Die Diskussion um den Hacker-Paragraphen § 202c StGB wurde nicht nur während des Gesetzgebungsverfahrens intensiv geführt. Mit einer Strafanzeige gegen das Bundesamt für Sicherheit in der Informationstechnologie (BSI) will das Magazin "TecChannel" ein Urteil erreichen, das mehr Rechtssicherheit im Umgang mit Sicherheits-Tools bringt. Hintergrund der Strafanzeige war die Bewerbung eines Tools durch das BSI, das potenziell unter den Hacker-Paragraphen fallen könnte. Es handelt sich dabei um den Password-Cracker "John the Ripper".
Die gesetzliche Neuregelung verunsichert die Hersteller von Schutzsoftware auch jetzt noch. Dabei sind sich in den Grundaussagen eigentlich alle einig. Beispielsweise verweist das Bundesjustizministerium durch den Ministeriumssprecher darauf, dass das Gesetz nur denjenigen betrifft, der wirklich eine Computerstraftat vorbereitet. Nach Auffassung des Justizministeriums muss sich derjenige keine Sorgen machen, der sich nur um die Sicherheit seines eigenen Systems oder eines fremden Systems in dessen Auftrag kümmert. Allerdings lässt sich diese Auffassung des Justizministeriums nicht so ohne weiteres aus dem gesetzlichen Wortlaut herauslesen. Der Wortlaut lässt unterschiedliche Interpretationen zu, so dass vor diesem Hintergrund viele Sicherheitsexperten rechtliche Schwierigkeiten befürchten. Grundaussagen finden sich in der Gesetzesbegründung, die im Zweifel aber nicht die alleinige Basis einer rechtlichen Bewertung in einem eventuellen gerichtlichen Verfahren ist. Alles in allem ist die gesetzliche Regelung für die Sicherheit in der Informationstechnologie eher ein Hindernis.
Europäische Grundlagen
Der Auslöser für die Aktivitäten des Gesetzgebers befindet sich auf europäischer Ebene. Der Europarat hat ein Übereinkommen über die Computerkriminalität am 23.11.2001 erzielt, das unter anderem einen Mindeststandard bei den Strafvorschriften über bestimmte schwere Formen der Computerkriminalität fordert. Weiterhin verpflichtet der Rahmenbeschluss 2005/222/JI des Rates vom 24.02.2005 über Angriffe auf Informationssysteme die Mitgliedsstaaten. Danach sollen schwere Formen dieser Kriminalität unter Strafe gestellt werden.
Im Übereinkommen über Computerkriminalität vom 23.11.2001 verlangt Artikel 6 die Strafbarkeit von bestimmten Vorbereitungshandlungen für Computerstraftaten. Unter der Überschrift "Missbrauch von Vorrichtungen" wird Folgendes vereinbart (bereinigte Übersetzung, zwischen Deutschland, Österreich und Schweiz abgestimmte Fassung):
"1. Jede Vertragspartei trifft die erforderlichen gesetzgeberischen und anderen Maßnahmen, um folgende Handlungen, wenn vorsätzlich und unbefugt begangen, nach ihrem innerstaatlichen Recht als Straftaten zu umschreiben:
a) Das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen
i) einer Vorrichtung einschließlich eines Computerprogramms, die in erster Linie dafür ausgelegt oder hergerichtet worden ist, eine nach den Artikeln 2 bis 5 umschriebene Straftat zu begehen;
ii) eines Computerpasswords, eines Zugangscodes oder ähnlicher Daten, den Zugang zu einem Computersystem als Ganzem oder zu einem Teil davon ermöglichen,
mit dem Vorsatz, sie zur Begehung einer nach den Artikel 2 bis 5 umschriebenen Straftat zu verwenden, und
b) den Besitz eines unter Buchstabe a, Ziffern i oder ii bezeichneten Mittels mit dem Vorsatz, es zur Begehung einer nach den Artikel 2 bis 5 umschriebenen Straftat zu verwenden. Eine Vertragspartei kann als gesetzliche Voraussetzung vorsehen, dass die strafrechtliche Verantwortlichkeit erst mit Besitz einer bestimmten Anzahl dieser Mittel eintritt.
2. Dieser Artikel darf nicht so ausgelegt werden, als begründe er die strafrechtliche Verantwortlichkeit in Fällen, in denen das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen oder wenn Besitz nach Absatz 1 nicht zum Zweck der Begehung einer nach den Artikeln 2 bis 5 umschriebenen Straftat, sondern beispielsweise zum genehmigten Testen oder zum Schutz eines Computersystems erfolgt.
