Der neue Hackerparagraph § 202c StGB führt für manche Situationen, die im Umfeld der IT-Sicherheitsfirmen Normalität sind, zu einer neuen rechtlichen Bewertung.
Systemhäuser und IT-Dienstleister zeigen bei Kundenveranstaltungen immer wieder in Live-Demonstrationen, wie leicht es Hacker haben, auf fremde Rechner zuzugreifen. Dabei werden zumeist "echte" Hacker-Tools eingesetzt. Hier stellt sich die Frage, ob die gesetzliche Neuregelung zu einem strafrechtlich relevanten Verhalten des "Hackers", der die Live-Demonstration durchführt, führt. Auch die Frage, ob der Ausrichter der jeweiligen Kundenveranstaltung ebenfalls strafrechtlich belangt werden kann, soll kurz beleuchtet werden.
Nach § 202c StGB sind Vorbereitungshandlungen des Ausspähens und Abfangens von Daten strafbar. Es genügt bereits, dass jemand sich ein Computerprogramm, dessen Zweck die Begehung einer Computerstraftat ist, verschafft. Damit ist auch der bloße Besitz von Hacker-Tools strafbar, da diesem Besitz immer ein "Sich-Verschaffen" vorausgeht. Wenn sich also auf dem Notebook des "Hackers" derartige Tools befinden, ist bereits eine Strafbarkeit gegeben. Der nahe liegende Hinweis, dass mit den Hacker-Tools kein unbefugtes Ausspähen oder Abfangen von Daten durchgeführt werden soll, ist für die rechtliche Bewertung ohne Belang. Bei dem Hacker-Tool handelt es sich um ein Computerprogramm, dessen Zweck die Begehung einer Computerstraftat ist, zumindest ist eine seiner vielleicht verschiedenen Zweckausrichtungen die Begehung einer Computerstraftat. Der "Hacker" hat sich das entsprechende Programm verschafft und nimmt billigend in Kauf, dass mit dem Tool eine Computerstraftat vorbereitet wird. Hier zeigt sich, dass der weit gefasste Vorsatz, der bereits ein "Billigend-in-Kauf-Nehmen" unter Strafe stellt, in der Praxis jede Möglichkeit verhindert, entsprechende Hacker-Tools positiv einzusetzen.
Zu einer ähnlichen Bewertung kommt man auch bei den "dual-use-Programmen", die sowohl als Hacker-Tool missbraucht werden können, zum anderen aber auch für die Überprüfung von Sicherheitslücken genutzt werden. Auch hier handelt es sich um ein Computerprogramm, dessen Zweck - wenn auch nur als Teilzweck - die Begehung einer Computerstraftat ist. Auch hier wird wieder billigend in Kauf genommen, dass möglicherweise entsprechende Straftaten mit dem Programm begangen werden.
Vor dem Hintergrund der obigen Ausführungen kann im Moment nur davon abgeraten werden, entsprechende Live-Demonstrationen durchzuführen. Zurzeit ist eine solche Live-Demonstration ein Verstoß gegen § 202c StGB.
Auch im Alltag der EDV-Administratoren gibt es immer wieder Situationen, die unter dem neuen § 202c StGB bewertet werden müssen. Insbesondere der Einsatz von "dual-use-Programmen" bereitet bei der rechtlichen Beurteilung Schwierigkeiten. Wenn beispielsweise ein Administrator in regelmäßigen Abständen die Sicherheit der Passworte durch ein Programm prüfen lässt, das alle möglichen Passworte testet und dann möglicherweise auf das Passwort eines Nutzers stößt, hat dies sicherlich im Rahmen der IT-Sicherheitsmaßnahmen seinen Sinn. Allerdings kann ein böswilliger Nutzer das gleiche Programm auch dazu nutzen, sich unberechtigt Zugang zu Daten und IT-Systemen zu verschaffen. Die Bundesregierung hat die Auffassung vertreten, dass solche "dual-use-Programme" nicht unter den objektiven Tatbestand fallen. Dies ist aber dem Gesetzeswortlaut so nicht zu entnehmen. Der Gesetzeswortlaut spricht nur von einem Zweck und nicht von einem überwiegend oder ausschließlichen illegalen Zweck. Die Gesetzesbegründung ist diesbezüglich ebenfalls nicht eindeutig positioniert. Zu § 202c StGB wird in der Drucksache 16/3656 wie folgt ausgeführt:
"Es reicht, wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat ist."
Der Gesetzgeber stellt klar, dass nicht ausschließlich eine entsprechende Bestimmung vorliegen muss. Dies wird in der Gegenäußerung der Bundesregierung wieder relativiert. Aufgrund der widersprüchlichen Gesetzesbegründungen kann aber nicht von einer eindeutigen Positionierung des Gesetzgebers bei der Nutzung von "dual-use-Programmen" durch IT-Administratoren gesprochen werden. Es bleibt ein Strafbarkeitsrisiko.
In IT-Sicherheitskreisen ist es selbstverständlich, Schadsoftware, Viren und andere Software zu untersuchen, um entsprechende Abwehrstrategien entwickeln zu können. Dies geschieht in der Regel in offenen oder halb offenen Foren. Dies ist für die Weiterentwicklung der IT-Sicherheit als Methode unabdingbar. Wenn dieses Verhalten allerdings aus dem Blickwinkel des neuen § 202c StGB betrachtet wird, so ist der objektive Tatbestand erfüllt. Es liegt ein "Sich-Verschaffen" oder auch eine Verbreitungshandlung vor. Die weitergehende Strafbarkeit hängt dann vom Vorliegen des Vorsatzes ab. Zwar wird bei solchen Foren angestrebt, Abwehrstrategien zu entwickeln, da solche Foren aber jedermann Zutritt gewähren, können Schadprogramme auch zu illegalen Zwecken heruntergeladen und eingesetzt werden. Dies wird auch von den Beteiligten billigend in Kauf genommen. Ohne dieses Risiko, das nicht völlig beseitigt werden kann, ist der derzeitige Standard der IT-Sicherheit nicht zu halten. Um es deutlich zu sagen: Bei dieser Art von Diskussionen oder auch bei einer entsprechenden Beteiligung an solchen Diskussionen liegt wegen des "billigenden In-Kauf-Nehmens" eine Straftat vor. Zum Teil wird in der juristischen Literatur und wurde auch im Gesetzgebungsverfahren die Hoffnung geäußert, dass die Rechtsprechung Wege finden wird, die Strafbarkeit zu verneinen. Ob sich diese Hoffnung erfüllen wird, bleibt aber abzuwarten.
Einig sind sich allerdings der Gesetzgeber und auch alle, die die entsprechende gesetzliche Regelung beurteilen. So weit sollte das Gesetz nicht gefasst sein und die beiden soeben geschilderten Situationen der IT-Administratoren und Maßnahmen zur Entwicklung von Abwehrstrategien gegen Schadprogramme sollten eigentlich straffrei bleiben. Hier muss sich der Gesetzgeber deutlich fragen lassen, warum er trotz verschiedener Warnungen und Hinweise von Sachverständigen die kleinen angeregten sprachlichen Korrekturen und Präzisierungen des Gesetzestextes nicht vorgenommen hat. Nur ein SPD-Abgeordneter und die Fraktion "Die Linke" stimmten gegen das Gesetz. Wenn das Parlament sich so über die Bedenken von Experten hinwegsetzt und es bei einer unklaren Gesetzeslage belässt, ist fast davon auszugehen, dass eine entsprechend scharfe Anwendung der gesetzlichen Regelungen gewünscht ist. Der oben skizzierte Verweis auf die österreichischen strafrechtlichen Regelungen macht aber deutlich, dass dies nicht gezwungenermaßen und schon gar nicht aufgrund der EU-Vorgaben unweigerlich der Fall sein musste.
Ein weiterer Aspekt ist bei allen GmbHs und AGs zu bedenken. Wenn sich die weite Auslegung, die sich am Wortlaut des Gesetzes orientiert, durchsetzen sollte, ist damit zu rechnen, dass der bisherige Sicherheitsstandard oder die IT-Infrastruktur absacken wird. Dann ist allerdings im Rahmen des Risikomanagements eine Neubewertung der Risiken in Zusammenhang mit der EDV vorzunehmen. Diesbezüglich sollte jeder Vorstand oder Geschäftsführer zur Vermeidung einer persönlichen Haftung die weitere Entwicklung verfolgen und entsprechende Maßnahmen im Rahmen des Risikomanagements vornehmen.
