Krypto e.V.

In einem Memorandum fordert die deutsche Gesellschaft für Informatik (GI – www.gi-ev.de) Behörden und Unternehmen nachdrücklich auf, in Zukunft auf eine strikte Trennung aller personenbezogener Daten aus verschiedenen Quellen zu achten. Die GI sei besorgt, über die Tendenz, neue Techniken aus Informatik, Telekommunikation und Sensorik zunehmend zur persönlichen Identifizierung und Überwachung unverdächtiger Bürger zu nutzen, erklärt GI-Präsident Matthias Jarke.

In letzter Zeit habe sich die problematische Situation des Datenschutzes weiter verschlechtert, bestätigt Hartmut Pohl, Hauptautor des Memoradums. “Es gibt viele neue Datensammlungen seitens der Unternehmen und außerdem die Diskussion über Bundestrojaner – spezielle Programme, die es dem Staat erlauben, auf Computer von Bürgern zuzugreifen.” Am größten sei die Gefahr, wenn verschiedene Datensammlungen miteinander vernetzt würden. “Das ist, was Bush nach dem 11. September gemacht hat”, warnt Pohl. Auch in Deutschland sei es durch einen einfachen Beschluss möglich, der Polizei Zugriff auf sämtliche Datenbanken zu geben.

Um die Lage des Datenschutzes zu verbessern, präsentiert die GI konkrete Handlungsvorschläge. So müsse die breite Öffentlichkeit über die technischen Überwachungsmöglichkeiten informiert werden und Hinweise bekommen, wie sie sich dieser Überwachung entziehen könne. Außerdem solle jede Überwachung im privaten und öffentlichen Raum deutlich gekennzeichnet werden. Speicherung und Verarbeitung personenbezogener Daten sei zu vermeiden oder zumindest eng zu beschränken.

“Wir wissen meistens gar nicht, welche Unternehmen welche Informationen über uns gespeichert haben”, erläutert Pohl ein weiteres Problem. Deshalb solle ein öffentlich einsehbares Register erstellt werden, in dem Firmen offen legen müssen, welche Art von Daten sie speichern. In Unternehmen als auch in der Gesetzgebung soll der spezifische Nutzen eines Überwachungsverfahrens zukünftig gründlich abgewogen werden. Sowohl die Einschränkungen der Persönlichkeitsrechte als auch die entstehenden Kosten könnten gegen die Überwachung sprechen. Die GI wirft außerdem die Frage auf, ob die Rechte der Datenschutzbehörden ausgeweitet werden sollten, um Missbrauch effizienter bekämpfen zu können. Doch auch der Endnutzer soll gegenüber Überwachungsmaßnahmen gestärkt werden. So fordert die GI den Einbau wirksamer und einfach nutzbarer Schutzmechanismen in alle zur Kommunikation nutzbaren Geräte.

Der Arbeitskreis Vorratsdatenspeicherung spricht von einem großen Erfolg seines im November gestarteten Aufrufs zur vorsorglichen Massenklage gegen die von der Bundesregierung geplante Protokollierung der Telefon-, E-Mail- und Internetnutzung über sechs Monate hinweg. “Waschkörbeweise” gehen demzufolge Vollmachten zur Erhebung einer Verfassungsbeschwerde gegen die pauschale und verdachtsunabhängige Überwachungsmaßnahme beim Berliner Rechtsanwalt Meinhard Starostik ein, der die Vertretung der Beschwerdeführer vor dem Bundesverfassungsgericht übernehmen wird. Insgesamt seien inzwischen 5000 entsprechende Schreiben bei ihm eingegangen. Im Vergleich zum Februar hat sich die Zahl der besorgten Bürger, die sich an der Aktion beteiligen wollen, somit noch einmal verdoppelt.