3. Jede Vertragspartei kann sich das Recht vorbehalten, Absatz 1 nicht anzuwenden, sofern der Vorbehalt nicht das Verkaufen, Verbreiten oder anderweitige Verfügbarmachen der in Absatz 1 Buchstabe a Ziffer ii bezeichneten Mittel betrifft."
Bemerkenswert ist, dass zum einen auf den Vorsatz abgestellt wird, eine entsprechende Straftat zu begehen. Weiterhin wird bei einem Computerprogramm, das strafrechtliche Relevanz haben soll, verlangt, dass dies in erster Linie dafür ausgelegt ist, rechtswidrig eingesetzt zu werden.
Der Rahmenbeschluss vom 24.02.2005 fordert in Artikel 2, dass ein rechtswidriger Zugang zu Informationssystemen unter Strafe gestellt wird. Gleiches gilt für den rechtswidrigen Systemeingriff und den rechtswidrigen Eingriff in Daten. Artikel 5 fordert in Absatz 1, dass jeder Mitgliedsstaat sicherstellt, dass die Anstiftung oder Beihilfe zur Begehung dieser oben genannten Straftaten unter Strafe gestellt ist. Dabei wird gemäß Artikel 6 erwartet, dass eine wirksame, verhältnismäßige und abschreckende strafrechtlich Sanktion festgelegt ist.
Deutsches Gesetzgebungsverfahren
Auf Basis eines Gesetzesentwurfes der Bundesregierung vom 22.09.2006 wurde das Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität auf den Weg gebracht. Mit diesem Gesetzesvorschlag sollten die Vorgaben des europäischen Rechts zur Computerkriminalität in nationales Recht umgesetzt werden. Änderungen und Ergänzungen des Strafgesetzbuches sowie eine Änderung des § 130 des Gesetzes über Ordnungswidrigkeiten waren dazu notwendig.
Bereits der mit Drucksache 16/3656 des Deutschen Bundestages veröffentlichte Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität enthält den später in Kraft gesetzten § 202c StGB im Wortlaut. Unter der Überschrift "Vorbereiten des Ausspähens und Abfangens von Daten" wurde seitens der Bundesregierung folgender Textvorschlag an den Deutschen Bundestag übermittelt:
"(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a, Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend."
Nach Auffassung des Gesetzgebers, die er in der Gesetzesbegründung wiedergibt, entspricht das deutsche Strafrecht den Vorgaben zum materiellen Strafrecht des Europarat-Übereinkommens und den Vorgaben des EU-Rahmenbeschlusses bereits weitgehend. Daher sollte es nur zu Änderungen in Teilbereichen kommen. Zu § 202c StGB führt der Gesetzgeber unter anderem wie folgt aus:
"Erfasst werden insbesondere die so genannten Hacker-Tools, die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen, und die aus dem Internet weitgehend anonym geladen werden können. Insbesondere die durch das Internet mögliche Weiterverbreitung und leichte Verfügbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar, die nur dadurch effektiv bekämpft werden kann, dass bereits die Verbreitung solcher an sich gefährlichen Mittel unter Strafe gestellt wird."
Der Gesetzgeber sieht allerdings auch das Risiko einer Überkriminalisierung. Er verweist dabei auf den objektiven Tatbestand, der auf die Bestimmung des Computerprogramms als Mittel zur Begehung einer Straftat zum Abfangen und Ausspähen von Daten abstellt. Dabei kommt es nach Auffassung des Gesetzgebers auf die objektivierte Selbstbestimmung des Programms an. Wörtlich wird in der Gesetzesbegründung wie folgt ausgeführt:
"Somit ist sichergestellt, dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools, -Sprachen oder sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen. Das Programm muss aber nicht ausschließlich für die Begehung einer Computerstraftat bestimmt sein. Es reicht, wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat ist."
Um dies an dieser Stelle noch einmal zu wiederholen, für den Gesetzgeber reicht nach den Ausführungen in der Drucksache 16/3656 vom 30.11.2006, dass das Tool auch die Begehung einer Straftat (Ausspähen oder Abfangen von Daten) als Zweck verfolgt. Zur Problematik der so genannten "dual-use-Programme" wird später noch Stellung zu nehmen sein. Offensichtlich ist der Gesetzgeber zu diesem Zeitpunkt aber noch davon ausgegangen, dass solche "dual-use-Pogramme" ebenfalls strafrechtlich zu belangen sind.
