Die Einführung des des 41. Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität 41. StrÄndG) – insb. des § 202c StGB ist in den Medien und von betroffenen Fachkreisen scharf kritisiert worden; auch die IT-Sicherheit werde kriminalisiert und auch nach allgemeiner Anschauung gutartige Anwender von Hackertools seien „von der Gnade des Richters“ abhängig. Für die Unternehmen und Mitarbeiter im Bereich der IT-Sicherheit ist die Frage, ob ihr Tun strafbar ist, existenziell. Dies gilt aber nicht weniger für die Kunden, denn professionelle IT-Sicherheitschecks und Audits sind wichtige Bestandteile des betrieblichen Informationsschutzes und nicht zuletzt des unternehmerischen Risikomanagements, das spätestens seit Einführung des § 91 Abs. 2 AktG durch das KonTraG für Aktiengesellschaften auch rechtlich geboten ist.
Diese Untersuchung soll die rechtsdogmatischen Aspekte der neuen und der geänderten Vorschriften – im Kontext mit den unveränderten Normen – klären und daraus Hinweise für den praktischen Umgang für die betroffenen Fachkreise, also insbesondere IT-Sicherheitsunternehmen und deren Mitarbeiter, geben. Die Autoren zeigen im Detail die Strafbarkeitsrisiken einer Vielzahl typischer Vorgänge und Prozesse im Bereich der IT-Sicherheit und geben so auf Grundlage der rechtsdogmatischen Erörterungen konkrete Hinweise für die Praxis.
Inhaltsverzeichnis
A. Einleitung
B. Straftatbestände und Vorgehensweisen
I. Prüfungsgegenständliche Tätigkeiten
II. Strafbarkeit des Ausspähens von Daten – § 202a StGB
1. Schutzbereich
2. Tatbestandsmerkmale
3. Tatbestandliche Handlungen
III. Strafbarkeit des Abfangens von Daten
1. Systematik der Regelungen
2. § 201 II 1 Nr. 1 StGB – Verletzung der Vertraulichkeit des Wortes
3. § 206 StGB – Verletzung des Post- oder Fernmeldegeheimnisses
4. § 202 StGB – Verletzung der Briefgeheimnisses
5. § 202b StGB – Abfangen von Daten
IV. Strafbarkeit der Einflussnahme auf Daten und Informationssysteme
1. § 303a – Datenveränderung
2. § 303b – Computersabotage
V. Strafbarkeit von Vorbereitungshandlungen – § 202c StGB
VI. Nebenstrafrecht
C. Die Befugnis zu IT-Sicherheitsüberprüfungen
I. Die Befugnis aufgrund Einwilligung
1. Die Frage des Verfügungsberechtigten bei § 202a StGB
a) Unternehmensdaten
b) Private Daten
c) Daten rechtlich selbständiger Tochtergesellschaften
2. Besonderheiten bei einzelnen Straftatbeständen
II. Befugnis aufgrund Rechtfertigung
III. Strafbares Verhalten
D. Zulässigkeit von Hackertools nach § 202c
I. Entstehung der Norm aus der Cybercrime Convention
1. Artikel 6 Cybercrime Convention
2. Regelungsgegenstand
3. Bedeutung des Art. 6 Cybercrime Convention für die Auslegung des § 202c
II. Möglicherweise strafbare Verhaltensweisen
III. Rechtsdogmatische Einordnung des § 202c
1. Selbständiges Vorbereitungsdelikt
2. Abstraktes Gefährdungsdelikt
IV. Der objektive Tatbestand
1. Tathandlung
2. Tatobjekte
a) Computerprogramm
b) Objektivierte Zweckbestimmung
V. Der subjektive Tatbestand
1. Allgemeiner Vorsatz
2. Vorbereitung einer Computerstraftat
a) Überschießende Innentendenz
b) Erforderliche Vorsatzform
c) Konkretisierung des vorbereiteten Delikts
VI. Stellungnahme und Lösungsmöglichkeiten
E. Bedeutung für die Anwendung in der Praxis
I. Anforderung an eine Regelung der strafrechtlichen Befugnisse
a) Zeitpunkt und Form der Befugnis
b) Befugniserteilung und Delegation dieser Berechtigung
c) Befugniserteilung auf zwei Ebenen
d) Stufe I: Delegation des Rechts zur Befugniserteilung
e) Stufe II: Regelung der Befugnis zu IT-Sicherheitsüberprüfungen
f) IT-Sicherheitsüberprüfungen bei Dritten
g) Abweichendes ausländisches Strafrecht
h) Besonderheiten bei erlaubter Privatnutzung
II. Umgang mit Hackertools und Malware
1. Sorgfalt
2. Dokumentation
3. Einwilligung
III. Fazit
Zielsetzung und thematische Schwerpunkte
Das Hauptziel dieser Arbeit ist es, die strafrechtlichen Auswirkungen des 41. Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität auf die Tätigkeit von IT-Sicherheitsexperten und Unternehmen zu analysieren. Dabei wird untersucht, inwieweit notwendige Sicherheitsüberprüfungen und Audits durch die novellierten Straftatbestände, insbesondere den neuen § 202c StGB, kriminalisiert werden und welche rechtlichen Rahmenbedingungen für eine straffreie Ausübung dieser Tätigkeiten bestehen.
