Hackerparagraph: Difference between revisions
Jump to navigation
Jump to search
(→Weitere Informationsquellen: Mal komplett überarbeitet ergänzt und aktualisiert) |
|||
| (2 intermediate revisions by the same user not shown) | |||
| Line 3: | Line 3: | ||
Das [http://www.ejpd.admin.ch/ EJPD] will jetzt auch in der Schweiz einen [http://www.ejpd.admin.ch/ejpd/de/home/dokumentation/mi/2009/2009-03-13.html Hackerparagraphen einführen]. Die Folge wäre nicht nur die Kriminalisierung gefährlicher Hackertools (was ist das überhaupt?), sondern auch die von Exploits und Tools wie Nessus und Metasploit, welche zur Untersuchung der firmeninternen Infrastruktur auf Sicherheitslücken sehr hilfreich sind, sowie von einfachen administrativen Tools wie tcpdump, snoop (unter Solaris), wireshark und dergleichen. |
Das [http://www.ejpd.admin.ch/ EJPD] will jetzt auch in der Schweiz einen [http://www.ejpd.admin.ch/ejpd/de/home/dokumentation/mi/2009/2009-03-13.html Hackerparagraphen einführen]. Die Folge wäre nicht nur die Kriminalisierung gefährlicher Hackertools (was ist das überhaupt?), sondern auch die von Exploits und Tools wie Nessus und Metasploit, welche zur Untersuchung der firmeninternen Infrastruktur auf Sicherheitslücken sehr hilfreich sind, sowie von einfachen administrativen Tools wie tcpdump, snoop (unter Solaris), wireshark und dergleichen. |
||
= Aktueller Stand = |
|||
Es ist daher notwendig, dass alle Firmen, welche in der Schweizer Netzkultur sowie in der IT-Sicherheitsbranche tätig sind, ihre Lebensgrundlagen verteidigen. Der erste Schritt dazu wäre eine Antwort auf die o.g. Vernehmlassung. Dazu schreibt man einfach einen Text, in welchem man erklärt, was einen spezifisch am oben genannten Paragraphen stört, und warum man unter den Bedingungen nur noch schwer arbeiten kann, oder gar sein gesamtes Business fälschlicherweise illegalisiert sieht. Diese Vernehmlassungsantwort schickt man dann an das [http://www.ejpd.admin.ch/ejpd/de/misc/conform.0005.html?pageToMail=/content/ejpd/de/home EJPD] unter dem Stichwort ''Antwort auf die Vernehmlassung zum Cyberkriminalitätsgesetz''. |
|||
[http://www.ejpd.admin.ch/content/dam/data/kriminalitaet/gesetzgebung/cybercrime__europarat/ve-res-d.pdf Vernehmlassungsbericht] |
|||
= Aktueller Stand (gem [http://sonne.alt-f4.ch/cgi-bin/mailman/private/swiss-chaos/2010-May/002044.html Mail]) = |
|||
Grundsätzlich gibt es 2 Verfahren nach dem Ablauf der Vernehmlassungsfrist |
|||
(1) Bei weniger umstrittenen Vernehmlassungen wird der |
|||
Vernehmlassungergebnisbericht dem Bundesrat vorgelegt, welcher diesen |
|||
zusammen mit der Botschaft und dem Bundesbeschluss zu Handen des |
|||
Parlaments verabschiedet und publiziert. |
|||
(2) Bei umstrittenen Vernehmlassungen wird nur der Ergebnisbericht im |
|||
Bundesrat vorbesprochen. Der Vernehmlassungergebnisbericht wird aber |
|||
nicht dem gesamten Bundesrat vorgelegt. Kommentar und der |
|||
Bundesbeschluss-Vorschlag werden durch den Bundesrat verfasst und |
|||
gleichzeitig mit dem Vernehmlassungergebnisbericht veröffentlicht. |
|||
In diesem Fall soll nun '''Verfahren (1) im Juni''' zum Zug kommen (d.h. |
|||
die Vernehmlassungs-Vorlage war im Grundsatz unbestritten, was nicht |
|||
bedeutet, dass in den einzelnen Sachfragen keine Differenzen |
|||
aufgetaucht sind, sondern dass die Vorlage ALS |
|||
SOLCHE von einer breiten Mehrheit unterstützt wurde). |
|||
In welcher Reihenfolge das Thema in den Räten (NR,SR) behandelt wird, |
|||
wird durch den Parlamentsdienst entschieden. |
|||
Vor den Behandlungen in den Räten wird das Thema in den entsprechenden |
|||
Kommissionen in der Regel jeweils vorbesprochen. |
|||
Das heisst der Ball ist jetzt beim Parlament. Auf der Seite des Parlamentes findet man leider noch keine Infos über die nächste Session. |
|||
= Problempunkte der Gesetzesvorlage = |
= Problempunkte der Gesetzesvorlage = |
||
| Line 46: | Line 24: | ||
= Gesetzliches = |
= Gesetzliches = |
||
