News IT-Sicherheitsforschung: Bundesregierung will Hacker-Paragraf entschärfen

[Andy]

Die Bundesregierung will den sogenannten Hacker-Paragrafen ändern. Wenn Forschende Sicherheitslücken aufdecken, sollen sie nicht mehr bestraft werden. Sicherheitsforscher begrüßen den Schritt, ihnen geht es aber noch nicht weit genug.

Zur News: IT-Sicherheitsforschung: Bundesregierung will Hacker-Paragraf entschärfen

 

[midwed]

@Andy

Wen Forschende Sicherheitslücken aufdecken, sollen sie nicht mehr bestraft werden.

Da fehlt ein zweites "N" bei "Wen" 😁

 

[Piktogramm]

Lilith hat recht, das Problem vom Hackerparagraphen geht der neue Vorschlag kaum an. Da können IT-Schlamper/-en pfuschen wie sie wollen, wer das als Hacker·in meldet muss dennoch mit Anzeige rechnen und der oftmals folgenden Hausdurchsuchung samt Sicherstellung aller Computersysteme in der Wohnung.
Für Selbstständige also wirtschaftlicher Totalschaden und selbst als Angestellter ist das doof, wenn man der Firma erklären muss, wie der ausgeliehene Gerätepark verschwunden ist -.-.

Zudem, selbst wenn man den Kram wiederbekommt, meist dauert das ewig und innerhalb der Sicherheitsbranche gelten alle Geräte als verbrannt, wenn sie einmal die Polizei im ihren Griffeln hatte.


Was es braucht ist endlich gescheite Haftung/Strafen für IT-Pfusch!

 

[Termy]

Eine Schande, dass das Problem wohl endlich Aufmerksamkeit unter den Regierenden bekommen hat, die Tragweite aber entweder nicht erfasst wird, oder ganz bewusst nur eine Nebelkerze gezündet wird, um das Volk zu beruhigen - und wie so oft bin ich mir nicht sicher, was schlimmer wäre

 

[Randnotiz]

Krass, was sich so kurz vor Ende einer Legislatur nochmal tun kann.
Fast so, als wolle man sagen, wir haben doch etwas in Richtung Digitalisierung gemacht.

 

[Mxhp361]

Ja genau, wir haben was in Richtung Digitalisierung gemacht. 😂

 

[konkretor]

Zero Days verkaufen ist deutlich lukrativer bei den Gesetzen

 

[tomgit]

Das Aufspüren von Sicherheitslücken in IT-Systemen soll daher nicht mehr strafbar sein, wenn es im Rahmen der IT-Sicherheitsforschung geschieht. Drei Voraussetzungen müssen Sicherheitsforscher dafür erfüllen. Die Hacker-Tätigkeiten müssen mit der Absicht erfolgen, eine Sicherheitslücke aufzudecken. Die Software-Hersteller oder die IT-Sicherheitsbehörde BSI müssen informiert werden. Und das Vorgehen muss auf Maßnahmen beschränkt sein, die erforderlich sind, um die Sicherheitslücke zu identifizieren.

Und die Politik stellt sich das also so vor, dass morgens der Whitehat seinen weißen Kapuzenpulli aus dem Schrank nimmt, ihn sich anzieht und zu sich selbst sagt "ich möchte heute die Schwachstelle CVE-4711-0815 finden"?

Das Bundesjustizministerium erhöht die Höchststraße für besonders schwere Fälle von IT-Straftaten von drei auf fünf Jahren. Das ist etwa der Fall, wenn die Angriffe auf kritische Infrastruktur zielen,...

Großartig, also kann weiterhin jedes Ethical Hacking in allen KRITIS-Bereichen weiterhin unnötig zur Anzeige gebracht werden? Wenn man also darauf hinweist, dass die Sicherheitsvorkehrungen in Krankenhäusern (KRITIS) einem Maasdammer ähneln, und man dies auch entsprechend belegt, liefert man dem Betreiber gleich noch Beweise, warum man einen hinter Gitter bringen soll.
Das selbe auch beim Staat, worunter im weitesten Sinne auch erneut die CDU-Wahlkampf-App fallen könnte.
Klasse.

