“Besserer Schutz vor Hackern, Datenklau und Computersabotage”, das soll der aktualisierte § 202 StGB laut Bundesministerium der Justiz (BMJ) bringen. Damit will Bundesjustizministerin Brigitte Zypries “letzte Lücken im deutschen Strafrecht schließen”. Das sind laut BMJ “Regelungslücken vor allem im Bereich des ‚Hacking’, das heißt dem ‚Knacken’ von Computersicherheitssystemen und der Computersabotage”. (Originaltext BMJ-Pressemitteilung).
Den meisten Sprengstoff besitzt dabei “§ 202c StGB” (im Folgenden als § 202c bezeichnet). „Besonders gefährliche Vorbereitungshandlungen zu Computerstraftaten werden künftig strafbar sein. Sanktioniert wird insbesondere das Herstellen, Überlassen, Verbreiten oder Verschaffen von ‚Hackertools’, die bereits nach Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen.“ (Originaltext BMJ-Pressemitteilung).
Das Gesetz hat also nach Willen und Interpretation des BMJ direkte Auswirkung auf die “Verbreitung” und “Verschaffung” von Software, die sich prinzipiell (auch) für illegale Handlungen nutzen lässt. Damit sind aber neben den tatsächlichen Übeltätern vor allem Sicherheitsexperten, Programmierer und Internetseiten als Verbreiter, Überlasser und Hersteller betroffen.
Deutsche Paragrafenreiter im globalen Netz
Paragraf § 202c (am Artikelende im Wortlaut nachzulesen) bietet viel Interpretationsspielraum, der wohl bald von Gerichten ausgelegt und damit exakter definiert wird. Wer sich jetzt nicht strafbar machen will, entfernt in unfreiwilliger Selbstzensur alle Inhalte und Verweise auf möglicherweise riskante Software – oder flüchtet mit seiner Firma ins benachbarte Ausland.
Die Situation ist absurd, denn beispielsweise ohne jegliche Änderung auf der Webseite läuft das Angebot einfach in dem Land weiter, wo es nicht strafbar ist. Zwar gibt es Beispiele, bei denen ein Hersteller demonstrativ auch die Domain-Endung wechselt, um gegen § 202c publikumswirksam zu protestieren, notwendig ist das aber eigentlich nicht. Schließlich kann eine Webseite mit .de-Endung auch auf einem Server in der Schweiz betrieben werden.
Und wenn die Schweiz es sich einmal anders überlegt, dann zieht die Karawane nach Antigua oder Lummerland weiter. Das Internet endet nicht an der deutschen Grenze, der § 202c tut das aber sehr wohl.
Neben Webseiten trifft es die deutschen Sicherheitsexperten besonders hart, die nun als “Hackertools” eingestufte Software nutzten, um beispielsweise die Unternehmens-IT auf Sicherheitslücken zu prüfen. Sie fühlen sich kriminalisiert und befürchten strafrechtliche Konsequenzen, wenn sie weiter ihrem Beruf nachgehen wie bisher.
Gegenwehr statt Flucht
Der Widerstand im Internet gegen den § 202c wächst zwar, wie unser Artikel “Meinungen zum § 202c: Administratoren und Programmierer werden kriminalisiert” zeigt. Allerdings scheinen die Aktionen und Kommentare nichts zu bewirken.
Wir von TecChannel sind ebenfalls von § 202c betroffen, berichten wir doch ausführlich über Sicherheitslücken und deren Beseitigung. Wir verweisen auf Tools, mit denen Sie Ihren Computer und die Unternehmens-IT checken und dann angemessen absichern können. Wie viele andere Internetseiten, haben wir deshalb unsere Artikelbestände und Download-Links aufwendig überprüft, um mehr Sicherheit zu erhalten – nicht vor Hackern und Straftätern, sondern vor der deutschen Justiz.
Auf der sicheren Seite sind wir dabei jedoch nicht, denn letztlich bleibt ein Interpretationsspielraum, den der schwammig formulierte Paragraf § 202c hinterlässt. Und schließlich haben wir uns die Hackertools ja vorher “verschafft”, um über sie berichten zu können.
