Den kontroversiella tyska lagen innebär att inte bara intrång och attacker mot it-system kriminaliseras. Även produktion, spridning och köp av ”hackarverktyg” blir olagligt, någonting som kan ge säkerhetsföretagen stora problem.

– Lagen gör säkerhetssituationen sämre, inte bättre, säger Marcus Rapp, produktspecialist vid F-secure till IDG News och fortsätter:

– Vi använder hackarverktyg för att testa säkerheten i datorsystem. Det är en väsentlig del av vår affärsverksamhet. Kan vårt användande av dessa verktyg ge oss problem en dag? Det är det vi inte vet.

Som Computer Sweden tidigare har rapporterat infördes nyligen uppdaterade lagar kring it-brottslighet även i Sverige. Nytt är bland annat att medvetna överbelastningsattacker, sedan lagen trädde i kraft, likställs med dataintrång.

I Sverige har man varit mer försiktig med att kriminalisera verktygen. Men även här innehåller lagen formuleringar som öppnar för tolkningar.

”Som exempel på förberedelse till dataintrång kan nämnas att ta befattning med en programvara som är konstruerad för att användas för att utföra tillgänglighetsattacker”, står att läsa i propositionen.

– Förberedelsebrottet kräver att man ska ha ett uppsåt eller att man främjar brott, säger säger Gunilla Berglund, rättssakkunnig på Justitiedepartementet.

Den tyska hackargruppen Chaos Computer Club oroar sig för mjukvara som har dubbel användning, som av den tyska lagen betraktas som hackarverktyg men som samtidigt är nödvändiga för säkerhetsexperternas arbete.

– Du kan utveckla verktyg som till exempel testar säkerheten i ett nätverk, men du kan använda precis samma verktyg för att hacka ett system, säger Andy Müller-Maguhn, talesperson för gruppen.

Ställd inför den tyska lagen reagerar även David Lindahl, forskningsingenjör på Totalförsvarets Forskningsinstitut, FOI, med skepsis.

– Hur ska rätten avgöra vad som är utformat för illegala ändamål? Det blir väldigt svårt att avgöra, säger han till Computer Sweden.

Som en del i sitt arbete visar han upp metoder för att göra intrång i, överbelasta och avlyssna säkerhetssystem. Alla experiment sker i sluten miljö i utbildningssyfte, men med hjälp av program som skulle vara olagliga enligt en lag som kriminaliserar hackingverktyg.

Rädslan för hur en sådan lag kan tolkas skulle skrämma utbildare till att ta undervisningen till ett mer abstrakt plan utan praktiska demonstrationer, tror han.

– Vi modifierar datavirus för användning, vilket vi får göra så länge vi inte släpper ut dem. Om den tyska lagen är som den framställs så skulle vi inte få göra det där, vilket ger väldiga problem för till exempel antivirusföretagen, säger han.

Frågan om överföring av verktyg ställer till ytterligare problem, enligt David Lindahl. För att kunna utforma skydd mot virus behöver företagen ta del av exempel, vilka kräver att virus på något sätt skickas till dem.

– Tyvärr tror jag att kompetensen att hantera it-brott saknas inom stora delar av rättsväsendet, säger han.

– Det finns ingen erfarenhet av det och det verkar inte finnas någon egentlig praxis eller större mängd utbildning inom det juridiska systemet. Polisen försöker utbilda sina utredare, men när det går vidare till rättegång verkar det vara mer slumpmässigt.

Utvecklarna bakom programmet Kismac, ett verktyg som används för att upptäcka och analysera tillgänga trådlösa nätverk, lägger nu ned sin verksamhet i Tyskland på grund av den nya lagen. Men lovar samtidigt att återuppta arbetet i Holland.

”Tyska politiker har visat sin fullständiga inkompetens”, skriver upphovsmännen på sin webbplats. ”Ännu värre är att politiker tror på att förbjuda digital information, uppenbarligen utan att förstå sig på globaliseringen.”