Die Cybercrime Convention - Ist noch was zu retten?
Gespräch mit Andy Müller-Maguhn
Im September soll die Cybercrime Convention des Europäischen Rates endgültig unterzeichnet werden. Der Chaos Computer Club plant derzeit, in Kooperationen mit einigen Kollen im GILC sowohl die Ratifizierung, als auch die nationalen Implementierungen mit öffentlichen Aktionen zu begleiten. Nach Meinung von CCC und GILC muss eine politische Diskussion über die Zielvorstellungen von Sicherheitspolitik in der Informationsgesellschaft in allen betroffenen Ländern geführt werden, bevor die Cybercrime Convention ratifiziert bzw. implementiert werden kann. Bei Hackers At Large (HAL) sprach Cornelia Sollfrank mit Andy Müller-Maguhn, Sprecher des CCC, über die Hintergründe der Cybercrime Convention.
Lesen Sie dazu auch die laufende Berichterstattung in Telepolis zur CyberCrime Convention (Auswahl):
Bundesregierung nimmt Stellung zu Cybercrime-Abkommen
Cybercrime-Abkommen passiert eine der letzten Hürden
Soll illegales Hosting ein Verbrechen werden?
Fette Bugs im Cybercrime-Abkommen
Nur kosmetische Korrekturen beim Cybercrime-Abkommen
Der Europarat bläst zur Attacke auf Cyberkriminelle
Andy, Du hast gestern auf dem Hackercamp "Hacking at Large" zusammen mit Gus Hosein in einem Vortrag über die "CyberCrime Convention" berichtet. Würdest Du bitte nochmal kurz zusammenfassen, worum es sich dabei handelt?
Andy Müller-Maguhn: Die CyberCrime Convention ist eine Ansammlung von Gesetzen, die einerseits direkte Angriffe auf Computer unter Strafe stellen wird - wobei das in Deutschland bereits gesetzlich geregelt ist; Dinge wie z.B. das Ausspähen von Daten, Computerbetrug etc. sind seit 1986 erfasst - andererseits, und das ist eine wesentliche Erweiterung, wird bereits der Besitz und die Verbreitung von Angriffswerkzeugen generell kriminalisiert. So wird es verboten sein, dass ein Hacker ein Programm schreibt, mit dem man eine Systemschwäche automatisch antesten und entsprechend auch ausnützen kann. Solche Angriffswerkzeuge sind aber für Systemadministratoren sehr wichtig, weil sie damit die vom Hersteller zugesicherte Sicherheit überprüfen können.
Die Cyber Crime Convention geht allerdings noch weiter und hat Straftaten im Katalog, die gar nichts mit Computern direkt zu tun haben, sondern bei denen der Computer bzw. das Internet lediglich die Rolle des Distributionsmediums spielt. Gemeint ist die Verbreitung von kinderpornografischen Materialien und die Verbreitung von unterschiedlichsten anderen, z.B. politischen Informationen, die in dem einen oder anderen Land illegal sind. Die Gesetzeslage ist da national sehr unterschiedlich.
Die prozeduralen Vorstellungen der Cybercrime Convention sehen so aus, dass beispielsweise in einem Ermittlungsverfahren der Beschuldigte dazu verpflichtet ist, den Schlüssel zur Entschlüsselung der Daten auf seinem Computer der Polizei zu übergeben, wenn vermutet wird, dass sich dort Beweismittel befinden. Weigert er sich, diesen Schlüssel zu übergeben, so wird das bereits unter Strafe stehen. Das bedeutet, man wird nicht mehr für das bestraft, wofür man angeschuldigt war - das ist in so einem Fall nicht beweisbar - sondern dafür, dass man den Zugriff auf Beweismittel nicht freigibt.
