Hackerparagraph: Difference between revisions

From chaoswiki
Jump to navigation Jump to search
(Mal die Referenzen zu DE entfernt, da die Thematik komplex und deutlich von DE verschieden ist, wegen a) Vernehmlassung, b) Rechtspraxis und c) Vorherdagewesenes, aktuellen Stand hinzugefügt.)
Line 4: Line 4:


Es ist daher notwendig, dass alle Firmen, welche in der Schweizer Netzkultur sowie in der IT-Sicherheitsbranche tätig sind, ihre Lebensgrundlagen verteidigen. Der erste Schritt dazu wäre eine Antwort auf die o.g. Vernehmlassung. Dazu schreibt man einfach einen Text, in welchem man erklärt, was einen spezifisch am oben genannten Paragraphen stört, und warum man unter den Bedingungen nur noch schwer arbeiten kann, oder gar sein gesamtes Business fälschlicherweise illegalisiert sieht. Diese Vernehmlassungsantwort schickt man dann an das [http://www.ejpd.admin.ch/ejpd/de/misc/conform.0005.html?pageToMail=/content/ejpd/de/home EJPD] unter dem Stichwort ''Antwort auf die Vernehmlassung zum Cyberkriminalitätsgesetz''.
Es ist daher notwendig, dass alle Firmen, welche in der Schweizer Netzkultur sowie in der IT-Sicherheitsbranche tätig sind, ihre Lebensgrundlagen verteidigen. Der erste Schritt dazu wäre eine Antwort auf die o.g. Vernehmlassung. Dazu schreibt man einfach einen Text, in welchem man erklärt, was einen spezifisch am oben genannten Paragraphen stört, und warum man unter den Bedingungen nur noch schwer arbeiten kann, oder gar sein gesamtes Business fälschlicherweise illegalisiert sieht. Diese Vernehmlassungsantwort schickt man dann an das [http://www.ejpd.admin.ch/ejpd/de/misc/conform.0005.html?pageToMail=/content/ejpd/de/home EJPD] unter dem Stichwort ''Antwort auf die Vernehmlassung zum Cyberkriminalitätsgesetz''.

= Aktueller Stand (gem [http://sonne.alt-f4.ch/cgi-bin/mailman/private/swiss-chaos/2010-May/002044.html Mail]) =

Grundsätzlich gibt es 2 Verfahren nach dem Ablauf der Vernehmlassungsfrist

(1) Bei weniger umstrittenen Vernehmlassungen wird der
Vernehmlassungergebnisbericht dem Bundesrat vorgelegt, welcher diesen
zusammen mit der Botschaft und dem Bundesbeschluss zu Handen des
Parlaments verabschiedet und publiziert.

(2) Bei umstrittenen Vernehmlassungen wird nur der Ergebnisbericht im
Bundesrat vorbesprochen. Der Vernehmlassungergebnisbericht wird aber
nicht dem gesamten Bundesrat vorgelegt. Kommentar und der
Bundesbeschluss-Vorschlag werden durch den Bundesrat verfasst und
gleichzeitig mit dem Vernehmlassungergebnisbericht veröffentlicht.

In diesem Fall soll nun '''Verfahren (1) im Juni''' zum Zug kommen (d.h.
die Vernehmlassungs-Vorlage war im Grundsatz unbestritten, was nicht
bedeutet, dass in den einzelnen Sachfragen keine Differenzen
aufgetaucht sind, sondern dass die Vorlage ALS
SOLCHE von einer breiten Mehrheit unterstützt wurde).
In welcher Reihenfolge das Thema in den Räten (NR,SR) behandelt wird,
wird durch den Parlamentsdienst entschieden.
Vor den Behandlungen in den Räten wird das Thema in den entsprechenden
Kommissionen in der Regel jeweils vorbesprochen.



