Menü
Security

Klarstellungen bei neuen Hackerparagraphen gefordert

Von
vorlesen Drucken Kommentare lesen 160 Beiträge

Sachverständige haben bei einer Anhörung im Rechtsausschuss des Bundestags zum umstrittenen Gesetzesentwurf der Bundesregierung zur Bekämpfung der Computerkriminalität auf Nachbesserungen bestanden. Insbesondere am geplanten neuen Paragraph 202c Strafgesetzbuch (StGB), der bereits Vorbereitungshandlungen zu Computerstraftaten kriminalisieren soll, seien Klarstellungen dringend erforderlich. Andererseits werde die Arbeit von IT-Sicherheitstestern bedroht, war sich die Mehrheit der geladenen Experten am Mittwoch einig. "Wenn es keine Änderung am 202c gibt, sollte man ihn lieber ganz streichen", forderte der Würzburger Strafrechtsprofessor Erich Hilgendorf. Richter und Staatsanwälte hielten den Entwurf dagegen für passabel. Michael Bruns, Generalbundesanwalt in Karlsruhe, erklärte: "Man könnte noch Einfügungen vornehmen, aber das wäre gesetzgeberisches Feuilleton."

Mit der Ergänzung des 202c StGB soll mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe belegt werden, wer eine Straftat vorbereitet durch das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von Computerprogrammen, deren Zweck die Begehung einer entsprechenden Tat ist. Diese Formulierung sei "gefährlich weit", gab Hilgendorf zu bedenken. Der Strafrechtler schlug vor, den Absichtsbegriff zu verdeutlichen oder die Hürde einer "gezielten" Vorbereitung einzubauen. Zudem sei dem Wortlaut nach auch die Herstellung von Schadsoftware im Ausland betroffen, wenn sie für die Nutzung hierzulande bereitgestellt würde. Eine solche weltweite Anwendung des deutschen Strafrechts "sollten wir uns nicht aufladen". Positiv hervorzuheben sei, dass mehrfach auf die Gefahren einer "Überkriminalisierung" aufmerksam gemacht werde.

Carl-Friedrich Stuckenberg, Privatdozent am Institut für Strafrecht der Universität Bonn, ging mit Hilfendorf konform. Mit dem 202c werde versucht, "eine Art Gefahrengutregime für bestimmte Arten von Software zu errichten". Dies setze aber voraus, "dass man eindeutig gefährliche Dinge auch benennen kann". Es möge zwar "Crimeware" wie frei im Netz stehende Virenbausätze geben, die verboten werden sollte. Insgesamt sehe er aber keinen großen Anwendungsbereich für den Paragraphen. Die Cybercrime-Konvention des Europarates, die die Bundesregierung gemeinsam mit dem EU-Rahmenbeschluss über Angriffe auf Informationssysteme mit dem Entwurf umsetzen will, sei klarer. Darin werde betont, dass "Hacker-Tools" für ein Verbot "hauptsächlich" für Cybercrime geschaffen worden sein müssten. Ein ungewolltes Strafbarkeitsrisiko rund um "Dual-Use"-Programme könne der Gesetzgeber ausschalten, wenn er das Verbot auf "direkten Vorsatz und wissentliche Absicht beschränkt".

In der internationalen Sicherheitsszene hat der Entwurf laut Felix Lindner, Geschäftsführer der Berliner Sabre Labs, "pures Entsetzen" ausgelöst. Viele Tester fragten sich, wie sie "mit einem Bein im Gefängnis" ihre Arbeit noch verrichten sollten. "Niemand kann eindeutig ein Stück Software identifizieren, bei dem die Beschaffung wirklich strafbar sein sollte", erläuterte Lindner die Gefahr. Crimeware etwa würde auf internationaler Ebene kollektiv auseinander genommen, sodass eine Regelung, die bereits die Vorbereitung ihrer Verteilung verbiete, ein "Riesenproblem" wäre. Die ganze IT-Sicherheitsindustrie lebe davon, dass Software freiwillig in der Freizeit überprüft werde und Fehler publiziert würden. Generell würde der Sicherheitsstandort Deutschland zurückfallen, etwa die Ausbildung professioneller Prüfer behindert. Konferenzen, auf denen Schwachstellen aufgedeckt und Angriffsformen erläutert werden, könnten hier nicht mehr stattfinden.