Im Rechtsausschuss kam es dann zu einer sehr ausführlichen rechtlichen Diskussion, auf die dann in der Drucksache 16/5449, der Beschlussempfehlung und dem Bericht des Rechtsausschusses vom 23.05.2007, Bezug genommen wird. Nach Auffassung des Rechtsausschusses kriminalisiere der Gesetzentwurf nicht den branchenüblichen Einsatz von Hacker-Tools durch Netzwerkadministratoren, insbesondere wenn diese nur die Sicherheit des eigenen Datennetzes prüfen wollten. Der Rechtsausschuss stellt klar, dass § 202c StGB hinsichtlich der Zweckbestimmung im Sinne des Artikels 6 des Europarats-Übereinkommens auszulegen ist. Dabei sollen nur Computerprogramme von der Strafvorschrift betroffen sein, die in erster Linie dafür ausgelegt oder hergestellt würden, um damit Straftaten nach den §§ 202a, 202b StGB zu begehen. Die bloße Geeignetheit zur Begehung solche Straftaten begründet keine Strafbarkeit, wie der Rechtsausschuss ausführt. Weiter heißt es:
"Die Strafvorschrift habe in erster Linie professionelle Anbieter im Blick, die durch die Bereitstellung von Computerprogrammen, die für die Begehung von Straftaten geschrieben würden, ein vom Gesetzgeber als unerwünscht und strafbar angesehenes Verhalten unterstützen und damit Gewinn erzielten."
So sicher ist sich der Gesetzgeber allerdings in Gestalt seines Rechtsausschusses nicht. Es wird im Weiteren nämlich darauf hingewiesen, dass die Auswirkungen der neuen Strafvorschriften genau zu beobachten sind. Sollten Programmentwickler und Firmen, die nicht aus krimineller Energie heraus handelten, in Ermittlungsverfahren durch die neuen Strafvorschriften einbezogen werden, soll nach Auffassung des Rechtsausschusses zeitnah reagiert werden.
Das neue Gesetz und die Kritik
Der neue § 202c StGB, der das Vorbereiten des Ausspähens und Abfangens von Daten unter Strafe stellt, ist ab dem 11.08.2007 gültig und in Kraft. Bei der rechtlichen Bewertung und bei der Frage der Anwendung dieser gesetzlichen Neuregelungen auf Hacker-Tools wird eine große Bandbreite von Rechtsauffassungen vertreten. Die Stellungnahmen reichen von "man muss sich keine Sorge machen" bis hin zu dramatischen Schilderungen drohender Gefahren für die IT-Sicherheit. Die eingangs geschilderte Strafanzeige gegen das Bundesamt für Sicherheit in der Informationstechnologie macht aber deutlich, dass die rechtlichen Bewertungen noch nicht abschließend geklärt sind.
In der Diskussion wird immer wieder zu Recht darauf verwiesen, dass Systemadministratoren und IT-Dienstleister häufig damit beauftragt werden, Angriffe auf Systeme zu simulieren, um Schwachstellen zu überprüfen. Dies soll nach Auffassung der Bundesregierung auch so bleiben. In der Gegenäußerung der Bundesregierung (Drucksache 16/3656 Anlage 3) nimmt die Bundesregierung zu der geäußerten Kritik Stellung und verweist darauf, dass die verschiedenen Gesichtspunkte bereits beim Regierungsentwurf einer eingehenden Überprüfung unterzogen worden sind. Weiter führt die Bundesregierung aus:
"Die Befürchtung, dass auch der gutwillige Umgang mit Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen von § 202c StGB-E erfasst werden könnte, ist nicht begründet. Die Nichterfassung des gutwilligen Umgangs mit Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen wird bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert. Einerseits muss es sich objektiv um ein Computerprogramm handeln, dessen Zweck die Begehung einer Computerstraftat ist, und andererseits muss die Tathandlung - also das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonst Zugänglichmachen - zur Vorbereitung einer Computerstraftat erfolgen."
Die Bundesregierung merkt an, dass durch die objektive Beschränkung keine Computerprogramme strafrechtlich erfasst werden, die beispielsweise der Überprüfung, der Sicherheit oder Forschung in diesem Bereich dienen. Bei Programmen, deren funktionaler Zweck nicht eindeutig ein krimineller ist (dual-use-Programme), ist der objektive Tatbestand nicht erfüllt. Die bloße Eignung von Software zur Begehung von Computerstraftaten ist nicht ausreichend. Solche Programme fallen nach Auffassung der Bundesregierung aus dem Tatbestand heraus, die lediglich zur Begehung von Computerstraftaten missbraucht werden können.
