Im September soll die Cybercrime Convention des Europäischen Rates endgültig unterzeichnet werden. Der Chaos Computer Club plant derzeit, in Kooperationen mit einigen Kollen im GILC sowohl die Ratifizierung, als auch die nationalen Implementierungen mit öffentlichen Aktionen zu begleiten. Nach Meinung von CCC und GILC muss eine politische Diskussion über die Zielvorstellungen von Sicherheitspolitik in der Informationsgesellschaft in allen betroffenen Ländern geführt werden, bevor die Cybercrime Convention ratizifiert bzw. implementiert werden kann. In einem Gespräch mit Cornelia Sollfrank geht Andy Müller-Maguhn, Sprecher des CCC, auf die Hintergründe der Cybercrime Convention ein.
12. August 2001
[Cornelia Sollfrank]
Worum handelt es sich bei der Cybercrime Convention?
[Andy Müller-Maguhn]
Die CyberCrime Convention ist eine Ansammlung von Gesetzen, die einerseits direkte Angriffe auf Computer unter Strafe stellen wird, andererseits, und das ist eine wesentliche Erweiterung, wird bereits der Besitz und die Verbreitung von Angriffswerkzeugen generell kriminalisiert. So wird es verboten sein, dass ein Hacker ein Programm schreibt, mit dem man eine Systemschwäche automatisch antesten und entsprechend auch ausnützen kann. Solche Angriffswerkzeuge sind aber für Systemadministratoren sehr wichtig, weil sie damit die vom Hersteller zugesicherte Sicherheit überprüfen können.
Die Cyber Crime Convention geht allerdings noch weiter und hat Straftaten im Katalog, bei denen der Computer bzw. das Internet lediglich die Rolle des Distributionsmediums spielen. Gemeint ist die Verbreitung von kinderpornografischen Materialien und die Verbreitung von unterschiedlichsten anderen, z.B. politischen Informationen, die in dem einen oder anderen Land illegal sind. Die Gesetzeslage ist da national sehr unterschiedlich.
Die prozeduralen Vorstellungen der Cybercrime Convention sehen so aus, dass beispielsweise in einem Ermittlungsverfahren der Beschuldigte dazu verpflichtet ist, den Schlüssel zur Entschlüsselung der Daten auf seinem Computer der Polizei zu übergeben, wenn vermutet wird, dass sich dort Beweismittel befinden. Weigert er sich, diesen Schlüssel zu übergeben, so wird das bereits unter Strafe stehen. Das bedeutet, man wird nicht mehr für das bestraft, wofür man angeschuldigt war - das ist in so einem Fall nicht beweisbar - sondern dafür, dass man den Zugriff auf Beweismittel nicht freigibt.
Aber das sind nur wenige Beispiele aus dem umfassenden Dokument. Die CyberCrime Convention ist mittlerweile auf 80 Seiten angewachsen. Sehr interessant ist auch noch das Rechtshilfeabkommen. Danach ist vorgesehen, dass Straftaten bzw. Straftäter auch von einem anderen Land aus verfolgt werden können als dem, in dem sie leben, obwohl die Tat in ihrem eigenen Land nicht rechtswidrig ist! Für das Ermittlungsverfahren wird dann das Einverständnis des Landes eingeholt, in dem der Beschuldigte lebt, und entsprechend können Massnahmen, wie z.B. Telekommunikationsüberwachung eingeleitet werden - und das, obwohl er nach der Gesetzeslage in seinem eigenen Land keine Straftat begangen hat.
C.S.: Welche Länder haben an der Ausarbeitung der Cybercrime Convention mitgearbeitet?
M.-M.: Die Cybercrime Convention ist ein Dokument des Council of Europe, also des Europäischen Rates, nicht zu verwechseln mit der Europäischen Union. Der Europäische Rat ist eine Organisation, die sich aus Vertretern der 43 Mitgliedsstaaten zusammensetzt - neben den 15 europäischen Staaten sind u.a. auch Russland und die Staaten Ex-Jugoslawiens vertreten - und für übergeordnete europäische soziale und politische Problemstellungen Regularien erarbeitet, die die Mitgliedsstaaten in innerstaatliches Recht überführen sollen.