Kosten fallen den Teilnehmern an der bislang einmaligen Erhebung einer “Massenverfassungsbeschwerde” gemäß der Zusicherung der zivilgesellschaftlichen Widerstandskämpfer nicht an. Die Eingabe an das Bundesverfassungsgericht soll gestartet werden, sobald der momentan im Bundestag debattierte Gesetzesentwurf zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmethoden vom Parlament verabschiedet und in Kraft getreten ist. Damit sollen Brüsseler Vorgaben zur Vorratsspeicherung von Telefon- und Internetdaten in nationales Recht umgesetzt werden. Kritiker monieren dabei neben einem allgemeinen Paradigmenwechsel beim Datenschutz, dass die Bundesregierung noch über die entsprechende, heftig umstrittene EU-Richtlinie hinausgehen und etwa eine anonyme Nutzung des Internet deutlich erschweren will.

Das Beschwerdeschreiben selbst ist bereits fertig und im Internet einsehbar (PDF-Datei). Es beruft sich unter anderem auf eine Entscheidung des Bundesverfassungsgerichts aus dem Jahr 2003, in der es heißt: “Insofern genügt es verfassungsrechtlichen Anforderungen nicht, dass die Erfassung der Verbindungsdaten allgemein der Strafverfolgung dient. Vorausgesetzt sind vielmehr eine Straftat von erheblicher Bedeutung, ein konkreter Tatverdacht und eine hinreichend sichere Tatsachenbasis.” Gegen diese verfassungsrechtlichen Vorgaben zur Gewährleistung der Verhältnismäßigkeit verstoße eine Vorratsprotokollierung des Telekommunikationsverhaltens der gesamten Bevölkerung eklatant, heißt es in der Beschwerdeschrift.

Der Arbeitskreis Vorratsdatenspeicherung und 40 weitere Bürgerrechts-, Berufs- und Wirtschaftsverbände fordern seit langem eine Aussetzung der geplanten Datensammlung, bis der Europäische Gerichtshof (EuGH) über die seit 2006 anhängige Nichtigkeitsklage gegen die Richtlinie zur Vorratsdatenspeicherung entschieden hat. Neue Hoffnung auf eine Zurückweisung der Direktive gibt ihnen, dass die EuGH-Generalanwältin Juliane Kokott öffentlich die Vereinbarkeit der geplanten Datensammlung mit den Grundrechten in Zweifel gezogen hat. Für den 22. September hat der Arbeitskreis zudem mit zahlreichen weiteren zivilgesellschaftlichen Organisationen zu einer Demonstration gegen den “Überwachungswahn” nach Berlin gerufen. (Quelle: Heise.de)

Der Arbeitskreis Vorratsdatenspeicherung, das Netzwerk Neue Medien und die Neue Richtervereinigung haben ihre Warnungen vor einer Umsetzung der EU-Richtlinie zur Vorratsdatenspeicherung in deutsches Recht konkretisiert. In einer Stellungnahme untermauern die drei Organisationen den bereits zuvor geäußerten Vorwurf, dass die Vorratsdatenspeicherung kaum oder gar keinen Nutzen bringt, mit Daten.

Kronzeuge der Vorwürfe ist ausgerechnet eine Studie des Bundeskriminalamts, nach der die Vorratsdatenspeicherung die durchschnittliche Aufklärungsquote “von derzeit 55 % im besten Fall auf 55,006 %” erhöhen kann. In Irland und in einigen anderen Staaten, in denen es bereits eine Vorratsdatenspeicherung gibt, hatte sie keinen merkbaren Einfluss auf die Kriminalitätsrate. Aus diesen und aus anderen Gründen sei nicht zu erwarten, betonen die Organisationen, dass damit weniger Verbrechen geschehen würden und die Sicherheit der Bevölkerung gestärkt würde.

Am 21. September soll im Rechtsausschuss des Bundestags eine öffentliche Anhörung von Sachverständigen stattfinden, nach der der Bundestag über den Gesetzentwurf zur Neuregelung der Telekommunikationsüberwachung und zur Einführung einer allgemeinen Vorratsspeicherung von Telekommunikationsdaten entscheiden soll. Der bisherige Entwurf wurde unter anderem vom Wissenschaftlichen Dienst des Bundestags als nicht vor Gericht haltbar kritisiert.

