li>\n<li>Dokumentation: &#8222;Wenn ein Hackertool oder Malware beschafft &#8222;gleichg\u00fcltig, ob kostenlos oder kommerziell&#8220; oder erstellt wird, sollte nachvollziehbar protokolliert werden, f\u00fcr welche Test- und Sicherheitszwecke das Programm beschafft wird und welche Verwendung des Programms vorgesehen ist. Aus der Dokumentation sollte sich zweifelsfrei ergeben, dass die Software nicht beschafft wurde, um Straftaten zu begehen, sondern um gutartige T\u00e4tigkeiten auszu\u00fcben.&#8220;<\/li>\n<li>Einwilligung: &#8222;Liegt von dem jeweils Berechtigten, auf dessen Computersysteme oder Daten zu Testzwecken Angriffe ver\u00fcbt werden sollen, eine Einwilligung in die Ma\u00dfnahmen vor, so entf\u00e4llt die Strafbarkeit der vorbereiteten Tat und mithin auch die Strafbarkeit der Vorbereitung. Die Einwilligung sollte m\u00f6glichst schriftlich erfolgen und hinreichend konkret die Ma\u00dfnahmen nennen, in die eingewilligt wird.&#8220;<\/li>\n<\/ol>\n<p>Bei einer Beachtung dieser Punkte scheint eine konkrete Strafbarkeit weitestgehend ausgeschlossen.<\/p>\n<p><strong>KES-Artikel von Thomas Feil<\/strong><\/p>\n<p>[wird nachgetragen, ich habe die KES gerade nicht zur Hand]<\/p>\n<p><strong>Zusammenfassung<\/strong><\/p>\n<p>Offensichtlich handeln die Staatsanwaltschaften in Deutschland mit mehr Augenma\u00df und Sachverstand als das Bundesjustizministerium beim Schreiben der Gesetze. Im Moment sieht es jedenfalls nicht so aus, als w\u00fcrde die bef\u00fcrchtete massive \u00dcberkriminalisierung der Administratoren und IT-Sicherheitsdienstleister stattfinden. Das kann sich jedoch schnell \u00e4ndern, beispielsweise falls massive Hackerangriffe auf kritische Infrastrukturen stattfinden sollten. Die ben\u00f6tigte Rechtssicherheit ist leider weiterhin nicht in Sicht.<\/p>\n<p>Falls ich wichtige Informationen zum \u00a7 202c \u00fcbersehen haben sollte, bitte ich um kurze Mitteilung in den Kommentaren, ich werden die Infos dann nachtragen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die erste Runde im Kampf gegen den \u00a7 202c StGB ist offensichtlich vorbei, allerdings ist f\u00fcr keine Seite ein Punktsieg, geschweige denn ein K.O. ersichtlich. Da es inzwischen in der Presse recht ruhig geworden ist, m\u00f6chte ich hier kurz zusammenfassen wie der Stand zur Zeit ist. Unverbindliche Meinung des Bundesjustizministeriums Das Bundesjustizministerium, insbesondere Frau Zypries [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[1,8,14],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/550"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=550"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/550\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=550"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=550"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=550"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}