Wege aus dem Dilemma
Die Varianten für Lösungswege sind, wenn man den Kopf nicht in den Sand stecken will, begrenzt. Bei einigen Unternehmen, auch größeren Unternehmen, drängt sich der Eindruck auf, dass durch bloße Nichtbeachtung der gesetzlichen Regelungen oder einer gewissen Ignoranz das Bedrohungsszenario sich nicht verwirklicht. Anhand eines Beispiels, das ein Sachverständiger im Rahmen der Anhörung zum Gesetzgebungsvorhaben brachte, wird allerdings schnell deutlich, wie trügerisch diese Hoffnung ist. Ein Sachverständiger verwies beispielsweise darauf, dass konkurrierende Unternehmen, die in einem harten Wettbewerb stehen, durchaus nach Erteilung eines Auftrages an den Konkurrenten, bei einem Unternehmen umfangreiche Prüfungen der IT-Sicherheit vorzunehmen, dem Gedanken an eine Strafanzeige näher treten könnte. So ließe sich ein entsprechender Mitbewerber durchaus PR-wirksam schädigen. Da die Prüfung der IT-Infrastruktur durch externe IT-Dienstleister insbesondere eine gute Vertrauensbasis erfordert, wären solche Maßnahmen, wie eine Strafanzeige gegen den Mitbewerber, in erheblichem Maße geschäftsschädigend. Im zunehmend harten Wettbewerb erscheint es nicht ausgeschlossen, dass solche Maßnahmen ergriffen werden. Die Strafanzeige gegen das Bundesamt für Sicherheit in der Informationstechnologie zeigt (siehe Artikel "Hackerparagraph: Reale Bedrohung oder Luftnummer?"), dass von den strafrechtlichen Möglichkeiten durchaus Gebrauch gemacht wird. Die Variante, zunächst nur abzuwarten, erscheint daher nicht die richtige Lösungsstrategie zu sein.
Derzeit wird insbesondere bei größeren Unternehmen diskutiert, durch anerkannte Strafrechtler eine Begutachtung der Rechtslage vornehmen zu lassen. Solche Gutachtenaufträge sind von der Hoffnung getragen, dass Strafrechtler dann auf die Gesetzesbegründung verweisen und argumentieren werden, dass entsprechende strafrechtliche Bedrohungen nicht bestehen. Wenn dann dennoch eine Strafverfolgung stattfindet, könnte auf Ebene der Schuldfrage zweifelhaft sein, ob solche Unternehmen strafrechtlich verfolgt werden können. Auch dies ist ein eher defensiver Umgang mit diesem brisanten Thema. Die tägliche Lektüre der einschlägigen Fachpresse zeigt, dass Maßnahmen zur IT-Sicherheit dringend erforderlich sind und daher ist das Prinzip Hoffnung, das letzten Endes Basis auch für die Erstellung der Gutachten ist, nicht ausreichend.
Der Rechtsausschuss hatte in seiner 64. Sitzung am 23. Mai 2007 den Gesetzesentwurf beraten und bezüglich des § 202c StGB angemerkt, dass der Gesetzgeber die Auswirkung der neuen Strafvorschriften genau zu beobachten hat. Wenn Programmentwickler und Firmen, die ohne kriminelle Energie im Markt für IT-Sicherheit agieren, in Ermittlungsverfahren einbezogen werden, muss nach Auffassung des Rechtsausschusses auf solche Entwicklungen zeitnah reagiert werden. Die Strafanzeige gegen das Bundesamt für Sicherheit in der Informationstechnologie ist sicherlich ein erstes Signal in diese Richtung. Hier sollte der Gesetzgeber mit seinen Äußerungen ernst genommen werden. Auch die bereits zum Teil erfolgten Selbstanzeigen sind ein guter Weg, Klarheit in Hinsicht der strafrechtlichen Bewertung bestimmter Handlungen zu erlangen. Es ist wohl nicht zu erwarten, dass der Einsatz von Hacker-Tools zur Entwicklung von Abwehrstrategien beziehungsweise die Beteiligung an entsprechenden Diskussionen straffrei bleiben wird. In der Vergangenheit hat sich jedoch gezeigt, dass bestimmte rechtliche Entwicklungen durchaus überraschende Wendungen nehmen können. Daher bleibt zunächst nur abzuwarten, wie die Strafverfolgungsbehörden auf entsprechende Anzeigen reagieren. Es ist den Beteiligten anzuraten, bei einer Zurückweisung der Strafanzeige, aus welchen rechtlichen Gründen auch immer, die weitergehenden Rechtsmittel auszuschöpfen, um die Strafverfolgungsbehörden in die Ermittlungen und Verfolgung entsprechender Straftaten hineinzuzwingen. So wird die Branche Sicherheit im Umgang mit den neuen Gesetzen erlangen.
Ein weiterer rechtlicher Ansatzpunkt, der bisher noch nicht intensiv verfolgt wurde, ist unter dem Stichwort "Verfassungsbeschwerde" zusammenzufassen. Die strafrechtlichen Regelungen führen faktisch für viele Unternehmen, die sich mit dem Thema IT-Sicherheit beschäftigen, zu erheblichen Einschränkungen ihrer beruflichen Tätigkeit. Artikel 12 GG formuliert die Berufsfreiheit wie folgt:
"Alle Deutschen haben das Recht, Beruf, Arbeitsplatz und Ausbildungsstätte frei zu wählen. Die Berufsausübung kann durch Gesetz oder aufgrund eines Gesetzes geregelt werden."
Die Strafbarkeit von "dual-use-Programmen" führt faktisch dazu, dass bestimmte Tätigkeiten im Umfeld der IT-Sicherheitsmaßnahmen nicht mehr möglich sind. Hierin liegt ein weiterer Weg, mit Hilfe der grundrechtlichen Vorschriften Einfluss auf die Strafgesetzgebung zu nehmen. Sicherlich ist auch dieser Weg steil und dornig. In Anbetracht der wenigen Lösungsstrategien sollte jegliche Möglichkeit genutzt werden, die gesetzliche Regelung in § 202c StGB in ihrem Anwendungsbereich einzuschränken. Anderenfalls bestehen doch erhebliche Bedenken, dass die von vielen befürchteten Schreckensszenarien doch Wirklichkeit werden.
Der Zulässigkeit der Verfassungsbeschwerde könnte der Grundsatz der so genannten Subsidiarität entgegenstehen. Danach ist zunächst der Rechtsweg vor den ordentlichen Gerichten auszuschöpfen. Der Grundsatz der Subsidiarität verlangt nach der Rechtsprechung des Bundesverfassungsgerichts allerdings nicht, dass ein Betroffener vor der Erhebung der Verfassungsbeschwerde gegen eine straf- oder bußgeldbewehrte Rechtsnorm zunächst eine Zuwiderhandlung begeht und dann im Straf- oder Bußgeldverfahren die Verfassungswidrigkeit der Norm geltend macht (Beschluss vom 14. November 1989, 1 BvL 14/85).
Zusammenfassung
Die Nutzung, das Beschaffen oder das sonst Zugänglichmachen von Schadprogrammen und Hacker-Tools muss unterbleiben. Die Beteiligung an Internetdiskussionen über Abwehrstrategien ist unter den neuen strafrechtlichen Gesichtspunkten durchaus kritisch.
Beim Einsatz von "dual-use-Programmen", die sowohl zur Überprüfung der IT-Sicherheit als auch zum Missbrauch und dem Begehen von Computerstraftaten genutzt werden können, besteht zurzeit insbesondere die Hoffnung, dass die Strafverfolgungsbehörden nicht umfassend tätig werden. Ob sich diese Hoffnung bestätigt, muss der weiteren rechtlichen Diskussion überlassen werden. Auch werden die bereits eingeleiteten Ermittlungsverfahren zeigen, wie ernst die Strafverfolgungsbehörden die gesetzlichen Strafvorschriften nehmen.
Jeder Weg, der den Parlamentariern auch vor dem Hintergrund der aktuellen innenpolitischen Diskussionen (Stichwort: Bundestrojaner und Online-Durchsuchungen) die Brisanz der Neuregelung in § 202c StGB deutlich macht, ist recht. Hier ist vielleicht noch mehr Kreativität im Umgang mit dem deutschen Gesetzgeber notwendig.
Es ist zu wünschen, dass beteiligte Unternehmen Verfassungsbeschwerden einreichen, um auch dem höchsten deutschen Gericht die Möglichkeit zu geben, die Strafvorschrift auf ihre Grundrechtskonformität zu prüfen. Die Vorschrift entspricht bei genauer Betrachtung nicht den Anforderungen, die die Gründungsväter und Autoren des Grundgesetzes für Strafvorschriften formuliert haben. Daher scheint die Verfassungsbeschwerde durchaus eine realistische Möglichkeit, eine Änderung des Gesetzes herbeizuführen.
Der Autor: Rechtsanwalt Thomas Feil, Fachanwalt für Informationstechnologierecht, Georgsplatz 9, 30159 Hannover. Tel: 0511/473906-01, Fax 0511/473906-09, Email: feil@recht-freundlich.de, Internet: www.recht-freundlich.de (gn)