CeBIT – Professional Data Center @ CeBIT:
Neues zum Hackerparagrafen
IT-Strafrecht – Der seit August 2007 geltende Hackerparagraf hat die IT-Branche mit seinen gravierenden Strafandrohungen zum Besitz und Einsatz von Hackersoftware massiv verunsichert. Trotz neuerer – scheinbar relativierender – Rechtsprechung des Bundesverfassungsgerichts kann hierzu aber keine Entwarnung gegeben werden.
(Fortsetzung des Artikels von Seite 2)
Der Hackerparagraf ist in § 202 c Strafgesetzbuch (StGB) geregelt. Er war Teil eines Gesetzespakets mit Verschärfungen zum IT-Strafrecht und gilt seit dem 11.08.2007. Dabei war der Gesetzesentwurf sowohl in der IT-Praxis als auch in der straf- und IT-rechtlichen Literatur höchst umstritten. Er führte zu massiver Verunsicherung bei IT-Anwendern und insbesondere der IT-Security. Bereits im Vorfeld des Gesetzes sind bevorstehende Entwicklungen von so genannter Hackersoftware eingestellt beziehungsweise in das Ausland verlagert worden (so etwa der WLAN-Sniffer KisMAC im Juli 2007; siehe www.kismac.de). Der Chaos Computer Club hat sich in einer sehr deutlichen Stellungnahme zu gravierenden Auswirkungen des Hackerparagrafen geäußert (vgl. Stellungnahme vom 15.07.2007; veröffentlicht unter www.ccc.de [1]).
Bisherige Risiken
Als besonders kritisch wurden vor allem folgende Verschärfungen des Hackerparagrafen angesehen:
--> Die Strafbarkeit des bloßen Zugangs zu fremden geschützten Daten, auch beim White-Hacking.
Franz-Josef Schillo, Rechtsanwalt bei Noerr LLP
--> Die Strafbarkeit des Besitzes von Malware.
--> Die nicht erfolgte Abgrenzung zwischen Malware und Dual-Use-Software (sowohl gut- als auch bösartig einsetzbare Programme) und die damit bewirkte Strafbarkeit des Besitzes von Dual-Use-Software.
--> Die Strafbarkeit der Verbreitung von Malsoftware.
Damit waren große Bereiche der IT-Security strafbar beziehungsweise unter Strafbarkeitsrisiko.
Scheinbare Relativierungen durch Bundesverfassungsgericht
Auf Grund mehrerer Verfassungsbeschwerden hat das Bundesverfassungsgericht mit Beschluss vom 18.05.2009 die Anwendung des Hackerparagrafen deutlich relativiert. Bei der konkreten Anwendung müsse
eine eindeutig kriminelle Handlungsform vorliegen. Insbesondere soll daher der Besitz und Einsatz von Dual-Use-Software nicht strafbar sein. In der IT-rechtlichen Literatur und der IT-Praxis wurde daher Entwarnung gegeben. Insbesondere wurde behauptet, dass die Straflosigkeit des Besitzes von Dual-Use-Software nunmehr rechtssicher feststehe; der Hackerparagraf sei »zahnlos« geworden.
Verbleibende Strafbarkeit des White-Hacking
Das Bundesverfassungsgericht hat sich allerdings nicht mit der Frage des White-Hackings auseinandergesetzt. Damit bleibt es bei der – höchst umstrittenen – Strafbarkeit von White-Hackern. Ein unerlaubtes Eindringen in fremde Netze ist dementsprechend grundsätzlich strafbar.
Der Hacker, welcher die IT-Security Dritter, etwa von Großunternehmen oder des Staates ohne entsprechende Erlaubnis testet, ist damit stets einem erheblichen Strafrechtsrisiko ausgesetzt.
Dies gilt auch dann, wenn das Hacking nachweislich nur zur Sensibilisierung der Öffentlichkeit und/oder Aufdeckung von Schwachstellen erfolgt. In diesen Fällen muss sich der Hacker vorher eine (nachweislich dokumentierte) Einwilligung des Angegriffenen verschaffen.
