Neues Gesetz verbietet die freie Forschung und Lehre zur IT-Sicherheit

Die Freiheit von Forschung und Lehre im Bereich IT-Sicherheit ist Geschichte, das Verbot davon hingegen seit heute Gesetz.

Die Forschungsfreiheit zählt im Zusammenhang mit der Wissenschaftsfreiheit und der Lehrfreiheit zu den bürgerlichen Grundrechten. In Deutschland wird die Freiheit der Wissenschaft, Forschung und Lehre gemäß Art. 5 Abs. 3 des Grundgesetzes (GG) als Grundrecht geschützt.
Quelle: wikipedia und Bundesministerium der Justiz, der Bundesrepublik Deutschland

Ein ganzer universitärer Forschungsbereich wurde jetzt verboten. Um was genau geht es? Folgendes Zitat aus der Pressemitteilung des Chaos Computer Club verschafft Klarheit:

Das Bundeskabinett hat am 20. September 2006 einen Regierungsentwurf zur Änderung des Strafrechts in Zusammenhang mit Computersystemen beschlossen. Dabei soll u. a. Software kriminalisiert werden, die zur Analyse von Sicherheitslücken zwingend erforderlich ist. Der Chaos Computer Club warnt davor, dass die Umsetzung des Entwurfes die Sicherheit von Computersystemen gefährdet. Stattdessen fordert der CCC eine drastische Verschärfung der Strafen für Datenverbrechen.


Quelle: Bart Simpson Chalkboard Generator

Wie Spiegel Online und heise.de jetzt zusammenfassend berichten, hat auch der Bundesrat sämtlichen Rat aller Experten aus Deutschland ignoriert. Stattdessen wird in Kürze durch die Unterschrift des Honorar-Professor der Universität Tübingen, dem Bundespräsidenten Horst Köhler ein neuer Paragraf 202c StGB im Strafrecht in Kraft treten. Dieser verbietet die Nutzung von Software, die zur Analyse von Sicherheitslücken zwingend erforderlich ist. Das Gesetz untersagt selbst Sicherheitsexperten und Wissenschaftlern, Computersysteme mittels entsprechender Software zu untersuchen oder gar zu schützen.

Hartmut Pohl, Professor für Informationssicherheit sagt dazu dem Spiegel: „Dieses Gesetz verbietet, was ich mit meinen Studenten jeden Tag in Übungen und Seminaren mache.“ Ich füge dem hinzu, es verbietet, was ich vor wenigen Wochen gemacht habe, um die E-Learning Lösung EverLearn mit einer sicheren neuen Funktion für vereinfachte Anmeldung zu versehen. Ich habe versucht meine eigene Lösung mit entsprechenden Werkzeugen zu überprüfen.

Ich habe IT nicht nur studiert (Wirtschaftsinformatik) ich praktiziere sie auch und ich habe mich mit den Datenschutzgesetzen genauso beschäftigt, wie mit der Datensicherheit. Das Anschauen eines Datenspeichers wie z.B. einem Browser-Cookie und die Behandlung mit einem Numbercrunching-Tool ist also zukünftig unter Strafe gestellt. Warum hier das Werkzeug und nicht die Daten unter Strafe gestellt werden das bleibt das Geheimnis der politischen Entscheider.

Da fragt man sich unwillkürlich woran es liegt, das eine für Innovation in Deutschland so fatale Entscheidung gefällt werden kann. Eine Antwort findet man wohl nur, wenn man mit den unvoreingenommenen Augen eines Kindes schaut. Einmal hypothetisch gedacht: Wenn mich der Staat morgen nun zu Web 2.0 befragen würde wie man mit IT und Web 2.0 Innovation in Deutschland möglich macht – als Experte wohlgemerkt – wie sollte ich dann antworten? Sollte ich überhaupt antworten? Hat es Sinn sich dazu überhaupt zu äußern, wenn die geballte IT Kompetenz von Deutschland im Bereich Innovation in der IT Sicherheit durch den Staat ignoriert und stattdessen kriminalisiert wird? Welche Rolle spielt die Antwort eines „Experten“ heutzutage überhaupt, wer ist Experte, wer nicht? Ein Experte [Korrektur!] eine Menge Experten, haben Ihre Antwort bereits gegeben. Ich zitiere den CCC:


Eine weitere Antwort ist hier nachzulesen. Das Expertenwissen der White Hats wandert offenbar ab.

