Die am 17.09.2007 veröffentlichte Nachricht, dass eine Strafanzeige gegen das Bundesamt für Sicherheit in der Informationstechnologie (BSI) gestellt wurde, markiert einen weiteren Höhepunkt in der langen Diskussion um den so genannten Hacker-Paragraphen, § 202 c StGB. Hintergrund der Strafanzeige war die Bewerbung eines Tools durch das BSI, das potenziell unter den Hacker-Paragraphen fallen könnte. Rechtsanwalt Thomas Feil (Fachanwalt für IT-Recht) stellt die aktuelle Rechtslage im SOLCOM Online Magazin dar und diskutiert verschiedene Möglichkeiten, wie die aktuellen Probleme gelöst werden könnten.
1. Europäische Grundlagen
Der Auslöser für die Aktivitäten des Gesetzgebers ist auf europäischer Ebene zu finden. Der Europarat hat ein Übereinkommen über die Computerkriminalität am 23.11.2001 erzielt, das u.a. einen Mindeststandard bei den Strafvorschriften über bestimmte schwere Formen der Computerkriminalität fordert. Weiterhin verpflichtet der Rahmenbeschluss 2005/222/JI des Rates vom 24.02.2005 über Angriffe auf Informationssysteme die Mitgliedsstaaten. Danach sollen schwere Formen dieser Kriminalität unter Strafe gestellt werden.
2. Deutsches Gesetzgebungsverfahren
Auf Basis eines Gesetzesentwurfes der Bundesregierung vom 22.09.2006 wurde das Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität auf den Weg gebracht. Mit diesem Gesetzesvorschlag sollten die Vorgaben des europäischen Rechts zur Computerkriminalität in nationales Recht umgesetzt werden. Unter der Überschrift „Vorbereiten des Ausspähens und Abfangens von Daten“ § 202 c StGB im Wortlaut:
(1) Wer eine Straftat nach § 202 a oder § 202 b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202 a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen verbreitet oder sonst zugänglich macht,
wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.“
Zu § 202 c StGB führt der Gesetzgeber aus:
„Erfasst werden insbesondere die so genannten Hacker-Tools, die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen, und die aus dem Internet weitgehend anonym geladen werden können. Insbesondere die durch das Internet mögliche Weiterverbreitung und leichte Verfügbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar, die nur dadurch effektiv bekämpft werden kann, dass bereits die Verbreitung solcher an sich gefährlichen Mittel unter Strafe gestellt wird.“
3. Neues Gesetz in der Bewertung
Der neue § 202 c StGB, der das Vorbereiten des Ausspähens und Abfangens von Daten unter Strafe stellt, ist ab dem 11.08.2007 gültig und in Kraft. Bei der rechtlichen Bewertung und bei der Frage der Anwendung dieser gesetzlichen Neuregelungen auf Hacker-Tools wird eine große Bandbreite von Rechtsauffassungen vertreten. Die Stellungnahmen reichen von „man muss sich keine Sorge machen“ bis hin zu dramatischen Schilderungen drohender Gefahren für die IT-Sicherheit.
In der Diskussion wird darauf verwiesen, dass Systemadministratoren und IT-Dienstleister häufig damit beauftragt werden, Angriffe auf Systeme zu simulieren, um Schwachstellen zu überprüfen. Dies soll nach Auffassung der Bundesregierung auch so bleiben:
„Die Befürchtung, dass auch der gutwillige Umgang mit Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen von § 202 c StGB-E erfasst werden könnte, ist nicht begründet. Die Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert. Einerseits muss es sich objektiv um ein Computerprogramm handeln, dessen Zweck die Begehung einer Computerstraftat ist, und andererseits muss die Tathandlung – also das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonst Zugänglichmachen – zur Vorbereitung einer Computerstraftat erfolgen.“
Weiter führt die Bundesregierung aus, dass durch die objektive Beschränkung keine Computerprogramme strafrechtlich erfasst werden, die beispielsweise der Überprüfung, der Sicherheit oder Forschung in diesem Bereich dienen. Bei Programmen, deren funktionaler Zweck nicht eindeutig ein krimineller ist (dual-use-Programme), ist der objektive Tatbestand nicht erfüllt. Die bloße Eignung von Software zur Begehung von Computerstraftaten ist nicht ausreichend. Solche Programme fallen nach Auffassung der Bundesregierung aus dem Tatbestand heraus, die lediglich zur Begehung von Computerstraftaten missbraucht werden können.