Eines der Hautpprobleme der Cybercrime Convention ist aber, dass die Politiker, die sie unterzeichnen, grösstenteils nicht sachkompetent sind. Sie kennen Viren und DoS (Denial of Service)-Angriffe aus den Medien, haben aber keine Ahnung, wie sie technisch funktionieren. Deshalb können sie auch keine vernünftigen Strategien entwickeln, wie man dagegen vorgehen könnte. Dann wird ihnen ein Dokument vorgelegt, das übrigens aus einem sehr intransparenten Prozess hervorgegangen ist, das sie nur noch unterschreiben müssen, um angeblich die Sicherheitsprobleme zu lösen. Überspitzt könnte man sagen, dass die Cybercrime Convention mehr dazu dient, Überwachungsmassnahmen zu rechtfertigen, als tatsächlich Computersicherheit zu gewährleisten.
C.S.: Die Politiker, die die Cybercrime Convention unterzeichnen sind sachlich inkompetent, gleichzeitig gibt es darin eine Tendenz zum Überwachungsstaat. Wer nimmt Deiner Meinung nach Einfluss bei der Ausarbeitung dieser Gesetze? Wer lanciert wessen Interessen?
M.-M.: Das Verbot von Angriffswerkzeugen bespielsweise ist in elektronischen Netzen eine höchst zweifelhafte Massnahme. Es mag Sinn machen, konventionelle Waffen zu verbieten, wobei selbst hier fraglich ist, ob das Verbot von Waffen vor Banküberfallen schützt. Aber bei Computernetzwerken ist das etwas grundsätzlich Anderes. Angriffswerkzeuge sind hier auch Sicherheitswerkzeuge.
C.S.: Mich interessiert weiterhin die Frage, welche Interessen Deiner Meinung nach mit der Cybercrime Convention durchgesetzt werden.
M.-M.: Die Cybercrime Convention liest sich in weiten Teilen wie der DMCA und die Ermächtigung des NIPS, das heisst wie amerikanische Vorstellungen darüber, wie Computersicherheit gewährleistet werden kann, nämlich nicht durch die Sicherung von Systemen auf technischer Ebene, sondern durch staatliche Überwachung. Das ist im grossen und ganzen die Ausrichtung von NIPC (National Infrastructure Protection Committee), das gegründet wurde, um die nationalen (us-amerikanischen) Datenautobahnen vor dem "Cyberterrorismus" zu schützen. Es geht nicht darum, den Betreibern von Computersystemen, die am Internet hängen, Werkzeuge an die Hand zu geben, die ihre Systeme sicher machen, was aus meiner Sicht der richtige Weg wäre, sondern es geht darum, dass der Staat das Netz überwacht, um so auf etwaige Angriffe reagieren zu können. Das halte ich für eine sehr zweifelhafte Methode, die allerhöchstens einen Überwachungsstaat sicherstellen kann, aber keine Computersicherheit.
C.S.: Die Cybercrime Convention soll nach der Sommerpause, also Mitte September unterzeichnet werden. Gibt es Pläne gegen diese Unterzeichnung vorzugehen?
M.-M.: Wir haben uns jetzt auf der HAL mit der Entstehungsgeschichte und den Merkmalen dieses Dokumentes, mit der sich mein britischer Kollege von GILC, Gus Hosein, sehr viel mehr beschäftigt hat als ich, auseinandergesetzt, um dann in einem kleinen Workshop Strategien zu diskutieren, wie wir auf diese, für die Hackerszene doch sehr bedrohliche Gesetzgebung reagieren können. Wir diskutieren hier darüber, ob wir eine Resolution verabschieden oder wie wir unsere nationalen Politiker adressieren und erziehen und der Politik gegenüber eine Schnittstelle bieten können. Ein Vorteil, den die Hackerszene gegenüber anderen Organisationen hat, nicht nur ist, dass wir wissen, wie die Dinge technisch funktionieren, sondern vor allem einen offenen Umgang damit pflegen und nicht Sicherheit durch Geheimhaltung erzeugen, sondern durch gnadenlose Offenlegung. Nur so kann man die eigentlichen Probleme erkennen und sinnvolle Lösungsansätze entwickeln.
European Council: www.coe.int
Veröffentlicht in:
Telepolis - das Online Magazin für Netzkultur, 18.8.2001