Die drei zivilgesellschaftlichen Organisationen warnen den Bundestag zudem eindringlich vor der Umsetzung der EU-Richtlinie zur Vorratsspeicherung von Telefon- und Internetdaten in deutsches Recht, da die Brüsseler Vorgaben offensichtlich von schweren, gegen das Gemeinschaftsrecht und die Grundrechtsordnung verstoßenden Fehlern behaftet seien.

Sollte das Parlament den Entwurf dennoch absegnen und die Richtlinie damit national implementieren, droht den Organisationen zufolge die offizielle Nichtigerklärung des Brüsseler Rechtsaktes durch den EuGH. Die Richtlinie sei schon in formeller Hinsicht… (Weiter)

Einen weitreichenden Beschluss hat am 20. Juli 2007 das Amtsgericht in Offenburg (Az. 4 Gs 442/07) getroffen. Wegen offensichtlicher Unverhältnismäßigkeit untersagte das Gericht die Rückverfolgung der IP-Adresse eines Tauschbörsennutzers. Die entsprechende Anfrage der Staatsanwaltschaft beim Provider sei unzulässig, da der Tausch urheberrechtlich geschützter Musikstücke der Bagatellkriminalität zuzuordnen sei. Die Entscheidung hat Auswirkung auf die 25.000 Strafanzeigen, die die Musikindustrie seit Januar gegen Tauschbörsennutzer erstattet hat.

“Ohnehin hat die Musikindustrie derzeit schon Probleme, die Adressen der Filesharer herauszufinden”, erläutert Rechtsanwalt Christian Solmecke aus der Kanzlei WILDE & BEUGER. “Seit einem Beschluss des Landgerichts Darmstadt speichern viele Provider die Verbindungsdaten ihrer Flatrate-Kunden nicht mehr.” Der Kölner Rechtsanwalt vertritt eine Vielzahl von Eltern und Jugendlichen gegen die Musikindustrie.

Das Offenburger Gericht hat darüber hinaus entschieden, dass es sich bei den geforderten Adressdaten um Verbindungsdaten handelt, die nur über einen richterlichen Beschluss gem. § 100g StPO verlangt werden dürfen. Bislang hatten zahlreiche Provider die Daten unmittelbar auf Anfrage der Staatsanwaltschaften herausgegeben.

Ganz unrecht dürfte die aktuelle Entscheidung den deutschen Ermittlungsbehörden nicht sein. Sie ächzen schon lange unter der Flut von tausenden Strafanzeigen wegen Urheberrechtsverletzung. “Aktuell werden rund 95 Prozent aller Strafverfahren gegen die Filesharer eingestellt”, weiß Rechtsanwalt Solmecke aus der täglichen Praxis zu berichten. Es gibt aber auch Ausreißer: “Gegen einen Mandanten aus dem Sauerland wurden wegen 1100 getauschter Musikstücke gleich sieben Strafverfahren und zwei Hausdurchsuchungen angestrengt. Bei der zweiten Hausdurchsuchung teilte der verdutzte Mandant den Polizisten mit, dass der Computer schon in der Woche zuvor beschlagnahmt worden sei.”

Mit dem Beschluss aus Offenburg häufen sich nun die Entscheidungen zugunsten von Filesharern. Jüngst hatte das LG Mannheim entschieden, dass Eltern nicht für die Tauschbörsennutzung ihrer Kinder haften. Und das Amtsgericht Mannheim stellte fest, dass bei Massenabmahnungen nicht massenweise Rechtsanwaltsgebühren verlangt werden können.

IT-Security in kleinen und mittelständischen Unternehmen ist in den meisten Fällen völlig unzureichend. Effiziente Überwachungen von Instant-Messaging, des Internet-Verkehrs oder P2P-Aktivitäten sind generell Mangelware, sodass die klassischen Einfalltore unliebsamen Gästen sperrangelweit offen stehen. Trotz dieser offensichtlichen Missstände fühlt sich die Mehrzahl (53 Prozent) der Unternehmen sehr gut geschützt, wobei ein Viertel noch immer glaubt, gegen Angriffe aus dem Web sicher oder gar immun zu sein. Zu diesen Ergebnissen kommt eine gestern, Mittwoch, präsentierte Studie des Security-Spezialisten Websense http://www.websense.de , bei der europaweit 750 IT-Manager und andere IT-Angestellte befragt wurden.

Im Detail schätzen 98 Prozent der IT-Verantwortlichen in kleinen und mittelständischen Firmen ihre IT-Sicherheit als ausreichend oder besser ein. “In der heutigen Hacker-Welt sind die Viren-Angriffe bereits so mannigfaltig geworden, dass häufig erst nach den entstandenen Schäden reagiert werden kann. Somit wird ein effizientes, von den Unternehmen proaktiv gewolltes Agieren immer wichtiger”, unterstreicht die Websense-Sprecherin Tanja Klein. Laut der Security-Expertin sind viele der befragten Unternehmen teilweise noch viel zu blauäugig, wobei der Internet-Schutz häufig schon bei den grundlegendsten Dingen wie Firewalls oder Virenscannern lückenhaft ist.

“Die Hauptursache für diese oftmals untragbaren Zustände ist, dass die breite Masse der betroffenen Firmen noch nicht vollständig über die Gefahren, die bei einem mangelnden Schutz auftreten können, aufgeklärt ist”, meint Klein. Hierfür bedarf es – ähnlich wie in den USA – publik gemachter Aufklärungskampagnen. Amerika sei in diesen Dingen bereits schon viel weiter als Europa, so die Fachfrau weiter. Die Studie gibt außerdem darüber Aufschluss, dass kein einziges Unternehmen gegen alle Sicherheitslücken gewappnet ist, 15 Prozent der Befragten hielten sogar den einfachen Grundschutz von Firewall und Virenscanner für ausreichend.

Effektiver Schutz wird auch bei portablen USB-Geräten und/oder iPods von den wenigsten Unternehmen ernst angegangen. Nur acht Prozent blockten solche Hardware-Komponenten. Bei Instant-Messaging sieht es hingegen besser aus – 30 Prozent filterten die Attachments aus. Phishing-Sites überwachen 31 Prozent, P2P-Applikationen blockten nur 22 Prozent der Firmen. “Die Kosten für einen optimalen Schutz sind nicht das Hauptproblem bei den meisten Unternehmen”, ist sich Klein sicher. 84 Prozent haben zwar Richtlinien für die Internet-Nutzung in petto, dennoch trugen noch nicht einmal 25 Prozent der Firmen Sorge, dass diese von den Anwendern auch letztlich unterzeichnet wurden.

Hierzulande noch umstritten, steht die heimliche Online-Durchsuchung in den USA schon auf der Tagesordnung. Wie jetzt in einem konkreten Fall bekannt wurde, schleust das FBI eigens entwickelte Trojaner auf Computer strafverdächtiger Personen ein. Ein richterlicher Durchsuchungsbefehl, der den Eingriff auf dem Computer eines US-Schülers genehmigte, ist nun über das Newsportal Cnet an die Öffentlichkeit gelangt. Das FBI schleuste die Spyware auf dem Computer des jungen Mannes ein, nachdem dieser mehrere Bombendrohungen über die Kommunikationsplattform MySpace (www.myspace.com) verschickt hatte.

Die Diskussion über ein derartiges Vorgehen ist auch hierzulande bereits voll im Gange. “Dabei wird man das Gefühl nicht los, dass so mancher Politiker zu viele CSI-Filme gesehen hat”, kritisiert Datenschützer Hans Zeger von Arge Daten http://www.argedaten.at im pressetext-Gespräch. Das geheime Einschleusen von Spyware sei rechtsstaatlich unzulässig und eindeutig abzulehnen, so Zeger weiter. “Wenn Verdachtsmomente gegen eine Person vorliegen, hindert die Behörden niemand daran eine Hausdurchsuchung zu beantragen und den Computer zu beschlagnahmen. Beschuldigte haben dann aber die Möglichkeit selbst Rechtsmittel zu ihrer Verteidigung einzusetzen”, argumentiert der Datenschützer. Geheime Online-Angriffe auf den Privatbereich seien jedenfalls völlig entbehrlich.

Die vom FBI eingesetzte Spyware namens CIPAV (Computer and Internet Protocol Address Verifier) durfte dem richterlichen Beschluss nur die IP-Adresse des Anwenders sowie eine Liste über die laufenden Programme, Benutzerinfos aus Registry-Einträgen und aufgespürte Seriennummern von installierter Hard- und Software übermitteln. Da zu diesem Zweck aber die gesamte Festplatte durchsucht werden muss, gilt als wahrscheinlich, dass die Spyware technisch auch in der Lage ist, Informationen über Dokumenteninhalte und Online-Kommunikationsvorgänge an die Ermittler weiterzuleiten.

Ebenfalls unklar ist zudem die Frage, wie die FBI-Spyware es schaffte, sich an installierter Firewall und Anti-Virenprogrammen vorbeizuschleusen. In diesem Zusammenhang kommen zunehmend auch etablierte Antiviren-Hersteller unter Verdacht, mit den Behörden für derartige Geheimmissionen zusammenzuarbeiten. Werden die Signatur-Datenbanken auf das Auftauchen eines derartigen Spyware-Programmes “vorbereitet”, würde die Spyware auf dem Computer unentdeckt bleiben. Bisher haben aber alle etablierten Security-Anbieter offiziell stets versichert, dass auch für Behörden keine Ausnahmen gemacht werden.

Das IT-Sicherheitsunternehmen Utimaco (www.utimaco.de) warnt vor unvorsichtigem Verkauf von alten und ausgemusterten Computern, denn die Festplatten könnten sicherheitsrelevante oder brisante private Daten enthalten. Eine Formatierung reicht bekanntlich nicht aus, um die Daten restlos zu löschen, auch eine Säuberung mit professionellen Löschtools beinhalte ein Restrisiko. “Es gibt zwar diverse Löschmöglichkeiten und internationale Richtlinien empfehlen ein siebenfaches Überschreiben der Festplatte. Wer jedoch Zeit, Kosten und Mühen sparen möchte, setzt auf eine frühzeitige Verschlüsselung”, rät Rieke Bönisch, Datensicherheitsexpertin bei Utimaco.

Bei Testkäufen habe das Unternehmen bereits Rechner mit vollständiger E-Mail-Korrespondenz, Privatinformationen und Kundendaten entdeckt. Selbst bei Computern mit gesäuberter Festplatte ließ sich der Datenbestand wieder rekonstruieren. “Unseren Einkauf haben wir beispielsweise auf Ebay getätigt, um zu überprüfen welche Schutzmaßnahmen gesetzt wurden. Bei 50 Prozent der Festplatten war dies gar nicht der Fall”, sagt Ansgar Heinen, Leiter Produktmarketing bei Utimaco. Zwar hätte es sich dabei meist um private Festplatten gehandelt, allerdings waren auch Harddisks aus Unternehmen zu finden, auf denen interne Firmeninformation enthalten waren. “Es reicht nicht aus, vertrauliche Informationen einfach nur zu löschen. Dabei wird nur der Verweis, wo die Daten auf der Festplatte zu finden sind, ausradiert. Das ist ungefähr so, als wenn aus einem Roman das Inhaltsverzeichnis herausgerissen wird. Das Buch lässt sich trotzdem lesen”, erläutert Bönisch.

Nach Empfehlungen von Sicherheitsexperten kann die vollständige Löschung der Daten nur durch wiederholtes Überschreiben der kompletten Festplatte mit sinnlosen Dateien gewährleistet werden. Der Standard 5220.22-M des US-Verteidigungsministeriums gibt vor, dass die Daten durch einmaliges Überschreiben der gesamten Festplatte mit einem beliebigen Bitmuster gelöscht werden. Danach sind die Festplatten durch dreimaliges Überschreiben mit einem jeweils anderen Bitmuster sicher zu löschen. Der international anerkannte Sicherheitsspezialist Bruce Schneier (www.schneier.com) empfiehlt das siebenmalige Überschreiben einer Festplatte. Im ersten Durchgang wird die Festplatte mit dem Bitmuster “00″, im zweiten mit “11″ und in den folgenden fünf mit einem zufällig erzeugten Bitmuster überschrieben.

“Die Methode mit siebenmaligem Überschreiben kann als sicher bezeichnet werden. Allerdings ist sie mit einem großen Zeitaufwand verbunden”, meint Heinen. “Von Anfang an auf Nummer sicher gehen PC-User mit dem Einsatz von Verschlüsselungssoftware. Damit sind die Daten nicht nur während des Betriebes vor unbefugtem Zugriff geschützt, sondern lassen sich auch im Fall des Verkaufs nicht wiederherstellen”, erklärt Heinen. Der Vorteil einer Festplattenverschlüsselung ist, dass Daten bereits bei ihrer Erstellung automatisch, ohne Zeitverzögerung und für den Nutzer unbemerkt im Hintergrund chiffriert werden. Die verschlüsselten Daten lassen sich nur mit der korrekten Anmeldung wieder lesen. Nach dem Formatieren bleiben die Daten zwar auf der Festplatte, ein Auslesen ist aber aufgrund der Chiffrierung unmöglich. “Dem Second-Hand-Nutzer des PC bleibt so nur die Möglichkeit, die Festplatte zu überschreiben, einen Zugriff auf die Daten des Vorgängers bekommt er nicht”, so Heinen abschließend.(pte)

Die Sicherheitsspezialisten von Symantec wollen einen neuen Trend in der Community der Onlinekriminellen identifiziert haben. Kreditkartenbetrüger nutzen dem nach die ergaunerten Kartennummern, um Geldspenden an karitative Organisationen zu senden. Mit den hehren Zielen von Robin Hood hat dies – anders als man zunächst vermuten könnte – allerdings wenig zu tun. “Kreditkarteninformationen werden in Betrügerkreisen gehandelt. Die Käufer müssen sich dabei sicher sein, dass die gekauften Nummern auch verwendbar sind und nicht möglicherweise bereits vom Bankinstitut deaktiviert wurden”, erläutert Yazan Gable, IT-Security-Experte bei Symantec, in seinem Weblog.

Die kleinen Spendenzahlungen entpuppen sich also als simpler Test, um die Verwendbarkeit der Kreditkarten zu überprüfen. Hintergrund für diese neue Methode ist, dass Betrüger mit Spenden weniger Aufmerksamkeit auf sich und die ergaunerten Kreditkarten ziehen würden, als wenn sie diese beispielsweise zum Kauf bei einem Onlineshop einsetzen würden, erläutert Gable. “Für Kreditkartenbetrüger ist es zunehmend schwerer geworden, die Karten zu testen, ohne die Alarmglocken zu läuten und zu riskieren, dass die betroffene Karte deaktiviert wird. Denn Onlineshops arbeiten so eng wie noch nie mit Banken zusammen, um Betrüger so rasch wie möglich zu entlarven.” Mit der Online-Spendermethode sei es einfacher, die Alarmsysteme zu umgehen. “Derartige Transaktionen sind nicht für jedermann alltäglich”, meint Gable. Für Anti-Betrugs-Systeme ist es daher schwer, diese Transaktionen als anormal zu identifizieren.

“Wir haben bislang glücklicherweise keine derartigen Vorfälle festgestellt und auch keine Hinweise auf Betrug bekommen”, sagt Michael Opriesnig, vom Österreichischen Roten Kreuz. Sollte es dennoch zu einer ungewollten Spende durch eine Kreditkarte kommen, so würde das Geld natürlich sofort zurücküberwiesen, stellt Opriesnig klar. Dabei käme es zur selben Vorgehensweise, wie wenn sich ein Spender bei der Überweisung verschreibt: “Wir geben das Geld natürlich zurück.” Trotz des unehrenhaften Hintergrunds der Spendenzahlungen kann der Symantec-Experte der Methode dennoch Positives abgewinnen: “Im Endeffekt kommt zumindest ein kleiner Teil des gestohlenen Geldes einem gutem Zweck zu.”(pte)

Der Bundestag berät [1] heute in erster Lesung den Gesetzentwurf [2] zur Einführung einer allgemeinen Speicherung von Kommunikations-, Bewegungs- und Internetdaten (sog. Vorratsdatenspeicherung). Die Bundesregierung hatte zuvor ihre Unterstützung für weitere
Verschärfungen des Vorhabens signalisiert.

Nach Plänen von SPD und Union soll ab 2008 über Monate hinweg gespeichert werden, wer mit wem per Telefon, Handy oder E-Mail in Verbindung gestanden hat. “Erstmals sollen ohne jeden Verdacht einer Straftat sensible Informationen über die sozialen Beziehungen, die Bewegungen und die individuelle Lebenssituation (z.B. Kontakte mit Ärzten, Rechtsanwälten, Telefonseelsorge, AIDS-Beratung) von über 80 Millionen Bundesbürgerinnen und Bundesbürgern gesammelt werden”,
kritisiert Twister (Bettina Winsemann) vom Arbeitskreis Vorratsdatenspeicherung. “Dieses beispiellose Vorhaben stellt die bislang größte Gefahr für unser Recht auf ein selbstbestimmtes und privates Leben dar.”

Die Bundesregierung befürwortet weitere Verschärfungen des Gesetzentwurfs. In ihrer Gegenäußerung [3] zur Stellungnahme des Bundesrats unterstützt sie die Forderung, auch privaten “Rechteinhabern” die Identifizierung von Internetnutzern zu ermöglichen, etwa um die Nutzung von Tauschbörsen im Internet abmahnen zu können. Selbst zur Verfolgung von Ordnungswidrigkeiten wie Falschparken will die Bundesregierung die Nutzung der Vorratsdaten zulassen.

“Dies bestätigt unsere Warnung, dass alle Dämme brechen, sobald unser Kommunikationsverhalten erst einmal erfasst und protokolliert ist”, kommentiert Patrick Breyer vom Arbeitskreis Vorratsdatenspeicherung. “Wegen der Dateninkontinenz des Gesetzgebers ist der einzig effektive Schutz vor der staatlichen Überwachungslust, schon die verfassungswidrige Anhäufung der sensiblen Daten zu unterbinden. Dass die Regierung laut Haushaltsplan 2008 jetzt auch die ‘Auswertung von Massendaten’ verbessern will [4], zeigt, dass wir noch lange nicht am Ende der Überwachungsrutschbahn von CDU/CSU und SPD angekommen sind, sondern immer weiter in Richtung Kontroll- und Überwachungsstaat abgleiten.”

Der Arbeitskreis Vorratsdatenspeicherung, ein bundesweiter Zusammenschluss von Bürgerrechtlern, Datenschützern und Internet-Nutzern, fordert einen Stopp des Gesetzesvorhabens. Auh die Krypto e.V. unterstützt den Arbeitskreis Vorratsdatenspeicherung.

