Dennis Jlussi / Christian Hawellek, „IT-Sicherheit im Lichte des Strafrechts - unter besonderer Berücksichtigung des 41. Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität“ © 2007 Dennis Jlussi, Christian Hawellek Alle Rechte vorbehalten. All rights reserved. Satz: Dennis Jlussi

Druck und Bindung: Books on Demand GmbH, Norderstedt Germany http://www.GRIN.com

JLUSSI  /HAWELLEK: IT-SICHERHEIT IM LICHTE DES STRAFRECHTS  3

JLUSSI   3

Inhalt   

Literatur  - und Quellenverzeichnis  5

A.  Einleitung  8

B.  Straftatbestände und Vorgehensweisen  11

I.  Prüfungsgegenständliche Tätigkeiten  11

II.  Strafbarkeit des Ausspähens von Daten - § 202a StGB  12

1.  Schutzbereich  13

2.  Tatbestandsmerkmale  15

3.  Tatbestandliche Handlungen  18

III.  Strafbarkeit des Abfangens von Daten  22

1.  Systematik der Regelungen  22

2.  § 201 II 1 Nr. 1 StGB - Verletzung der Vertraulichkeit des  

Wortes   23

3.  § 206 StGB - Verletzung des Post- oder  

Fernmeldegeheimnisses   24

4.  § 202 StGB - Verletzung der Briefgeheimnisses  26

5.  § 202b StGB - Abfangen von Daten  27

IV.  Strafbarkeit der Einflussnahme auf Daten und  

Informationssysteme   29

1.  § 303a - Datenveränderung  29

2.  § 303b - Computersabotage  31

V.  Strafbarkeit von Vorbereitungshandlungen - § 202c StGB  33

VI.  Nebenstrafrecht  34

C.  Die Befugnis zu IT-Sicherheitsüberprüfungen  36

I.  Die Befugnis aufgrund Einwilligung  36

1.  Die Frage des Verfügungsberechtigten bei § 202a StGB  37

a)  Unternehmensdaten  37

b)  Private Daten  40

c)  Daten rechtlich selbständiger Tochtergesellschaften  43

2.  Besonderheiten bei einzelnen Straftatbeständen  44

II.  Befugnis aufgrund Rechtfertigung.  45

III.  Strafbares Verhalten  46

D.  Zulässigkeit von Hackertools nach § 202c  48

I.  Entstehung der Norm aus der Cybercrime Convention  48

1.  Artikel 6 Cybercrime Convention  48

2.  Regelungsgegenstand  50

3.  Bedeutung des Art. 6 Cybercrime Convention für die  

Auslegung  des § 202c  51

II.  Möglicherweise strafbare Verhaltensweisen  52

III.  Rechtsdogmatische Einordnung des § 202c  53

4  JLUSSI/HAWELLEK: IT-SICHERHEIT IM LICHTE DES STRAFRECHTS  

4   

1.  Selbständiges Vorbereitungsdelikt  53

2.  Abstraktes Gefährdungsdelikt  53

IV.  Der objektive Tatbestand  54

1.  Tathandlung  54

2.  Tatobjekte  55

a)  Computerprogramm  56

b)  Objektivierte Zweckbestimmung  57

V.  Der subjektive Tatbestand  59

1.  Allgemeiner Vorsatz  59

2.  Vorbereitung einer Computerstraftat  59

a)  Überschießende Innentendenz  60

b)  Erforderliche Vorsatzform  61

c)  Konkretisierung des vorbereiteten Delikts  61

VI.  Stellungnahme und Lösungsmöglichkeiten  62

E.  Bedeutung für die Anwendung in der Praxis  65

I.  Anforderung an eine Regelung der strafrechtlichen Befugnisse  

   65

a)  Zeitpunkt und Form der Befugnis  65

b)  Befugniserteilung und Delegation dieser Berechtigung  66

c)  Befugniserteilung auf zwei Ebenen  66

d)  Stufe I: Delegation des Rechts zur Befugniserteilung  66

e)  Stufe II: Regelung der Befugnis zu IT-  

Sicherheits  überprüfungen.  67

f)  IT-Sicherheitsüberprüfungen bei Dritten  68

g)  Abweichendes ausländisches Strafrecht  68

h)  Besonderheiten bei erlaubter Privatnutzung  68

II.  Umgang mit Hackertools und Malware  69

1.  Sorgfalt  69

2.  Dokumentation  69

3.  Einwilligung  69

III.  Fazit  70

Literatur‐ und Quellenverzeichnis 

Achter, Johannes

Zur Vereinbarkeit des Progressionsvorbehalts bei zeitweiser unbeschränkter Steuerpflicht und bei fiktiver unbeschränkter Steuerpflicht gemäß § 1 Abs.3 EStG mit Verfassungsrecht und Völkerrecht am Beispiel von Arbeitnehmer-Entsendungen, IStR 2002, S. 73-80. Barton, Dirk

E-Mail-Kontrolle durch Arbeitgeber, CR 2003, S. 839-844. Beckschulze, Martin

Internet-, Intranet- und E-Mail-Einsatz am Arbeitsplatz, DB 2007, S. 1526-1535. Burgess, Vicky

Foresight of Consequences is not the same as intent, http://www.peterjepson.com/law/burgess%20A2-1.htm. Cichon, Caroline

Urheberrechte an Webseiten, ZUM 1998, S. 897-902. Ernst, Stefan

Der Arbeitgeber, die E-Mail und das Internet, NZA 2002, S. 585-591. Europarat, Vertragsbüro (Hrsg.)

Explanatory Report on the Convention on Cybercrime, Straßburg, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm. Gaster, Jens

Zum Schutz von Webseiten durch das Urheberrecht und durch das Wettbewerbsrecht, MMR 1999, S. 733-735. Geppert, Martin / Piepenbrock, Hermann-Josef / Schütz, Raimund / Schuster, Fabian (Hrsg.) Beck’scher TKG-Kommentar, 3. Aufl., München 2006 (zitiert BeckTKG - Bearbeiter). Gola, Peter

Neuer Tele-Datenschutz für Arbeitnehmer?, MMR 1999, S. 322-330. de Gruyter (Verlag)

Strafgesetzbuch - Leipziger Kommentar, mehrere Bände, Berlin bis 2007 (zitiert: LK - Bearbeiter). Jescheck, Hans-Heinrich / Weigend, Thomas

Lehrbuch des Strafrechts - Allgemeiner Teil, 5. Aufl., Berlin 1996.

Joecks, Wolfgang / Miebach, Klaus (Hrsg.) Münchener Kommentar zum Strafgesetzbuch, München 2003-2006 (zitiert MünchKomm - Bearbeiter).

Kindhäuser, Urs / Neumann, Ulfried / Paeffgen, Hans-Ullrich (Hrsg.) Strafgesetzbuch - NomosKommentar, 2. Aufl., Baden-Baden 2005 (zitiert NK - Bearbeiter). Koch, Frank

Grundlagen des Urheberrechtsschutzes im Internet und in Online-Diensten, GRUR 1997, S. 417-430. Köhler, Markus

Der Schutz von Websites gemäß §§ 87a ff. UrhG, ZUM 1999, S. 548-555.

Lackner, Karl / Kühl, Kristian / Dreher, Eduard / Maassen, Hermann Strafgesetzbuch - Kommentar, 26. Aufl., München 2007 (zitiert Lackner/Kühl). Lischka, Konrad Gesetz kriminalisiert Programmierer, Spiegel Online vom 06.07.2007,

http://www.spiegel.de/netzwelt/web/0,1518,492932,00.html. Martin, Jörg

Strafbarkeit grenzüberschreitender Umweltbeeinträchtigungen -Zugleich ein Beitrag zur Gefährdungsdogmatik und zum Umweltvölkerrecht, Freiburg 1989. Ostendorf, Heribert Grundzüge des konkreten Gefährdungsdelikts, JuS 1982, S. 426-433. Pocar, Fausto

New Challenges for International Rules against Cyber-Crime, European Journal on Criminal Policy and Research 2004, S. 27-37.

