Die Arbeit befasst sich mit den Strafbarkeitsrisiken bei White- sowie Grey Hat Hacking. Dabei werden die §§ 202a, 202b, 303a, 303b StGB und insbesondere der mit der Einführung des 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität scharf kritisierte § 202c StGB – besser bekannt als „Hackerparagraph“ - näher betrachtet. Denn Hacker sind nicht gleich Hacker. Die einfachste Kategorisierung, der in der Gesellschaft eher negativ behafteten Begrifflichkeit des Hackers, lässt sich anhand der Ziele, die sie verfolgen, differenzierter ausmachen.
Wer sich an die Hacker-Ethik und geltendes Recht hält, sowie niemanden mit seiner Arbeit schaden möchte, wird als White Hat definiert. Überwiegend arbeiten White Hats im Auftrag von Firmen und decken durch Nutzung von Dual-Use-Software bzw. Penetrationstests Sicherheitslücken in IT-Infrastrukturen auf.
Im Gegensatz zu den White Hats handeln die sogenannten Black Hats ausschließlich mit krimineller Energie. Sie dringen unerlaubt in fremde Netzwerke ein, fangen Passwörter durch Trojaner ab oder nutzen Sicherheitslücken ausschließlich für eigene Zwecke sowie zum Schaden der Betroffenen. Black Hats werden auch als Cracker bezeichnet, um Sie von den White Hats genauer abzugrenzen. Eine Mischung aus White- und Black Hats bilden die Grey Hats. Grey Hats sind nicht eindeutig als positiv oder negativ einzustufen.
Inhaltsverzeichnis
A. Zusammenfassung
B. Einführung
I. Untersuchungsgegenstand
II. Zielsetzung
C. Hauptteil
I. Einführung in die Welt des Hackings
1. Hackereinteilung
a. White Hat
b. Black Hat
c. Grey Hat
2. Penetrationstest
a. Definition
b. Rahmenbedingungen
b. Gesetzlicher Hintergrund
3. Bug Bounty
4. Dual-Use-Problematik
II. Strafbarkeit des Hacking
1. § 202a StGB – Das Ausspähen von Daten
a. Objektiver Tatbestand
b. Subjektiver Tatbestand
c. Rechtswidrigkeit
d. Kein Versuch
e. Antragsdelikt
2. § 202b StGB – Abfangen von Daten
a. Objektiver Tatbestand
b. Subjektiver Tatbestand
c. Rechtswidrigkeit
d. Kein Versuch
e. Antragsdelikt
3. § 202c StGB - Vorbereiten des Ausspähens und Abfangens von Daten
a. Objektiver Tatbestand
b. Subjektiver Tatbestand
c. Rechtswidrigkeit
d. Kein Versuch
e. Antragsdelikt
4. § 303a StGB - Datenveränderung
a. Objektiver Tatbestand
b. Subjektiver Tatbestand
c. Rechtswidrigkeit
d. Versuch
e. Antragsdelikt
5. § 303b StGB - Computersabotage
a. Objektiver Tatbestand
b. Subjektiver Tatbestand
c. Rechtswidrigkeit
d. Versuch
e. Antragsdelikt
III. Strafbarkeit von White-, Grey-Hat-Hacking
D. Fazit
Zielsetzung & Themen
Die Arbeit untersucht die strafrechtlichen Risiken, denen sich White-Hat- und Grey-Hat-Hacker bei ihrer Tätigkeit – insbesondere im Rahmen von Penetrationstests – ausgesetzt sehen. Ziel ist es, die Anwendung des deutschen Computerstrafrechts auf diese Personengruppen zu analysieren und aufzuzeigen, unter welchen Bedingungen ihre Handlungen trotz ethisch motivierter Absichten in den Bereich der Strafbarkeit geraten können.
- Strafrechtliche Einordnung von Hacking-Aktivitäten (§§ 202a, 202b, 202c, 303a, 303b StGB).
- Kategorisierung von Hackern (White Hat, Black Hat, Grey Hat).
- Rechtliche und ethische Rahmenbedingungen bei der Durchführung von Penetrationstests.
- Problematik der sogenannten Dual-Use-Software bei IT-Sicherheitsüberprüfungen.
- Risikominimierung durch vertragliche Absicherung und Einhaltung von Compliance-Vorgaben.
Auszug aus dem Buch
1 Hackereinteilung
Hacker beschäftigten sich überwiegend mit Sicherheitsmechanismen von IT-Infrastrukturen und deren Sicherheitslücken. Ein Hacker ist eine Person, die sich über ein Netzwerk einen unerlaubten Zugang zu fremden IT-Systemen und Daten verschafft. Das Ergebnis seiner Arbeit wird oft als „Hack“ bezeichnet.
Mit dem Wort „Hacker“ wird zunächst jemand in Verbindung gebracht, der Schäden bei den IT-Systemen von Unternehmen, Einzelpersonen sowie Webseiten anrichtet. Ein weit verbreiteter Mythos ist, das Hacker nach Wegen suchen, Daten von Unternehmen zu stehlen und Informationen von deren Kunden zu löschen oder zu ändern. Diese Art von Hackern gibt es durchaus, keine Frage. Allerdings ist die Begrifflichkeit des Hackers weiter auszulegen als zunächst gedacht.
Der Begriff Hacker umschreibt Personen, die Sicherheitslücken aufsuchen, um jene aufzuzeigen oder zu beheben. Aber auch Personen, die Sicherheitslücken für ihre Zwecke nutzen und ohne Befugnis in fremde IT-Infrastrukturen eindringen werden als Hacker bezeichnet.