Weiterhin wird darauf verwiesen, dass die Tathandlung zur Vorbereitung einer Computerstraftat erfolgen muss. Der Täter muss beispielsweise das Abfangen oder Ausspähen von Daten in Aussicht genommen haben. Das ist beispielsweise bei einer Sicherheitsüberprüfung, bei der Entwicklung von Sicherheitssoftware oder zu Ausbildungszwecken im Bereich der IT-Sicherheitsbranche nicht der Fall. Dies geht nach der in der Drucksache 16/3656 wiedergegebenen Auffassung der Bundesregierung sogar so weit, dass bei ursprünglich kriminellen Zwecken dienenden Computerprogrammen, wenn diese ausschließlich zu nicht kriminellen Zwecken eingesetzt werden, keine Anhaltspunkte für eine eigene oder fremde Computerstraftat bestehen. Es wird dann keine Computerstraftat in Aussicht genommen. Wer also beispielsweise für das Entwickeln von Sicherheitssoftware sich Schadprogramme verschafft, der handelt nicht zur Vorbereitung einer Computerstraftat.
Ein Teil der juristischen Literatur folgt zwar dem Bewertungsergebnis der Bundesregierung, setzt aber auf eine andere Argumentation. In der Kritik an der Argumentation der Bundesregierung wird darauf verwiesen, dass bei realitätsnahen Tests Angriffe simuliert werden und dabei Programme verwendet werden, die auch bei wirklichen Angriffen eingesetzt werden. Diese Programme dienen regelmäßig auch dem objektiven Zweck der Begehung von Straftaten. Insoweit wird dann der objektive Tatbestand nicht ausgeschlossen. In der weitergehenden rechtlichen Argumentation wird aber darauf verwiesen, dass die Vorbereitung einer Computerstraftat nach § 202a StGB und § 202b StGB erfolgen muss. Wenn ein Einverständnis eines Berechtigten vorliegt, sind entsprechende Sicherheitstests, die auch das Ausspähen oder Abfangen von Daten zum Inhalt haben, nicht mehr unbefugt.
Zum Teil wird auch die Argumentation vertreten, dass die Gerichte bei der strafrechtlichen Bewertung auch die Gesetzesbegründung und beispielsweise die oben zitierten Äußerungen der Bundesregierung mit berücksichtigen. Weiterhin wird auf die einschränkenden Formulierungen der europäischen Vorgaben hingewiesen, die ebenfalls als Auslegungshilfe bei der rechtlichen Betrachtung mit hinzuzuziehen sind.
An dieser Stelle soll zunächst das Grundgesetz zu Wort kommen. Gemäß Art. 103 Abs. 2 GG ist der Gesetzgeber verpflichtet, die Voraussetzungen der Strafbarkeit so genau zu umschreiben, dass Tragweite und Anwendungsbereich der Straftatbestände schon aus dem Gesetz selbst zu erkennen sind und sich durch Auslegungen ermitteln und konkretisieren lassen. Dies ist der Maßstab, an der sich der Gesetzgeber auch hinsichtlich des Hacker-Paragraphen messen lassen muss. In Anbetracht der umfangreichen Diskussion ist bereits ohne weitergehende Betrachtung der juristischen Auseinandersetzung festzustellen, dass die Anforderungen nicht erfüllt sind. Offensichtlich ist aus dem Gesetz heraus selbst nicht zu erkennen, für welche Tragweite und Anwendungsbereich der Straftatbestand gelten soll.
Es ist davon auszugehen, dass es sich bei dem neuen § 202c StGB um ein so genanntes abstraktes Gefährdungsdelikt handelt. Ähnliche Formulierungen finden sich beispielsweise in § 149, Abs. 1 StGB, der sich mit dem Thema Geldfälschung beschäftigt. Da der Gesetzgeber eine generelle Kriminalisierung von Hacker-Tools anstrebt, ist ein solches abstraktes Gefährdungsdelikt anzunehmen.
Die österreichische Norm, die den gleichen Tatbestand regeln will, verweist beispielsweise nicht auf Vorbereitungshandlungen. In § 126c österreichisches StGB wird auf das Wissen oder die Absicht, eine Computerstraftat zu begehen, abgestellt. Bei abstrakten Gefährdungsdelikten ist nicht ein wie auch immer gearteter Erfolg notwendig. Der Tatbestand verlangt nicht den Eintritt einer Gefahr, sondern beschreibt ein bloßes Tun, das deshalb bestraft wird, weil es leicht eine konkrete Gefahr auslösen kann.
