Vorbereiten des Ausspähens und Abfangens von Daten

aus Wikipedia, der freien Enzyklopädie
(Weitergeleitet von Hackerparagraf)
Wechseln zu: Navigation, Suche

Vorbereiten des Ausspähens und Abfangens von Daten (umgangssprachlich auch Hackerparagraf oder Hackertoolparagraf) ist ein Tatbestand, der in § 202c des deutschen Strafgesetzbuches (StGB) normiert ist. Er wurde Ende Mai 2007 mit großer Mehrheit im Deutschen Bundestag verabschiedet. Der Paragraph stellt die Beschaffung und Verbreitung von Zugangscodes zu zugangsgeschützten Daten sowie auch die Herstellung und Gebrauch von Werkzeugen, die diesem Zweck dienlich sind, als Vorbereitung einer Straftat unter Strafe (maximal ein Jahr Freiheitsstrafe). Eine juristische Stellungnahme der European Expert Group for IT Security (EICAR) geht davon aus, dass gutartige Tätigkeiten (im Dienste der IT-Sicherheit) bei ausführlicher Dokumentation nach diesem Paragraphen nicht strafbar sind.[1]

Entstehungsgeschichte[Bearbeiten]

In das StGB eingefügt wurde er unter durch das „Einundvierzigst[e] Strafrechtsänderungsgesetz zur Bekämpfung von Computerkriminalität (41. StrÄndG)“.[2] Er befindet sich im Abschnitt „Verletzung des persönlichen Lebens- und Geheimbereichs“. Am 11. August 2007 trat er in Kraft[3]. Die deutsche Rechtsnorm stellt unter anderem die Herstellung und die Verbreitung von so genannten Hackertools unter bestimmten Umständen unter Strafe. Hierdurch wird das Übereinkommen des Europarats über Computerkriminalität[4] vom 23. November 2001 (Cybercrime Convention, ETS No.185) sowie der Rahmenbeschluss des Rates der Europäischen Union über Angriffe auf Informationssysteme [5] umgesetzt.

Rechtslage[Bearbeiten]

§ 202c Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.

Kritik[Bearbeiten]

Welche Software unter Hackertools fällt, ist im Gesetzestext sehr vage formuliert und stößt daher auf erhebliche Kritik insbesondere von Sicherheitsexperten und IT-Branchenverbänden. Vor allem wird kritisiert, dass allein entscheidend sei, dass ein Programm oder eine Information genutzt werden könnte, in fremde Computer einzudringen und keine Ausnahmeregelungen bestehen, die den Einsatz für legale Zwecke erlaubt. So wurde unter anderem gegen das Bundesamt für Sicherheit in der Informationstechnik Strafanzeige erstattet, da das Amt angeblich selbst gegen das Gesetz verstoße. Die Staatsanwaltschaft Bonn stellte das Ermittlungsverfahren ein, da der Tatbestand gemäß § 202c StGB nicht erfüllt sei.[6] Ebenso wurde das Verfahren von der Staatsanwaltschaft Mannheim im Falle der Selbstanzeige von Michael Kubert im Februar 2008 eingestellt.[7]

Reaktionen[Bearbeiten]

Als Reaktion auf die wachsende Kritik hat der Rechtsausschuss des Deutschen Bundestages 2007 in einem Bericht (Bundestags-Drucksache 16/5449[8]) darauf hingewiesen, dass der gutwillige Umgang mit Hackertools durch IT-Sicherheitsexperten nicht vom § 202c StGB erfasst werde. Auch die Bundesjustizministerin Brigitte Zypries verwies im Juli 2007 mehrfach darauf, dass dieser Paragraf nur die Vorbereitungshandlungen zu Computerstraftaten unter Strafe stelle.[9]

Fraglich war auch die Rechtslage für die Hersteller von Hackertools, wenn sie ihre Software beispielsweise im Internet verbreiten und diese von Kriminellen tatsächlich für Straftaten missbraucht werden. Aus diesem Grund verlagern viele Hersteller ihr Angebot auf ausländische Webseiten bzw. publizieren im Ausland.[10]

Ein weiteres Beispiel für die Unklarheit dieses Paragrafen stellt auch der Beschluss der Staatsanwaltschaft bei dem Landgerichts Fulda dar. Denn auch der Fall der Selbstanzeige des Geschäftsführers Herbert Treinen der dit-consulting GmbH, ebenfalls IT-Dienstleister und damit zwangsläufig auf den Gebrauch sogenannter Hacker-Tools angewiesen, wurde im Februar 2008 eingestellt. Als Begründung gab die Staatsanwaltschaft an, dass „die §§ 202a, 202b mangels Rechtswidrigkeit nicht gegeben sind“[11] und somit eine Verurteilung nicht zu erwarten war. Auch der Tatbestand des § 202c StGB sei nicht erfüllt worden, da die Hacker-Tools nur zu „gutartigen“[3] Verwendungen beschafft und genutzt wurden, so die Staatsanwaltschaft.[11]