= Problempunkte der Gesetzesvorlage =
= Problempunkte der Gesetzesvorlage =
Line 29: Line 55:
**: '''Dieser Artikel darf nicht so ausgelegt werden''', als begründe er die strafrechtliche Ver­antwortlichkeit in Fällen, in denen das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbrei­ten oder anderweitige Verfügbarmachen oder der Besitz nach Absatz 1 nicht zum Zweck der Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat, '''son­dern beispielsweise zum genehmigten Testen oder zum Schutz eines Computersystems er­folgt'''.
**: '''Dieser Artikel darf nicht so ausgelegt werden''', als begründe er die strafrechtliche Ver­antwortlichkeit in Fällen, in denen das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbrei­ten oder anderweitige Verfügbarmachen oder der Besitz nach Absatz 1 nicht zum Zweck der Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat, '''son­dern beispielsweise zum genehmigten Testen oder zum Schutz eines Computersystems er­folgt'''.


= Parallelen zu Deutschland =
Auch Deutschland hat einen "Hackerparagraphen" durchgewunken. Wie die Schweiz hat Deutschland das [http://www.conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=185&CM=8&DF=1/19/2007&CL=GER Übereinkommen über Computerkriminalität des Europarats] unterzeichnet ([http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=1&DF=3/18/2009&CL=GER Liste der Unterzeichnungen]).

* [http://www.bmj.bund.de/media/archive/1317.pdf Deutscher Gesetzesentwurf] basierend auf dem Übereinkommen des Europarats.
* [http://www.gesetze-im-internet.de/stgb/__202c.html Gesetzestext]:
# Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
## Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
## '''Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.'''
# § 149 Abs. 2 und 3 gilt entsprechend.

== Presseecho ==
* [http://www.heise.de/newsticker/IT-Branchenverband-gegen-pauschales-Verbot-von-Hacker-Tools--/meldung/79359 Heise.de Meldung "IT Branchenverband gegen pauschales Verbot von Hacker-Tools"]
** Der Bitkom hält den umstrittenen Regierungsentwurf zur Änderung des Computerstrafrechts für '''zu weitgehend, da auch "notwendige sicherheitsrelevante Aktivitäten" von Firmen in Frage gestellt würden.'''
* [http://www.ccc.de/press/releases/2006/20060925/ Pressemitteilung des CCC]
** Der Gesetzentwurf wird die '''Arbeitsgrundlagen von Sicherheitsberatern und Netzwerkexperten unter Strafe stellen'''. Bereits der Besitz und die Verbreitung von Werkzeugen zur Netzwerkanalyse und zur Aufdeckung von Sicherheitslöchern in Rechnersystemen sollen strafbar werden. '''Die Arbeit der Sicherheitsexperten wäre damit kaum mehr möglich und von ungerechtfertigter Kriminalisierung bedroht.'''
** Verboten werden sollen sogenannte 'Hackertools' und damit zugleich die '''öffentliche Diskussion von Sicherheitslücken'''. Der allgemein akzeptierte Standard zur '''Überprüfung der Sicherheit eines Systems ist es aber, dieses mit Angriffswerkzeugen zu testen''' (sog. penetration testing), um die dabei gefundenen Lücken schließen zu können.
* [http://www.spiegel.de/netzwelt/tech/0,1518,505130,00.html Spiegel "Datensicherung verboten?"]
** '''"Dieser Hacker-Paragraf wird auf jeden Fall die Tätigkeit von Security-Unternehmen einschränken"''', sagt Dirk Hochstrate, der im Vorstand des Bochumer Unternehmens G Data für die Software-Entwicklung zuständig ist.
** Die Free Software Foundation Europe (FSFE) kritisiert jedoch, dass der Gesetzgeber ohne Not '''eine Unsicherheit geschaffen habe''', wann ein Werkzeug erlaubt sei. '''"Damit laufen wir Gefahr, weitere Kompetenzen und kreative Menschen zu verlieren, welche wir in unserem Land dringend brauchen"''', erklärt der FSFE-Sicherheitsexperte Bernhard Reiter.