Um die Hacker mit guten Absichten, von denen mit schlechten Absichten besser unterscheiden zu können, wurde die Begrifflichkeit des „Crackers“ geschaffen. Ein Cracker verfolgt immer eine Schädigungsabsicht oder beabsichtigt, eine Sicherheitslücke für Software, so dass diese unbegrenzt vervielfältigt oder verwendet werden können.
Auch wenn der nicht immer mit Schädigungsabsicht unterwegs ist, können die Handlungen – wie die eines Crackers – gleichwohl unter die Tatbestandsmerkmale des StGB fallen. Gleichwohl unter §§ 202a, 202b, 202c StGB und bei Veränderung von Daten unter §§ 303a, 303b StGB fallen. Je nach Loyalität sowie Ethik gegenüber den Strafvorschriften des StGB, wird zwischen den nachfolgenden Kategorisierungen von Hackern unterschieden.
Zusammenfassung der Kapitel
A. Zusammenfassung: Diese Arbeit analysiert die strafrechtlichen Risiken des Hackings, wobei insbesondere die §§ 202a bis 303b StGB sowie die Rolle von White-Hat-Hacking im Rahmen von Penetrationstests untersucht werden.
B. Einführung: Dieser Abschnitt beleuchtet die steigende Bedeutung der IT-Sicherheit für Unternehmen und definiert die Zielsetzung der Arbeit, die strafrechtliche Relevanz von Hacking-Aktivitäten zu prüfen.
C. Hauptteil: Der Hauptteil systematisiert die verschiedenen Hackerkategorien, erläutert die Durchführung von Penetrationstests unter rechtlichen Aspekten und analysiert detailliert die einschlägigen Straftatbestände des Computerstrafrechts.
D. Fazit: Das Fazit fasst zusammen, dass die Tätigkeit von Penetrationtestern zwar ethisch sinnvoll sein kann, jedoch ohne entsprechende vertragliche Absicherung und Einhaltung rechtlicher Rahmenbedingungen ein erhebliches Strafbarkeitsrisiko birgt.
Schlüsselwörter
Computerstrafrecht, Hacking, White Hat, Grey Hat, Penetrationstest, § 202a StGB, § 202b StGB, § 202c StGB, Bug Bounty, IT-Sicherheit, Strafbarkeit, Datensicherheit, Hackerparagraph, Dual-Use, Datenträger.
Häufig gestellte Fragen
Worum geht es in dieser wissenschaftlichen Arbeit grundsätzlich?
Die Arbeit befasst sich mit den strafrechtlichen Risiken, denen sich ethisch motivierte Hacker (White Hats) und Grauzonen-Akteure (Grey Hats) bei der Überprüfung von IT-Sicherheitssystemen gegenübersehen.
Was sind die zentralen Themenfelder der Analyse?
Die zentralen Themen sind die Kategorisierung von Hackern, die rechtliche Einordnung von Penetrationstests, die Anwendung spezifischer Paragrafen des StGB auf IT-Delikte sowie die Vermeidung von Strafbarkeitsrisiken durch vertragliche Gestaltung.
Was ist die primäre Forschungsfrage des Autors?
Die Arbeit untersucht, ob White-Hat- und Grey-Hat-Hacking unter dem aktuellen deutschen Strafrecht strafbar sind und welche rechtlichen Hürden bei der Anwendung von Penetrationstests zu beachten sind.
Welche wissenschaftliche Methode wird zur Untersuchung verwendet?
Es handelt sich um eine fachjuristische Analyse, die geltende Strafgesetze (StGB) auf praktische IT-Szenarien (Penetrationstests, Bug-Bounty-Programme) anwendet und durch Literatur sowie Gerichtsentscheidungen stützt.
Welche Aspekte werden im Hauptteil der Arbeit behandelt?
Im Hauptteil werden zunächst die Hacker-Typologien unterschieden, die Durchführung und rechtliche Absicherung von Penetrationstests erörtert und anschließend die Tatbestandsmerkmale der §§ 202a, 202b, 202c, 303a und 303b StGB detailliert geprüft.
Welche Begriffe charakterisieren die Arbeit am besten?
Die wichtigsten Schlagworte sind Computerstrafrecht, Penetrationstest, Hackerparagraph, Strafbarkeit, IT-Sicherheit und Schutz von Daten.
Inwiefern beeinflusst der „Hackerparagraph“ (§ 202c StGB) die Arbeit von White-Hat-Hackern?
Der Paragraph stellt die Vorbereitung von Computerstraftaten unter Strafe, was dazu führt, dass auch für legitime Sicherheitswerkzeuge (Hackertools) ein abstraktes Strafbarkeitsrisiko besteht, wenn sie ohne klare rechtliche Grundlage eingesetzt werden.
Warum spielt die vertragliche Absicherung eine so zentrale Rolle?
Eine schriftliche Vereinbarung (z. B. durch einen Vertrag oder eine NDA) ist essenziell, um die erforderliche Einwilligung des Dateneigentümers nachzuweisen, da nur durch dieses Einverständnis die Rechtswidrigkeit eines ansonsten als "unbefugt" eingestuften Zugriffs entfallen kann.
- Arbeit zitieren
- Sascha Beer (Autor:in), 2020, Strafbarkeitsrisiken bei White-Hat und Grey-Hat-Hacking, München, GRIN Verlag, https://www.grin.com/document/941374