Schönke, Adolf / Schröder, Horst (Hrsg.) Strafgesetzbuch - Kommentar, 27. Aufl., München 2006 (zitiert Sch/Sch - Bearbeiter). Spannbrucker, Christian

Convention on Cybercrime - Ein Vergleich mit dem deutschen Computerstrafrecht in materiell- und verfahrensrechtlicher Hinsicht, diss. iur., Regensburg 2004 Tiedemann, Klaus / Kindhäuser, Urs Umweltstrafrecht - Bewährung oder Reform?, NStZ 1988, S. 337-346.

Tröndle, Heribert / Fischer, Thomas / Schwarz, Otto Strafgesetzbuch und Nebengesetze (Kommentar), 54. Aufl., München 2007 (zitiert Tröndle/Fischer). Weißgerber, Michael

Das Einsehen kennwortgeschützter Privatdaten des Arbeitnehmers durch den Arbeitgeber, NZA 2003, S. 1005-1009. Wessels, Johannes / Beulke, Werner Strafrecht - Allgemeiner Teil, 36. Aufl., Heidelberg 2006.

A. Einleitung 

Das Computerstrafrecht wurde in Deutschland 1986 mit dem 2. Gesetz zur Bekämpfung der Wirtschaftskriminalität ¹ in das Strafgesetzbuch eingeführt. Die seinerzeit neu geschaffenen Normen bilden hierbei nicht etwa einen eigenen Abschnitt im StGB, sondern sind stattdessen jeweils dort eingefügt worden, wo bereits Delikte mit ähnlichem Schutzbereich und ähnlicher Struktur vorhanden waren. So wurde beispielsweise der Straftatbestand des Computerbetruges als § 263a StGB hinter dem des („allgemeinen“) Betruges in § 263 StGB eingefügt.

Aus dieser Vorgehensweise resultiert insgesamt eine Zersplitterung des Computerstrafrechts und insbesondere derjenigen Normen, die das sog. „Hacking“ und die verwandten Handlungen betreffen. So finden sich zum einen im 15. Abschnitt „Verletzung des persönlichen Lebens-und Geheimbereiches“ diejenigen Straftatbestände, die, zusammenfassend formuliert, den unberechtigten Zugang zu Informationen unter Strafe stellen - bis zur Novellierung des Computerstrafrechts war dies lediglich § 202a StGB (Ausspähen von Daten). Zum anderen sind diejenigen Handlungen, die die Manipulation von Daten und EDV-Systemen betreffen, im siebenundzwanzigsten Abschnitt „Sachbeschädigung“ durch Einfügung der Straftatbestände der Datenveränderung (§ 303a StGB) und der Computersabotage (§ 303b StGB) geregelt worden.

Die Einführung des des 41. Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität ² (41. StrÄndG) - insb. des § 202c StGB - ist in den Medien und von betroffenen Fachkreisen scharf kritisiert worden; auch die IT-Sicherheit werde kriminalisiert und auch nach allgemeiner Anschauung gutartige Anwender von Hackertools seien

¹ 2. Gesetz zur Bekämpfung der Wirtschaftskriminalität, BGBl. 1986 I S. 72. ² BGBl I Nr. 38/2007, S. 1786 ff.