* Den Paragraphen zu Hackertools findet man [http://www.ejpd.admin.ch/ |
* Den Paragraphen zu Hackertools findet man [http://www.ejpd.admin.ch/content/dam/data/kriminalitaet/gesetzgebung/cybercrime__europarat/entw-bbl-d.pdf im Entwurf des EJPD] auf Seite 3. |
||
# Wer <s>ohne Bereicherungsabsicht</s> auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. |
# Wer <s>ohne Bereicherungsabsicht</s> auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. |
||
# '''Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zu dem in Absatz 1 genannten Zweck verwendet werden sollen, in Verkehr bringt oder zugänglich macht''', wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. |
# '''Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zu dem in Absatz 1 genannten Zweck verwendet werden sollen, in Verkehr bringt oder zugänglich macht''', wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. |
||
* Der problematische Paragraph basiert auf dem Artikel 6 Absatz 1 des [http://www.conventions.coe.int/Treaty/Commun/QueVoulezVous.asp?NT=185&CM=8&DF=1/19/2007&CL=GER Übereinkommens über Computerkriminalität des Europarats]. Dieses Übereinkommen wurde von der Schweiz Unterzeichnet ([http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=1&DF=3/18/2009&CL=GER Liste der Unterzeichnungen]) |
|||
** ''Besonders interessant ist Artikel 6 Absatz 2'': |
|||
**: '''Dieser Artikel darf nicht so ausgelegt werden''', als begründe er die strafrechtliche Verantwortlichkeit in Fällen, in denen das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen oder der Besitz nach Absatz 1 nicht zum Zweck der Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat, '''sondern beispielsweise zum genehmigten Testen oder zum Schutz eines Computersystems erfolgt'''. |
|||
= Weitere Informationsquellen = |
= Weitere Informationsquellen = |
||
Latest revision as of 13:43, 8 July 2010
Allgemeines
Das EJPD will jetzt auch in der Schweiz einen Hackerparagraphen einführen. Die Folge wäre nicht nur die Kriminalisierung gefährlicher Hackertools (was ist das überhaupt?), sondern auch die von Exploits und Tools wie Nessus und Metasploit, welche zur Untersuchung der firmeninternen Infrastruktur auf Sicherheitslücken sehr hilfreich sind, sowie von einfachen administrativen Tools wie tcpdump, snoop (unter Solaris), wireshark und dergleichen.
Aktueller Stand
Das heisst der Ball ist jetzt beim Parlament. Auf der Seite des Parlamentes findet man leider noch keine Infos über die nächste Session.
Problempunkte der Gesetzesvorlage
- Lokal beschränkt: das Ausland darf weiter angreifen, dem Inland wird die Möglichkeit zur Verteidigung genommen.
- Hilft nicht gegen IT-Sicherheitsprobleme. Nur regelmässige Audits und klare Security- und Incident-Handling-Konzepte helfen.
- Tools sind nicht spezifisch für gute und schlechte Zwecke gebaut, es kommt darauf an wie sie schlussendlich eingesetzt werden (Zum Angriff oder zur Verteidigung - Vergleich Waffe).
- Rechtsunsicherheit steigt dramatisch aufgrund schwammiger Formulierung. (EU-Style Gesetzqualität.)
- Tools oft zur Problemerkennung und -Behandlung in normalen Netzen notwendig (tcpdump, wireshark, zum Debuggen von z.B. MSS-Problemen).
- Vorbild Deutschland: Exodus der IT-Sicherheitsindustrie, grösserer Datenverlust der Regierung und einiger Firmen in der Zeit danach.
- Pikettdienst der Bundespolizei eine Lachnummer?
- Bund als IT-Sicherheitsdienstleister: Warum nicht die bestehenden IT-Sicherheitsfirmen machen lassen?
- Reaktiv, nicht proaktiv: es kann damit nur nach einem Einbruch aufgeräumt werden, wenn der Schaden bereits entstanden ist.
- ...
Gesetzliches
- Den Paragraphen zu Hackertools findet man im Entwurf des EJPD auf Seite 3.
- Wer
ohne Bereicherungsabsichtauf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. - Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zu dem in Absatz 1 genannten Zweck verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.
Weitere Informationsquellen
Vernehmlassung schweizer Hackerparagraph: