26.09.2010/Kire

Die Ratifizierung der Cybercrime Europaratskonvention ist abzulehnen

Im letzten Jahr lief die Vernehmlassung zur Genehmigung und Umsetzung der Europaratskonvention über die Cyberkriminalität (hier speziell: Verbreitung von sogenannten Hackertools). Unter anderem für die Swiss Internet User Group SIUG habe ich dazu eine Antwort geschrieben.

In der nun veröffentlichten Botschaft steht zwar auf Seite 13:

“Der Vertrieb von “Dual Use”-Vorrichtungen oder -Daten soll, unter gewissen Voraussetzungen und getroffenen Vorkehrungen, nach wie vor zulässig sein; Massnahmen zur Qualitätssicherung bezüglich eigener Systeme und im Auftrag von Dritten werden nicht als strafbar erklärt. Die im Rahmen der Vernehmlassung geäusserten entsprechenden Bedenken der IT-Industrie erweisen sich als unbegründet.”

Der Gesetzesartikel aus dem Entwurf wurde aber dahingehend gänzlich unverändert in den Bundesbeschluss übernommen:

StGB Art. 143bis Unbefugtes Eindringen in ein Datenverarbeitungssystem

1) (bestehend) Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mitFreiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

2) (neu) Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

Genau diese Dual-Use-Programme sind jedoch der Knackpunkt. Der Zweck einer Software lässt sich in den meisten Fällen aus ihrer selbst nicht eindeutig bestimmen. Ein Programm ist mit einem herkömmlichen Werkzeug vergleichbar. Genauso wie sich Skalpell, Hammer, Brecheisen oder Dietrich für nützliche oder gar lebensrettende Tätigkeiten einsetzen lassen, können sie auch für illegale Absichten verwendet werden. Darum ist auch erst diese Absicht (resp. die Tat selber) und nicht bereits die Verbreitung des Werkzeugs unter Strafe gestellt.

Viele dieser Tools werden von gängigen Betriebssystemen (Windows, Linux, MacOS X) standardmässig mit ausgeliefert. Andere sind für Leute aus der IT-Sicherheitsbranche täglich Brot. Ein ungehinderter und öffentlicher Austausch von Informationen und Programmen zwischen ForscherInnen in Beruf und Lehre, IT Dienstleistern und AnwenderInnen ist zwingend notwendig. Nur wer weiss, wie es konkret um seine Sicherheit steht, kann sich auch entsprechend schützen. Es kann nicht angehen, dass durch Strafandrohung die Sicherheit leidet, während dem sich ein Angreifer, der sich durch das unbefugte Eindringen sowieso strafbar macht, die notwendigen Werkzeuge und Informationen aus dem Ausland beschafft. Hier verkehrt sich die ursprüngliche Absicht des Gesetzes, nämlich Daten zu schützen respektive Computer sicherer zu machen, ins Gegenteil.

Daher ist auch der vorgelegte Bundesbeschluss vom Parlament abzulehnen.

(Wer einschlägige Kontakte hat, sei angehalten, diese für etwas Werbung in eigener Sache zu nutzen…)