04.03.2011/Kire

Nun haben wir ihn also, "unseren" Hackertools-Paragraphen

Gestern ist nach dem Stände- auch der Nationalrat dem Bundesrat gefolgt und hat die Umsetzung der Cybercrime-Konvention des Europarates genehmigt. Diese umfasst u.a. die Änderung des Strafgesetzbuches:

StGB Art. 143bis Unbefugtes Eindringen in ein Datenverarbeitungssystem

1) (bestehend) Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mitFreiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

2) (neu) Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

Meine Kritik habe ich schon mehrfach geäussert (1, 2).

Die Diskussion im Nationalrat war stellenweise etwas bizarr (Teil 1 und 2):

Wie wollen wir die Kriminalität über die Grenzen hinweg bekämpfen, wenn keine Grenze vorhanden ist? Internet ist ein weltweiter Freiraum. Entweder wir zensurieren diesen lokal oder wir setzen klare Grenzen bei den Internet-Service-Providern. Beides ist nicht vorgesehen. (Primin Schwander, SVP)

Leider haben sich auch die Grünen diskualifiziert:

Wir von den Grünen begrüssen den Beitritt der Schweiz zu diesem internationalen Abkommen. Nur Hand in Hand mit der internationalen Gemeinschaft können wir die Computerkriminalität, wenn überhaupt, wirksam bekämpfen. Hier geht es nicht nur um grenzüberschreitende Kinderpornografie, hier geht es auch um grenzüberschreitende Wirtschaftskriminalität, wie beispielsweise auch das Hacken von Bankdaten. Wir empfehlen daher Eintreten. (Alec von Graffenried, GPS)

Auch eine (teilweise) andere Gruppe scheint mit der Materie noch etwas Mühe zu haben:

Die Minderheit Schmid-Federer verlangt, es sei auf den Wortlaut "besonders gesichert" zu verzichten, weil dies mit der heutigen Technik – Beispiel WLAN – gar nicht mehr möglich sei und weil diese Bestimmung vor der Internetzeit geschrieben worden sei. (Barbara Schmid-Federer, CVP)

Und hier noch eine Aussage der zuständigen Bundesrätin:

Nicht strafbar macht sich in der Regel derjenige [nach geltendem Recht], der ein Passwort, einen Code oder ein Hacking-Programm mit der Absicht weiterverbreitet, dass dieses künftig für ein nicht genau bestimmtes Delikt gebraucht wird. Der Bundesrat schlägt nun vor, auch das vorsätzliche Verbreiten von solchen Programmen und Daten unter Strafe zu stellen. Es geht bei dieser Anpassung, welche vom Ständerat und der Mehrheit Ihrer Kommission unterstützt wird, also nicht darum, die Strafbarkeit für Sicherheitstests oder für die Ausbildung von IT-Spezialisten einzuführen. Der verantwortungsvolle Umgang mit Zugangscodes oder entsprechenden Programmen und Tools bleibt nach wie vor straffrei. (Simonetta Sommaruga, SP)

Das sind schöne Worte. Haben aber mit dem Gesetzestext auch nicht soo viel gemeinsam. Oder reicht es, wenn bei der öffentlichen Bekanntmachung einer Sicherheitslücke oder Verbreitung einer Vulnerability Scanner Software im Internet angegeben ist, dass diese bitte nicht zur Begehung einer Straftat gemäss StGB Art. 143bis lit. 1 verwendet werden soll. Wohl kaum.