Neulich im EU-Parlament: Schwadronieren ohne Grenzen
sToRm 
Hach ist das schön, wenn man sich einmal die jüngsten, geistigen Ergüsse unserer technisch hochqualifizierten Anzugträger im EU-Parlament, auf der Zunge zergehen lässt. Da berichtet eine Frau Hohlmeier von der CSU, über eine kürzliche Abstimmung bezüglich der schwer kriminellen "Cyber-Angriffe" und wie diese künftig bekämpft bzw. bestraft werden sollen. Herrlich...
...da werde ich an dieser Stelle ein wenig ausholen müssen. Man hat mich in den vergangenen Tagen mehrmals gebeten, meine Meinung zu diesem Thema, in einen Beitrag zu fassen. Darum möchte ich an dieser Stelle den ersten Schritt wagen und auf die einzelnen Punkte ein wenig eingehen. Sollte es ein wenig hart rüberkommen, steinigt mich.
Ich nehme mir einfach mal die entsprechenden Zitate aus dem Beitrag im Blog der Frau Hohlmeier (CSU):
"Für Hacker-Angriffe auf IT-Netzwerke soll es künftig EU-weit empfindliche Strafen geben."
Klar, das ist natürlich sinnvoll. Es sollte durchaus eine zeitgemäße Richtlinie geben, wie gegen Hacker-Angriffe bzw. allgemein die Kriminalität im Netz vorgegangen werden könnte. Allerdings bin ich persönlich der Meinung, dass die einzelnen Länder selbst und unabhängig über deren Gesetzgebung entscheiden sollten. Wir brauchen keine EU, um Gesetze zu entwerfen und Verbrechen zu bekämpfen. Und was wir absolut nicht brauchen, ist eine ahnungslose Versammlung von Anzugträgern, die frei über Recht und Unrecht entscheiden, sowie einen gravierenden Eingriff in unser freies Land und dessen gesetzliche Strukturen vornehmen. Das ist nun hart gesagt/geschrieben, aber eben volles Programm, wie man bereits in den vergangenen Jahren vermehrt wahrnehmen konnte.
Wir haben es zunehmend mit schwer kriminellen Angriffen zu tun, die mitunter sogar im Rahmen des organisierten Verbrechens durchgeführt werden. Für die Unternehmen, den privaten Nutzer und die öffentliche Seite entsteht dabei jährlich ein finanzieller Schaden in Milliardenhöhe
Tja, das könnte man dann wohl eingrenzen, wenn die Unternehmen selbst einmal ein wenig Vernunft an den Tag legen und ihre Systeme absichern oder auch mal auf Sicherheitswarnungen reagieren würden. Diese Vernunft wäre im Übrigen auch an öffentlichen Stellen angebracht. Dazu komme ich aber noch. Es ist ja schonmal eine lustige Sache, wenn sich das EU-Parlament wegen derartiger "Verbrechen" einschaltet. Immerhin müssten es ja Massen von Angriffen mit Schäden in Milliardenhöhe sein. Das sollte man zumindest denken. Wie wäre es denn einmal mit konsequenten Strafen bei Korruption in der Politik, bei Abzocke durch Staatsorgane, beim Missbrauch der Amtsgewalt oder auch bei Computersabotage und Verstößen gegen den Datenschutz und unsere Grundrechte, verursacht durch kriminelle Beamte und stupide Minister? Da komischerweise kratzt sich die EU nichtmal am Bein. Wenn aber große Unternehmen Angst haben müssen, dass durch Hacker gewisse "Abschreibungen" und "politische Vereinbarungen" ans Tageslicht gelangen, dann geht das "da oben" scheinbar ganz schnell. Wegen verlorener Milliarden sollte man nicht rumheulen, denn was in den letzten Monaten an Milliarden ins Ausland gingen, ist bedeutend schlimmer und schadet der gesamten Wirtschaft hier im Lande, dem Volk und den Behörden.
