Wenn ich die Meldungen der letzten Wochen jetzt zum Jahresende mal ein wenig Revue passieren lasse, dann kommt mir als erstes ein spezielles Thema in den Sinn: die Fernüberwachung privater PCs aka Online-Hausdurchsuchung. Nordrhein Westfalen hat bereits ein Gesetz verabschiedet, welches diese Handlungen erlaubt und keine Sau interessiert es. Nun will auch Niedersachsen nachziehen, weitere Bundesländer werden sicherlich folgen. Nebenbei bemerkt find ich es erstaunlich, dass diesmal nicht Bayern Vorreiter ist, aber das ist nebensächlich.
Tatsächlich ist in den letzten Wochen viel Müll verbreitet worden, was die Methoden des Eindringens in PCs angeht, viele Meldungen erwecken den Anschein, es würde ein Über-Trojaner entwickelt werden, der „mal eben“ einem potentiellen Terroristen untergejubelt wird und dann auf dessen PC anschlagsvorbereitung.doc und sprengsatzkostenanalyse.xls findet und die Inhalte an die Behörden weiterreicht. Dass dies größtenteils Schwachsinn ist, konnte man mittlerweile nun ebenfalls nachlesen, wenn der gesunde Menschenverstand oder das Know How für diese Erkenntnis nicht ausreichte.
Nachdenklich macht mich in diesem Zusammenhang allerdings der zeitliche Ablauf diverser Ereignisse. Im September verabschiedete das Bundeskabinett den Regierungsentwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität. Darin enthalten ist beispielsweise ein Passus, der den unbefugten Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen unter Strafe stellt. Gut, staatliche Behörden sind von derartigen Regelungen ausgenommen, Polizisten oder Beamte des Bundesgrenzschutzes dürfen unter bestimmten Voraussetzungen auch auf Menschen schießen. Aber interessant ist der Abschnitt, in dem Herstellung, Überlassen, Verbreitung oder das Verschaffen von „Hacker-Tools“, die bereits nach Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen, unter Strafe gestellt werden soll.
Das muss man sich nun einmal auf der Zunge zergehen lassen:
Es sollen Gesetze geschaffen werden, die „Hacker-Tool“ faktisch verbieten. Bekanntermaßen ist aber ein Werkzeug so lange ein Werkzeug, wie es nicht für illegale Handlungen eingesetzt wird. Die Geschichte mit dem Hammer, der sowohl zum Einschlagen von Nägeln als auch Köpfen verwendet werden kann, ist sicher jedem klar…
Und auch die von unseren Bundesheinis als „Hacker-Tools“ bezeichneten Werkzeuge sind vielfach nichts anderes als Werkzeuge. Die, die nötige Menge an krimineller Energie vorausgesetzt, natürlich auch missbraucht werden können. Sehr häufig werden diese Tools jedoch von Administratoren, Netzwerktechnikern und Sicherheitsbeauftragten dafür eingesetzt, Fehlkonfigurationen, Schwachstellen und Fehler im eigenen Netzwerk zu finden, um diese schließen zu können. Natürlich wäre es naiv von mir zu glauben, diese Tools würden ausschließlich dafür eingesetzt; ich bin nicht so blauäugig, so zu denken oder zu argumentieren. Allerdings werden mit diesen Gesetzesentwürfen oben genannte Personen, die tatsächlich nichts illegales tun und nur sich bzw. ihre Systeme schützen wollen, kriminalisiert. Diejenigen, die damit in Computer oder Netzwerke einbrechen wollen, kümmern sich ohnehin einen feuchten Kehricht um derartige Gesetze.
Nun stellen wir also fest: Man wird per Gesetz der Möglichkeit beraubt, seine Systeme auf Schwachstellen und Fehlkonfigurationen hin abzuklopfen. Läuft somit also unter Umständen ins offene Messer, wenn man für kriminelle Nutzer der „Hacker-Tools“ aus irgendeinem Grund zur Zielscheibe wird. Und: man hat keine (legale) Möglichkeit herauszufinden, ob man aufgrund eines Softwarebugs oder einer Fehlkonfiguration nicht zufällig ein Hintertürchen offen hält, über das entweder Scriptkiddies, Wirtschaftsspione oder aber eben auch Behörden nach Lust und Laune in den vermeintlich sicheren Daten herumwühlen. Und genau da scheint sich für mich im Augenblick der Kreis zu schließen. Ich soll nicht mehr prüfen dürfen, ob meine neuen Sicherheitsschlösser, meine Tür und mein Türrahmen sicher genug sind, damit im Fall eines Falles das Einsatzkommando sich nicht die Füße beim Eintreten der Tür bricht.
Wann wird hier in Deutschland eigentlich Verschlüsselung unter Strafe gestellt?