Allgemeines

Das EJPD will jetzt auch in der Schweiz einen Hackerparagraphen einführen. Die Folge wäre nicht nur die Kriminalisierung gefährlicher Hackertools (was ist das überhaupt?), sondern auch die von Exploits und Tools wie Nessus und Metasploit, welche zur Untersuchung der firmeninternen Infrastruktur auf Sicherheitslücken sehr hilfreich sind, sowie von einfachen administrativen Tools wie tcpdump, snoop (unter Solaris), wireshark und dergleichen.

Aktueller Stand

Vernehmlassungsbericht

Das heisst der Ball ist jetzt beim Parlament. Auf der Seite des Parlamentes findet man leider noch keine Infos über die nächste Session.

Problempunkte der Gesetzesvorlage

• Lokal beschränkt: das Ausland darf weiter angreifen, dem Inland wird die Möglichkeit zur Verteidigung genommen.
• Hilft nicht gegen IT-Sicherheitsprobleme. Nur regelmässige Audits und klare Security- und Incident-Handling-Konzepte helfen.
• Tools sind nicht spezifisch für gute und schlechte Zwecke gebaut, es kommt darauf an wie sie schlussendlich eingesetzt werden (Zum Angriff oder zur Verteidigung - Vergleich Waffe).
• Rechtsunsicherheit steigt dramatisch aufgrund schwammiger Formulierung. (EU-Style Gesetzqualität.)
• Tools oft zur Problemerkennung und -Behandlung in normalen Netzen notwendig (tcpdump, wireshark, zum Debuggen von z.B. MSS-Problemen).
• Vorbild Deutschland: Exodus der IT-Sicherheitsindustrie, grösserer Datenverlust der Regierung und einiger Firmen in der Zeit danach.
• Pikettdienst der Bundespolizei eine Lachnummer?
  • Bund als IT-Sicherheitsdienstleister: Warum nicht die bestehenden IT-Sicherheitsfirmen machen lassen?
  • Reaktiv, nicht proaktiv: es kann damit nur nach einem Einbruch aufgeräumt werden, wenn der Schaden bereits entstanden ist.
• ...

Gesetzliches

• Den Paragraphen zu Hackertools findet man im Entwurf des EJPD auf Seite 3.

1. Wer ohne Bereicherungsabsicht auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
2. Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zu dem in Absatz 1 genannten Zweck verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

Weitere Informationsquellen

Vernehmlassung schweizer Hackerparagraph:

• Seite vom EJPD bezgl Cypercrime
• Neueste Medienmitteilung
• Entwurf Bundesbeschluss

Schweizer Medien / Blogs

• "Schweiz soll einen Hackerparagraphen bekommen" (symlink.ch, 13.03.2009)
• An attempt at forbidding «hacker tools» in Switzerland (planet.fsfe.org, 06.05.2009)