Analyse
06.12.2010, 15:46 Uhr
Die Cybercrime-Konvention und die Folgen
Dieser Tage hat der Ständerat die Umsetzung der europäischen Cybercrime-Konvention in der Schweiz diskussionslos durchgewunken. In der IT-Security-Gemeinde ist das Übereinkommen des Europarats über die Computerkriminalität nicht ganz so unumstritten.
So wehrt sich etwa nach wie vor die Swiss Privacy Foundation gegen die Konvention. Kontrovers ist dabei das Verbot der Verbreitung von sogenannten Hackertools. Gegenüber Computerworld.ch äussert ein Vertreter der Organisation, der nicht namentlich genannt werden will, diesbezüglich Bedenken. “Ein ungehinderter und öffentlicher Austausch von Informationen und Programmen zwischen Forschern in Beruf und Lehre, zwischen IT-Dienstleistern und Anwendern ist zwingend notwendig. Nur wer weiss, wie es konkret um seine Sicherheit steht, kann sich auch entsprechend schützen und vom Hersteller Abhilfe verlangen”, argumentiert er. Es könne nicht angehen, so der Vertreter der Swiss Privacy Foundation weiter, dass durch Strafandrohung die Sicherheit leide, währenddem sich ein Angreifer, der sich durch das unbefugte Eindringen sowieso strafbar mache, die notwendigen Werkzeuge und Informationen aus dem Ausland beschaffen könne.
Die bevorstehende Gesetzesänderung stösst allerdings nicht bei allen Vertretern der IT-Security-Branche auf Ablehnung. Die Cybercrime-Konvention-Befürworter sehen dabei den Einsatz von Security-Tools beispielsweise zum Abklopfen von Firmennetzen auf Schwachstellen nicht in Gefahr. Wie Christoph Baumgartner, CEO des Thalwiler Sicherheitsspezialisten OneConsult, auf Anfrage von Computerworld meint, könnten “White Hat”-Hacker nachwievor solche an sich illegalen Werkzeuge für Security-Audits verwenden “Nur die Bereitstellung derartiger Tools und ihr unerlaubter Einsatz ist strafbar”, erklärt Baumgartner. Dies gälte nicht bei deren Nutzung im Security-Audit-Auftragsverhältnis. Denn nur unbefugtes Eindringen stehe unter Strafe. “Weil der Auftrag für das Eindringen vom Systemeigner ausgeht, handelt es sich ja um ein ‘befugtes Eindringen’”, ergänzt er.
Ähnlich sieht dies das Bundesamt für Justiz. Auf Anfrage erklärt Andrea Candrian, stellvertretender Chef im Fachbereich Internationales Strafrecht: “Massnahmen zur Qualitätssicherung bezüglich eigener Systeme und im Auftrag von Dritten werden nicht als strafbar erklärt”. Die im Rahmen der Vernehmlassung geäusserten entsprechenden Bedenken der IT-Industrie erweisen sich laut Candrian als unbegründet. Zudem bleibe die Ausbildung von IT-Sicherheitsfachpersonen, wo der Einsatz von «Hacking-Tools» thematisiert und durchgeführt wird, legal. Dagegen mache sich künftig strafbar, wer die Werkzeuge in einem “deliktsbereiten Umfeld verantwortungslos” verbreite, so das Bundesbeamt weiter.
“Dieser Punkt ist einer der am meisten missverstandenen Punkte in der Konvention”, pflichtet dem Ilias Chatzos bei, der beim IT-Security-Spezialisten Symantec für Regierunsgbeziehungen zuständig ist und an der Ausformulierung der Konvention des Europarats beteiligt war. Zur Veranschaulichung zieht er eine Analogie zu den Waffengesetzen. “Wenn Sie eine Pistole illegal erworben haben, ist deren Besitz auch illegal”, kommentiert er. “Kurzum: Was offline illegal ist, soll auch online illegal sein”, meint Chatzos. Handkehrum verfolge der Europarat mit der Cybercrime-Convention nicht die Absicht, legitime Aktivitäten zu unterbinden.
