Das 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität (BGBl. I, 1786) trat am 11.08.2007 in Kraft. Neu gefasst wurde unter anderem der Straftatbestand des Ausspähens von Daten (§ 202 a StGB, Gegenüberstellung der Fassungen), neu eingeführt wurden die Straftatbestände des Abfangens von Daten (§ 202b StGB) und des Vorbereitens des Ausspähens und Abfangens von Daten (§ 202c StGB).
§ 202b StGB – Abfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.
§ 202c StGB – Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
Strafbarkeit von Systemadministratoren?
Stein des Anstoßes ist der § 202c StGB. Danach wird bereits die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen, sog. „Hacker-Tools“, unter Strafe gestellt. Derartige Programme benutzen jedoch auch Systemadministratoren, Programmierer und IT-Berater, um Netzwerke und Computersysteme auf Sicherheitslücken zu prüfen.
Der § 202c StGB stellt anders als der § 202b StGB nicht bestimmte Handlungen unter Strafe, vielmehr reichen allein Vorbereitungshandlungen aus, um eine Strafbarkeit zu begründen. Die Programme oder Tools werden nach dem Wortlaut des Gesetzes nicht nach ihrer konkreten Einsatzart, sondern nach ihrem generellen Zweck definiert. Der § 202c StGB unterscheidet nicht zwischen einem „guten Hacker“, dem Systemadministrator, der ein System testen und letztlich vor dem „bösen Hacker“ schützen will, dem Angreifer, der dieses System durchbrechen will. Egal ob Administrator oder Angreifer, beide nutzen Programme deren Zweck allein darin besteht, Daten auszuspähen und abzufangen. Es einem Systemadministrator zu verbieten, derartige Programme zu nutzen, ist so, als ob man Herstellern von Geldschränken verbieten würde, ihre Geldschränke unter Einsatz aller nur erdenklicher Einbruchswerkzeuge zu testen.
Ausschluss durch Tatbestandsmerkmal der Zweckbestimmung oder mangels Vorsatz?
Wird Deutschland nunmehr zur „Berufsverbotszone“ für Computersicherheitsexperten oder ist die Kritik am Gesetzestext nur ein Sturm im Wasserglas? Machen sich Sicherheitsverantwortliche strafbar, wenn sie „Hacker-Tools“ herstellen, sich beschaffen, anderen überlassen, verbreiten oder zugänglich machen oder gar verkaufen? Dazu werden zahlreiche Meinungen vertreten.
In der Sachverständigenanhörung des Deutschen Bundestages am 21.03.2007 (pdf) zerstreute der Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik, Bonn, Herr Michel Hange, Befürchtungen, dass die im Strafrechtsänderungsgesetzes vorgesehenen Anpassungen den gutwilligen Umgang mit Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen künftig unter Strafe stellen könnten. Die Vorschrift des § 202c StGB umfasse
„nach dem Willen der Bundesregierung bereits auf der Ebene des objektiven Tatbestands lediglich solche Programme, denen die illegale Verwendung immanent ist, die also nach Art und Weise des Aufbaus oder ihrer Beschaffenheit auf die Begehung von Computerstraftaten angelegt sind. Programme, deren funktionaler Zweck nichteindeutig ein krimineller ist und die erst durch ihre Anwendung zu einem Tatwerkzeug eines Kriminellen oder zu einem legitimen Werkzeug (z.B. bei Sicherheitsüberprüfungen oder im Forschungsbereich) werden (sog. dual-use-tools), seien damit ausdrücklich ausgenommen. Zum anderen weise die Bundesregierung darauf hin, dass die Tathandlung zur Vorbereitung einer Computerstraftat erfolgen muss. In Übereinstimmung mit der Auslegungspraxis zu vergleichbar aufgebauten Tatbeständen setzt die Vorschrift also voraus, dass der Täter eine eigene oder fremde Computerstraftat in Aussicht genommen hat. Dies ist – wie die Bundesregierung darlegt – nicht der Fall, wenn das Computerprogramm beispielsweise zum Zwecke der Sicherheitsüberprüfung, zur Entwicklung von Sicherheitssoftware oder zu Ausbildungszwecken in der IT-Sicherheitsbranche hergestellt, erworben oder einem anderen überlassen wurde, da die Sicherheitsüberprüfung, die Entwicklung von Sicherheitssoftware oder die Ausbildung im Bereich der IT-Sicherheit keine Computerstraftat darstellen. Schließlich hat die Bundesregierung festgehalten, dass auch die Verschaffung von bestehenden Schadprogrammen zum Zwecke der Analyse im Rahmen der Entwicklung von Sicherheitssoftware nicht unter den Straftatbestand fällt. Denn auch in diesem Fall wird keine Computerstraftat in Aussicht genommen.“
Das Amt selbst gibt im Übrigen eine Werkzeugsammlung namens „BOSS“, kurz für BSI OSS Security Suite, heraus. Die Sammlung enthält mit Programmen wie Nessus und Snort-2, sogenannte „Hackertools“.