"Der Innenausschuss hat sich für eine konsequente EU-weite Bestrafung solcher kriminellen Angriffe ausgesprochen. Leichte Fälle, bei denen kein Schaden entsteht, sollen hingegen bewusst von den Strafen dieser Richtlinie ausgenommen werden, um oftmals jugendlich unüberlegte Hacker nicht zu kriminalisieren"
Liebe Frau Hohlmeier, dann definieren Sie nun bitte einmal einen leichten Fall, bei dem kein Schaden entsteht. Ab wann wird es denn interessant? Wie weit darf ein Kiddy gehen, bevor es "grünen Besuch" bekommt? Wäre es in Ordnung für Sie, wenn man einen Konzern ausspäht, um sich einen Wettbewerbsvorteil zu verschaffen, solange dem Opfer kein direkter Schaden entsteht? Ich denke, dass diese Aussage einfach nur der Besänftigung dienen sollte oder wie so Vieles einfach auf bloßer Dummheit basiert. Was ich mich an der Stelle frage: Ist das nun konsequent oder doch eher sehr schwammig? Wenn man schon harte Strafen für Hacker-Angriffe verhängt, ist es dann nicht auch sinnvoll, bereits jugendlich unüberlegte Hacker-Angriffe - zumindest leicht - zu bestrafen? Im Prinzip würde dieser Quatsch doch exakt die gleiche Wirkung haben, wie unsere sonst so tolle Gesetzgebung. Frei nach dem Motto: "Ach, das war ihr erster Kindesmissbrauch und zuvor hatten sie eine weiße Weste? Na dann lassen wir doch noch eine Bewährungsstrafe durchgehen." Ein böses Beispiel, aber durchaus gängig in unserem Land.
"...Darüber hinaus einigten sich die Abgeordneten darauf, dass IT -Anbieter künftig stärker in die Pflicht genommen werden müssen. - "Kein Autobauer darf es sich leisten einen Wagen ohne Sicherheitsgurte in den Verkehr zu schicken. Und wenn er dies doch tut, so muss er für möglichen Schaden haften. Diese Regeln müssen auch in der virtuellen Welt gelten - , sagte die CSU-Europaabgeordnete. Der Innenausschuss verlangt, dass Unternehmen ihre IT-Systeme besser vor Angriffen schützen sollen und bei Missachtung dieser Mindestsicherheitsstandards auch sanktioniert werden können..."
Gut, in Ordnung lieben Damen und Herren Abgeordnete. Dann fordere ich an dieser Stelle nun auch, dass das EU-Parlament, die EU-Kommission, sowie diverse andere Stellen unserer lieben EU, empfindliche Sanktionen erhalten. Und auch die CSU - liebe Frau Hohlmeier - sollte empfindliche Strafen für deren überaus fahrlässige Handlungen erhalten. Wenn die netten Damen und Herren im Parlament schon die Büchse aufreißen und dick markieren, sowie Unternehmern Vorschriften machen wollen, dann sollten sie sich doch zunächst einmal darum kümmern, dass die eigenen Systeme abgesichert werden. Ich möchte an dieser Stelle an die unzähligen Schwachstellen erinnern, die sich zum Teil noch immer auf den Servern der EU befinden. Auch an die Sicherheitslücken bei Systemen der CDU bzw. CSU, die noch immer vorhanden sind, möchte ich erinnern. Man hat es bis heute nicht für nötig gehalten, auch nur zu fragen, was genau für Risiken auf den Portalen der CDU/CSU bestehen. Seit Monaten scheißt die EU auf die Sicherheit der eigenen Systeme und geht fahrlässig mit den Daten auf den Servern, sowie mit der Sicherheit der eigenen Besucher um. Und jetzt wollen die da oben andere Leute für genau diese Fahrlässigkeit sanktionieren? Lächerlich ist das! Die Grundidee ist ja nicht verkehrt, aber wenn man im Glaushaus sitzt, sollte man bekanntlich nicht mit Steinen werfen, liebe Frau Hohlmeier.