Ebenfalls wurde die Ende 2008 erstattete Selbstanzeige des iX-Chefredakteurs Jürgen Seeger von der Staatsanwaltschaft Hannover „aus rechtlichen Gründen“ im März 2009 abgelehnt.[12]. Seeger hatte sich selbst angezeigt, nachdem er ein iX-Sonderheft „Sicher im Netz“ veröffentlichte. Diese enthält unter Anderem einen Datenträger mit der Linux-Distribution BackTrack, die verschiedene Hackertools beinhaltet. „Aufgrund der erheblichen Rechtsunsicherheit nicht nur bei professionellen Sicherheitsexperten, sondern auch bei Zeitschriften, bleibt uns keine andere Wahl, als die juristische Einordnung des Verteilens derartiger Programme im Rahmen einer Selbstanzeige prüfen zu lassen“, kommentierte Seeger seine Selbstanzeige.[13] Die Staatsanwaltschaft wiederum kommentierte die Ablehnung dahingehend, dass es vor allem auf die subjektive Vorstellung des Handelnden ankäme. Dies spiegele auch der Gesetzesentwurf wider.

Der Chaos Computer Club hat 2008 Auswirkungen der Strafrechtsänderung des Hackerparagrafen untersucht und in einer Stellungnahme Standortnachteile für IT-Betriebe in Deutschland festgestellt. Diese rechtlichen Maßregelungen würden vielmehr dem Ziel des Gesetzgebers entgegenstehen und das Sicherheitsniveau senken: „Sicherheitsforscher und -unternehmen können Leistungen nicht mehr erbringen, ohne sich der Gefahr einer Strafverfolgung auszusetzen.“ Vielmehr zeige sich, dass die Ziele des Gesetzgebers, eine Verbesserung der Sicherheitslage zu erreichen, verfehlt wurden. Die Kriminalisierung von Softwareherstellern und -benutzern führe zu einem Standortnachteil für die deutsche Forschung und Wirtschaft.[14]

In der Rechtswissenschaft wurde die Vorschrift als Straftatbestand „ohne erkennbaren ‚Unrechtskern‘“ bezeichnet.[15]

Verfassungsrecht[Bearbeiten]

Aufgrund dieser Unklarheiten haben drei Personen – eine aus der IT-Branche, eine aus dem akademischen Bereich und die dritte aus der Open-Source-Szene – jeweils eine Verfassungsbeschwerde gegen den sogenannten Hackerparagraphen (genauer: gegen § 202c Absatz 1 Nr. 2 StGB) eingereicht.[16] Die drei Beschwerden wurden mit Beschluss vom 18. Mai 2009 durch das Bundesverfassungsgericht (BVerfG) als unzulässig abgelehnt.[16][17] Das BVerfG begründete die Ablehnung damit, dass die Beschwerdeführer durch § 202c StGB nicht „selbst, gegenwärtig und unmittelbar“ in Ihren Grundrechten betroffen seien. Denn ein Risiko strafrechtlicher Verfolgung sei bei einer verfassungskonformen Auslegung des Gesetzestextes für die von ihnen genannten Tätigkeiten im Umgang mit derartigen Programmen nicht gegeben. Zum einen könne man (insbesondere bei so genannten „dual use tools“) nicht davon ausgehen, dass die Programme als „Zweck die Begehung einer Straftat“ hätten.[18] Bei den Beschwerdeführern fehle jedenfalls das „subjektiv[e] Merkmal der Vorbereitung einer Computerstraftat“.[19]

Situation in der Schweiz[Bearbeiten]

Hier stellt Artikel 143bis StGB das unbefugte Eindringen in ein Datenverarbeitungs-System als solches, Art. 143 den Daten-Diebstahl und 144 bis die Daten-Beschädigung unter Strafe. Hinzu kommen die zivilrechtlichen Schadenersatz-Ansprüche.

Per 1. Januar 2011 wird Art. 143bis StGB um Bestimmungen analog zum deutschen Hackerparagraphen erweitert.[20]

Literatur[Bearbeiten]

  • Dennis Jlussi: IT-Sicherheit und § 202c StGB – Strafbarkeit beim Umgang mit IT-Sicherheitstools nach dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität, Hannover/München 2007.[1]
  • Kai Cornelius: Zur Strafbarkeit des Anbietens von Hackertools, in Computer und Recht 2007, S. 682 (688).
  • Kai Cornelius: Gut oder nicht gut – Was bei der Entwicklung von Sicherheitssoftware zu beachten ist, iX 3/2008, Seite 101.
  • Gröseling/Höfinger, Der strafbare Umgang mit 'Hacker-Tools' auf dem Prüfstand, in Multimedia und Recht 2007, Heft 12, S. XXVII.
  • Ines M. Hassemer: Der so genannte Hackerparagraph § 202 c StGB - Strafrechtliche IT-Risiken in Unternehmen, in JurPC Web-Dok. 51/2010, Abs. 1 - 47. [3]
  • Stefan Holzner: Klarstellung strafrechtlicher Tatbestände durch den Gesetzgeber erforderlich, in Zeitschrift für Rechtspolitik 2009, S. 177.
  • Carl-Friedrich Stuckenberg: Viel Lärm um nichts? – Keine Kriminalisierung der „IT-Sicherheit“ durch § 202c StGB, in Zeitschrift für Wirtschafts- und Steuerstrafrecht 2010, S. 41.

Siehe auch[Bearbeiten]

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. a b Dennis Jlussi: IT-SICHERHEIT UND § 202c StGB. European Expert Group for IT Security, 19. Oktober 2007, abgerufen am 25. Oktober 2012 (PDF; 231 kB, deutsch, im Rahmen des Information Security Summit abgegebene juristische Stellungnahme).
  2. Bundesgesetzblatt: Einundvierzigstes Strafrechtsänderungsgesetz zur Bekämpfung von Computerkriminalität vom 7. August 2007
  3. a b  Redaktion nC: network Computing. Test, Trends, Technik für technische IT-Entscheider. Poing 2. März 2010, ISSN 1435-2524, S. 66.
  4. Cybercrime-Konvention des Europarats
  5. Rahmenbeschluss 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme (PDF, 54,6 KB, 55928 Bytes) (Abl. EU Nr. L 69 Seiten 67-71)
  6. TecChannel: [1]Das BSI und der Hackerparagraf § 202c: Keine Strafverfolgung durch Staatsanwalt
  7. SpitBlog:[2]Hackertoolparagraph 202c: Verfahren eingestellt
  8. Bundestags-Drucksache 16/5449 (PDF; 145 kB)
  9. Aussage von Brigitte Zypries am 26. Juli 2007 auf abgeordnetenwatch.de
  10. The Hackers Choice als Beispiel für eine Trennung von deutscher und internationaler Webseite
  11. a b Staatsanwaltschaft bei dem Landgericht Fulda. Geschäftszeichen 12 Js 17070/07 vom 25. Februar 2008
  12. Az. 1111 Js 181/09, siehe auch: Meldung auf Heise online vom 10. März 2009
  13. Meldung auf Heise Security vom 19. Dezember 2008
  14. Golem: CCC: Hackerparagraph gefährdet den IT-Standort Deutschland vom 21. Juli 2008
  15. Eric Hilgendorf: Recht durch Unrecht? Interkulturelle Perspektiven, in: Juristische Schulung (JuS), Heft 9/2008, S. 761-767 (S. 766 Fn. 59).
  16. a b Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatVorlage:Internetquelle/Wartung/Datum nicht im ISO-FormatBundesverfassungsgericht – Pressestelle –: Pressemitteilung Nr. 67/2009. vom 19. Juni 2009, abgerufen am 19. Juni 2009.
  17. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatBundesverfassungsgericht: Beschluss vom 18. Mai 2009, Aktenzeichen: 2 BvR 2233/07, 2 BvR 1151/08, 2 BvR 1524/08. Abgerufen am 19. Juni 2009.
  18. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatBundesverfassungsgericht: Beschluss vom 18. Mai 2009, Aktenzeichen: 2 BvR 2233/07, 2 BvR 1151/08, 2 BvR 1524/08, Absatz 62 ff. Abgerufen am 19. Juni 2009.
  19. Vorlage:Internetquelle/Wartung/Zugriffsdatum nicht im ISO-FormatBundesverfassungsgericht: Beschluss vom 18. Mai 2009, Aktenzeichen: 2 BvR 2233/07, 2 BvR 1151/08, 2 BvR 1524/08, Absatz 70 ff. Abgerufen am 19. Juni 2009 (Verlinkung auf (besondere) subjektive Merkmale im subjektiven Tatbestand nicht im Original;Kursive Hervorhebung nicht im Original).
  20. http://www.swissblawg.ch/2010/07/bundesbeschluss-betreffend.html
Rechtshinweis Bitte den Hinweis zu Rechtsthemen beachten!