IT-Strafrecht:
Probleme mit dem Hackerparagrafen

von Franz-Josef Schillo (bre)

Share
26.02.2008

Seit dem 11.08.2007 gilt Paragraf 202c Strafgesetzbuch (StGB). Dieser wird landläufig als »Hackerparagraf« bezeichnet und stellt bereits den Besitz von Computerprogrammen unter Strafe, mit denen sich Sicherheitslücken ausfindig machen lassen. Die Sanktion gipfelt in einem Jahr Gefängnis.

Der Paragraf ist Teil eines Gesetzespakets mit Neuerungen zum IT-Strafrecht. Gemeinsam mit weiteren Vorschriften (insbesondere die Paragrafen 202a, 202b, 303a und 303b StGB) ist dort die Strafbarkeit massiv ausgedehnt worden.

Nach altem Recht war die Strafverfolgung im IT-Bereich beziehungsweise im Zusammenhang mit Hacking streng begrenzt. Eine Strafbarkeit war in der Regel nur dann sicher gegeben, wenn tatsächlich Daten »gestohlen« oder »manipuliert« wurden.

Die bloße Vorbereitung des Hackings war dagegen entweder gar nicht oder nur höchst begrenzt sanktioniert. Ebenso war die Strafbarkeit problematisch, wenn lediglich ein Zugriff auf Daten ohne Herunterladen erfolgte. Auch der »gute« Angriff ohne böse Absicht beziehungsweise zum bloßen Aufdecken von Schwachstellen (auch) im Interesse des Systembetreibers (so geanntes White-Hacking) war grundsätzlich nicht strafrechtlich erfasst.

Auch White-Hacking ist strafbar

Dies ist jetzt anders. Nach Paragraf 202a StGB ist bereits der bloße Zugang zu fremden geschützten Daten grundsätzlich strafbar. Völlig unbeachtlich ist, ob Daten herunter geladen werden oder nicht. Dabei ist egal, ob dieser Zugriff mit bösem Willen erfolgt. Auch das White-Hacking ist damit strafbar. Etwas anderes gilt nur, wenn der Betreiber dem Zugriff vorher ausdrücklich zugestimmt hat.

Paragraf 202c StGB weitet den Strafrechtsschutz für Vorbereitungshandlungen massiv aus. Schon das Ausspähen von Passwörtern und sonstigen Zugangssicherungen (»Phishing«) und die Weitergabe dieser Zugangssicherungen sind sanktioniert.

Gleiches gilt für Software, die den Zugang zu fremden gesicherten Dateien ermöglicht. Jede Verschaffung oder Weitergabe ist hiervon erfasst. Nach Paragraf 202c StGB ist damit der bloße Besitz von Hackersoftware strafbar.

Entgegen landläufiger Auffassung erfolgt keinerlei Einschränkung hinsichtlich der Qualifikation der Software. Es muss sich also nicht um eine besonders anspruchsvolle Hackersoftware handeln. Der Wortlaut erfordert lediglich, dass hierüber Zugang zu Dateien erfolgen kann. Letztlich ist damit jede Software erfasst, welche die Überprüfung von fremden Dateien beziehungsweise Datenflüssen möglich macht (damit auch bloße »Sniffer«).

Wegen der Formulierung des Paragrafen 202c StGB zu »Computerprogramme(n), deren Zweck die Begehung einer solchen Tat ist«, wird fast durchgehend angenommen, dass die Beschaffung oder Erstellung von Hackersoftware in »guter« Absicht auch nach der neuen Rechtslage straflos sein soll. Dies folge auch aus der Verweisung auf die Paragrafen 202a und 202b StGB. Diese erforderten eine »unbefugte« Handlung.

Nur unter dieser Voraussetzung könnten also auch Handlungen von Paragraf 202c StGB erfasst sein; daher soll etwa der Besitz von Hacker-Tools nur zum Einsatz mit Zustimmung der Betroffenen zulässig sein. Schließlich wird hierzu auch die Gesetzesbegründung herangezogen, wonach die Software nach ihrer »objektive(n) Zweckbestimmung« auch auf die »Begehung einer solchen Straftat« angelegt sein müsse.


