Strafrechtsänderungsgesetz Teil 3/3 Computerkriminalität

Strafrechtsänderungsgesetz Teil 3/3 Computerkriminalität

Stellungnahme

Grundsätzlich ist das neue Strafrechtsänderungsgesetz zur Bekämpfung neuer Kriminalitätserscheinungen zu begrüßen, da sich eben nicht nur normale Lebenshandlungen immer mehr aufs Internet verlagen, sondern eben auch Straftaten. Es zeigt jedoch auch, dass dieses Strafrechtsänderungsgesetz einige Fragen aufwirft. Insbesondere sollten für Unternehmen im IT-Sicherheitsbereich keine ungeklärten Fallkonstellationen entstehen.

Kriminalisierung sicherheitsrelevanter Handlungen
Bisher war das bloße „Hacken“, d.h. das „Knacken“ von Computersicherheitssystemen, ohne Beschädigungsabsicht und ohne Beschaffung personenbezogener Daten oder Ausspähung von Betriebs-/Amtsgeheimnissen straffrei.
Als Beispiel ist das bloße Drücken an einer Türklinke, um zu sehen, ob eine Tür verschlossen ist, ohne Absicht in ein Haus einzudringen oder etwas zu entfernen, auch straffrei. Strafbar macht man sich erst dann, wenn das Sicherheitsschloss der Haustüre aufgebrochen wird.

Das neue Strafrechtsänderungsgesetz (Fußnote) stellt in etwa die gleichen Voraussetzungen:
Unter Strafe steht nur dann jemand, wenn er eine spezifische Sicherheitseinrichtung, etwa ein Passwortsystem oder ähnliches überwinden muss.

In der Praxis steht hier bereits ein Widerspruch zum geplanten Gesetzesvorhaben. Professionelle Hacker setzen weniger gezielte Hackertools ein, sie versuchen vielmehr Sicherheitslücken im System zu finden, die nicht spezifisch geschützt sind. Das bedeutet, dass sie jene Stellen suchen, die gerade keinen spezifischen Schutz aufweisen und sind damit nach dieser Bestimmung wieder straffrei.

Die Zweckbestimmung im Tatbestand ist allerdings objektiv zu betrachten.
Die aktuelle Formulierung birgt ein großes Risiko, dass Rechtsanwender auch die genannten Instrumente kriminalisieren wollen.

Softwarehersteller, IT-Sicherheitsexperten und andere Branchenunternehmen arbeiten mit Programmen, die nach bisheriger Gesetzesdiskussion durchaus als "Hacker-Tools" eingeordnet werden könnten. Hier ist im Ergebnis der subjektive Tatbestand entscheidend; ankommen muss es auf einen auf die Begehung der bezeichneten Taten gerichteten Vorsatz. Die Formulierung „…vorbereitet, indem…“ deutet dies nur an. Diese Formulierung lehnt sich an die bereits bestehenden Tatbestände, etwa in §§ 149 Abs. 2, 263a Abs. 3, 275 Abs. 1 StGB zwar an, gleichwohl sollte die Begründung das Erfordernis des Vorsatzes noch einmal deutlich für die gesamte Vorschrift herausheben. Bisher ist dies nur in Abs. 1 Nr. 1 der Fall.

Keine ausdrückliche Strafbarkeit von Phishing
Phishing ist eine aus „Passwort“ und „Fishing“ gebildete Bezeichnung, die das Ausspähen von Zugangsinformationen unter Zuhilfenahme psychologischer Tricks bezeichnet. In sogenannten Phishing-Mails wird beispielsweise behauptet, es gebe ein Problem mit der Bank und man müsse sein Passwort überprüfen. In der Antwortmail sollen Passwort und einige Pinnummern genannt werden oder der in der Mail genannte Link weist auf eine Seite, die der vorgeblichen Bankseite ähnelt, jedoch nur dem Sammeln der Zugangsinformationen dient.

Die Diskussion über eine Strafbarkeit von Phishing ist sehr kontrovers. Eine Fälschung beweiserheblicher Daten (Fußnote) liegt wohl nur in besonderen Einzelfällen vor.
Soweit das Phänomen über die "schadensgleiche Vermögensgefährdung" beim Betrug erfasst werden soll, ist dies bedenklich: Es handelt sich hierbei um eine richterliche Rechtsfortbildung, die ohnehin nahe an der Grenze zum Analogieverbot steht oder diese sogar überschreitet. Darauf zu "hoffen", dass die richterliche Rechtsprechung dieses ohnehin neben dem Gesetzeswortlaut stehende Institut bei Gelegenheit noch weiter ausdehnt, scheint nicht der richtige Weg zu sein. Es entspricht aber der Tatsache, dass Staatsanwaltschaften Ermittlungsverfahren einstellen, weil sie derzeit keinen Straftatbestand erfüllt sehen. Somit bleibt ein massenhaftes Verhalten, das immensen wirtschaftlichen Schaden anrichten kann und mit einem hohen Maß an krimineller Energie einhergeht, derzeit noch ohne Strafe.
§ 202c Abs. 1 Nr. 1 StGB-E liefert einen guten Ansatz für einen entsprechenden Phishing-Straftatbestand. Vielleicht sollte man die Gelegenheit ergreifen und den bisherigen Entwurf so zu erweitern, dass er auch das „Phishing“ erfasst wird. Dafür dürfte eventuell sogar eine auf Abs. 1 Nr. 1 beschränkte Versuchsstrafbarkeit ausreichen.
Eine Phishing-Nachricht ist der Versuch, sich ein Passwort zu verschaffen, um sich mit diesem Passwort gemäß § 202a Abs. 1 StGB-E unbefugt Zugang zu besonders gesicherten Daten zu verschaffen.
Diese Phishing-Nachrichten richten wegen des damit einhergehenden Vertrauensverlustes in den elektronischen Geschäftverkehr einen enormen wirtschaftlichen Schaden an. Eine Strafe dahingehend ist demnach vollkommen berechtigt.

Links zu allen Beiträgen der Serie StrafRÄndG

Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.

Mehr Beiträge zum Thema finden Sie unter: