Menü
Security

Bundestag winkt verschärften Hackerparagraphen durch [Update]

Von
vorlesen Drucken Kommentare lesen 537 Beiträge

Der Bundestag hat am späten Donnerstagabend mit den Stimmen von Schwarz-Rot, der FDP und den Grünen den Regierungsentwurf für eine Novelle des Strafgesetzbuches (StGB) zur Bekämpfung der Computerkriminalität verabschiedet. Die PDS und Jörg Tauss, forschungs- und medienpolitischer Sprecher der SPD-Fraktion, votierten gegen das als Tagesordnungspunkt 23 behandelte Gesetz. Änderungen, wie sie etwa Experten bei einer parlamentarischen Anhörung im März sowie Branchenverbände nachdrücklich angemahnt hatten, nahmen die Abgeordneten im Einklang mit dem Votum des federführenden Rechtsausschusses nicht mehr vor. Auch eine echte Aussprache über die Verschärfung der Hackerparagraphen fand nicht statt. Die für die Debatte vorgesehenen Redner gaben ihre Positionen angesichts der späten Stunde zu Protokoll.

Mit der Einführung des Paragraphen 202c StGB soll künftig mit Freiheitsentzug bis zu einem Jahr oder finanziell bestraft werden, wer eine Straftat vorbereitet durch das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von Computerprogrammen, deren Zweck die Begehung einer entsprechenden Tat ist. Paragraph 202a StGB sieht vor, auch bereits den unbefugten Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen zu kriminalisieren. Paragraph 202b regelt, dass üblicherweise mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe belegt wird, wer sich oder einem anderen unbefugt unter Anwendung von Hacker-Tools nicht für ihn bestimmte Daten aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft.

Bisher ist Computersabotage nur bei Angriffen gegen Betriebe, Unternehmen und Behörden strafbar. Künftig sollen mit Paragraph 303b StGB auch private Datenverarbeitungen gegen "erhebliche Störungen" geschützt werden. Im "einfachen" Fall sollen hier Freiheitsstrafe bis zu drei Jahren oder Geldstrafe verhängt werden. Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, drohen neben Geldstrafe in besonders schweren Fällen Freiheitsstrafen bis zu zehn Jahren. Dies kommt laut dem Entwurf etwa regelmäßig dann infrage, wenn der Täter einen Vermögensverlust großen Ausmaßes herbeiführt, gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat. Gleiches gilt, wenn durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt wird.

[Update:] Prinzipiell soll das Gesetz gleich am Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten. Zuvor muss sich aber der einspruchsberechtigte Bundesrat noch einmal damit beschäftigen. Die Länder hatten im Vorfeld zahlreiche Vorbehalte gegen den Entwurf ins Feld geführt. Ob sie das Papier des Parlaments trotzdem ohne Änderungswünsche passieren lassen oder den Vermittlungsausschuss anrufen, wird sich voraussichtlich Anfang Juli entscheiden. Sollte der Bundesrat das Gesetz durchwinken, würde dessen Ausfertigung erfahrungsgemäß noch drei bis sechs Wochen dauern und könnte somit noch im Sommer Gültigkeit erlangen. Über die konkrete Anwendung müssten danach wohl die Gerichte entscheiden.[/Update]

Tauss, der Abweichler in den SPD-Reihen, hat das Gesetzgebungsverfahren nach zahlreichen Briefen etwa an Bundesjustizministerin Brigitte Zypries (SPD) nun auch öffentlich scharf kritisiert. Insgesamt kann ihm zufolge die Beratung in den Gremien des Bundestags "bestenfalls als völlig unzureichend bezeichnet werden". Problematisch sei vor allem die Einfügung des 202c StGB, mit dem typische Vorbereitungshandlungen unter Strafe gestellt werden. Dies sei dem Strafrecht – bis auf wenige Ausnahmen – sonst fremd. Entsprechende Programme und Tools würden ferner nicht nach ihrer Einsatzart, sondern vielmehr nach ihrem Aufbau definiert. Eine Unterscheidung in Applikationen, die zur Begehung von Straftaten und solche, die ausschließlich für legale Zwecke hergestellt werden, sei aber schlichtweg nicht möglich. Überdies führe der gewählte Wortlaut zu einer "Kriminalisierung der heute millionenfach verwendeten Programme, welche auch für das Entdecken von Sicherheitslücken in IT-Systemen notwendig sind."

Offenbar war dem Rechtsausschuss diese Tatsache Tauss zufolge auch bekannt, denn im Entwurf für die Beschlussempfehlung des Entwurfs heißt es: "Der Gesetzgeber wird die Auswirkungen der neuen Strafvorschriften genau zu beobachten haben. Sollten doch Programmentwickler und Firmen, die nicht aus krimineller Energie heraus handeln, durch diese neuen Strafvorschriften in Ermittlungsverfahren einbezogen werden, wird auf solche Entwicklungen zeitnah reagiert werden müssen." Vor diesem Hintergrund ist es für Tauss nicht nachvollziehbar, warum sämtliche Änderungsvorschläge im parlamentarischen Verfahren, die eben dies ausschließen sollten, ignoriert wurden. Vergleichbare Erklärungen zur Verabschiedung der Hackerparagraphen gaben auch andere SPD-Mitglieder wie Monika Griefahn oder Christoph Pries ab, die sich dem Fraktionszwang aber nicht entzogen.

In ihren Reden betonten die Rechtspolitiker Siegfried Kauder (CDU) und Dirk Manzewski (SPD), dass man mit dem Gesetz insbesondere die Cybercrime-Konvention des Europarates und den EU-Rahmenbeschluss über Angriffe auf Informationssysteme umsetze. Kauder räumte "größte Kopfschmerzen" beim Paragrafen 202c ein. Er begrüßte aber zugleich, dass laut Beschlussempfehlung nur "Schadsoftware" kriminalisiert werde. Auch grundrechtlich geschützte "Internet-Demonstration" würden vom Gesetz nicht betroffen.

Manzewski erklärte, dass "kostenlose Informationen der Computercracks der Sicherheitsbranche zugegebenermaßen weiterhilft" und sich die entsprechenden Firmen gerne der Hinweise von Hackern bediene. Deren "Kick" sei es, "illegal in Netze einzudringen und dann die aufgedeckten Sicherheitslücken publik zu machen". Dieses Interesse sei aber "natürlich nicht schutzwürdig". In Zeiten, in denen darüber debattiert werde, inwieweit staatliche Institutionen bei Verdacht von Straftaten Online-Durchsuchungen vornehmen dürfen, könne es nicht akzeptiert werden, "dass das Just-for-Fun-Eindringen in die Privatsphäre von Menschen oder in das Innerste von Unternehmen und Institutionen legalisiert wird". Insgesamt seien die Straftatbestände klar genug. Vergleichbar unterstrichen Sabine Leutheusser-Schnarrenberger für die FDP und Jerzy Montag für die Grünen, dass die Gesetzesformulierungen sachgerecht und eine Überkriminalisierung nicht zu erwarten seien. Beide verwiesen auf die Zusatzerläuterungen in der Beschlussempfehlung. Jan Korte von den Linken kritisierte dagegen grobe Patzer im Gesetz und monierte etwa, dass Online-Demos mit virtuellen Sitzblockaden von Servern verboten würden. (Stefan Krempl) / (Stefan Krempl) / (anw)