Update 8.7.2007
Die Gesellschaft für Informatik e.V. hatte im Verbund mit anderen Kompetenzträgern bereits lange im Vorfeld darauf hingewiesen. Unter anderem in Ihrer Mitteilung „Entwurfsfassung des § 202c StGB droht Informatiker/innen zu kriminialisieren“. Leider erfolgten wohl die letzten Tage intensive technische Wartungsarbeiten an dem Webauftriff der GI, so dass noch keine Stellungnahme zu den neuen Fakten vorliegt, aber darauf bin ich wirklich gespannt.

Update 12.7.2007
Die neue Gesetzeslage durch das Verbot der Forschung zur IT-Sicherheit erscheint vor allem interessant, wenn man einen Vergleich anstellt mit den Zielen des Bundesministeriums für Bildung und Forschung (BMBF). Dort kann man lesen:

Die Sicherheit von Computern und Internet ist für das BMBF ein wichtiger Förderschwerpunkt, denn Softwaresysteme sind heute integraler Bestandteil vieler technischer Anlagen und Geräte, an deren Sicherheit und Zuverlässigkeit höchste Anforderungen gestellt werden. […] Die Sicherheit und Zuverlässigkeit von Computeranwendungen kann sogar lebenswichtig sein. Immer noch ist es schwierig, Computersysteme zu finden, die diesen Anforderungen gerecht werden. Die meisten Systeme offenbaren Unbefugten Daten […]

Dieser Standpunkt des BMBF erscheint völlig korrekt, doch was mir vollkommen unklar ist, ist wie sich das mit der neuen Gesetzeslage vertragen soll, denn ganz konkret widmet sich dieser Standpunkt des BMBF u.a. auch folgenden Schwerpunkten:

IT-Sicherheit, Security

  • Innovative integrierte IT-Sicherheitssysteme für die sichere Erstellung, Installation, Konfiguration und den Betrieb von IT-Systemen, für Persönlichkeitsschutz und Vertrauenswürdigkeit der Systeme und
  • Sicherheit bei neuen IT-Methoden und Techniken wie etwa Ubiquious Computing.

Update 30.7.2007
Die Reaktion. Die Gesellschaft für Informatik hat heute mit einer Antwort in Form eines Memorandums (als PDF downloaden) auf die vielfältigen Vorstöße der unerlaubten und unverhältnismäßigen Datenerfassung reagiert. Ich zitiere einige Forderungen, die meiner Ansicht nach den Kern des Memorandums wiedergeben:

  • Für jedermann leicht erkennbare Kennzeichnung der Überwachung im öffentlichen und privaten Raum.
  • Hinweis für den Bürger unter welchen Voraussetzungen man sich der Überwachung entziehen kann.
  • Öffentlich, entgeltfrei einsehbares (Internet-) Register aller zur Überwachung nutzbaren (unternehmenseigenen und behördlichen) Datensammlungen
  • Abwägung des spezifischen Nutzens jedes einzelnen Überwachungsverfahrens […] mit den entstehenden Kosten.

(via heise.de)
Ich frage mich: Ist diese Liste an Forderungen ein „Denkzettel“ (denn nichts anderes bedeutet Memorandum übersetzt)?

Update 31.1.2009
Eine schöne Kunst-Aktion, die auch prima zu den Maßnahmen der Regierung passt, hat Johannes Kreidler derzeit inszeniert, um die Absurdität der Maßnahmen zu demonstrieren. Mit seiner Aktion „Call Wolfgang“ will er auf die Sinnlosigkeit der Überwachung hinweisen. Sicherheitstools zu verbieten löst genau sowenig Probleme wie Telefone zu überwachen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.