Der Bundesgerichtshof verweist darauf, dass die Gefährlichkeit also nicht Merkmal des Tatbestandes, sondern ein gesetzgeberischer Grund der Strafandrohung ist. Bei der Vorbereitung der Fälschung von Geld- und Wertzeichen in § 149 StGB, der ähnlich formuliert ist, werden die Vorbereitungshandlungen zur Fälschung selbständig unter Strafe gestellt. Unerheblich ist dabei, ob die Tat zur Förderung objektiv geeignet ist. Weiterhin ist unerheblich, ob die vorbereitete Tat später ausgeführt wird.
Auf der Ebene des Vorsatzes genügt ein so genannter "bedingter Vorsatz". Dieser muss auch die Tathandlung als "Vorbereitung" erfassen. Ein Täter muss zumindest billigend in Kauf nehmen, durch die Handlung eine Computerstraftat zu ermöglichen oder zu fördern. Umstritten ist, ob eine Konkretisierung dieser Tat zum Zeitpunkt der Handlung erforderlich ist.
Weitere Kritik wird dahin geübt, dass die Frage der Zweckbestimmung nicht klar geregelt ist. Nach ihrer Auffassung soll die bloße Eignung eines Programms für Computerstraftaten nicht ausreichen. Es muss der primäre, vorwiegende Zweck darin bestehen, entsprechende Straftaten begehen zu können. Dabei ist zu bedenken, dass Zwecke vom jeweiligen Verwender subjektiv bestimmt werden. Schwerpunktmäßig wird daher auf die Gestaltung des Designs des Programms abzustellen und dabei zu klären sein, ob das Programm hauptsächlich nur kriminellen Zwecken dienen soll. So wurde auch der § 126c österreichisches StGB verfasst.
Programme mit einem unspezifischen Anwendungsprofil sollen aus dem strafrechtlichen Anwendungsbereich herausgenommen werden. Auch der Verweis auf die Vorbereitung einer Computerstraftat wird als ungenau angesehen. Entsprechende rechtliche Diskussionen haben sich bereits bei anderen Straftatbeständen entfacht, da ein so genannter "dolus eventualis" für die Verwirklichung des subjektiven Tatbestandes ausreicht. Wer also eine illegale Verwendung für möglich hält, was beispielsweise bei der Verwendung dazu geeigneter Software bei einer ansonsten legalen Nutzung nicht auszuschließen ist, verwirklicht bereits den Straftatbestand. Die EU-rechtlichen Vorgaben verlangen dagegen ein wissentliches oder absichtliches Handeln.
Diese oben geschilderten Kritikpunkte wurden unter anderen in der Sachverständigenanhörung des Rechtsausschusses in vielen Details vertieft. Dennoch sah sich der Gesetzgeber nicht genötigt, mit wenigen Worten die nunmehr in Kraft gesetzte Strafrechtsvorschrift zu präzisieren und die Zweifelsfragen zu klären. Hier stellt sich die Frage, ob der Gesetzgeber vor dem Hintergrund der umfangreichen Diskussion und Kritik nicht ganz bewusst eine weite Anwendung des Gesetzes will. Wenn leicht mögliche Änderungen bewusst verweigert werden, kann im Gegenzug durchaus argumentiert werden, dass der Gesetzgeber entsprechende Auslegungs- und Anwendungsvarianten will oder - um mit den obigen Formulierungen zu sprechen - zumindest billigend in Kauf nimmt. Böse Zungen behaupten in diesem Zusammenhang, dass vor dem Hintergrund des Bundestrojaners entsprechende gesetzliche Regelungen dem Interesse der Ermittlungsbehörden durchaus entgegenkommen. Denn bei strenger Anwendung des § 202c StGB ist zum Beispiel die Entwicklung und Anwendung einer Software, die vor dem Bundestrojaner warnt oder entsprechende Bundestrojaner auf den Rechnern entdeckt, auf jeden Fall ausgeschlossen.
Der Autor: Rechtsanwalt Thomas Feil, Fachanwalt für Informationstechnologierecht, Georgsplatz 9, 30159 Hannover. Tel: 0511/473906-01, Fax 0511/473906-09. e-Mail: feil@recht-freundlich.de, Internet: www.recht-freundlich.de (gn)