Aber das sind nur wenige Beispiele aus dem umfassenden Dokument. Die CyberCrime Convention ist mittlerweile auf 80 Seiten angewachsen. Sehr interessant ist auch noch das Rechtshilfeabkommen. Danach ist vorgesehen, dass Straftaten bzw. Straftäter auch von einem anderen Land aus verfolgt werden können als dem, in dem sie leben, obwohl die Tat in ihrem eigenen Land nicht rechtswidrig ist! Für das Ermittlungsverfahren wird dann das Einverständnis des Landes eingeholt, in dem der Beschuldigte lebt, und entsprechend können Massnahmen wie z.B. Telekommunikationsüberwachung eingeleitet werden - und das, obwohl er nach der Gesetzeslage in seinem eigenen Land keine Straftat begangen hat.
Welche Länder haben an der Ausarbeitung der Cybercrime Convention mitgearbeitet?
Andy Müller-Maguhn: Die Cybercrime Convention ist ein Dokument des Council of Europe, also des Europäischen Rates, nicht zu verwechseln mit der Europäischen Union. Der Europäische Rat ist eine Organisation, die sich aus Vertretern der 43 Mitgliedsstaaten zusammensetzt - neben den 15 europäischen Staaten sind u.a. auch Russland und die Staaten Ex-Jugoslawiens vertreten - und für übergeordnete europäische soziale und politische Problemstellungen Regularien erarbeitet, die die Mitgliedsstaaten in innerstaatliches Recht überführen sollen.
Die nationale Implementierung bzw. Ratifizierung der vom Europäischen Rat erarbeiteten Konvention stellt deshalb keinen Zwang dar, wie die Gebundenheit bei Dokumenten des Europäischen Parlamentes. Es ist vielmehr ein, mehr oder weniger "freiwilliger" Zusammenschluss. Da viele der Inhalte der Cybercrime Convention selbst in den Ländern, die daran beteiligt sind, strittig waren, sehen einige Paragraphen explizit vor, dass man auf diesen oder jenen Teil bei der Anwendung in einem Mitgliedsland auch verzichten könnte.
Eines der Hautpprobleme der Cybercrime Convention ist aber, dass die Politiker, die sie unterzeichnen, grösstenteils nicht sachkompetent sind. Sie kennen Viren und DoS (Denial of Service)-Angriffe aus den Medien, haben aber keine Ahnung, wie sie technisch funktionieren. Deshalb können sie auch keine vernünftigen Strategien entwickeln, wie man dagegen vorgehen könnte. Dann wird ihnen ein Dokument vorgelegt, das übrigens aus einem sehr intransparenten Prozess hervorgegangen ist, das sie nur noch unterschreiben müssen, um angeblich die Sicherheitsprobleme zu lösen. Überspitzt könnte man sagen, dass die Cybercrime Convention mehr dazu dient, Überwachungsmaßnahmen zu rechtfertigen, als tatsächlich Computersicherheit zu gewährleisten.
Du sprichst von einem intransparenten Prozess. Wer sind denn die Verfasser der Cybercrime Convention?
Andy Müller-Maguhn: Die Verfasser sind uns durchaus namentlich bekannt. Es handelt sich dabei um Mitarbeiter des Europäischen Rates. Insgesamt trägt das Dokument aber sehr stark amerikanische Züge. Es liest sich wie der DMCA (Digital Millenium Copyright Act), nach dem z.B. die Verbreitung von Informationen, die zur Entfernung von Urheberrechtsschutzmechanismen führen, bereits illegal ist; das ist vergleichbar mit dem Werkzeug-Paragraphen in der Cybercrime Convention, der ebenfalls besagt, dass der Besitz und die Verbreitung von derlei Werkzeugen illegal ist. Wer immer die Konvention verfasst hat, die amerikanische Regierung hat ziemlich deutlich ihre Handschrift hinterlassen...
Was ist der Status der Konvention im Moment?
Andy Müller-Maguhn: Das Dokument ist seit mehreren Jahren in Arbeit und im Juni wurde Version 27 vorgelegt. Auch dafür gibt es bereits Änderungen, die aber aufgrund der offiziellen Sommerpause im Moment nicht verfügbar sind. Unmittelbar nach der Sommerpause, also im September, soll das Dokument unterzeichnet werden. Und dann kann die Phase der nationalen Implementierung beginnen.
Ein Grossteil der Gesetze, die hier beschlossen werden, hat Deutschland sowieso schon seit 1986, das habe ich oben bereits erwähnt. In diesem Sinn ist die Konvention teilweise sogar vollkommen überflüssig. Was daran für uns Hacker und andere an Computersicherheit professionell Interessierten aber bedrohlich ist, ist dass der Spielraum, der für die nationale Implementierung gelassen wird, einfach aufgrund des Drucks, den die Länder untereinander ausüben können, gar nicht ausgenutzt wird. Ein Beispiel, für Deutschland würde die Überwachungsanordnung, dass IPS (Internet Service Provider) langfristig speichern müssen, wer welche IP-Nummern bekommen hat, nicht gelten. Dann gibt es einen DoS-Angriff, es sei einmal dahingestellt, ob dieser von einer bis dato unbekannten Hackergruppe oder einer amerikanischen Regierungsinstitution inszeniert wurde, und es wird den Deutschen vorgeworfen, dass der Vorfall nur deshalb nicht aufgeklärt werden kann, weil sie das Gesetz nicht implementiert hätten. Es ist anzunehmen, dass unter diesem Druck nicht wirklich Spielraum bleiben kann. Die Art und Weise, wie hier agiert wird, erinnert mehr an einen geheimdienstlichen als an einen Regierungsvorgang. Allein schon die Informationen darüber, wer tatsächlich die Verfasser sind, waren schwer zugänglich.
Inwieweit wurde der Prozess der Entstehung öffentlich begleitet, und gab es eine Möglichkeit, Stellung dazu zu nehmen?
Andy Müller-Maguhn: Es gab keine Anhörungen oder öffentlichen Treffen. Diskutiert wurde die Convention meist auf den G8 Treffen, von der Arbeitsgruppe Cybercrime. Es gab die Möglichkeit, Stellungnahmen dorthin zu senden, und das deutsche Justizministerium hat sogar einmal eine kleine Expertenrunde zur Cybercrime Convention angehört, was aber nichts anderes bedeutete, als dass uns dort das Dokument vorgelegt wurde und wir etwas dazu sagen durften.
Du warst zu dieser Expertenrunde geladen worden?
Andy Müller-Maguhn: Wir haben uns dazu selbst eingeladen. Wir wussten, dass es stattfindet und sind einfach hingegangen. Immerhin hat man mit uns geredet, aber man muss auch sehen, dass das noch lange nicht heisst, dass unsere Position eingearbeitet wird. Eine Stellungnahme abzugeben, heisst noch lange nicht, dass sie auch berücksichtigt wird.
Du hast vorhin geäußert, dass die Politiker, die die Cybercrime Convention unterzeichnen, sachlich inkompetent seien, gleichzeitig aber eine Tendenz zum Überwachungsstaat darin zu erkennen ist. Wer nimmt Deiner Meinung nach Einfluss bei der Ausarbeitung dieser Gesetze? Wer lanciert wessen Interessen?
Andy Müller-Maguhn: Erschreckend an der Cybercrime Convention ist, dass zumindest die Convention selbst nicht von demokratisch legitimierten Repräsentanten, sondern von Vertretern der Regierungen erarbeitet wurde. Nicht nur in Deutschland waren das maßgeblich Vertreter des Justizministeriums. Nun möchte ich deren juristische Sachkompetenz gar nicht in Frage stellen, ob sie allerdings über das technische Verständnis verfügen, um gegen Probleme der Computersicherheit Maßnahmen zu erarbeiten, bezweifle ich. Allerdings eignet sich eine solche Zusammensetzung natürlich hervorragend, um ganz andere Interessen durchzusetzen.