= Weitere Informationsquellen =
= Weitere Informationsquellen =
Line 54: Line 61:
* [http://www.ejpd.admin.ch/ejpd/de/home/dokumentation/mi/2009/2009-03-13.html Medienmitteilung zu "Vernehmlassung zur Umsetzung der Europaratskonvention eröffnet" (EJPD, 13.03.2009)]
* [http://www.ejpd.admin.ch/ejpd/de/home/dokumentation/mi/2009/2009-03-13.html Medienmitteilung zu "Vernehmlassung zur Umsetzung der Europaratskonvention eröffnet" (EJPD, 13.03.2009)]
* [http://www.ejpd.admin.ch/etc/medialib/data/kriminalitaet/gesetzgebung/cybercrime__europarat.Par.0001.File.tmp/vn-ber-d.pdf Vernehmlassungsentwurf] und der [http://www.ejpd.admin.ch/etc/medialib/data/kriminalitaet/gesetzgebung/cybercrime__europarat.Par.0004.File.tmp/entw-d.pdf erläuternder Bericht]
* [http://www.ejpd.admin.ch/etc/medialib/data/kriminalitaet/gesetzgebung/cybercrime__europarat.Par.0001.File.tmp/vn-ber-d.pdf Vernehmlassungsentwurf] und der [http://www.ejpd.admin.ch/etc/medialib/data/kriminalitaet/gesetzgebung/cybercrime__europarat.Par.0004.File.tmp/entw-d.pdf erläuternder Bericht]

'''Deutscher Hackerparagraph (§202c StGB):'''
* 25c3 Vortrag [http://events.ccc.de/congress/2008/Fahrplan/events/3028.en.html Der Hackerparagraph 202c StGB]
** Video: [http://mirrors.dotsrc.org/congress/25C3/video_h264_720x576/25c3-3028-de-der_hackerparagraph_202c_stgb.mp4 H.246], [http://ftp.stw-bonn.de/mirror/25C3/video_h264_iPod/25c3-3028-de-der_hackerparagraph_202c_stgb.ipod.m4v iPod]
** Audio: [http://mirror.netcologne.de/25c3/audio_only/25c3-3028-de-der_hackerparagraph_202c_stgb.mp3 MP3], [http://derchris.eu/ccc/25C3/audio_only/25c3-3028-de-der_hackerparagraph_202c_stgb.ogg OGG]
* [http://chaosradio.ccc.de/cr137.html Chaosradio zum Thema (CR137)]
* [http://www.bitkom.org/de/publikationen/38337_52342.aspx Leitfaden zum Umgang mit dem Hackerparagrafen (Bitkom)]
* [http://www.eicar.org/press/infomaterial/JLUSSI_LEITFADEN_web.pdf IT-Sicherheit und §202c StGB (eicar)]


= Schweizer Medien / Blogs =
= Schweizer Medien / Blogs =

Revision as of 00:37, 19 May 2010

Allgemeines

Das EJPD will jetzt auch in der Schweiz einen Hackerparagraphen einführen. Die Folge wäre nicht nur die Kriminalisierung gefährlicher Hackertools (was ist das überhaupt?), sondern auch die von Exploits und Tools wie Nessus und Metasploit, welche zur Untersuchung der firmeninternen Infrastruktur auf Sicherheitslücken sehr hilfreich sind, sowie von einfachen administrativen Tools wie tcpdump, snoop (unter Solaris), wireshark und dergleichen.

Es ist daher notwendig, dass alle Firmen, welche in der Schweizer Netzkultur sowie in der IT-Sicherheitsbranche tätig sind, ihre Lebensgrundlagen verteidigen. Der erste Schritt dazu wäre eine Antwort auf die o.g. Vernehmlassung. Dazu schreibt man einfach einen Text, in welchem man erklärt, was einen spezifisch am oben genannten Paragraphen stört, und warum man unter den Bedingungen nur noch schwer arbeiten kann, oder gar sein gesamtes Business fälschlicherweise illegalisiert sieht. Diese Vernehmlassungsantwort schickt man dann an das EJPD unter dem Stichwort Antwort auf die Vernehmlassung zum Cyberkriminalitätsgesetz.