"Nicht zuletzt müssen wir auch die EU-weite Zusammenarbeit bei der Bekämpfung von Cyberkriminalität verbessern. Dies betrifft die Zusammenarbeit von Behörden untereinander und die Zusammenarbeit von öffentlicher und privater Seite. "Ich erhoffe mir, dass das künftige Europäische Cyberkriminalitätszentrum bei Europol hierbei als zentraler Knotenpunkt zur Prävention und Bekämpfung von Verbrechen im Internet in der EU dienen wird"
Wenn nicht einmal die anständige Zusammenarbeit zwischen Polizei und Staatsanwaltschaft, geschweige denn die Zusammenarbeit von Polizeidienststelle zu Polizeidienststelle funkioniert, wie soll dann eine europaweite Zusammenarbeit aussehen? Wenn selbst die nette EU-Kommission nicht fähig ist, Warnungen über höchst kritische Sicherheitslücken an die entsprechenden Stellen weiterzuleiten, dann wollen die Herren ernsthaft über eine funktionierende Zusammenarbeit auf internationaler Ebene sprechen? Was soll der ganze Aufwand bringen, wenn unsere Strafverfolger zum größten Teil keine Ahnung von der Materie haben und selbst bei stichfesten Beweisen die Verfolgung einstellen? Dies habe ich bereits mehrfach erlebt. Seien Sie mir nicht böse, wenn ich anzweifele, dass dies so funktioniert, wie man sich das vorstellt.
Was bringt das Verbot von sogenannten "Hacker-Tools"?
Im Prinzip hat es keinen positiven Effekt, eher wird noch das Gegenteil eintreten. Mit einem Verbot von Werkzeugen bzw. Software zur Aufdeckung von Sicherheitslücken und zum Ausnutzen derselben, schneidet sich die Regierung bzw. der Strafverfolger ins eigene Fleisch. Auch die Sicherheit großer Unternehmen würde sich deutlich verschlechtern, weil denen im Prinzip das Mittel genommen wird, um eigene Systeme abzusichern. Auch Vereine, Unternehmen und Privatleute, die sich mit dem Thema IT-Sicherheit beschäftigen, hätten keine Möglichkeit mehr, automatisierte Prüfungen durchzuführen. Angemerkt: Selbst das BSI arbeitet mit "Hacker-Tools", um Schwachstellen zu prüfen und beseitigen zu können. Was dazu kommt ist die Tatsache, dass man ein "Hacker-Tool" nicht wirklich eindeutig definieren kann. Im Prinzip ist selbst eine Cheat-Engine bereits als "Hacker-Tool" einzustufen, da es Programme oder deren Ausführung direkt oder indirekt verändert. Ich kann mir nicht vorstellen, dass es möglich wäre, eine klare Linie für diese Definition zu schaffen. Abgesehen davon, würde ich mich als Programmierer in meiner eigenen Freiheit eingeschränkt sehen. Ich lasse mir nur ungern vorschreiben, was ich programmiere, zu welchem Zweck und welche Funktionen diese Software hat. Allgemein würde es überhaupt nichts bringen, sogenannte Hacker-Tools zu verbieten, denn ein Hacker kauft sich in der Regel sein Werkzeug nicht im Laden, sondern schreibt sich die Programme selbst. Wie Sie dies kontrollieren möchten, würde mich dann doch einmal interessieren. Vielleicht ein Bundestrojaner der mit Windoof, Mac und Co. gleich mitgeliefert wird? Ist ja gerade im Trend. Aber einen Moment - das wären ja dann auch "Hacker-Tools" und somit illegal. *Hmm...strange.* Die "Hacker", welche nur gängige Tools nutzen, sind dann meist doch eher die Kiddies, wo wir dann wieder bei "leichten Fällen" wären.
Welche Auswirkung hätte eine härtere Bestrafung für Hacker?
