Der "Hackerparagraf" § 202c StGB, der "Hackertools" verbietet, ist noch gar nicht in Kraft, hat aber schon ein erstes Opfer gefunden: Das in About Security #115 erwähnte KisMAC. Das Programm wird aufgrund der geänderten Rechtslage nicht mehr in Deutschland weiterentwickelt. Eine Darstellung des rechtlichen Hintergrunds gibt es im Blog medien-gerecht. Ich weiß nicht, was sich die für das Gesetz Verantwortlichen dabei gedacht haben. Aber die Folgen sind fatal: Die Gesetzesänderung verhindert die Absicherung deutscher IT-Systeme. Einen Verbrecher interessiert das Verbot der "Hackertools" nicht, der nutzt alles, was seinem Zweck nützt. Und in Zukunft wird er sehr viel öfter an sein Ziel gelangen. Denn einem gesetzestreuen Bürger ist es nicht mehr möglich, z.B. mit KisMAC ein WLAN auf unsichere Passwörter zu prüfen. Und wie soll man die Qualität eines unbekannten Passworts anders prüfen als durch einen Knackversuch? Wenn ich wissen will, ob ein System Angriffen widerstehen kann, muss ich es mit den Werkzeugen testen, die auch ein Angreifer verwenden würde. Es nützt wenig bis überhaupt nichts, stattdessen nur ein paar theoretische Überlegungen anzustellen.

Ich kenne etliche Administratoren, die die Passwörter in ihren Netzen mit "Hackertools" prüfen, um die Nutzung von Passwörtern wie "12345678", "passwort", "schatzimausi" und Co. zu verhindern. Mit meist erschreckenden Ergebnissen. Die entsprechenden Nutzer werden dann mehr oder weniger energisch aufgefordert, ein sicheres Passwort zu wählen. In Zukunft ist dieses Vorgehen höchstwahrscheinlich illegal. Höchstwahrscheinlich, weil erst noch die Gerichte entscheiden müssen, was nun tatsächlich ein "Hackertool" ist und was nicht. Und wenn ich mir die Urteile (nicht nur) im IT-Bereich ansehe, dürfte ein entsprechender Prozess erst einmal durch die Instanzen marschieren, bis es am Ende ein (hoffentlich sachkundiges) Urteil gibt. In der Zwischenzeit werden wir im Bereich IT-Sicherheit in einem juristischen Minenfeld arbeiten müssen. Einen kleinen Lichtblick gibt es: "Wo kein Kläger, da kein Richter". §205(1) StGB: "In den Fällen des § 201 Abs. 1 und 2 und der §§ 201a bis 204 wird die Tat nur auf Antrag verfolgt". Solange man also im eigenen Netz bleibt, dürfte man relativ sicher vor einer Strafverfolgung sein.

Die, die für den Unsinn verantwortlich sind, stört das nicht weiter. Wenn sich Politiker in etwas verrannt haben, hält sie bekanntlich nichts auf - bis sie vorm Verfassungsgericht bzw. den anderen höchsten zuständigen Gerichten scheitern.

Tausche ein "n" gegen zwei "f"!
Oder: Wie aus der On- die Offline-Durchsuchung wurde
Nachdem Herr Dr. Schäuble ja gegenüber der taz zugegeben hat, dass er von IT keine Ahnung hat, hat das BKA nun gegenüber Chip die Katze bzw. den Bundestrojaner aus dem Sack gelassen. Dabei kam heraus, dass es gar nicht um einen Online installierten Trojaner geht. Ganz im Gegenteil: Die Schlapphüte machen das, was sie schon immer gemacht haben, und brechen in die Wohnung des möglichen "Gefährders" ein. Dann wird der Inhalt aller gefundenen Massenspeicher kopiert, daheim in der Dienststelle ein individueller Schädling programmiert und der dann bei einem erneuten Einbruch im System des möglichen Gefährders installiert. Soweit die Theorie. Was machen die BKA-Leute eigentlich, wenn sie keinen Rechner finden, weil der mögliche Gefährder seine Daten auf einem verschlüsselten Datenträger in der Hosentasche mit sich herumträgt und statt eines eigenen Rechners Internet-Cafes nutzt?

Mein Kommentar ist kurz und knapp, aber nicht Druckreif. Daher: Piieeeep. Warum? Das lasse ich Herrn Dr. Schäuble selbst beantworten, die Online-Durchsuchung ist schließlich seine Idee:

taz: Warum wollen Sie Computer unbedingt heimlich überwachen? Genügt es nicht, den Rechner bei einer Hausdurchsuchung zu beschlagnahmen und dann auszuwerten?
Wolfgang Schäuble: Nein, es gibt Fälle, da würden die Ermittlungen vorschnell gestört, wenn die Polizei eine Hausdurchsuchung macht. Dann würden Hintermänner und Komplizen gewarnt und könnten ausweichen. Außerdem ist ein Laptop ja auch leicht zu verstecken, vielleicht wird er bei einer Durchsuchung gar nicht gefunden. Ans Internet muss er aber immer wieder.
(Das Zitat stammt aus dem schon weiter oben verlinkten taz-Interview, Hervorhebung von mir.)

Also, noch mal langsam zum Mitdenken: Die Sicherheitsbehörden brauchen den Bundestrojaner, weil eine Hausdurchsuchung die Ermittlungen stört und ein Laptop ja sowieso versteckt wird. So Herr Dr. Schäuble. Um den Bundestrojaner, der jetzt "Remote Forensic Software" heißt, zu installieren, wird beim Verdächtigen eingebrochen und nach Rechnern gesucht. So Herr Zierke, Präsident des Bundeskriminalamts. Muss man das noch weiter kommentieren?

Ach ja: Damit der Offline installierte Bundestrojaner, Pardon, die Remote Forensic Software, ungestört nach Hause telefonieren kann, wird die Firewall des Verdächtigen angepasst. Tolle Idee. Und wie verhindert das BKA, dass der Verdächtige das ändert? Oder eine zusätzliche Firewall installiert? Z.B. die mGuard von Innominate: Klein und handlich, passt auch in die Hosentasche. Dumme Sache fürs BKA, wenn die die Personal Firewall des Desktop-Rechners des Verdächtigen präparieren und der, wenn er nach Hause kommt, vor dem Onlinegehen erst die immer unter seiner Kontrolle behaltene Mini-Hardware-Firewall in die Leitung hängt. Ach, ich vergaß: Gesucht wird ja der Super-DAT.

Carsten Eilers