IT-Sicherheitsforscher protestieren gegen geplante UN-Cybercrime-Konvention

124 bekannte IT-Sicherheitsforscher und zivilgesellschaftliche Organisationen aus der ganzen Welt schlagen Alarm wegen des jüngsten Entwurfs für ein Abkommen der Vereinten Nationen zum Kampf gegen Cyberkriminalität. "Zu unserer Arbeit gehört es, Schwachstellen in Netzwerken, Betriebssystemen, Geräten, Firmware und Software zu erforschen, zu entdecken und zu melden", schreiben die Experten in einem am Mittwoch veröffentlichten Brief. "Es besteht aber die Gefahr, dass mehrere Bestimmungen des Vertragsentwurfs unsere Arbeit behindern, indem sie viele davon als kriminelle Aktivitäten einstufen." So würde sich etwa das Risiko erhöhen, dass im öffentlichen Interesse agierende Sicherheitsforscher strafrechtlich verfolgt werden könnten.

Die geplante UN-Cybercrime-Konvention, für die Russland und China den Stein ins Rollen brachten, ist seit Langem umstritten. In dieser Woche steht in New York eine neue Verhandlungsrunde an, die Beobachtern zufolge die letzte sein soll. "Es ist von entscheidender Bedeutung, dass rechtliche Rahmenbedingungen unsere Bemühungen unterstützen, technologische Schwachstellen zu finden und offenzulegen", mahnen die Unterzeichner nun. Darunter sind Experten wie Ross Anderson, Ian Goldberg, Alex Halderman, Christian "fukami" Horchert, Andrew "bunnie" Huang und Bruce Schneier sowie die Organisationen Access Now, Chaos Computer Club (CCC) und die Electronic Frontier Foundation (EFF), die den Brief bei der Uno eingebracht hat.

Die Wissenschaftler drängen auf klare rechtliche Rahmenbedingungen, "um die Sicherheit der Technologie für alle auf der Welt" verbessern zu können. Um auf diesem Feld weiter forschen zu können, dürften sie nicht ständig mit einem Bein im Gefängnis stehen. Der weitreichende Geltungsbereich der vorgesehenen Cybercrime-Verbote und mangelnde Schutzmaßnahmen öffneten den Staaten die Tür weit, um den globalen "Fluss sicherheitsrelevanter Informationen zu unterdrücken oder zu kontrollieren". Dies würde den universellen Nutzen von offen geteiltem Wissen über IT-Security und letztlich die Sicherheit des digitalen Raums massiv untergraben. Hierzulande sorgen die Hackerparagrafen immer wieder für skurrile Entscheidungen, wenn Richter etwa das Nutzen von Klartext-Passwörtern als Straftat ansehen.

Verschlüsselung könnte unterlaufen werden

Insbesondere fordern die Unterzeichner Änderungen an Artikel 6, mit dem der Zugriff auf Systeme ohne vorherige Genehmigung und "ohne Recht" zur Identifizierung von Schwachstellen strafbewehrt werden könnte. Einschlägige Formulierungen seien viel zu vage. Auch Artikel 28 Absatz 4 bezeichnen die Forscher als "äußerst besorgniserregend". Er ermächtige Behörden, "jede Person" mit Kenntnissen über Computersysteme dazu zu zwingen, alle "notwendigen Informationen" für die Durchführung von Durchsuchungen und Beschlagnahmungen von Computersystemen bereitzustellen. Diese Bestimmung könne missbraucht werden, um etwa Sicherheitsexperten und Software-Ingenieure oder technische Mitarbeiter zu zwingen, sensible oder geschützte Informationen preiszugeben. Behörden könnten die Klausel zudem als Basis dienen, einzelne Mitarbeiter unter Androhung strafrechtlicher Verfolgung dazu zu zwingen, ohne Wissen ihres Arbeitgebers Hilfe bei der Untergrabung technischer Zugangskontrollen wie Anmeldeinformationen und Verschlüsselung zu leisten.

Übel auf stoßen den Wissenschaftlern zudem Artikel gegen das illegale Abfangen von Daten, was die Analyse des Netzwerkverkehrs untergraben könnte, sowie gegen Eingriffe in Computersysteme. Auch die geplante Kriminalisierung des Missbrauchs von IT-Geräten und den allzu weiten Geltungsbereich einzelner Klauseln lehnen sie ab. Bürgerrechtsorganisationen kritisieren unter anderem auch, dass die Konvention zu breite Überwachungsbefugnisse enthält. Vorgesehen seien etwa die Erfassung und Beauskunftung von Verbindungs- und Standortdaten in Echtzeit und das Abhören von Kommunikationsinhalten. Ian Tennant von der Global Initiative Against Transnational Organised Crime monierte jüngst: Der aktuelle Entwurf lese sich "eher wie der Traum eines autoritären Regimes als wie ein Instrument zur Bekämpfung der Online-Kriminalität und zum Opferschutz". Die EU hatte eigentlich zugesagt, die Menschenrechte in den Verhandlungen hochzuhalten.

(anw)