Ich persönlich bin der Meinung, dass die Auswirkungen von härteren Strafen, enorm negativ wären. Ich habe hier bereits oft erlebt, dass eigentlich nur gutmütige Jungs, Angst hatten, Sicherheitslücken bei den Betreibern zu melden. Sie haben Angst, dass man sie für den guten Willen auch noch bestraft. Würden Pentests bzw. derartige Software oder das Stöbern im Quellcode härter bestraft werden, dann müssten auch die "guten Jungs" Angst vor einer möglichen Strafverfolgung haben. Demnach kann ich mir vorstellen, dass sich da draußen nur noch wenige Leute trauen werden, Betreiber, Behörden und große Unternehmen auf kritische Schwachstellen hinzuweisen. Das im Gegenzug macht es den bösen Jungs noch leichter, weil zum Beispiel auch Pentests von Open Source Software und das Melden von Sicherheitslücken bei den Entwicklern nur noch mit drohendem Ärger möglich wäre. Wenn man sich allein mal hier den Blog durchliest und sich dann vorstellt, dass diese Lücken nicht gemeldet worden wären und die bösen Jungs sie früher oder später bemerkt hätten... Gäbe es keine gutmütigen Hacker oder würde man auch diese gutmütigen Hacker auf eine Stufe mit den bösen Jungs stellen, dann gäbe dies garantiert böse Auswirkungen. Was noch hinzu kommt: Die meisten "Hacker" die ich in meinem Leben kennenlernen durfte, haben Freude an ihrem Wissen und nur das Ziel, anderen dieses Können mitzuteilen. Viele der Kiddies da draußen wollen sich mit den "Hacks" vor anderen Leuten brüsten. Ich könnte mir vorstellen, dass genau diese Leute dann die Schwachstellen nicht melden, sondern sich eher in einschlägigen Foren damit beweisen würden. Mal pauschal gefragt: Wäre es den Leuten im EU-Parlament lieber, wenn zum Beispiel ich selbst künftig, kritische Sicherheitslücken bei Behörden und auf Systemen der Regierungen nicht mehr melde, sondern diese ganz einfach anonym veröffentliche? Nein, ich denke nicht.
Eine Option, die meiner Meinung nach die Sache verbessern könnte:
Statt sich mit konsequenten und harten Strafen oder Verboten auseinanderzusetzen, würde ich eher das Grundproblem bekämpfen und Richtlinien einführen, die das Sicherheitsbewusstsein und die allgemeine Aufklärung verbessern. Man könnte zum Beispiel für Betreiber einer Internetpräsenz, eines Webshops oder eines Webdienstes, ein standardmäßiges Meldesystem, eine allgemeine Meldeadresse oder Ähnliches einführen, so dass Sicherheitslücken schnell und einfach gemeldet werden können. Vielleicht wäre auch die Einführung eines staatlichen Systems zum Melden von Sicherheitslücken oder auch zur Vergütung selbiger interessant. Gutmütige Hacker sollten nicht für ihre Arbeit bestraft werden, keine Grenzen vor den Latz geknallt bekommen und in ihrem Engagement nicht eingeschränkt sein. Sie sollten Anerkennung erhalten und gefördert werden. Früher oder später wird die Regierung froh sein, wenn es da draußen noch Kids gibt, die sich damit auskennen. ;o) Was ich auch begrüßen würde, wäre eine Aufklärungspflicht für Banken, die Onlinebanking anbieten. Und zwar nicht mit einem billigen Flyer, sondern persönlich und direkt. Zudem sollten Behörden besser geschult werden, was den Bereich IT betrifft. Ach, es gäbe viele Ideen und Möglichkeiten, das Web sicherer zu gestalten und Angriffe abzuwenden, bevor sie überhaupt passieren.
Im Moment scheint es mir einfach ein wenig Hilflosigkeit bei den Regierungen zu geben. Man hört täglich von neuen Angriffen auf Unternehmen, auf Behörden und Seiten/Server von Regierungen. Gerade was die ganzen News zu Anonymous angeht, ist es natürlich logisch, dass die Anzugträger ein wenig Angst bekommen. Allerdings - und genau auf dieses Kollektiv bzw. deren Symphatisanten bezogen - bringt es nichts wenn man dann härtere Strafen einführt oder Software verbietet. Die Angriffe finden statt, weil die Leute - ob jung oder alt - einfach die Nase voll davon haben, was die Regierung täglich für Bockmist baut, wie die Bürger ausgebeutet, belogen und überwacht werden. Auch wenn digitale Angriffe irgendwann bzw. irgendwie beseitigt werden könnten, würde das an der Situation nichts ändern. Denn dann würden diese Menschen wohl keine Server und Passwörter mehr knacken, sondern eher wieder mit Brandbeschleuniger auf die Straße gehen.
Liebes EU-Parlament:
Gesetze, Richtlinien und große Reden beseitigen keine Probleme, fördern nicht die Demokratie und sorgen nicht für Besserung. Werfen Sie doch einmal einen Blick auf die letzten Jahrzehnte und die ganzen neuen Gesetze, Richtlinien und den damit verbundenen Aufwand. Und nun gehen Sie tief in sich hinein und überlegen, was dieser ganze Mist an Besserungen brachte.