Die bevorstehende Gesetzesänderung stösst allerdings nicht bei allen Vertretern der IT-Security-Branche auf Ablehnung. Die Cybercrime-Konvention-Befürworter sehen dabei den Einsatz von Security-Tools beispielsweise zum Abklopfen von Firmennetzen auf Schwachstellen nicht in Gefahr. Wie Christoph Baumgartner, CEO des Thalwiler Sicherheitsspezialisten OneConsult, auf Anfrage von Computerworld meint, könnten “White Hat”-Hacker nachwievor solche an sich illegalen Werkzeuge für Security-Audits verwenden “Nur die Bereitstellung derartiger Tools und ihr unerlaubter Einsatz ist strafbar”, erklärt Baumgartner. Dies gälte nicht bei deren Nutzung im Security-Audit-Auftragsverhältnis. Denn nur unbefugtes Eindringen stehe unter Strafe. “Weil der Auftrag für das Eindringen vom Systemeigner ausgeht, handelt es sich ja um ein ‘befugtes Eindringen’”, ergänzt er.
Ähnlich sieht dies das Bundesamt für Justiz. Auf Anfrage erklärt Andrea Candrian, stellvertretender Chef im Fachbereich Internationales Strafrecht: “Massnahmen zur Qualitätssicherung bezüglich eigener Systeme und im Auftrag von Dritten werden nicht als strafbar erklärt”. Die im Rahmen der Vernehmlassung geäusserten entsprechenden Bedenken der IT-Industrie erweisen sich laut Candrian als unbegründet. Zudem bleibe die Ausbildung von IT-Sicherheitsfachpersonen, wo der Einsatz von «Hacking-Tools» thematisiert und durchgeführt wird, legal. Dagegen mache sich künftig strafbar, wer die Werkzeuge in einem “deliktsbereiten Umfeld verantwortungslos” verbreite, so das Bundesbeamt weiter.
“Dieser Punkt ist einer der am meisten missverstandenen Punkte in der Konvention”, pflichtet dem Ilias Chatzos bei, der beim IT-Security-Spezialisten Symantec für Regierunsgbeziehungen zuständig ist und an der Ausformulierung der Konvention des Europarats beteiligt war. Zur Veranschaulichung zieht er eine Analogie zu den Waffengesetzen. “Wenn Sie eine Pistole illegal erworben haben, ist deren Besitz auch illegal”, kommentiert er. “Kurzum: Was offline illegal ist, soll auch online illegal sein”, meint Chatzos. Handkehrum verfolge der Europarat mit der Cybercrime-Convention nicht die Absicht, legitime Aktivitäten zu unterbinden.
Hätte sich Computerworld.ch strafbar gemacht?
Bleibt noch die Frage offen, ob auch Medienberichte über Hacker-Tools künftig strafbar wären. So berichtete Computerworld.ch vor Kurzem über das Firefox-Addon Firesheep (http://www.computerworld.ch/aktuell/news/52703/) und wies später darauf hin, wie man sich vor Attacken schützen kann (http://www.computerworld.ch/aktuell/news/52717/). Beides ist ja in einem gewissen Sinn auch problematisch, propagieren wir hier doch indirekt ein Tool, das zum Passwortdiebstahl verwendet werden kann.
Doch Candrian vom Bundesamt für Justiz gibt Entwarnung: “Eine Veröffentlichung oder ein Beitrag über das Add-on Firesheep wäre, auch gemäss revidiertem Hacking-Tatbestand von Artikel 143 des Strafgesetzbuches, kaum strafbar”. Es sei zum einen nicht von einem Verbreiten oder, nur beschränkt, von einem Zugänglichmachen im Sinne des Gesetzes auszugehen. Zum anderen, und dies sei ein wichtiger Aspekt, diene der betreffende Artikel dem Zweck der Information und Analyse und, in einem zweiten Schritt, dem Schutz vor einem illegalen Zugriff.
Allerdings gilt das nur, so lange die Leserschaft von Computerworld.ch gesetzestreu ist und bleibt. Denn, so Candrian weiter: “Anders würde es aussehen, wenn die Verbreitung des Add-ons in einem anderen Rahmen an eine bekannterweise deliktsbereite Gemeinschaft und Leserschaft erfolgen würde”.
Symantecs Chatzos führt noch einen ganz anderen Aspekt ins Feld. Der Urherber der Konvention sei derselbe Europarat, der die europäische Menschenrechtskonvention ausgearbeitet hat und seit nun 60 Jahren schützt. “Dieser Europarat wird es kaum zulassen, dass eine weitere Konvention die dort festgelegten Menschenrechte wie das Recht auf freie Meinungsäusserung, die Pressefreiheit oder die Freiheit der Wissenschaft aushebeln würde”, sagt er. Noch weniger kann er sich denn auch vorstellen, dass “ein Land mit einer solchen demokratischen Tradition wie die Schweiz”, bei der Umsetzung der Cybercrime-Konvention die Menschenrechtsordnung ausser acht lassen wird.