Aktueller Stand (gem Mail)

Grundsätzlich gibt es 2 Verfahren nach dem Ablauf der Vernehmlassungsfrist

(1) Bei weniger umstrittenen Vernehmlassungen wird der Vernehmlassungergebnisbericht dem Bundesrat vorgelegt, welcher diesen zusammen mit der Botschaft und dem Bundesbeschluss zu Handen des Parlaments verabschiedet und publiziert.

(2) Bei umstrittenen Vernehmlassungen wird nur der Ergebnisbericht im Bundesrat vorbesprochen. Der Vernehmlassungergebnisbericht wird aber nicht dem gesamten Bundesrat vorgelegt. Kommentar und der Bundesbeschluss-Vorschlag werden durch den Bundesrat verfasst und gleichzeitig mit dem Vernehmlassungergebnisbericht veröffentlicht.

In diesem Fall soll nun Verfahren (1) im Juni zum Zug kommen (d.h. die Vernehmlassungs-Vorlage war im Grundsatz unbestritten, was nicht bedeutet, dass in den einzelnen Sachfragen keine Differenzen aufgetaucht sind, sondern dass die Vorlage ALS SOLCHE von einer breiten Mehrheit unterstützt wurde). In welcher Reihenfolge das Thema in den Räten (NR,SR) behandelt wird, wird durch den Parlamentsdienst entschieden. Vor den Behandlungen in den Räten wird das Thema in den entsprechenden Kommissionen in der Regel jeweils vorbesprochen.


Problempunkte der Gesetzesvorlage

  • Lokal beschränkt: das Ausland darf weiter angreifen, dem Inland wird die Möglichkeit zur Verteidigung genommen.
  • Hilft nicht gegen IT-Sicherheitsprobleme. Nur regelmässige Audits und klare Security- und Incident-Handling-Konzepte helfen.
  • Tools sind nicht spezifisch für gute und schlechte Zwecke gebaut, es kommt darauf an wie sie schlussendlich eingesetzt werden (Zum Angriff oder zur Verteidigung - Vergleich Waffe).
  • Rechtsunsicherheit steigt dramatisch aufgrund schwammiger Formulierung. (EU-Style Gesetzqualität.)
  • Tools oft zur Problemerkennung und -Behandlung in normalen Netzen notwendig (tcpdump, wireshark, zum Debuggen von z.B. MSS-Problemen).
  • Vorbild Deutschland: Exodus der IT-Sicherheitsindustrie, grösserer Datenverlust der Regierung und einiger Firmen in der Zeit danach.
  • Pikettdienst der Bundespolizei eine Lachnummer?
    • Bund als IT-Sicherheitsdienstleister: Warum nicht die bestehenden IT-Sicherheitsfirmen machen lassen?
    • Reaktiv, nicht proaktiv: es kann damit nur nach einem Einbruch aufgeräumt werden, wenn der Schaden bereits entstanden ist.
  • ...

Gesetzliches

  1. Wer ohne Bereicherungsabsicht auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
  2. Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zu dem in Absatz 1 genannten Zweck verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
  • Der problematische Paragraph basiert auf dem Artikel 6 Absatz 1 des Übereinkommens über Computerkriminalität des Europarats. Dieses Übereinkommen wurde von der Schweiz Unterzeichnet (Liste der Unterzeichnungen)
    • Besonders interessant ist Artikel 6 Absatz 2:
      Dieser Artikel darf nicht so ausgelegt werden, als begründe er die strafrechtliche Ver­antwortlichkeit in Fällen, in denen das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbrei­ten oder anderweitige Verfügbarmachen oder der Besitz nach Absatz 1 nicht zum Zweck der Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat, son­dern beispielsweise zum genehmigten Testen oder zum Schutz eines Computersystems er­folgt.


Weitere Informationsquellen

Vernehmlassung schweizer Hackerparagraph:

Schweizer Medien / Blogs