Hackerparagraf und andere Änderungen im Computerstrafrecht (Teil 2)

Der in das StGB neu eingefügte § 202b stellt das Abfangen von Daten unter Strafe.

§ 202b StGB
Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (Fußnote) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

Der strafrechtliche Schutz umfasst nunmehr also auch früher ungeschützte unverschlüsselt übertragene Computerdaten, die nicht öffentlich übertragen werden. Auf das Überwinden einer Verschlüsselung kommt es nach der Neuregelung nicht mehr an. Geschützt ist die Übermittlung von Daten mittels E-Mail, Telefon und Fax. Gerade für den Privatbereich stellt diese strafrechtliche Regelung eine Ausdehnung des Schutzes vor Datenspionage dar durch den Gesetzgeber dar, da hier oftmals Verschlüsselungstechnologien trotz technischer Möglichkeiten nicht genutzt werden.

Die Regelung umfasst zwei alternative Handlungen, die unter Strafe stehen: Die Verschaffung der Daten, zum einen aus einer nichtöffentlichen Datenübermittlung und zum anderen aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage (Fußnote). Gemeint sind hierbei jeweils unkörperlich übermittelte Daten. Gerade die zweite Alternative stellt eine Änderung dar, da es bisher nicht unter Strafe stand, beispielsweise den Bildschirminhalt anhand der von einem Computersystem abgestrahlten elektromagnetischen Wellen sichtbar zu machen und so an die angezeigten Daten zu kommen.

Das Strafgesetzbuch stellt nunmehr in § 202c – dem so genannten „Hackerparagrafen“ – unter anderem die Herstellung und die Verbreitung von sog. Hackertools unter bestimmten Umständen unter Strafe.

§ 202c StGB
Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (Fußnote) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

Laut Gesetzgeber sollten durch diese Regelung besonders gefährliche Vorbereitungshandlungen identifiziert und unter Strafe gestellt werden. Welche Software im Einzelnen unter die Rubrik Hackertools fallen soll, ist im Gesetzestext jedoch nur sehr vage formuliert und stößt daher auf erhebliche Kritik auf Seiten von Sicherheitsexperten und IT-Branchenverbänden. Der neue Paragraf § 202 c StGB schießt weit über die EU-Vorgaben und über das Ziel, den Schutz vor Virenschreibern oder Hackern, die in fremde Computer-Systeme eindringen, zu verbessern, hinaus. Insbesondere ist zu kritisieren, dass keinerlei Ausnahmeregelungen bestehen, die den Einsatz für legale Zwecke erlauben (Stichwort Dual-Use-Software). Allein entscheidend ist nach dem Wortlaut der neuen Vorschrift nämlich, dass ein Programm oder eine Information genutzt werden kann, in fremde Computer einzudringen. Wer also ein Programm schreibt, mit dem sich Sicherheitslücken ausfindig machen lassen, macht sich strafbar. Jedoch auch derjenige, der solche Programme verbreitet oder auch nur besitzt. Sogar wer eine Sicherheitslücke findet und diese veröffentlicht, geht die Gefahr ein, nach dem neuen Gesetz strafrechtlich verfolgt zu werden.

Vor diesem Hintergrund hatten schon im Vorfeld Sicherheitsexperten und die Verbände der IT-Branche starke Bedenken geäußert, die jedoch völlig unberücksichtigt blieben. Es wurde sogar gegen das Bundesamt für Sicherheit in der Informationstechnik Strafanzeige erstattet, da das Amt angeblich selbst gegen das Gesetz verstoße.

Der Rechtsausschuss des Deutschen Bundestages wies danach in einem Bericht (Fußnote) ausdrücklich darauf hin, dass der gutwillige Umgang mit Hackertools durch IT-Sicherheitsexperten nicht von § 202 c StGB erfasst sei. Auch Bundesjustizministerin Zypries verwies im Juli 2007 mehrfach darauf, dass dieser Paragraph nur die Vorbereitungshandlungen zu Computerstraftaten unter Strafe stelle.

Allerdings ist für die strafrechtliche Ahndung zunächst der Gesetzeswortlaut maßgeblich, der eine solche Differenzierung gerade nicht vornimmt. Auch die Zweckbestimmung eines Programmes ist diesem nicht ohne weiteres anzusehen. Es bleibt daher abzuwarten, ob nicht auch der „gutwillige“ Umgang mit Hackertools in der Praxis strafrechtlich verfolgt wird. Hier birgt sich eine erhebliche Gefahr, da zwar davon ausgegangen werden kann, dass die höchstrichterliche Rechtsprechung die Intention des Gesetzgebers aufgreifen wird, jedoch gerade den Strafverfolgungsbehörden, sowie erstinstanzlichen Gerichten durch die offene Gesetzesformulierung Tür und Tor geöffnet sind. Meist ist alleine durch die Einleitung des Ermittlungsverfahrens – bei Fällen des §202c ist noch nicht einmal ein Strafantrag nötig – auch schon der größte wirtschaftliche Schaden entstanden und der Ruf des IT-Experten oder der Firme, welche solche Software nutzt, ruiniert.

Gefährlich ist die neue Rechtslage insbesondere für Hacker, die gerade solche Tools besitzen und verwenden. Ob diese sich jedoch alleine durch die Vorverlagerung der Strafbarkeit von dem unbefugten Eindringen in fremde Systeme abschrecken lassen ist fraglich. Aber auch System-Administratoren, die mit solchen Tools Schwachstellen in ihren eigenen Netzwerken aufspüren und das Eindringen Unbefugter in ihr System verhindern wollen, nutzen nunmehr „verbotenen Programme“. Sicherheitsexperten wird es so unmöglich gemacht auf bestehende Lücken hinzuweisen. Sogar die Ausbildung von Internet-Fahndern wurde kriminalisiert, denn diese erlernen gerade die Anwendung von Sicherheitssoftware. Auch einige Betriebssysteme beinhalten seit Jahren Tools, die sich ohne Weiteres unter die neuen Verbote fassen lassen würden. Alle Versionen die solche Tools enthalten und auf deutschen Servern (Fußnote) erhältlich sind, müssten nunmehr gelöscht werden. Jeder Anbieter würde sich sonst, nach der engen Interpretation des Gesetzes, strafbar machen. Es sind also nunmehr, gemäß dem Gesetzeswortlaut, gerade auch die Personen der Gefahr ausgesetzt, strafrechtlich verfolgt zu werden, die laut Gesetzgeber geschützt werden sollten. Hinzu kommt, dass kaum ein deutscher Richter das Wissen eines IT-Experten aufweist und somit auch von der Rechtsprechung eine differenzierte Behandlung nicht ernsthaft erwartet werden kann.

Vielen Herstellern bleibt daher aus derzeitiger Sicht nur eine Verlagerung des Angebots auf ausländische Server, um sich so der deutschen Gerichtsbarkeit zu entziehen. Deutschland verliert damit extrem an Standortattraktivität – was sicherlich nicht im Sinne des Gesetzgebers war.

Links zu allen Beiträgen der Serie Änderungen im Computerstrafrecht

Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.

Mehr Beiträge zum Thema finden Sie unter: