Strafbarkeitsrisiken von Hacking-Tools - ein Problem in der Praxis?

Inhaltsverzeichnis

1 Einleitung

2 Der § 202c StGB
2.1 Entstehung
2.2 Tatbestand
2.2.1 Objektiver Tatbestand
2.2.2 Subjektiver Tatbestand

3 Kritik am § 202c StGB

4 Strafanzeigen, Verfassungsbeschwerde und Entscheidung des BVerfG
4.1 Strafanzeigen
4.2 Verfassungsbeschwerde

5 Bewertung der Rechtslage

6 Schlussfolgerung und Empfehlung

Literatur

Falliere, Nicolas/Murchu, Liam O./Chien, Eric: W32.Stuxnet Dossier. Symantec, Februar 2011

- Technischer Bericht 〈URL: http://www.symantec.com/content/en/us/enterprise/

media/security_response/whitepapers/w32_stuxnet_dossier.pdf〉

Hassemer, Ines M.: Der so genannte Hackerparagraph § 202 c StGB - Strafrechtliche IT-Risiken in Unternehmen. JurPC Web-Dok. 51/2010, Abs. 1 - 47, 2010 〈URL: http://www.jurpc.de/

aufsatz/20100051.htm〉

Hawellek, Christian: Die strafrechtliche Relevanz von IT-Sicherheitsaudits. eicar, 2007 - Technischer Bericht

Jlussi, Dennis: IT-Sicherheit und §202c StGB. Strafbarkeit beim Umgang mit IT-Sicherheitstools nach dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität. eicar - Euro- pean Expert Group for IT-Security, October 2007 - Leitfaden 〈URL: http://www.jlussi.eu/

wp-content/uploads/2007/10/jlussi_leitfaden_web.pdf〉

Schultz, Alexander: Neue Strafbarkeiten und Probleme - Der Entwurf des Strafrechtsänderungsge- setzes (StrafÄndG) zur Bekämpfung der Coputerkriminalität vom 20.09.2006. Medien, Inter- net und Recht, 2006, Dok. 180, Rz. 1-52 〈URL: http://medien-internet-und-recht.de/ volltext.php?mir_dok_id=398〉

1 Einleitung

Durch das 41. Strafrechtänderungsgesetz wurde 2007 der § 202c in das StGB eingefügt, der unter be- stimmten Voraussetzungen unter anderem die Herstellung und die Verbreitung von Computerprogram- men, deren Zweck die Begehung einer Tat unter anderem nach § 202a StGB (Ausspähen von Daten) oder nach § 202b StGB (Abfangen von Daten) ist, unter Strafe stellt. Dieser so genannte „Hackerparagraph“ ¹ - konkret § 202c Absatz 1 Nr. 2 StGB - ist in die Kritik geraten, da die eher vage Formulierung des Gesetzestextes es der Auslegung überlässt, ob auch die Herstellung von Software mit Strafe bedroht ist, welche sowohl zum Begehen von Straftaten als auch zu deren Verhinderung mittels Überprüfung von Computersystemen dienen kann.

Problematisch ist diese rechtliche Unsicherheit unter anderem für IT-Sicherheitsspezialisten und Systemadministratoren, die darauf angewiesen sind, die ihnen anvertrauten Systeme auf die Verwundbarkeit gegenüber Hacking-Tools zu prüfen. Für jeden potentiellen Angreifer sind diese schließlich ohne weiteres erhätlich. Eine rein theoretische Prüfung auf Verwundbarkeit von IT-Systemen ist nach derzeitigem Stand der Technik nicht möglich - und solange die Nutzung der Tools, die von den Angreifern genutzt werden, nicht verboten sind, auch nicht notwendig.

Hier droht demnach ein klassisches Eigentor - die Kriminalisierung der für die Überprüfung der ITSicherheit essentiellen Werkzeuge führt zwangsweise zu erhöhter Gefährdung der Systeme. Schließlich dürften sich global tätige Angreifer kaum Sorgen um die deutsche Rechtslage machen. Damit wäre das Gegenteil dessen erreicht, was der Gesetzgeber eigentlich beabsichtigt wurde.

Es ist somit auch nicht verwunderlich, dass bereits der Entwurf des § 202c StGB von Interessenverbänden wie dem Chaos Computer Club (CCC) und der Gesellschaft für Informatik (GI) scharf kritisiert wurde. Nachdem das Gesetz in Kraft trat, wurde versucht, die Unsicherheit mittels einer Verfassungsbeschwerde zu beseitigen.

Die vorliegende Arbeit zeigt Entstehehung, Tatbestand, Kritik und die bisherige Rechtsprechung zum § 202c StGB für die Nutzung von Hacking-Tools auf und versucht, die Frage zu beantworten, ob derzeit strafrechtlicht Risiken beim Umgang mit Hacking-Tools bestehen.

