Dies ist im Prinzip die Frage, die Marc "Zugschlus" Haber in seinem Artikel "Berufsverbot" heute vormittag aufwarf. Ich liess mich dazu hinreissen und hatte zum Auftakt der Mittagspause noch einen schnellen Kommentar hingeworfen.
Grundlegend habe ich erstmal nichts gegen die Neugestaltung von §202a zu sagen, der Entwurf der Aufsplittung in §202a (neu) und §202b (neu) ist für mich als Laien ordentlich.
Die Krux des Paragraphen-Neuentwurfes liegt in $202c (neu) Abs.1 Punkt 2 und um ganz exakt zu sein im Nebensatz "Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,(...)".
21.09.2006
"StGB §202 neu - Berufsverbot für Security Consultants?"
21.09.2006 19:06 / Kommentare (0) / Kommentieren? /
Kategorien: / ICT - IT-Sicherheit /
Hier ist echt die Formulierung problematisch, da die meisten/fast alle(?) der aktuellen und gängigen Tools im Security Bereich zur Analyse und Fehlerentdeckung dienen, aber halt im dual use auch zur Vorbereitung und Durchführung von Straftaten dienen können und leider auch oft genug tun.
Schwer ist es auch, den "bösen" Tools die Existenz als z.B. sauberes Remote Administration-Tool abzusprechen. Back Orifice 2000 und Sub7even fallen mir hier ad hoc ein. Bei solchen kann man wohl nur noch über den damals häufig genutzten Injektionspfad als Trojanisches Pferd argumentieren - und das sehe ich generell mal als arg steinigen Pfad an.
Marc postuliert, es würde "also in Zukunft verboten sein,
Zwei dieser Punkte gälten auch jetzt schon unter der geltenden Gesetzgebung als beäugenswert: die Durchführung von Schwachstellenanalysen und das Präsentieren von "Live Hacking".
Die Kritikalität dieser beiden Aktionen wird durch das kleine Wörtchen "unbefugt" im Gesetzestext definiert - und durch ganz einfache, schriftliche Beauftragung unbedenklich. (Ich verweise hiermit auch auf die mEn absolut lesenswerte Studie "Durchführungskonzept für Penetrationstests" des BSI)
Die anderen drei Punkte sind nach bisheriger Gesetzgebung unkritisch.
Nun kommt aber §202c (neu) und gibt uns das Problem des "Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,(...)".
Wie definiere ich den Zweck eines Programmes? Über die Aussage des/der Autoren? Oder hauptsächliche Verwendungsform? Kann ich letztere eigentlich beweiskräftig
Wie kann man bösartige Intention hinter einem Programm ausschliessen?
Zum Glück reden wir hier noch von Strafrecht, da muss einem die Schuld nachgewiesen werden (Unschuldsvermutung), aber wenn hier nicht die Toolhersteller richtig laut aufschreien, wird dieser Passus für wirklich interessante Zeiten in der Branche sorgen.
Das Verbot von PoCs und des Beziehens von Bugtraq&Co kann ich aber so nicht aus dem Entwurf lesen. $202c (neu) Abs.1 Punkt 1 ist meiner laienhaften Meinung höchstens anwendbar, wenn (generelle) Informationen über Problematiken schon als "sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen" von den Juristen interpretiert werden.
Bei openBC kam auch bereits ein entsprechender Thread zur Auswirkung von §202c (neu) auf, mein Münchner Kollege Chris Wahl verwies dort auf die Stellungnahme der BITKOM zu den möglichen Auswirkungen der Gesetzesänderung. Was ich interessant fand, ist, das dort die Problematik des §202c (neu) eher kurz angeschnitten wird("nach Ansicht der Branche einerseits zu weit, andererseits zu eng gefasst"), es werden mMn leider keine genaueren Beispiele bzw. Argumente angeführt. Dafür wird begründet um eine Überarbeitung von §202b gebeten als auch die explizite Aufnahme von Phishing gefordert.
Fazit:
Wir Security Consultants werden zwar so kein "Berufsverbot" erhalten - aber unsere Arbeitsmittel sind derzeit in einem undefinierten Gebrauchsraum mit eventuellen Resultaten von Programmverbot und Autoreninhaftierung... und das ist definitiv keine schöne Aussicht. An dieser Stelle muss der §202c (neu) eindeutig überarbeitet werden.