Prof. Dr. Alexander Rossnagel, Professor für Öffentliches Recht an der Universität Kassel, vertritt dagegen nach einer Meldung der Gesellschaft für Informatik e.V. den Standpunkt, dass
„das angeblich einschränkende objektive Tatbestandsmerkmal der „Zweckbestimmung für eine Straftat“ (§ 202c Abs. 1 Nr. 2 StGB) keines (ist), weil Computerprogramme keinen Zweck haben. Selbst wenn der Entwickler einen bestimmten Zweck intendiert, können sie immer missbraucht werden. Die Begründung erkennt dies implizit an, wenn sie angibt, es reiche aus, wenn die objektive Zweckbestimmung ´auch´ die Begehung einer Straftat sei. Noch problematischer wird dies dadurch, dass der bedingte Vorsatz erfasst ist. Es ist eine Vielzahl von Fällen vorstellbar, in denen ein Betroffener bei einer an sich legitimen Handlung in Kauf nehmen wird, dass ein Passwort oder ein Computerprogramm auch anderweitig verwendet wird (…der wissenschaftliche Austausch über ein Hacker-Tool…). Bereits die Gefahr, wegen einer solchen Tätigkeit belangt zu werden, kann die Entwicklung und Verbesserung von Sicherheitstechnik behindern, Industrie und Bürgern wichtiger Selbstanalysemöglichkeiten berauben und so die IT-Sicherheit gefährden. Es ist unklar, ob die Eingangsformulierung (Vorbereitung einer Straftat) eine konkrete Tat erfordert, oder ein abstraktes Gefährdungsdelikt darstellt. Wenn letzteres der Fall ist (so z.B. Borges/Stuckenberg/Wegener, DuD 2007, 275), besteht die Gefahr, dass auch der bloße Besitz entsprechender Tools bestraft wird (etwa, wenn Gerichte die Verwendung zum Testen von Sicherheitslücken als Schutzbehauptung werten).“
Die vom Gesetzgeber als Versuch eines Korrektivs eingeführte „objektivierbare“ Zweckbestimmung eines Programms, die „gute“ von „böser“ Software unterscheiden soll, ist nicht möglich (vgl. Dr. Stefan Ernst, Das neue Computerstrafrecht, NJW 2007, 2661[2663]). Der Einsatz von „Hacker-Tools“ durch Systemadministratoren zu Testzwecken wäre demnach objektiv tatbestandsmäßig, mangels Vorsatz wohl aber nicht strafbar. „Im Endeffekt wird dem Strafverfolgungsbehörden nur wenig übrig bleiben, als im Regelfall einem Programmierer oder Administrator zunächst den guten Willen zu unterstellen und das Sichverschaffen (…) zunächst nicht als vorsätzliche Handlung anzusehen (…).“ (Dr. Stefan Ernst, aaO). Das bedeutet allerdings, dass zunächst ein Ermittlungsverfahren eingeleitet würde, was ein untragbarer Zustand ist, unabhängig davon, ob das Verfahren letztlich mangels Vorsatz eingestellt wird.
Nachtrag: Wie Telemedicus berichtet, wurde gegen das Bundesamt für Sicherheit in der Informationstechnik (BSI) in den letzten Monaten mehrfach Strafanzeige erstattet. Nahezu alle Verfahren seien indessen eingestellt worden, man sehe seitens der Staatsanwaltschaft keine Intention des BSI, die Software für kriminelle Zwecke veröffentlicht zu haben. Entsprechend sehe man auch keine kriminellen Zwecke bei der Software
Quellen und weiterführende Informationen:
Heise Online vom 10.08.2007
tecchannel – Meinungen zum § 202c: Administratoren und Programmierer werden kriminalisiert
Spiegel-Online vom 06.07.2007: Konrad Lischka, Gesetz kriminalisiert Programmierer
Chaos Computer Club vom 25.05.2007: Verbot von Computersicherheitswerkzeugen öffnet Bundestrojaner Tür und Tor
Gesellschaft für Informatik e.V. vom 03.07.2007: Entwurfsfassung des § 202c StGB droht Informatiker/innen zu kriminialisieren
Protokoll der 54. Sitzung des Deutschen Bundestages am 21.03.2007, Sachverständigenanhörung (pdf)
Dr. Stefan Ernst, Das neue Computerstrafrecht, NJW 2007, 2661 ff.
www.telemedicus.info vom 26.09.2007
Medien Internet und Recht MIR 2006, Dok. 180 – Neue Strafbarkeiten und Probleme (RA Alexander Schultz)
Update:
Verfassungsbeschwerden gegen § 202c Abs. 1 Nr. 2 StGB unzulässig; BVerfG, Beschluss vom 18. Mai 2009 – 2 BvR 2233/07, 2 BvR 1151/08, 2 BvR 1524/08 (Pressemitteilung Nr. 67/2009 vom 19. Juni 2009)