Ganz andere Interessen?
Andy Müller-Maguhn: Das Verbot von Angriffswerkzeugen bespielsweise ist in elektronischen Netzen eine höchst zweifelhafte Maßnahme. Es mag Sinn machen, konventionelle Waffen zu verbieten, wobei selbst hier fraglich ist, ob das Verbot von Waffen vor Banküberfallen schützt. Aber bei Computernetzwerken ist das etwas grundsätzlich Anderes. Angriffswerkzeuge sind hier auch Sicherheitswerkzeuge. Die Sicherheit von Computern kann anders nicht überprüft werden, vor allem auch aufgrund der Tatsache, dass die meisten Hersteller ihren Source Code nicht offenlegen. Dem Anwender erschließen sich deshalb keinerlei Möglichkeiten festzustellen, was eigentlich passiert.
Mich interessiert weiterhin die Frage, welche Interessen Deiner Meinung nach mit der Cybercrime Convention durchgesetzt werden.
Andy Müller-Maguhn: Die Cybercrime Convention liest sich in weiten Teilen wie der DMCA und die Ermächtigung des NIPS, das heisst wie amerikanische Vorstellungen darüber, wie Computersicherheit gewährleistet werden kann, nämlich nicht durch die Sicherung von Systemen auf technischer Ebene, sondern durch staatliche Überwachung. Das ist im Großen und Ganzen die Ausrichtung von NIPC (National Infrastructure Protection Committee), das gegründet wurde, um die nationalen (us-amerikanischen) Datenautobahnen vor dem "Cyberterrorismus" zu schützen. Bei der Policy von NIPC geht es auch nicht darum, den Betreibern von Computersystemen, die am Internet hängen, Werkzeuge an die Hand zu geben, die ihre Systeme sicher machen, was aus meiner Sicht der richtige Weg wäre, sondern es geht darum, dass der Staat das Netz überwacht, um so auf etwaige Angriffe reagieren zu können. Das halte ich für eine sehr zweifelhafte Methode, die allerhöchstens einen Überwachungsstaat sicherstellen kann, aber keine Computersicherheit.
Du hast bereits erwähnt, dass die Cybercrime Convention nach der Sommerpause, also Mitte September unterzeichnet werden wird. Gibt es denn noch Pläne gegen diese Unterzeichnung vorzugehen?
Andy Müller-Maguhn: Wir haben uns jetzt auf der HAL mit der Entstehungsgeschichte und den Merkmalen dieses Dokumentes, mit der sich mein britischer Kollege von GILC, Gus Hosein, sehr viel mehr beschäftigt hat als ich, auseinandergesetzt, um dann in einem kleinen Workshop Strategien zu diskutieren, wie wir auf diese, für die Hackerszene doch sehr bedrohliche Gesetzgebung reagieren können. Wenn wir uns nicht mehr zwanglos austauschen, und künftig keine freien Werkzeuge mehr verteilen können, mit denen man die Sicherheit überprüfen und eigene Erfahrungen sammeln kann, dann heisst das ganz konkret, dass einige Leute, die an bestimmten Projekte arbeiten, ins Gefängnis gehen werden. Insofern diskutieren wir hier darüber, ob wir eine Resolution verabschieden oder wie wir unsere nationalen Politiker adressieren und erziehen und der Politik gegenüber eine Schnittstelle bieten.
Sie müssen dringend dazu lernen in Bezug auf die Funktion der Netze, in bezug auf die Problemstellung und wie man sie löst, weil ein Vorteil, den die Hackerszene gegenüber anderen Organisationen hat, nicht nur ist, dass wir wissen, wie die Dinge technisch funktionieren, sondern vor allem einen offenen Umgang damit pflegen und nicht Sicherheit durch Geheimhaltung erzeugen, sondern durch gnadenlose Offenlegung. Nur so kann man die eigentlichen Probleme erkennen und sinnvolle Lösungsansätze entwickeln.