Ring frei? Auf der einen Seite steht der frei erhältliche Nessus basierte Security Scanner, den man auf der Homepage des BSI herunterladen kann, auf der anderen Seite der am 11.08.2007 in Kraft getretene “Hackerparagraph” § 202 c StGB.

Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 
1.  Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2.  Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.

BOSS sieht sich so:

Die BSI OSS Security Suite (BOSS) ist ein einfach zu bedienender NESSUS-basierter Security-Scanner mit deutschsprachiger grafischer Oberfläche. BOSS kann nicht nur die Sicherheit beliebiger Rechner im Netzwerk überprüfen, sondern auch lokale Prüfungen auf GNU/Linux-Rechnern zentral gesteuert mittels verschiedener OSS-Sicherheitstools durchführen.

und jetzt? Macht BOSS bei näherem Hinsehen nicht genau das was §202c StGB verbietet? Hier ein Auszug der Produktbeschreibung des BSI:

“…Durch den entwickelten SLAD verfügt Nessus jetzt über die Möglichkeit Ziel-Systeme auch intensiv von innen her auf Schwachstellen oder gar bereits erfolgreiche Angriffe zu prüfen. Die zentrale, vereinfachte Steuerung und Auswertung vereinfacht damit das organisationsweite Sicherheitsauditing fundamental. Es werden für das Aufspüren von Sicherheitsproblemen in der behörden- bzw. der unternehmensweiten Informationstechnik neue Maßstäbe gesetzt….” 

Hmmmm…. Legales Hacking? Was macht denn jetzt mehr Sinn? Ein in Stein gemeißeltes Gesetz oder ein Tool welches vom BSI empfohlen wird um sich selber zu schützen?