- Analyse der Tatbestände des Computerstrafrechts (insb. §§ 202a, 202b, 202c, 303a, 303b StGB).
- Untersuchung der Befugnisse zu IT-Sicherheitsüberprüfungen durch Einwilligung und Rechtfertigungsgründe.
- Beurteilung der Zulässigkeit von sogenannten "Hackertools" und Schadsoftware unter Berücksichtigung der Cybercrime Convention.
- Erarbeitung von Handlungsempfehlungen für Unternehmen zur rechtssicheren Gestaltung von IT-Sicherheitschecks.
Auszug aus dem Buch
1. Schutzbereich
Das Schutzgut des § 202a StGB ist die formelle Verfügungsbefugnis über die Daten, also das Recht am Zugang zum gedanklichen Inhalt, ohne Rücksicht auf die Eigentumsverhältnisse hinsichtlich des Datenträgers, der die Daten enthält. Nicht hingegen geschützt wird – obwohl dies die systematische Stellung der Norm im 15. Abschnitt nahe legen würde – der persönliche Geheimbereich. So genießt den Schutz der Norm nicht etwa derjenige, auf den sich die Daten beziehen – wie es im Datenschutzrecht der Fall ist –, sondern diejenige Person, die über die Daten verfügungsberechtigt ist. Sind also beispielsweise personenbezogene Daten der Mitarbeiter in den Informationssystemen des Arbeitgebers gespeichert, so ist hinsichtlich eines Hackings dieser Systeme nur der Arbeitgeber selbst geschützt, nicht aber der Arbeitnehmer, dessen Daten ausgelesen wurden. Letzterer wiederum erfährt strafrechtlichen Schutz durch die spezialgesetzlichen Sanktionsnormen in den §§ 43, 44 BDSG bezüglich des unbefugten Abrufs seiner personenbezogenen Daten.
Es bietet sich zur Beleuchtung des Schutzbereiches des § 202a StGB die Vorstellung eines Safes mit Dokumenten an, der nur unter Benutzung entsprechender Schlüssel zugänglich ist. Derjenige, der bestimmen darf, wer diese Schlüssel erhält, ist verfügungsberechtigt hinsichtlich des Zugangs zum Inhalt des Safes. Unerheblich hingegen ist in diesem Zusammenhang, welchen Inhalt die im Safe gelagerten Dokumente enthalten, auf wen sich die dort vorhandenen Informationen beziehen und wer sie hineingelegt hat.
Geschützt durch § 202a StGB ist also das Integritätsinteresse desjenigen, der durch die Einrichtung von Zugriffssicherungen hinsichtlich von Daten im Informationssystem, sein Geheimhaltungsinteresse an den dort enthaltenen Informationen dokumentiert. Dabei hat es allenfalls indizielle Wirkung, wer den Zugriffschutz tatsächlich installiert oder wer die Daten speichert. Relevant ist einzig, in wessen Auftrag dies geschieht und wer hinsichtlich des Zugangs zu den Informationen entscheidungsbefugt ist.
Zusammenfassung der Kapitel
A. Einleitung: Die Einleitung erläutert die Zersplitterung des deutschen Computerstrafrechts und ordnet das 41. Strafrechtsänderungsgesetz sowie die Kritik an der vermeintlichen Kriminalisierung der IT-Sicherheit ein.
B. Straftatbestände und Vorgehensweisen: Dieses Kapitel definiert die prüfungsgegenständlichen Tätigkeiten von IT-Sicherheitsexperten und analysiert detailliert die einschlägigen Straftatbestände wie Ausspähen von Daten, Abfangen von Daten, Datenveränderung und Computersabotage.