Hierdurch werden kritische Überprüfungen des Sicherheits- und Datenschutzstandards durch eine kritische IT-Öffentlichkeit faktisch zunichte gemacht; der trotzdem weiterhin agierende White-Hacker steht unter einem Strafrisiko.
Verbleibende Restrisiken bei der Dual-Use-Software
Das Bundesverfassungsgericht hat zudem im Ergebnis offen gelassen, ob nicht in Einzelfällen Dual-Use-Software doch von § 202 c StGB erfasst sein kann. Dies soll etwa denkbar sein, wenn eine rechtswidrige Vorgehensweise manifestiert sei oder eindeutig ein Vertrieb zu illegalen Zwecken erfolge. Das Bundesverfassungsgericht relativiert also seine eigene Relativierung zur Frage der Strafbarkeit; wann und wie konkret eine Strafbarkeit gegeben sein soll, bleibt offen. Hier bleiben insbesondere bei Grenzfällen erhebliche Risiken.
Mit anderen Worten: Je gefährlicher eine Dual-Use-Software ist, desto eher wird diese einer Malsoftware gleichgestellt werden; Gleiches gilt dann, wenn ein Missbrauch der Dual-Use-Software erfolgt ist oder dieser nicht ausgeschlossen werden kann. Damit bleibt es faktisch bei der Situation, dass der Besitzer einer zu Hackertätigkeiten einsetzbaren Dual-Use-Software beweisen muss, dass er die Software nur für »gute« Zwecke angeschafft hat und verwendet. Dies gilt zumindest dann, wenn gehobene Hackertätigkeiten beziehungsweise -angriffe mit der Software möglich sind. Der Verwender risikoreicher Penetrationssoftware ist damit nach wie vor im Strafbarkeitsrisiko.
Das Bundesverfassungsgericht rät daher Penetrationstestern auch ausdrücklich, sicherzustellen, dass nur ein ordnungsgemäßer Einsatz von Hackersoftware erfolgt und dass dieser durch entsprechende ausdrückliche Einwilligungen gedeckt ist.
Verbleibende gravierende Risiken im Vertrieb
Die rechtlichen Risiken im Bereich des Vertriebs sind nach dem Urteil des Bundesverfassungsgerichts noch deutlich höher. Dies gilt insbesondere für reine Malsoftware. Der Weitergebende muss nach der ausdrücklichen Entscheidung des Bundesverfassungsgerichts sicherstellen, dass der Einsatz nur für rechtmäßige Zwecke erfolgt und dass eine Weitergabe an unlauter handelnde Personen ausgeschlossen ist. Tut er dies nicht, macht er sich strafbar.
Der Vertreiber von Malsoftware und/oder gehobener Dual-Use-Software ist daher faktisch gezwungen, seine Abnehmer und den Einsatz durch die Abnehmer zu kontrollieren. Diese Kontrolle und deren Ergebnisse muss er auch entsprechend dokumentieren. Tut er dies nicht, besteht die erhebliche Gefahr, dass Ermittlungsbehörden und Gerichte allein auf Grund der unterlassenen Kontrolle und Dokumentation von einem strafbaren Vertrieb gemäß § 202 c StGB ausgehen.
Goldene Regeln für IT-Security
Dementsprechend bleibt es also faktisch bei den – seit Inkrafttreten des Gesetzes – empfohlenen Sicherheitsmaßnahmen (siehe auch Network Computing 1/2008):
- Sammlung, Risikoeinordnung und Dokumentation der Hacker-Tools,
- Regelung und Dokumentation der Einsatzzwecke,
- Separierung und Zugangssicherung zu Hacker-Tools,
- Einschränkung und gegebenenfalls Staffelung der Zugriffsbefugnisse, auch nach Zuverlässigkeit der eingesetzten Personen,
- Dokumentation der Zugriffe und der Einsätze,
- reguläre und Stichprobenkontrollen, Dokumentation sowie
Kontrolle der Kontrolleure und Dokumentation.