Dilemma Dual-Use-Software

Rein zu eigenen Überprüfungszwecken angeschaffte Software oder zum Einsatz gegenüber Zustimmenden erworbene oder erstellte soll demnach nicht vom Paragrafen 202c StGB erfasst sein. Gleiches soll für sowohl gut- als auch bösartige Programme (»Dual-Use-Software«) gelten, sofern die Anschaffung nur zu guten beziehungsweise erlaubten Zwecken erfolgt. Insoweit wurde oftmals Entwarnung angesagt.

Diese Sichtweise ist aber problematisch. Sie ist zum einen nicht durch entsprechende Rechtsprechung abgesichert und daher nicht wirklich rechtlich belastbar. Zum anderen verkennt sie die Praxis eines Strafverfahrens. Der Besitzer einer Hacker- beziehungsweise Dual-Use-Software wird nach seiner Ergreifung stets zu argumentieren versuchen, dass er die Software doch nur für »gute« Zwecke angeschafft habe.

Müssten die Ermittlungsbehörden in diesen Fällen stets die böse Absicht oder gar eine entsprechende Verwendung konkret nachweisen, liefe die Vorschrift im Ergebnis ins Leere.


»Gute« Absicht als Schutzbehauptung

In der Praxis eines Ermittlungsverfahrens ist eher mit folgender Vorgehensweise zu rechnen: Die Ermittlungsbehörden schließen aus der vermeintlichen Gefährlichkeit eines Hacker-Tools auf die Missbrauchsabsicht. Je gefährlicher das Werkzeug ist, desto mehr ist von entsprechenden Vorwürfen auszugehen.

Ähnliche Probleme werden auftreten, wenn es tatsächlich zu Missbräuchen dieses Tools – etwa durch Mitarbeiter – gekommen ist oder wenn objektiv gefährliche Werkzeuge nicht besonders gegen Missbrauch gesichert werden. In diesen Fällen wird im Zweifel behauptet werden, der Missbrauch sei tatsächlich unterstützt oder zumindest billigend in Kauf genommen worden.

Etwaige gegenteilige Ausführungen werden dann als reine »Schutzbehauptungen« abgetan werden. Letztlich wird sich der Besitzer von (auch) zum Hacking geeigneten Tools somit entlasten müssen.

Eine sichere Vorgehensweise findet sich weder bei noch im Zusammenhang mit der Gesetzesbegründung zu Paragraf 202c StGB. Allerdings sieht die Rechtsordnung in verschiedensten Bereichen besondere Sicherungspflichten für gefährliche Stoffe vor.

So ist etwa im Bereich der Palliativ-Medizin (Pflege und Behandlung todkranker Patienten) anerkannt, dass bestimmte – an sich verbotene – Stoffe wie etwa Opiate zur Linderung der Schmerzen der Patienten unter besonderen Sicherheitsvorkehrungen vorgehalten und eingesetzt werden können. Diese Grundsätze können entsprechend auf das IT-Riskmanagement zu Hacker-Tools angewendet werden.

Sieben goldene Regeln

Demnach sollte bei Hacker-Tools wie folgt verfahren werden:

  • Sammlung und Dokumentation der Hacker-Tools
  • Regelung und Dokumentation der Einsatzzwecke
  • Separierung der und Zugangssicherungen zu Hacker-Tools
  • Einschränkung und gegebenenfalls Staffelung der Zugriffsbefugnisse
  • Dokumentation der Zugriffe und der Einsätze
  • Reguläre und Stichprobenkontrollen, Dokumentation
  • Kontrolle der Kontrolleure, Dokumentation.

Je gefährlicher die Hacker-Tools sind, desto höher beziehungsweise strikter sollten die Sicherheitsanforderungen sein. Besondere Vorsicht walten lassen sollten hierbei die Entwickler und Personen, die berufsmäßig Hacker-Tools einsetzen, wie Detektive und Security-Unternehmen.

Bei dem Einsatz gegenüber Dritten sollte zudem stets sichergestellt werden, dass

  • der Einsatz vertraglich klar geregelt ist,
  • der Einsatz insbesondere durch eindeutig dokumentierte Einwilligungen legitimiert ist und
  • bei Durchführung des Einsatzes strikt die oben genannten generellen Sicherheitsvorgaben eingehalten werden.

Franz-Josef Schillo