Für die Verwirklichung des Straftatbestandes ist Vorsatz notwendig. Es genügt ein so genannter „bedingter Vorsatz“. Dieser muss auch die Tathandlung als „Vorbereitung“ erfassen. Ein Täter muss zumindest billigend in Kauf nehmen, durch die Handlung eine Computerstraftat zu ermöglichen oder zu fördern.
4. Typische Situation in neuer rechtlicher Bewertung
Der neue § 202 c StGB führt für manche Situationen, die im Umfeld der IT-Sicherheitsfirmen Normalität sind, zu einer neuen rechtlichen Bewertung. Systemhäuser und IT-Dienstleister zeigen bei Kundenveranstaltungen immer wieder in Live-Demonstrationen, wie leicht es Hacker haben, auf fremde Rechner zuzugreifen. Dabei werden zumeist „echte“ Hacker-Tools eingesetzt. Hier stellt sich die Frage, ob die gesetzliche Neuregelung zu einem strafrechtlich relevanten Verhalten des „Hackers“, der die Live-Demonstration durchführt, führt. Nach § 202 c StGB sind Vorbereitungshandlungen des Ausspähens und Abfangens von Daten strafbar. Dabei genügt bereits, dass jemand sich ein Computerprogramm, dessen Zweck die Begehung einer Computerstraftat ist, verschafft. Damit ist auch der bloße Besitz von Hacker-Tools strafbar, da diesem Besitz immer ein Sich-Verschaffen vorausgeht. Wenn also auf dem Notebook des „Hackers“ sich derartige Tools befinden, ist bereits eine Strafbarkeit gegeben. Der „Hacker“ hat sich das entsprechende Programm verschafft und nimmt billigend in Kauf, dass mit dem Tool eine Computerstraftat vorbereitet wird. Hier zeigt sich, dass der weit gefasste Vorsatz, der bereits ein Billigend-in-Kauf-Nehmen unter Strafe stellt, in der Praxis jede Möglichkeit verhindert, entsprechende Hacker-Tools positiv einzusetzen. Zu einer ähnlichen Bewertung kommt man auch bei den dual-use-Programmen, die sowohl als Hacker-Tool missbraucht werden können, zum anderen aber auch für die Überprüfung von Sicherheitslücken genutzt werden. Auch hier handelt es sich um ein Computerprogramm, dessen Zweck – wenn auch nur als Teilzweck – die Begehung einer Computerstraftat ist. Auch hier wird wieder billigend in Kauf genommen, dass möglicherweise entsprechende Straftaten mit dem Programm begangen werden.
Vor dem Hintergrund der obigen Ausführungen kann im Moment nur davon abgeraten werden, entsprechende Live-Demonstrationen durchzuführen.
Auch im Alltag der EDV-Administratoren gibt es immer wieder Situationen, die unter dem neuen § 202 c StGB bewertet werden müssen. Insbesondere der Einsatz von dual-use-Programmen bereitet bei der rechtlichen Beurteilung Schwierigkeiten. Wenn beispielsweise ein Administrator in regelmäßigen Abständen die Sicherheit der Passworte durch ein Programm prüfen lässt, das alle möglichen Passworte testet und dann möglicherweise auf das Passwort eines Nutzers stößt, hat dies sicherlich im Rahmen der IT-Sicherheitsmaßnahmen seinen Sinn. Allerdings kann ein böswilliger Nutzer das gleiche Programm auch dazu nutzen, sich unberechtigt Zugang zu Daten und IT-Systemen zu verschaffen. Die Bundesregierung hat, wie oben skizziert, die Auffassung vertreten, dass solche dual-use-Programme nicht unter den objektiven Tatbestand fallen. Dies ist aber dem Gesetzeswortlaut so nicht zu entnehmen. Der Gesetzeswortlaut spricht nur von einem Zweck und nicht von einem überwiegend oder ausschließlichen illegalen Zweck. Die Gesetzesbegründung ist diesbezüglich ebenfalls nicht eindeutig positioniert:
„Es reicht, wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat ist.“
Der Gesetzgeber stellt klar, dass nicht ausschließlich eine entsprechende Bestimmung vorliegen muss. Dies wird in späteren Aussagen der Bundesregierung wieder relativiert. Aufgrund der widersprüchlichen Gesetzesbegründungen kann aber nicht von einer eindeutigen Positionierung des Gesetzgebers bei der Nutzung von dual-use-Programmen durch IT-Administratoren gesprochen werden. Es bleibt ein Strafbarkeitsrisiko.
5. Wege aus dem Dilemma
Der Rechtsausschuss hatte in seiner 64. Sitzung am 23. Mai 2007 den Gesetzesentwurf beraten und bezüglich des § 202 c StGB angemerkt, dass der Gesetzgeber die Auswirkung der neuen Strafvorschriften genau zu beobachten hat. Wenn Programmentwickler und Firmen, die ohne kriminelle Energie im Markt für IT-Sicherheit agieren, in Ermittlungsverfahren einbezogen werden, muss nach Auffassung des Rechtsausschusses auf solche Entwicklungen zeitnah reagiert werden. Die Strafanzeige gegen das Bundesamt für Sicherheit in der Informationstechnologie ist sicherlich ein erstes Signal in diese Richtung. Hier sollte der Gesetzgeber mit seinen Äußerungen ernst genommen werden. Auch die bereits zum Teil erfolgten Selbstanzeigen sind ein guter Weg, Klarheit in Hinsicht der strafrechtlichen Bewertung bestimmter Handlungen zu erlangen. Allerdings ist wohl nicht zu erwarten, dass der Einsatz von Hacker-Tools zur Entwicklung von Abwehrstrategien bzw. die Beteiligung an entsprechenden Diskussionen straffrei bleiben wird. Daher bleibt zunächst nur abzuwarten, wie die Strafverfolgungsbehörden auf entsprechende Anzeigen reagieren. Es ist allerdings den Beteiligten anzuraten, bei einer Zurückweisung der Strafanzeige, aus welchen rechtlichen Gründen auch immer, die weitergehenden Rechtsmittel auszuschöpfen, um die Strafverfolgungsbehörden in die Ermittlungen und Verfolgung entsprechender Straftaten hineinzuzwingen. So wird die Branche Sicherheit im Umgang mit den neuen Gesetzen erlangen.
Ein weiterer rechtlicher Ansatzpunkt, der bisher noch nicht intensiv verfolgt wurde, ist unter dem Stichwort „Verfassungsbeschwerde“ zusammenzufassen. Die strafrechtlichen Regelungen führen faktisch für viele Unternehmen, die sich mit dem Thema IT-Sicherheit beschäftigen, zu erheblichen Einschränkungen ihrer beruflichen Tätigkeit. Dies könnte ein Verstoß gegen Artikel 12 GG „Berufsfreiheit“ sein.
Hier liegt ein Weg, mit Hilfe der grundrechtlichen Vorschriften Einfluss auf die Strafgesetzgebung zu nehmen. Der Zulässigkeit der Verfassungsbeschwerde könnte der Grundsatz der so genannten Subsidiarität entgegenstehen. Danach ist zunächst der Rechtsweg vor den ordentlichen Gerichten auszuschöpfen. Der Grundsatz der Subsidiarität verlangt nach der Rechtsprechung des Bundesverfassungsgerichts allerdings nicht, dass ein Betroffener vor der Erhebung der Verfassungsbeschwerde gegen eine straf- oder bußgeldbewehrte Rechtsnorm zunächst eine Zuwiderhandlung begeht und dann im Straf- oder Bußgeldverfahren die Verfassungswidrigkeit der Norm geltend macht (Beschluss vom 14. November 1989, 1 BvL 14/85).