Je gefährlicher die Hacker-Tools sind, desto höher beziehungsweise strikter sollten die Sicherheitsanforderungen sein. Besondere Vorsicht gilt hierbei insbesondere für die Entwickler von Malsoftware und für Personen, die berufsmäßig Hacker-Tools einsetzen.
Darüber hinaus ist ein striktes Überwachungs- und Kontrollsystem bei dem Verkauf gehobener Hackersoftware nötig. Dies gilt bereits bei Dual-Use-Software mit hohen Missbrauchsrisiken, auf jeden Fall aber für echte Mal- beziehungsweise Hackersoftware. Hier muss eine entsprechende Überprüfung stattfinden und diese schriftlich dokumentiert werden.
Goldene Regeln bei Penetrationstests
Sofern ein Einsatz von Mal- und/oder Hackersoftware gegenüber Dritten im Rahmen von Überprüfungen erfolgen soll, sollte nach wie vor stets sichergestellt werden, dass
- der Einsatz vertraglich klar geregelt ist,
- der Einsatz, insbesondere durch eine entsprechende Einwilligung, legitimiert ist,
- bei Durchführung des Einsatzes strikt die oben genannten generellen Sicherheitsvorgaben und die Vorgaben der Einwilligung eingehalten werden und
- sämtliche dieser Schritte, insbesondere die Einwilligungen schriftlich dokumentiert sind.
Zusammenfassung – Rechtslage bei Hacker-Tools
Entwarnung gilt nur für den nachweislich rein »guten« Besitz und Einsatz von Dual-Use-Software. Ansonsten sind nach wie vor umfangreiche Dokumentationen des »guten« Einsatzes von Hackersoftware notwendig. Dies gilt insbesondere für den Vertrieb von besonders für Missbrauch geeigneter Dual-Use-Software sowie insbesondere für Malsoftware, dort sind besondere Sicherheitsüberprüfungen und Dokumentationen erforderlich. Insgesamt bleibt es damit bei den bereits vor der Entscheidung des Bundesverfassungsgerichts praktizierten Sicherheitsvorkehrungen und Dokumentationen, um so eine Strafbarkeit der IT-Anwender, vor allem aber der IT-Security mit Sicherheit auszuschließen.
Franz-Josef Schillo, Rechtsanwalt bei Noerr LLP in Dresden und unter anderem Spezialist für IT-Strafrecht
E-Mail: franz-josef.schillo@noerr.com
[1] http://www.ccc.de
- 1. Seite: Neues zum Hackerparagrafen
- 2. Seite: Verbleibende Strafbarkeit des White-Hacking
- 3. Seite: Goldene Regeln für IT-Security
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
Auf der Suche nach neuen Notebooks sieht man oft den Wald vor lauter Bäumen nicht. Unsere Kollegen von der PC Go haben daher die besten Geräte für Sie getestet.
Einen Fotowettbewerb der etwas anderen Art startet NEC Display Solutions für seine Partner. Unter dem Motto »Application Picture Competition« können NEC-Partner Bilder einsenden, die NEC-Produkte im Einsatz zeigen. Für die kreativsten Fotografen winkt als Preis ein iPhone.
Der Softwareanbieter SAP steht vor einem weiteren großen Zukauf im SaaS-Segment: Für 4,3 Milliarden Dollar wollen sich die Walldorfer den kalifornischen Beschaffungsspezialisten Ariba einverleiben und das Cloud-Geschäft auf diese Weise ausbauen.
Vor kurzem war es wieder soweit: Die Macher des Deutschen Bauernkalenders suchten nach den schönsten Botschafterinnen für die Landwirtschaft. Die ansprechendsten Bewerberinnen kamen zum Casting nach München und Hamburg. Wir zeigen Ihnen die besten Bilder der Vorauswahlen in unserer Bilderstrecke ...
Der Rückgang der PC-Nachfrage und die Zusammenlegung von PC-und Druckersparte haben einschneidende Konsequenzen für die Mitarbeiter von HP. Es sollen laut Medienberichten 30.000 Mitarbeiter entlassen werden.