wern001 schrieb:
Das beste aus dem Hackerparaphen ist, ist dass das vorbereiten schon eine Straftat ist. Das bedeutet dass das kaufen eines USB-Sticks schon eine Straftat sein kann. Denn die Ausgespäten Daten müssen ja wo gespeichert werden.
Was einfach nicht stimmt, die Vorbereitung ist illegal, wenn sie mit der Absicht erfolgt die Tatbestände von §202a und 202b StGB zu verletzen. Ohne diese Absicht, sind die entsprechenden Werkzeuge problemlos handhabbar. Der heise Verlag war da ja gleich zu Anfang der trollig unterwegs und hat sich selbst angezeigt, weil sie auf ihren Heft CDs/DVDs entsprechende Werkzeuge und im Downloadbereich noch "schlimmeres" hatten. Da hat dann ein Gericht ohne großen Aufwand feststellen können, dass die Werkzeuge für sich genommen §202c StGB gar nicht verletzen, bzw. es nicht vom Gesetzgeber beabsichtigt ist die legitime Verwendung entsprechender Werkzeuge zu sanktionieren.
Auch ist §202a und §202b mittlerweile halbwegs gut durch Gerichte abgeklopft. Die tendieren in der Regel nicht dazu, irgendwen zu verknacken, weil er/sie in fremde Systeme eingedrungen ist, um Sicherheitslücken zu belegen.
Der Imho problematischste Teil ist derzeit, dass Anzeigen anhand dieser Paragraphen möglich sind, und dass die Staatsanwaltschaft an der Stelle losmarschiert, eine Hausdurchsuchung samt Beweismittelsicherung beantragt (und genehmigt bekommt). An der Stelle marschiert die Polizei ein und nimmt alles mit, was ein Computer und/oder Speichermedium sein könnte. Egal ob Geräte der beschuldigten Person sind oder nicht. Damit ist die Arbeitsgrundlage eines jeden ITlers genauso weg, wie ein Großteil der privaten Erinnerungen und das über oftmals >1Jahr. Zudem sind alle IT-Geräte die im staatlichem Zugriff waren für paronider Gesellen (also alle, die zu einem solchen "Hack" fähig sind) verbrannt.
Selbst mit einem Freispruch, ist die "Ermittlungsarbeit" bereits ein solcher Hammer, dass "responsible Disclosure" an vielen Stellen extrem unattraktiv wird.
Das ist auch das größte Problem an der Stelle, hier müsste an StGB Paragraphen etwas geändert werden, sodass eine Staatsanwaltschaft dazu angehalten/verpflichtet wird in bestimmten Konstellationen ihre Ermittlungsbefugnisse nicht zu eskalieren. Gleichzeitig hat eine Staatsanwaltschaft in der Regel gar kein Interesse daran, erstmal zu ermitteln, ob ein Hack in guter Absicht geschah. Indem Falle hätte man vermutete Täter ja vorgewarnt, bevor eine Beweismittelsicherung erfolgt.
Ich befürchte, dass hier am StGB gearbeitet wird, unbeabsichtigt die Paragraphen so abgeändert werden, dass die bisherige Rechtsprechung nicht mehr zutrifft und die getroffene Regeln am Hauptproblem für Whitehats vorbeigehen.
Und für die IT-Sicherheit wird es so oder so kaum etwas ändern. Durch die EU kommt zwar etwas Produkthaftung und verpflichtende Nachsorge, aber erschöpfend ist das nicht. Solang es um proprietäre Software geht, die auf fremden Computern (Cloud) läuft, ist durch die Öffentlichkeit die Sicherheit entsprechender Systeme kaum sinnvoll zu prüfen.
Naja und es gibt den Graubereich aus dem Urhebergesetz, welches Dekompilieren/Reverseengeneering verkompliziert. Es gibt zwar erlaubte Gründe, aber Sicherheitsüberprüfungen gehören da nicht dazu. Auch wenn mit gerade kein Fall bekannt ist, wo irgend ne Firma auf diesem Wege versucht hätte Hacker·innen zu belästigen.