„von der Gnade des Richters“ abhängig. ³ Für die Unternehmen und Mitarbeiter im Bereich der IT-Sicherheit ist die Frage, ob ihr Tun strafbar ist, existenziell. Dies gilt aber nicht weniger für die Kunden, denn professionelle IT-Sicherheitschecks und Audits sind wichtige Bestandteile des betrieblichen Informationsschutzes und nicht zuletzt des unternehmerischen Risikomanagements, das spätestens seit Einführung des § 91 Abs. 2 AktG durch das KonTraG ⁴ für Aktiengesellschaften auch rechtlich geboten ist.

Das 41. StrÄndG ist im Juni 2007 im Deutschen Bundestag verabschiedet worden. Es ist am 10. August 2007 verkündet worden und am darauffolgenden Tag in Kraft getreten. Das Gesetz hat völker- und unionsrechtliche Hintergründe: Es dient zum einen der Umsetzung des Übereinkommens über Computerkriminalität des Europarates vom 23.11.2001 („Cybercrime Convention“) und zum anderen der Umsetzung des EU-Rahmenbeschlusses 2005/222/JI über Angriffe auf Informationssysteme vom 24.02.2005.

Das Gesetz ändert und ergänzt die Strafrechtsbestimmungen über Computerkriminalität: Beim Ausspähen von Daten (§ 202a StGB) ist es nunmehr unerheblich, ob der Täter tatsächlich Daten erlangt, es genügt die Möglichkeit des Zugriffs, also der Zugang. Der Tatbestand des Abfangens von Daten (§ 202b StGB) ist neu geschaffen und der der Computersabotage (§ 303b StGB) ausgeweitet.

Hinsichtlich des Ausspähens von Daten (§ 202a StGB) kommt es künftig nicht mehr darauf an, ob der Täter tatsächlich Daten erlangt, sondern reicht bereits die Erlangung des Zugangs zu diesen Daten aus. Desweiteren wurden in Bezug auf die Verletzung des persönlichen Lebens- und Geheimbereiches zusätzlich die Straftatbestände § 202b StGB (Abfangen von Daten) und § 202c StGB (Vorbereitung des Ausspähens und

³ Lischka, Gesetz kriminalisiert Programmierer. ⁴ Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, BGBl I Nr. 24/1998, S. 786 ff.

Abfangens von Daten) geschaffen. Zudem wurde der Straftatbestand der Computersabotage erheblich ausgeweitet und sind unter anderem nun DOS-Attacken ebenfalls von diesem erfasst. Schließlich sind neuerdings auch Vorbereitungshandlungen im Sinne des § 202c StGB durch die entsprechenden Verweise in den Normen auch hinsichtlich der Datenveränderung und der Computersabotage strafbar. Für Besorgnis und Kritik hat aber vor allem die Einführung des § 202c StGB Anlass gegeben.

Unabhängig von den im StGB geregelten Computerstraftaten, existieren schließlich spezialgesetzliche Normen im Nebenstrafrecht ⁵ , die in Zusammenhang mit Handlungen an EDV-Systemen Relevanz erlangen können. Hierzu zählen insbesondere das Abhörverbot des Telekommunikationsgesetzes (§ 89 S. 1 und 2 i. V. m. § 148 TKG) und die Sanktionierung des Erhebens, Verarbeitens und Nutzens personenbezogener Daten unter bestimmten Umständen nach §§ 43, 44 BDSG.

Diese Untersuchung soll die rechtsdogmatischen Aspekte der neuen und der geänderten Vorschriften - im Kontext mit den unveränderten Normen - klären und daraus Hinweise für den praktischen Umgang für die betroffenen Fachkreise, also insbesondere IT-Sicherheitsunternehmen und deren Mitarbeiter, geben.

⁵ Das Nebenstrafrecht bezeichnet die Summe aller Straftatbestände, die außerhalb des Strafgesetzbuches in einzelnen Normen in den jeweiligen Spezialgesetzen geregelt ist - beispielsweise § 44 BDSG als Strafvorschrift für bestimmte datenschutzrechtliche Verstöße.

B. Straftatbestände und Vorgehensweisen 

I. Prüfungsgegenständliche Tätigkeiten 

Die Tätigkeiten von IT-Sicherheitsunternehmen, -abteilungen undpersonal, die Gegenstand der vorliegenden Betrachtung sind, stellen sich wie folgt dar:

• Beschaffung, Erstellung, Anpassung und Verwendung von kommerzieller sowie kostenloser (auch Open Source) Scannersoftware zur Schwachstellenanalyse (z. B. AppScan, GFI Languard, Nessus): Erkennen offener Ports, Erkennen von Schwachstellen, Erfassung von verwendeter Software über Signaturen (Reaktionsmuster), z. T. Ausnutzen der Schwachstellen auf Test- und Produktivsystemen (Server und Clients).

• Beschaffung und Verwendung von Software für das Erkennen von WLANs (z. B. Kissmet, Netstumbler): WLAN Access Points erkennen und Verschlüsselung (WEP) knacken, um festzustellen, ob und ggf. wo Access Points im Netzwerk unzulässig betrieben werden.

• Erstellung, Beschaffung, Anpassung und Verwendung von Exploits zur Demonstration von Verwundbarkeiten auf Test- und Produktivsystemen.

• Erstellung und Beschaffung (z. B. mithilfe von Virus Construction Toolkits) von Viren sowie von Spyware zum Testen von Schutz- und Abwehrsoftware auf Test- und Produktivsystemen.

• Einfangen von Angriffen auf „Honeypots“, also Bereitstellen von Computersystemen, die allein dem Zweck dienen, Ziel von Ang- riffen zu sein, um Angreifer und Angriffsmethoden auszumachen.

• Überprüfen von Passwörtern durch Ausprobieren (Wörterbuch, Brute Force, Rainbow Tables), um festzustellen, ob das Ausliefe-rungspasswort geändert wurde oder ob ein leicht zu erratendes Passwort eingestellt wurde.

• Informationsbeschaffung über „Hacker-Foren“ und sonstige einschlägige Kanäle.

• Beschaffung und Verwendung von Sniffer-Software zum Abhören des Netzwerkverkehrs auf IP- oder höherer (Anwendungs-) Ebene zum Zweck des Netzwerksupports oder der Analyse von Angriffen.

• Austausch auch von angepassten Exploits und Scannersoftware im Rahmen mit befreundeten Unternehmen und in unternehmensübergreifenden Arbeitsgruppen ⁶ .

Alle Maßnahmen können Computersysteme des tätigen Unternehmens selbst ebenso treffen wie die Dritter, und zwar - im Fall von unabhängigen IT-Sicherheitsunternehmen - fremde Dritte ebenso wie - im Fall von Konzernabteilungen - die von konzernmäßig verbundenen Dritten.

II. Strafbarkeit des Ausspähens von Daten -  § 202a StGB 

⁶ Z. B. im CERT-Verbund, sh. http://www.cert-verbund.de.

§ 202a StGB stellt das „Ausspähen von Daten“ unter Strafe. Strafbar hierbei ist das sich (oder einem Dritten) unbefugte Verschaffen eines Zugangs zu Daten, die nicht für den Täter bestimmt und gegen unberechtigten Zugang besonders gesichert sind. Mit dieser Vorschrift sollte seinerzeit die Strafbarkeitslücke hinsichtlich des Hackens von EDV-Systemen geschlossen werden, ⁷ die durch das Aufkommen elektronischer Informations- und Kommunikationssysteme entstanden war, weshalb der Straftatbestand in der Umgangssprache gelegentlich als „Hacker-Paragraph“ bezeichnet wird. Die Norm ist durch das 41. Strafrechtsänderungsgesetz dahingehend novelliert worden, dass es nicht mehr - wie ursprünglich ausdrücklich durch den Gesetzgeber intendiert ⁸ - auf den konkreten Abruf der Daten ankommt, sondern nunmehr für die Strafbarkeit bereits die Erlangung des Zugangs unter Überwindung der Zugangssicherung ⁹ zu den Daten ausreicht.

1. Schutzbereich 

Das Schutzgut des § 202a StGB ist die formelle Verfügungsbefugnis ¹⁰ über die Daten, also das Recht am Zugang zum gedanklichen Inhalt, ohne Rücksicht auf die Eigentumsverhältnisse hinsichtlich des Datenträgers, der die Daten enthält. ¹¹ Nicht hingegen geschützt wird - obwohl dies die systematische Stellung der Norm im 15. Abschnitt nahe legen

⁷ 2. WiKG-E, Beschlussempfehlung des Rechtsausschusses, BT-Drucks. 10/5058 S. 28. ⁸ 2. WiKG-E, Beschlussempfehlung des Rechtsausschusses, BT-Drucks. 10/5058 S. 29. ⁹ Die Aufnahme des Merkmals „unter Überwindung der Zugangssicherung“ in den Tatbestand ist ebenfalls neu, hat aber nur klarstellende Bedeutung hinsichtlich des tatbestandlichen Handelns (41. StrÄndG-E, BT-Drucks. 16/3656 S. 10). ¹⁰ SK-Hoyer, § 202a Rn. 1, Sch/Sch-Lenckner, § 202a Rn. 1, Lackner/Kühl, § 202a Rn. 1, LK-Schünemann, § 202a Rn. 2. ¹¹ MünchKomm-Graf, § 202a Rn. 17; Weißgerber, NZA 2003, 1005-1009 [1007].

würde - der persönliche Geheimbereich. ¹² So genießt den Schutz der Norm nicht etwa derjenige, auf den sich die Daten beziehen ¹³ - wie es im Datenschutzrecht der Fall ist -, sondern diejenige Person, die über die Daten verfügungsberechtigt ist. ¹⁴ Sind also beispielsweise personenbezogene Daten der Mitarbeiter in den Informationssystemen des Arbeitgebers gespeichert, so ist hinsichtlich eines Hackings dieser Systeme nur der Arbeitgeber selbst geschützt, nicht aber der Arbeitnehmer, dessen Daten ausgelesen wurden. Letzterer wiederum erfährt strafrechtlichen Schutz durch die spezialgesetzlichen Sanktionsnormen in den §§ 43, 44 BDSG bezüglich des unbefugten Abrufs seiner personenbezogenen Daten. 15

Es bietet sich zur Beleuchtung des Schutzbereiches des § 202a StGB die Vorstellung eines Safes mit Dokumenten an, der nur unter Benutzung entsprechender Schlüssel zugänglich ist. Derjenige, der bestimmen darf, wer diese Schlüssel erhält, ist verfügungsberechtigt hinsichtlich des Zugangs zum Inhalt des Safes. Unerheblich hingegen ist in diesem Zusammenhang, welchen Inhalt die im Safe gelagerten Dokumente enthalten, auf wen sich die dort vorhandenen Informationen beziehen und wer sie hineingelegt hat.

Geschützt durch § 202a StGB ist also das Integritätsinteresse desjenigen, der durch die Einrichtung von Zugriffssicherungen hinsichtlich von Daten im Informationssystem, sein Geheimhaltungsinteresse an den dort enthaltenen Informationen dokumentiert. Dabei hat es allenfalls indizielle Wirkung, wer den Zugriffschutz tatsächlich installiert oder wer die Daten speichert. Relevant ist einzig, in wessen Auftrag dies geschieht

¹² 2. WiKG-E, BT-Drucks. 10/5058, S. 28. ¹³ Sch/Sch-Lenckner, § 202a Rn. 1. ¹⁴ SK-Hoyer, § 202a Rn. 1; LK-Schünemann, § 202a Rn. 2, Sch/Sch-Lenckner,

§ 202a Rn. 1. ¹⁵ Sch/Sch-Lenckner, § 202a Rn. 1.