C. Die Befugnis zu IT-Sicherheitsüberprüfungen: Der Schwerpunkt liegt hier auf der Frage, unter welchen Voraussetzungen IT-Sicherheitsüberprüfungen durch Einwilligung oder Rechtfertigung straffrei bleiben, wobei insbesondere die Verfügungsbefugnis bei Unternehmens- und Privatdaten diskutiert wird.
D. Zulässigkeit von Hackertools nach § 202c: Dieses Kapitel behandelt die Entstehung und Auslegung des § 202c StGB im Kontext der Cybercrime Convention und untersucht die strafrechtliche Relevanz von Vorbereitungshandlungen durch Hackertools.
E. Bedeutung für die Anwendung in der Praxis: Der abschließende Teil bietet praktische Hinweise für Unternehmen, wie IT-Sicherheitsbefugnisse rechtswirksam durch Delegation und Dokumentation gestaltet werden können, um Strafbarkeitsrisiken zu minimieren.
Schlüsselwörter
Computerstrafrecht, IT-Sicherheit, 41. Strafrechtsänderungsgesetz, § 202a StGB, § 202c StGB, Hackertools, Cybercrime Convention, Datensicherheit, Penetrationstest, Verfügungsbefugnis, Malware, Vorbereitungsdelikt, Informationsschutz, Rechtsdogmatik, Zugriffssicherung.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit untersucht das deutsche Computerstrafrecht, insbesondere nach der Einführung des 41. Strafrechtsänderungsgesetzes, und analysiert die Auswirkungen dieser Gesetzesänderung auf die legitime Arbeit von IT-Sicherheitsexperten.
Was sind die zentralen Themenfelder der Publikation?
Die zentralen Themen sind die strafrechtliche Bewertung von IT-Sicherheitsaktivitäten, die Auslegung von Straftatbeständen wie dem "Hacker-Paragraphen" § 202a sowie dem Vorbereitungsdelikt § 202c und die rechtlichen Anforderungen an eine wirksame Befugniserteilung für IT-Audits.
Was ist das primäre Ziel oder die Forschungsfrage der Arbeit?
Das primäre Ziel ist es zu klären, ob und inwieweit die neuen Straftatbestände die Arbeit von IT-Sicherheitsexperten kriminalisieren und wie Unternehmen ihre IT-Sicherheitsüberprüfungen rechtskonform gestalten können.
Welche wissenschaftliche Methode wird in dieser Arbeit verwendet?
Die Autoren nutzen eine rechtsdogmatische Analyse, indem sie die gesetzlichen Normen, ihre Entstehungsgeschichte (insbesondere im Kontext der Cybercrime Convention) und die aktuelle juristische Literatur sowie Rechtsprechung kritisch auswerten.
Was wird im Hauptteil des Buches behandelt?
Der Hauptteil gliedert sich in eine detaillierte Analyse der einschlägigen Straftatbestände, eine umfassende Untersuchung der Möglichkeiten zur Straffreiheit durch Einwilligung oder Rechtfertigung sowie eine dogmatische Auseinandersetzung mit dem Vorbereitungsdelikt § 202c StGB.
Welche Schlüsselwörter charakterisieren die Arbeit?
Zu den wichtigsten Begriffen gehören Computerstrafrecht, IT-Sicherheit, § 202a StGB, § 202c StGB, Hackertools und Cybercrime Convention.
Wie bewerten die Autoren die Kriminalisierung von IT-Sicherheitstests?
Die Autoren sehen zwar Strafbarkeitsrisiken, betonen aber, dass die Arbeit der IT-Sicherheit bei korrekter rechtlicher Absicherung und Anwendung angemessener Vorsichtsmaßnahmen nicht kriminalisiert werden soll und kann.
Welche Bedeutung kommt der Dokumentation im Umgang mit Hackertools zu?
Die Dokumentation ist essenziell, um nachvollziehbar zu belegen, dass Hackertools zu legitimen Testzwecken und nicht zur Begehung von Straftaten beschafft oder verwendet werden.
Wie wirkt sich eine erlaubte Privatnutzung auf IT-Sicherheitsüberprüfungen aus?
Die Autoren argumentieren, dass auch bei erlaubter Privatnutzung die Verfügungsbefugnis über die Systeme beim Arbeitgeber liegt. Zur Erlangung absoluter Rechtssicherheit wird jedoch der Abschluss entsprechender Betriebsvereinbarungen empfohlen.
- Quote paper
- Dennis Jlussi (Author), Christian Hawellek (Author), 2007, IT-Sicherheit im Lichte des Strafrechts, Munich, GRIN Verlag, https://www.grin.com/document/82134