 

[Piktogramm]

Und die Politik stellt sich das also so vor, dass morgens der Whitehat seinen weißen Kapuzenpulli aus dem Schrank nimmt, ihn sich anzieht und zu sich selbst sagt "ich möchte heute die Schwachstelle CVE-4711-0815 finden"?

Also meist ist es einfach nur folgendes:

• Upsi, das riecht komisch, mal genau hinschauen.. hoppala
• Ey, das wäre total praktisch wenn man da ne API zu hätte..
• Die Dokumentation ist genau so geschrieben, als würde da ne Lei.. ah shit!
• Kennen die Bobby Tables?.. Scheiße, jetzt muss ich ein Bugreport schreiben -.-

Und weiße Kapuzenpullis? Das ist Unsinn, realistisch ist ein Onsesie mit Katzenohren oder Kuhcostume.

 

[AsgardCV]

Man wird künftig immer noch sozial geächtet und entlassen....aber wenigstens nicht mehr vor Gericht gestellt......außer man wird verklagt. 👍

 

[tomgit]

@Piktogramm Mir sind die Wege (und das Auftreten ) der Bughunter durchaus bekannt, es ging mir hier tatsächlich eher darum, wie absurd sich das wieder von der Politik vorgestellt wird.
Insbesondere da ich mal in den Raum werfen würde, dass ein Großteil der Sicherheitslücken nicht von Security Researcher entdeckt werden, sondern aus Kuriosität verfolgt. Und das ist eins der vielen Problemen in dem pseudo-aktionistischen Gesetzesentwurf, der mal wieder völlig vorbei geht an der Realität in der IT.

 

[Boimler]

Und das ist eins der vielen Problemen in dem pseudo-aktionistischen Gesetzesentwurf, der mal wieder völlig vorbei geht an der Realität in der IT.

Die Formulierung "Realität der IT" entbehrt nicht einer gewissen Ironie. Gesetze sind eben keine Programmierbefehle oder gehorchen einer mathematischen Logik. Es spielt etwa aus Sicht der Justiz keine Rolle, ob man eine Sicherheitslücke gesucht oder zufällig gefunden hat. Hier gilt wie überall der Grundsatz: "Unwissenheit schützt nicht vor Strafe". Dass das Gesetz in genau diesem Punkt entschärft werden soll, ist ein großer Fortschritt, denn es schafft eine Vertrauensbasis anstatt einer Grauzone.

 

[jackii]

wer das als Hacker·in meldet muss dennoch mit Anzeige rechnen

Denk ich nicht, denn einfach dem Hersteller melden ist ja eindeutig mit Guter Absicht.
Nur wenn er gleichzeitig, was nicht unüblich ist, damit droht die Lücke und Code dafür zu veröffentlichen aka dem Unternehmen öffentlich zu schaden und Kriminellen sehr zu helfen Angriffe durchzuführen, dann könnte es anders aussehen. Und sollte es auch, denn Angriffsmöglichkeiten kommen nicht unbedingt von Schlampereien, Alle hatten sie schon mehrfach und können sehr umständlich zu stopfen sein, so sehr dass es unverhältnismäßig wäre für die geringe Wahrscheinlichkeit und ein möglichem Schaden.

Das Problem ist dass sich jeder erwischte Hacker dann einfach Sicherheitsforscher nennt um fein raus zu sein. Wenn man sie erst beim Verkauf gestohlener Daten belangen will, ist es schon zu spät, die Verbindung zum Hack ist nicht mehr klar und unwahrscheinlich jemals bei dem Richten zu durchsuchen und noch fündig zu werden..