2 Der § 202c StGB

Um zu bewerten, ob die im Abschnitt 3 dargestellte Kritik zutrifft und sich damit ein strafrechtliches Risiko für Sicherheitsexperten, Softwarehersteller und Wissenschaftler besteht, wird im folgenden zunächst die Entstehung und der eigentliche Tatbestand des § 202c StGB beleuchtet.

2.1 Entstehung

Das 41. Strafrechtsänderungsgesetz, welches u. a. den § 202c dem StGB hinzufügt, setzt die Vorgaben des Übereinkommens über Computerkriminalität des Europarates vom 23.11.2001 - „Cybercrime Convention” genannt - um. Das Übereinkommen nennt als zu bestrafende Handlungen in Art. 6 (1) i konkret die Herstellung von Computerprogrammen, „die in erster Linie dafür ausgelegt oder hergerichtet worden ist, eine (. . . ) Straftat zu begehen“.

Für sich selbst stehend hat die Cybercrime Convention keine direkte Wirkung gegenüber deutschen Bürgern. Als multilaterales Abkommen verpflichtet sie das unterzeichnende Deutschland allerdings völkerrechtlich, diese Bestimmungen in nationales Strafrecht zu überführen. Dabei steht es Deutschland grundsätzlich frei, strengere Vorschriften als die vereinbarten zu erlassen. ²

Am 24.05.2007 hat der Bundestag schließlich trotz anhaltender und fundierter Proteste alle Änderungsanträge abgelehnt und den Regierungsentwurf ohne Debatte verabschiedet. ³

2.2 Tatbestand

2.2.1 Objektiver Tatbestand

Die Tat begeht nach § 202c StGB derjenige, der sich oder einem anderen vom Gesetz erfasste Compu- terprogramme verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht. Der Gesetzgeber will diese Handlungen hierbei als abstraktes Gefährdungsdelikt ahnden, also ohne dass es auf einen Erfolg im Sinne der §§ 202a oder 202b ankäme. ⁴ Grund für dieses Konstrukt könnte sein, dass Ermittlungsbehörden oft keine Möglichkeit haben, Verbindungen zwischen Taten und Tatwerkzeugen herzustellen.

Mögliche Tatobjekte sind nach § 202c Abs. 1 Nr. 1 Sicherheitscodes, nach § 202c Abs. 1 Nr. 2 Compu- terprogramme. Für die hier behandelte Fragestellung nach den strafrechtlichen Risiken von Hacker-Tools sind somit vor allem letztere relevant. Eine Legaldefinition des Begriffes Computerprogramm exisitiert bisher nicht. Eine allgemeine Definition liefert z. B. die ISO/IEC 2382-1:1993 als „A syntactic unit that conforms to the rules of a particular programming language and that is composed of declarations and statements or instructions needed to solve a certain function, task, or problem.” Zu deutsch kann dies etwa als „eine Folge von den Regeln der jeweiligen Programmiersprache genügenden Anweisungen, die auf einem Computer ausgeführt werden können, um damit eine bestimmte Funktionalität zur Verfügung zu stellen” ⁵ umschrieben werden.

Vom Gesetz werden jene Computerprogramme erfasst, „deren Zweck die Begehung einer (...) Tat” nach den §§ 202a, 202b, 303a oder 303b StGB ist. Der Zweck umfasst der Gesetzesbegründung nach diejenigen Programme, „denen die illegale Verwendung immanent ist, die also nach Art und Weise des Aufbaus oder ihrer Beschaffenheit auf die Begehung von Computerstraftaten angelegt sind.” ⁶

2.2.2 Subjektiver Tatbestand

Neben der objektivierten Zweckbestimmung ist als Abgrenzung gegenüber der legalen Nutzung von Hacking-Tools die Vorbereitungshandlung im Gesetz genannt: „Wer eine Straftat (...) vorbereitet, indem er (...)”. Das Wort „indem” darf dabei nicht so verstanden werden, dass die Vorbereitung der Straftat bereits darin bestünde, dass die Tathandlung begangen wurde. ⁷ Der Gesetzgeber hat dies in der Gesetzesbegründung folgendermaßen unterstrichen:

„Zudem muss die Tathandlung zur Vorbereitung einer Computerstraftat (§§ 202a, 202b, 303a, 303b StGB) erfolgen. Entscheidend für die Tatbestandserfüllung des § 202c StGB-E ist, dass der Täter eine eigene oder fremde Computerstraftat in Aussicht genommen hat. Das ist nicht der Fall, wenn das Computerprogramm beispielsweise zum Zwecke der Sicherheitsüberprüfung, zur Entwicklung von Sicherheitssoftware oder zu Ausbildungszwecken in der IT-Sicherheitsbranche hergestellt, erworben oder einem anderen überlassen wurde, da die Sicherheitsüberprüfung, die Entwicklung von Sicherheitssoftware oder die Ausbildung im Bereich der IT-Sicherheit keine Computerstraftat darstellen.” ⁸

Software zur Prüfung der IT-Sicherheit ist also nach dem in der Gesetzesbegründung dargelegten Willen des Gesetzgebers nicht erfasst, solange damit keine strafbare Handlung intendiert ist. Es stellt sich an dieser Stelle jedoch bereits die Frage, warum dies nicht auch unmissverständlich in den Gesetzestext übernommen wurde.

3 Kritik am § 202c StGB

Die Kritik am § 202c StGB setzte bereits in der Entwurfsphase ein. Diese Kritik dreht sich im Schwer- punkt darum, dass die Definition der strafbewehrten Software unzureichend sei. Denn je nach Auslegung könnte die Vorbereitung einer Straftat schon darin bestehen, ein Tool herzustellen, welches für Strafta- ten eingesetzt werden könnte. Ob der „Zweck“ der Software aus seinen Einsatzmöglichkeiten oder der Intention des Programmierers ergibt, ist im § 202c StGB nicht definiert. Die Gesellschaft für Informatik kritisiert etwa, dass „Programme und Tools nicht nach ihrer Einsatzart, sondern vielmehr nach ihrem Aufbau definiert werden”. Es seit jedoch nicht möglich, zwischen Anwendungen zu unterscheiden, die lediglich für legale Zwecke, und solche, die zur Begehung von Straftaten hergestellt werden. Ebenso werde „Lehre, Forschung und Entwicklung und auch der einfache Gedankenaustausch zu Prüftools an Universitäten und Fachhochschulen mit diesem Paragrafen unter Strafe gestellt.” ⁹

Der Verband der deutschen Internetwirtschaft eco konstatiert: „Im Ergebnis ist es jetzt nicht ausgeschlossen, dass Computerprogramme, die zu einem legitimen Zweck wie der Sicherheitsprüfung von IT-Systemen verwendet werden, vom Anwendungsbereich des Gesetzes erfasst werden.” ¹⁰

Auch der Chaos Computer Club (CCC) pflichtet bei, es werde „(...) in Zukunft für sicherheitskritische Computersysteme nicht mehr zweifelsfrei legal möglich sein zu testen, ob sie sicher sind oder nicht.” ¹¹ Zusammenfassen kann man die Kritik in zwei möglichen Szenarien:

1. Falls die Herstellung von Hacking-Werkzeugen, deren Intention bei Herstellung nur die Über- prüfung von Sicherheitslücken ist, straffrei sein sollte, kann die gleiche Software trozdem zur Begehung von Straftaten eingesetzt werden.
2. Falls die Herstellung von Hacking-Werkzeugen, deren Intention bei Herstellung nur die Überprü- fung von Sicherheitslücken ist, strafbewehrt sein sollte, da deren möglicher Zweck ja prinzipbe- dingt die Begehung von Straftaten ist, vereinfacht deren Verbot Straftaten, da Computersysteme nicht mehr legal auf deren Sicherheit überprüft werden können.

In beiden Szenarien wird die eigentliche Intention des Gesetzgebers, Straftaten zu verhindern, konterka- riert oder findet zumindest keine Umsetzung in der Realität. Statt dessen wird ein strafrechtliches Risiko für IT-Sicherheitsexperten geschaffen, die realiter dafür sorgen, dass Straftaten verhindert werden.

[...]

¹ Die Benennung „Hackerparagraf” ist dabei irreführend, schließlich wird die landläufig als „Hacken” verstandene Handlung nicht im § 202c StGB, sondern bereits im § 202a unter Strafe gestellt.

² Jlussi S. 4

³ vgl. Prof. Dr. Alexander Rossnagel in der Pressemitteilung der Gesellschaft für Informatik vom 3. Juli 2007

⁴ Schultz Abs. 27

⁵ Wikipedia: Computerprogramm

⁶ Bundestagsdrucksache 16/3656, S.19

⁷ Jlussi S.9

⁸ Bundestagsdrucksache 16/3656, S.19

⁹ Pressemitteilung der Gesellschaft für Informatik vom 3. Juli 2007

¹⁰ Pressemeldung des eco - Verband der deutschen Internetwirtschaft e.V. vom 24.05.2007

¹¹ http://www.ccc.de/updates/2007/paragraph-202c?language=de - Abruf: 12.12.2012