"Die Befürchtungen sind ernst zu nehmen", urteilte Georg Borges, Rechtsprofessor an der im Sicherheitsbereich renommierten Ruhr-Universität Bochum. Es gebe "ein erhebliches Maß an Unsicherheit bei Software-Entwicklern". Bruns räumte ein, dass die gewählten Formulierungen im Gesetzestext "psychologisch ganz anders aufgenommen" würden als juristisch angebracht. So seien beim 202c zwei Filter eingebaut, die auf den Vorsatz und die Absicht zur Straftatvorbereitung anspielen würden. Dies sei für den "juristisch Gesetzesinformierten" verständlich. Die Aufklärung der sich momentan fälschlich betroffen Fühlenden sei aber "eine Frage der Vermittlung".

Jürgen-Peter Graf, Richter am Bundesgerichtshof, hält die Vorverlagerung des Tatbestandsmerkmals ebenfalls für ein Problem. Die bestehenden Formulierungen seien aber grundsätzlich in der Lage, die Bedenken auszuräumen. In Richtung Computerpresse verwies er darauf, dass Hinweise auf Exploits von Sicherheitslücken und die Erteilung von Ratschlägen zu deren Anwendungen durchaus unter den neuen Straftatbestand fallen könnten. Dies sei gerechtfertigt, da so der Verbreitung von Schadsoftware entgegengewirkt würde.

Auch bei anderen geplanten Ergänzungen der Hackerparagraphen wünschten sich mehrere Experten zumindest präzisere Formulierungen. 303b etwa könnte ungewollte Effekte erreichen, wenn Bürger von dem Verbot der "Störung" einer Datenverarbeitung etwa elektronische Massenproteste in Form von E-Mail-Kampagnen gegen Ministerien erfasst sähen. Letztlich sei die Voraussetzung einer "Nachteilsabsicht" aber bei einer solchen Meinungsäußerung nicht erfüllt. Beim 202b zur Strafbarkeit der unbefugten Datenverschaffung monierte Lindner, dass darunter etwa das Abfangen von Bluetooth-Verbindungen zwischen einem Mobiltelefon und einem Auto "zum Debugging" fallen könne. Sämtliche Sniffer in diesem Bereich befänden sich so in einer rechtlichen Grauzone.

Für Verunsicherung könnte Stuckenberg zufolge die Tatsache führen, dass in den Hackerparagraphen im Gegensatz zu den europarechtlichen Vorgaben allgemein von Daten statt von Computerdaten die Rede ist. Hier sei eine Klarstellung überfällig, da sonst Ängste wie die des Bundesrates um eine Erfassung von MP3-Playern oder digitalen Fernsehgeräten geschürt würden. Letztlich stelle sich die Frage, ob schon das unbefugte Verschicken einer Diskette unter Datenverarbeitung falle und damit strafbar werden könne. Der forschungspolitische Sprecher der SPD-Fraktion, Jörg Tauss, sorgte sich zudem um die Legalität seiner eigenen Sicherheitstests, wie er sie etwa bereits bei Betriebssystemen oder Videoüberwachungsanlagen durchgeführt habe: "Ich dürfte ein Fall für den Immunitätsausschuss werden." Unklar sei auch, ob er künftig vom Nutzer oder etwa auch vom Hersteller eine Einwilligung in entsprechende Prüfungen einholen müsse.

Siehe dazu auch:

(Stefan Krempl) / (Stefan Krempl) / (jk)