Die Situation ist für uns so nicht mehr hinnehmbar, und wir haben deshalb beschlossen, aktiv dagegen vorzugehen. Unser Ziel ist es, eine gewisse Rechtssicherheit für uns und damit alle anderen seriösen Internetseiten sowie unsere Leser zu erreichen.
Wir haben deshalb die Bundesrepublik Deutschland und insbesondere deren ausführende Organe dem §-202c-Test unterzogen. Staatliche Einrichtungen mögen zwar Sonderrechte genießen, jedoch sollten sie ihren Bürgern keine illegalen Tools verschaffen. Andererseits zeigt ein strafrechtliches Vergehen eines Bundesamtes auch die Grenzen auf, die der Bürger nicht überschreiten sollte.
Hackertools beim Bundesamt
Wir sind bei unserer Suche nach “staatlichen Hackern” schnell fündig geworden. Unser Musterfall betrifft das Bundesamt für Sicherheit in der Informationstechnik – kurz BSI. Das BSI ist ein für staatliche Einrichtungen erstaunlich agiles und bemühtes Amt. Eigentlich handelt es sich um eine vorbildliche Einrichtung, der man üble Straftaten auch nicht zutrauen mag.
Neben guten Grundlageninformationen und Handlungsrichtlinien für Sicherheitsverantwortliche in Unternehmen bietet das BSI auf seiner Webseite jedoch auch seine BOSS-Software-Suite zum Download an und verweist außerdem auf die Hersteller-Webseiten einzelner Softwarekomponenten aus dem Paket. Darunter ist auch der Passwort-Cracker “John the Ripper”, dessen einziger Einsatzzweck keinen Interpretationsspielraum zulässt: Damit kann man Passwörter ausspähen!
Das ist nach Meinung der TecChannel-Redaktion ein Verstoß gegen § 202c. Das BSI macht über einen direkten Link auf seiner Webseite die genannte Software jedem Besucher zugänglich.
Außerdem bietet das Amt auf der Internetseite auch das CD-ROM-Image der BOSS-Suite an, die das Tool enthält – wir meinen: Das ist dann auch noch “Verbreitung” von illegaler Hacker-Software.
Konsequenz: Strafanzeige gegen das BSI
Wir haben aus den zuvor genannten Gründen Strafanzeige gegen Unbekannt erstattet, denn der konkret Verantwortliche für das BSI-Angebot lässt sich auf der Webseite nicht ausmachen.
Die Staatsanwaltschaft in Bonn (Sitz des BSI) hat nun zwei Möglichkeiten:
-
Der Anzeige wird NICHT stattgegeben, weil das BSI nach Meinung der Staatsanwaltschaft keine strafbare Handlung begeht
-
Der Anzeige wird STATTGEGEBEN, und die Ermittlungen gegen Unbekannt werden aufgenommen, weil der Verdacht besteht, dass hier eine strafbare Handlung vorliegt.
In beiden Fällen ergibt sich für TecChannel.de und alle anderen seriösen Internetseiten sowie Sicherheitsexperten eine weitaus bessere Rechtssicherheit:
Lehnt die Staatsanwaltschaft die Anzeige ab, sollte man sich einfach am Vorbild des BSI orientieren. Es wäre dann nicht grundsätzlich strafbar, in einem seriösen Umfeld das Thema aufzugreifen und solche Tools zu verbreiten.
Im zweiten Fall ist eine Selbstzensur bei der Berichterstattung zu Sicherheitstools ratsam – erst recht, wenn es später zu einer Verurteilung kommt. Ein Freispruch durch ein Gericht würde ebenfalls für Klarheit sorgen.
Stellungnahme des BSI
Wir haben das BSI im Vorfeld unserer Recherche um eine Stellungnahme gebeten. Folgende Fragen hat TecChannel an das BSI gestellt (gekürzt):
1. Wie wird sich das BSI bei BOSS verhalten wird. Bleiben der Download und der Beitrag dazu online?
2. Wie werden Sie zukünftig bei Sicherheitsscannern und sonstiger Security-Analysesoftware vorgehen, deren Aufgabe es ja immer ist, in Systeme einzudringen? Werden Sie diese veröffentlichen oder darauf hinweisen?