Referenzen:
1. www.bundestag.de/parlament/plenargeschehen/to/109.html
2. dip.bundestag.de/btd/16/058/1605846.pdf
3. dip.bundestag.de/btd/16/058/1605846.pdf
4. bundesfinanzministerium.de/cln_01/nn_86/sid_F3662B1538EBEBD5CA9F49C559E40AC8/nsc_true/DE/Aktuelles/Pressemitteilungen/2007/07/20070407__PM076.html

Die Gesellschaft für Informatik (GI) (www.gi-ev.de) kritisiert die geplante Einführung des so genannten verschärften Hackerparagraphen (§ 202c StGB) und fordert den Bundesrat auf, den geplanten Entwurf nicht zu verabschieden. Problematisch sei dabei vor allem, dass Tools nicht nach ihrer Einsatzart, sondern nach ihrem Aufbau definiert werden. Es ist nicht zu unterscheiden, ob ein Programm für die Begehung einer Straftat oder für legale Zwecke hergestellt wird. “Alle im IT-Bereich tätigen Personen stehen damit mit einem Bein im Gefängnis, wenn sie die Tools besitzen, nutzen oder über ihren Einsatz sprechen”, kritisiert Hartmut Pohl, Sprecher des Arbeitskreises “Datenschutz und IT-Sicherheit” der GI.

Die Verschärfung der gesetzlichen Regelung sieht vor, dass “künftig mit Freiheitsentzug bis zu einem Jahr oder mit Geldstrafe bestraft werden soll, wer eine Straftat vorbereitet durch das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von Computerprogrammen, deren Zweck die Begehung einer entsprechenden Tat ist”, heißt es in der Aussendung der GI. Der Wortlaut führe zu einer Kriminalisierung der heute in allen Unternehmen, Behörden und von Privaten verwendeten Programme, deren Zweck in der Aufdeckung von Sicherheitslücken in IT-Systemen liegt, so Pohl.

“Diese Programme und Tools sind zur Absicherung gegen Angriffe jedoch unverzichtbar”, sagt Pohl. Unternehmen prüfen regelmäßig ihr Sicherheitsniveau mit derartigen Tools. “Von dem Paragrafen bedroht sind zudem alle Studenten, die solche Tools nutzen – sei es auch nur in Übungen an Universitäten und Fachhochschulen. Die Professoren der Informationssicherheit stehen mit zwei Beinen im Gefängnis, weil sie ihre Studenten in der Nutzung detailliert zur Absicherung ausbilden”, mahnt Pohl. Künftig sei es unmöglich, Schwachstellen zu lokalisieren oder Portscanner sowie andere Sicherheitstools zu verwenden, um die Wirksamkeit von Patches zu überprüfen. Design, Entwicklung, Vertrieb, Besitz und Nutzung derartiger Tools werden mit dem Gesetz strafbar, unabhängig von der Intention des Betroffenen.

Die GI kritisiert des Weiteren, dass fundierte Proteste und Änderungsvorschläge von Informatikern und Juristen nicht beachtet wurden und der Regierungsentwurf vom Bundestag ohne Debatte verabschiedet wurde. “Wir appellieren deshalb an den Bundesrat, die weitere Entwurfsfassung des § 202c StGB zu verhindern”, so Pohl. “Wir haben auf die Risiken bereits erfolglos in der Expertenanhörung hingewiesen”, meint Alexander Rossnagl, Jurist an der Universität Kassel, der zwei Möglichkeiten benennt, den Paragrafen zu entschärfen, sofern er nicht gestrichen wird. Die erste Möglichkeit wäre die Bezugnahme auf eine konkrete Tat: Das Tatbestandsmerkmal ‘vorbereiten’ lasse sich als abstraktes Gefährdungsdelikt auslegen, sodass bereits der bloße Besitz strafbar sein könnte. Das ließe sich konkretisieren, so der Jurist. Die zweite Möglichkeit wäre die Streichung des Eventualvorsatzes, wodurch zumindest ausgeschlossen wird, die Tätigkeiten von Wissenschaftlern zu bestrafen.(pte)