 

[hallo7]

@Boimler Naja, niemand muss wissen das man eine Sicherheitslücke gefunden hat... Aber gerade das ist ja ein Problem. Normalerweise gibts Geld fürs melden von Sicherheitslücken und keine Strafandrohungen.

Das Gesetz sollte lieber regeln wie lange ein Hersteller Zeit hat die Lücke zu schließen. Ich würde mir da eine EU weite Meldestelle vorstellen, an die Lücken gemeldet werden können und die dann überprüft das die Lücken auch geschlossen werden. Dann mit Strafandrohung gegen die Hersteller.

 

[tomgit]

Es spielt etwa aus Sicht der Justiz keine Rolle, ob man eine Sicherheitslücke gesucht oder zufällig gefunden hat.

Muss aber für die Justiz wichtig sein, wer die Sicherheitslücke gefunden und den entsprechenden Organen gemeldet hat? Nur weil man nicht als Security Researcher gilt, soll man zufällig gefundene Sicherheitslücken nicht melden dürfen?

Hier gilt wie überall der Grundsatz: "Unwissenheit schützt nicht vor Strafe".

Das hat mit dem Thema zu tun...?

Dass das Gesetz in genau diesem Punkt entschärft werden soll, ist ein großer Fortschritt, denn es schafft eine Vertrauensbasis anstatt einer Grauzone.

Nein, eben nicht. Es restriktiert oder verschärft gar in weiteren, wichtigen Punkten. Als Entwickler versehentlich eine Lücke in einem KRITIS-System gefunden? Tja, sorry, bist kein Sicherheitsforscher, hier ist deine Haftstrafe. (Bewusst übertrieben formuliert)
Es sollte nicht so schwierig sein, zu formulieren, dass das (korrekte) Melden von Sicherheitslücken von Strafe befreit. Da ist absolut unerheblich, ob man Sicherheitsforscher oder nicht ist.

 

[Piktogramm]

Denk ich nicht, denn einfach dem Hersteller melden ist ja eindeutig mit Guter Absicht.
Nur wenn er gleichzeitig, was nicht unüblich ist, damit droht die Lücke und Code dafür zu veröffentlichen aka dem Unternehmen öffentlich zu schaden und Kriminellen sehr zu helfen Angriffe durchzuführen, dann könnte es anders aussehen.

In der Realität kommt es zu eben jenen Anzeigen, die Neufassung ändert da an den kritischen Stellen nichts, denn um eine etwaige "Absicht" zu klären muss es bis zur gerichtlichen Verhandlung kommen, was bedeutet, dass die Staatsanwaltschaft vorher bereits eskalieren kann (und wird).
Und beim Responsible Disclosure ist eigentlich komplett normal eine Frist von 30..90Tagen zu setzen zur Veröffentlichung bzw. eine koordinierte Veröffentlichung im sinnvollen Rahmen anzubieten.

Dass das Gesetz in genau diesem Punkt entschärft werden soll, ist ein großer Fortschritt, denn es schafft eine Vertrauensbasis anstatt einer Grauzone.

Das Gesetz entschärft da fast nichts. Die Rechtssprechung hat sich durchaus etabliert, dass finden und Aufzeigen von Lücken die Paragraphen 202 StGB nicht trifft. Das Problem ist, dass man vorher mit der Staatsanwaltschaft Probleme hat und selbst zum Anwalt rennen muss. Da geht Material, Geld und viel Zeit flöten.

Es sollte nicht so schwierig sein, zu formulieren, dass das (korrekte) Melden von Sicherheitslücken von Strafe befreit. Da ist absolut unerheblich, ob man Sicherheitsforscher oder nicht ist.

Strafbefreiung ist gar nicht so das Problem, das schaffen die aktuellen Gesetze auch schon halbwegs. Die Strafverfolgung ist das Problem und an der ändert die Neufassung nichts/wenig. Weil von Betroffenen reicht im Zweifelsfall die Behauptung, dass die Meldung eine Alibibehauptung sein soll und es zu illegalem Zugang/Datennutzung durch die meldende Person kam. Zack haste wieder ein Problem.

