Mit dem neuen § 202c Strafgesetzbuch sollen künftig schon Vorbereitungshandlungen für die Herstellung oder Verbreitung von „Hacker-Tools“ kriminalisiert werden. IT-Sicherheitsexperten sehen sich mit einem Bein im Knast.
Kein Gesetz kommt so aus dem Bundestag, wie es hineingeht, lautet eine alte politische Binsenweisheit. Anders der Regierungsentwurf für eine Novelle des Strafgesetzbuches (StGB) zur Bekämpfung der Computerkriminalität: Obwohl Kritiker zumindest eine Präzisierung der vorgesehenen neuen und überarbeiteten „Hackerparagrafen“ nachdrücklich gefordert hatten, nickte der Bundestag das heftig umstrittene Vorhaben Ende Mai zu mitternächtlicher Stunde unverändert und ohne Aussprache mit den Stimmen der großen Koalition, FDP und Grünen ab. Allein die Linkspartei und Jörg Tauss, forschungs- und medienpolitischer Sprecher der SPD-Fraktion, votierten gegen das Gesetz.
Besonders umstritten ist der neue § 202c StGB. Danach soll die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen künftig mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden.
„Verdeutlichen oder streichen“, hatte der Würzburger Strafrechtler Erich Hilgendorf angesichts dieses umfangreichen Verbots von „Hacker-Tools“ bei einer Anhörung gefordert. Allgemein gab es in der Sicherheitsbranche schwere Bedenken gegen die Formulierung, da solche Programme nicht nur von Crackern eingesetzt werden. Sie dienen Systemadministratoren, Programmierern und Beratern dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen.
Auch die weiteren Änderungen sind nicht ohne. Der ebenfalls neue § 202b sieht vor, dass mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe belegt wird, wer sich oder anderen mit solchen Hilfsmitteln unbefugt Daten aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft. Der § 202a wird so verändert, dass er bereits den unbefugten Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen kriminalisiert. Mit § 303b wird Computersabotage deutlich schärfer zu ahnden sein. Neben Betrieben, Unternehmen und Behörden soll damit künftig auch die private Datenverarbeitung gegen „erhebliche Störungen“ geschützt werden. In besonders schweren Fällen drohen bis zu zehn Jahre Gefängnis.
Der Chaos Computer Club (CCC) und der Verband der deutschen Internetwirtschaft eco sehen die Sicherheit des IT-Standorts Deutschland durch das „kontraproduktive“ Gesetz gefährdet. „Das Verbot des Besitzes von Computersicherheitswerkzeugen öffnet auch dem Einsatz des Bundestrojaners Tür und Tor“, warnt CCC-Sprecher Andy Müller-Maguhn. Industrie und Bürgern werde systematisch die Möglichkeit genommen, ihre Systeme adäquat auf Sicherheit zu checken. Angesichts eines Verweises des weit gestrickten § 129a StGB gegen die Bildung terroristischer Vereinigungen auf den neuen § 303b fürchten Vertreter der mit einer eigenen Ethik ausgerüsteten Hackervereinigung, dass der CCC oder lose Zusammenschlüsse von Sicherheitsexperten bald als Terrorgruppierung verfolgt werden könnten.
Tauss, der Abweichler in den SPD-Reihen, bezeichnete die Beratung in den Gremien des Bundestags „bestenfalls als völlig unzureichend“. Ihn stört, dass mit § 202c Hacker-Tools nicht nach ihrer Einsatzart, sondern vielmehr nach ihrem Aufbau definiert werden. Eine Unterscheidung von Anwendungen, die zur Begehung von Straftaten hergestellt werden, und solchen für ausschließlich legale Zwecke sei nicht möglich. Die Rechtspolitiker Siegfried Kauder (CDU) und Dirk Manzewski (SPD) betonten dagegen, dass man mit dem Gesetz die Cybercrime-Konvention des Europarates und den EU-Rahmenbeschluss über Angriffe auf Informationssysteme umsetze. Manzewski räumte ein, dass „kostenlose Informationen der Computercracks der Sicherheitsbranche“ zwar weiterhelfen würden und man sich dort gerne der Hacker bediene. Deren „Kick“ sei es aber, „illegal in Netze einzudringen und dann die aufgedeckten Sicherheitslücken publik zu machen“. Dieses Interesse sei „nicht schutzwürdig“. In Zeiten, in denen über heimliche staatliche Online-Durchsuchungen diskutiert werde, sei „das Just-for-Fun-Eindringen in die Privatsphäre von Menschen oder in das Innerste von Unternehmen und Institutionen“ nicht zu akzeptieren.
Zumindest ein schlechtes Gewissen offenbart sich in der Beschlussempfehlung des federführenden Rechtsausschusses. Darin werden die Vorkehrungen als „grundsätzlich geboten und sachgerecht“ verteidigt. Eine „Überkriminalisierung“ des branchenüblichen Einsatzes von Hacker-Tools durch Netzwerkadministratoren finde nicht statt. Um Missverständnisse zu vermeiden unterstreichen die Rechtspolitiker, dass § 202c bei der „Zweckbestimmung“ von Hackerwerkzeugen im Sinne des Cybercrime-Übereinkommens auszulegen sei. So seien nur Computerprogramme in Form von „Schadsoftware“ betroffen, die in erster Linie dafür ausgelegt oder hergestellt würden, Straftaten gemäß der Hackerparagrafen zu begehen. Die bloße Eignung zur kriminellen Betätigung begründe keine Strafbarkeit. Der Gesetzgeber habe die Auswirkungen der neuen Paragrafen zudem genau zu beobachten. Legitime „Massen-E-Mail-Proteste“ würden nicht erfasst.
Mit dem Gesetz muss sich Anfang Juli der einspruchsberechtigte Bundesrat ein zweites Mal beschäftigen. Die Länder hatten im Vorfeld zahlreiche Vorbehalte gegen den Entwurf ins Feld geführt. Sollten sie diese inzwischen ausgeräumt sehen, könnte die Strafrechtsänderung im Sommer am Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten. (vbr)
Version zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-291066
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
RSS
