19.11.2010/Kire

Die CVP und die Rache der IT-Fitten

Die CVP hat heute zwei Positionspapiere zum Thema Sicherheit und Internet veröffentlicht. Im Schutz vor Cyberwar sieht sie gar das Abendland gefährdet (Schreibfehler sind aus dem Original übernommen):

Unsere digitalen Netze sind unserer verwundbarste Stelle. Die Schweizerische Volkswirtschaft, unsere Infrastruktur ja gar unser Lebensraum kann durch einen Cyber‐Angriff massiv beschädigt werden. Unser Verkehrswesen, die Stromversorgung, das Sozialversicherungssystem, die Banken – alles hängt am Netz und ist potentiell manipulierbar. Unser Land könnte von einem Tag auf dem anderen sprichwörtlich ins Mittelalter zurückgeworfen werden. [...]

[Der] Cyberwar wird von Staaten, parastaatlichen oder terroristischen Organisationen geführt.

und fordert, dass

Der stetige Kampf im Internet [...] eine Kernaufgabe der Sicherheitskräfte im 21. Jahrhundert [ist].

Oha. Macht die Schotten dicht – resp. die Ports zu – und zieht die Zugbrücken hoch.

Auch im zweiten Text, Für mehr Schutz im Internet, werden ein paar interessante/lustige/bedenkliche Aussagen gemacht.

Da wird z. B. für die Bevölkerung IT-Fitness gefordert. Und zum Glück hat die die Partei bereits:

Seit dem Jahr 2008 hat die CVP zudem ein Bewusstsein für eine wesentlich breitere Problempalette entwickelt die mit dem Internet zusammenhängen. Darunter fallen Phänomene wie Killergames, Cyberbullying oder Happy Slapping.

Und leider gibt es da noch die LehrerInnen, die von den Kindern und Jugendlichen tatsächlich erwarten,

dass sie das Internet für Recherchen nutzen – wodurch sie sich in einer Welt ohne Kontrollen bewegen.

Die Forderung ist dann, z. B.

  • Jugendmedienschutz, also den Schutz von Kindern und Jugendlichen vor schädlichen Einflüssen durch Medien – anstatt Medienkompetenz,
  • eineN Cyberbullying BeauftragteN

und der Geistesblitz der IT-Fitten:

  • Zur Unterstützung der Eltern ist die Zertifizierung zur altersgerechten Beurteilung der Inhalte von Internetseiten durch eine von der Internet‐Branche unabhängige Stelle durchzusetzen. Die Provider sind dazu zu verpflichten, dass sie die Einstufung ihrer Inhalte transparent machen und die technische Zugänglichkeit entsprechend einschränken.

Leider verschweigt das Papier, wie eine Zertifizierung von Abermillionen Internetseiten (verteilt über die ganze Welt) zu erfolgen hat – und wie der Zugang auf die Seiten gesteuert werden soll. Anstatt dies während einer Joggingrunde ums virtuelle Gärtchen zu überdenken – folgen gleich noch ein paar krude Ideen:

  • Wir fordern deshalb eine automatische Erkennung von Teilnehmern in Diskussionsforen. Kritische Internetchatrooms müssen überwacht und dabei die geltenden Gesetze konsequent angewendet werden.
  • Das zentrale zur Verfügung stellen (Hosting Provider) kinderpornographischer Daten ist unter Strafe zu stellen. Die technischen Möglichkeiten, entsprechende Verlinkungen auf Servern zu entdecken, bestehen seit Jahren.
  • Die Schaffung des „Digitalen Hausfriedensbruchs“ als Straftatbestand.

Natürlich fehlt auch nicht die Aufforderung, dass die Schweiz die European Cybercrime Convention des Europarats vollumfänglich zu ratifizieren hat:

Die europäischer Cybercrime Convention soll die Richtschnur bilden, um das schweizerische „Computerstrafrecht“ ‐ im Wesentlichen bestehend aus den Art. 143, 143bis und 144 bis StGB aus dem Jahr 1995 – zu reformieren. Es stammt aus einer Zeit, wo der private Gebrauch des Internets noch die Ausnahme darstellte. Unter anderem sind Netzwerke ungeschützt.

Die armen Netzwerke tun mir wirklich leid – aber mit der Änderung des Strafgesetzbuches gemäss Cybercrime Convention erweisen wir der IT-Sicherheit einen Bärendienst. Am letzten Sonntag habe ich Christophe Darbellay und den MitunterzeichnerInnen der am 29.11. im Ständerat zu behandelnden Motion ein Mail gesendet.

Sehr geehrter Herr Nationalrat Darbellay
Sehr geehrte Damen und Herren Nationalräte

Mit der eingereichten und Motion fordern Sie den Bundesrat auf, mit der Ratifizierung des Übereinkommens des Europarates über die Cyberkriminalität vorwärtszumachen.

Darf ich Ihnen anhand eines aktuellen Beispiels aufzeigen, wieso die damit vorgesehene Gesetzesänderung bezüglich Art. 143bis StGB die ursprüngliche Absicht der Anpassung, nämlich Daten zu schützen respektive Computer sicherer zu machen, ins Gegenteil verkehrt?

Letzte Woche wurde eine Webbrowser-Erweiterung veröffentlicht, die es ermöglicht, auf einfache Art und Weise fremde Anmeldedaten zu übernehmen und sich als diese fremde Person beispielsweise bei Facebook anzumelden. Die grundlegende Problematik und die Gegenmassnahmen sind den Anbietern (Facebook, GMX, Twitter, Google etc.), wie auch interessierten Nutzern schon lange bekannt – und wurden auch ausgenutzt. Es brauchte aber die Veröffentlichung eines einfach zu verstehenden und anzuwendenden Programms, damit nun endlich Bewegung in die Angelegenheit gekommen ist – und sich die Hersteller um Abhilfe bemühen.

Mit der Ratifikation ist nun folgende Gesetzesergänzung vorgesehen:

StGB Art. 143bis Unbefugtes Eindringen in ein Datenverarbeitungssystem

1) (bestehend) Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

2) (neu) Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

Wie auch die Melde- und Analysestelle Informationssicherung (MELANI) in ihrem aktuellen Halbjahresbericht schreibt, werden damit zukünftig öffentliche “Full Disclosures” verboten sein. D. h. es könnten weder genaue Informationen noch (Beispiel-)Programme, wie das eben besprochene, veröffentlicht werden.

Den diesbezüglich unisono von der IT-Industrie im Rahmen der Vernehmlassung geäusserten Bedenken, wurden leider keine Beachtung geschenkt. Ein ungehinderter und öffentlicher Austausch von Informationen und Programmen zwischen Forschern in Beruf und Lehre, IT Dienstleistern und Anwendern ist jedoch zwingend notwendig. Nur wer weiss, wie es konkret um seine Sicherheit steht, kann sich auch entsprechend schützen resp. vom Hersteller Abhilfe verlangen. Es kann nicht angehen, dass durch Strafandrohung die Sicherheit leidet, während dem sich ein Angreifer, der sich durch das unbefugte Eindringen sowieso strafbar macht, die notwendigen Werkzeuge und Informationen aus dem Ausland beschafft.

Folgerichtig ist nicht die Verbreitung des Programms (resp. der Information) unter Strafe zu stellen – sondern dessen Einsatz.

Bei Fragen und für Anmerkungen stehe ich Ihnen selbstverständlich gerne zur Verfügung.

Bis jetzt stehen Antworten aus.