3. Nach § 202c StGB ist es bereits strafbar, sich Programme zu beschaffen, mit denen man sich Zugang zu geschützten Daten besorgen könnte. Wie wird das die Arbeit der Sicherheitsexperten beim BSI in Zukunft verändern?
4. Gibt es ein generelles Statement vom BSI zum § 202 StGB?
Nachfolgend finden Sie die Antwort des BSI-Pressesprechers, Matthias Gärtner, im exakten Wortlaut:
Nach § 202 c StGB neu wird das Herstellen, Überlassen, Verbreiten oder Verschaffen von "Hackertools" nicht als solches unter Strafe gestellt. Nach dieser Vorschrift macht sich derjenige strafbar, der eine Straftat nach § 202 a oder § 202 b StGB vorbereitet, indem er sich derlei Tools verschafft. Die Hackertools müssen also der Vorbereitung des unbefugtes Ausspähens oder Abfangens von Daten dienen und müssen auch zu diesem Zweck bewusst eingesetzt werden. §§ 202 a und 202 b StGB sprechen aber übereinstimmend davon, dass die jeweilige Tathandlung "unbefugt" geschehen muss. Wo eine Einwilligung dessen vorliegt, bei dem Daten untersucht werden, etwa im Rahmen einer IT-Sicherheitsberatung, erfolgt der Datenzugang mit einer entsprechenden Befugnis. Eine Strafbarkeit ist in solchen Fällen nicht gegeben.
Klärung dringend notwendig
Ist § 202c nur eine Sanktionsmöglichkeit für Hacker, die somit grundsätzlich auch nur diese Klientel betreffen kann, wie es das BSI interpretiert? Solange keine böse Absicht erkennbar ist oder man sich “befugt” fühlt, dann wäre man auch vor dem neuen Gesetz sicher?
Dem von § 202c Betroffenen mag angesichts der überraschend liberalen Interpretation durch ein Bundesamt vor allem ein nach Gerichtsurteilen gern zitierter Satz in den Sinn kommen: “Unwissenheit schützt vor Strafe nicht!” Den kann man noch ergänzen durch “Die Guten sind wir, die anderen sind die Bösen!” Und die Guten werden nicht bestraft?
Wir fordern: § 202c StGB muss geändert werden. Es muss im Gesetzestext eindeutig klargestellt werden, dass der Einsatz solcher Tools zu Sicherheitszwecken nicht strafbar ist. Auch die Verbreitung der Software unter dieser Prämisse darf nicht strafrechtlich relevant sein. Der Einsatz dieser Tools zum unbefugten Ausspähen von Daten soll und muss jedoch weiterhin unter Strafe stehen.
Wir werden Sie an dieser Stelle über den weiteren Verlauf unserer Strafanzeige gegen das BSI informieren. (mec)
Anhang: § 202 StGB neu
Sie finden eine aktuelle Version des Paragraphen § 202 auf den Seiten des Bundesministerium der Justiz. Es gibt dort ein HTML-Version und eine PDF-Ausgabe des Strafgesetzbuches.
Nachfolgend finden Sie § 202 StGB im Wortlaut. Bitte beachten Sie, dass wir diese Seite später nicht mehr aktualisieren. Die jeweils aktuelle Version finden Sie unter den oben angegebenen Links.
§ 202 Verletzung des Briefgeheimnisses
(1) Wer unbefugt
1.
einen verschlossenen Brief oder ein anderes verschlossenes Schriftstück, die nicht zu seiner Kenntnis bestimmt sind, öffnet oder
2.
sich vom Inhalt eines solchen Schriftstücks ohne Öffnung des Verschlusses unter Anwendung technischer Mittel Kenntnis verschafft,
wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft, wenn die Tat nicht in § 206 mit Strafe bedroht ist.
(2) Ebenso wird bestraft, wer sich unbefugt vom Inhalt eines Schriftstücks, das nicht zu seiner Kenntnis bestimmt und durch ein verschlossenes Behältnis gegen Kenntnisnahme besonders gesichert ist, Kenntnis verschafft, nachdem er dazu das Behältnis geöffnet hat.
(3) Einem Schriftstück im Sinne der Absätze 1 und 2 steht eine Abbildung gleich.
§ 202a Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
§ 202b Abfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.
§ 202c Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1.
Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2.
Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.