 

[Boimler]

Das Problem ist, dass man vorher mit der Staatsanwaltschaft Probleme hat und selbst zum Anwalt rennen muss. Da geht Material, Geld und viel Zeit flöten.

Die Probleme fallen ja weg, wenn ich vorher die Bedingungen erfülle, die im Text genannt werden. Das ist vermutlich ein ähnlicher Aufwand wie die Suche nach einem Anwalt, nur dass er im Vorhinein erfolgen kann. Klingt für mich jetzt auch nicht nach einer perfekten Regelung, aber wer aktiv auf die Suche nach Sicherheitslücken gehen möchte, bekommt jetzt einen Rahmen, in dem er das straffrei tun kann.

Das Gesetz sollte lieber regeln wie lange ein Hersteller Zeit hat die Lücke zu schließen. Ich würde mir da eine EU weite Meldestelle vorstellen, an die Lücken gemeldet werden können und die dann überprüft das die Lücken auch geschlossen werden. Dann mit Strafandrohung gegen die Hersteller.

Das wäre wünschenswert, ist aber keine Angelegenheit des StGB. Das würde ja erst greifen, wenn diese Bedingungen nicht erfüllt werden.

Muss aber für die Justiz wichtig sein, wer die Sicherheitslücke gefunden und den entsprechenden Organen gemeldet hat? Nur weil man nicht als Security Researcher gilt, soll man zufällig gefundene Sicherheitslücken nicht melden dürfen?

Das meinte ich ja mit "Unwissenheit...". Aus Sicht der Entdecker von Sicherheitslücken ist das ein Problem. Aber wie schon gesagt, zieht das Finden solcher Lücken in vielen Fällen eben auch einen Gesetzesbruch nach sich, der unvermeidbar ist. Die Behörden müssen dann der Sache nachgehen, weil sie sich sonst selbst strafbar machen würden.
Wahrscheinlich wäre eine Einrichtung, wie @hallo7 sie gefordert hat, ein guter Kompromiss. Dann könnte man sich bei zufälligen Funden zumindest an eine Stelle wenden, die keine eigene Befugnis zur Strafverfolgung hat.

 

[textract]

1. in etwa 20 Jahre zu spät, das meiste Wissen in Datenforensik ist wegen der Unsicherheit bereits lange ins Ausland abgewandert und 2. nicht gut genug. Ich habe aus dem Entwurf noch nicht einmal wirklich verstanden, wie der Schutz bei Bildung bzw. Weiterbildung aussehen soll.

 

[saintsimon]

....
Wahrscheinlich wäre eine Einrichtung, wie @hallo7 sie gefordert hat, ein guter Kompromiss. Dann könnte man sich bei zufälligen Funden zumindest an eine Stelle wenden, die keine eigene Befugnis zur Strafverfolgung hat.

Sowas methodisch ähnliches gibt es z.B. ja schon mit der nationalen Whistleblower-Webpage des Bundesamtes für Justiz:
https://www.bundesjustizamt.de/DE/MeldestelledesBundes/MeldestelledesBundes_node.html

 

[bensen]

Die Strafverfolgung ist das Problem und an der ändert die Neufassung nichts/wenig. Weil von Betroffenen reicht im Zweifelsfall die Behauptung, dass die Meldung eine Alibibehauptung sein soll und es zu illegalem Zugang/Datennutzung durch die meldende Person kam. Zack haste wieder ein Problem.

Und wie willst du Alibibehauptungen verhindern?
Dass ein derartiges Gesetz auch missbraucht werden kann, ist ja nicht von der Hand zu weisen. Wenn das erst gar nicht verfolgt werden darf, ist das schon fast ein Freifahrtschein.
Die Sache ist nicht so leicht wie manche es sich vorstellen.