Mit Schreiben vom 08.10.2007, das bei TecChannel am 24.10.2007 (Poststempel 22.10.2007) eingegangen ist, verneint die Staatsanwaltschaft Bonn, dass mit der Veröffentlichung eines direkten Links zum Hersteller der Software „John the Ripper“ der Straftatbestand des § 202 c des Strafgesetzbuches verwirklicht wurde.
Hintergrund der Ausführungen der Staatsanwaltschaft war eine Strafanzeige der Redaktion TecChannel gegen das Bundesamt für Sicherheit in der Informationstechnik (BSI) vom 14.09.2007. Die Redaktion kritisiert, dass über die Internetseite des BSI auf diese Software verwiesen wird und eine abgespeckte Version des Passwort-Crackers zur Verfügung gestellt wurde.
Das Schreiben im Detail
In der fünfseitigen Begründung des Staatsanwaltes wird viel über die Strafbarkeit der Nutzung von so genannten dual-use-Programmen gesprochen. Diese Ausführungen betreffen aber nicht den Sachverhalt der Strafanzeige, da es dort um ein Hacker-Tool ging.
Die wesentliche Passage aus der Stellungnahme der Staatsanwaltschaft in dem Ermittlungsverfahren gegen die Verantwortlichen des BSI lautet:
„Ob im Falle des von Ihnen erhobenen strafrechtlichen Vorwurfs gegen die Verantwortlichen des BSI die objektivierte Zweckbestimmung des Programms zur Begehung von Computerstraftaten aus Sicht der Handelnden (der Betreiber der Webseite) angesichts der Verbreitetheit des Tools zum unberechtigten ‚Knacken’ von Passwörtern erfüllt ist oder ob bereits hier eine teleologische Reduktion auf der Tatbestandsseite vorzunehmen ist, kann dahinstehen. Jedenfalls fehlt es am Charakter des Softwarevertriebs als Vorbereitungshandlung für derartige Taten. Es liegt angesichts der Aufgabenstellung der Behörde auf der Hand, dass gewollt und intendiert die Vermeidung von Straftaten und nicht etwa deren Begehung ist. Daneben ist im Sinne eines (an sich ausreichenden) Eventualvorsatzes nicht erkennbar, dass die von Ihnen Beschuldigten eine hinreichende konkrete Vorstellung einer Straftat hätten, die durch das Überlassen der Software vorbereitet werden könnte.“
Analyse der Kernaussage
Analysiert man die entscheidende Passage, so ergeben sich zwei Kernargumente der Staatsanwaltschaft.
-
Zum einen wird darauf verwiesen, dass die Veröffentlichung des Links auf die Herstellerseite der Software „John the Ripper“ keinen „Charakter eines Softwarevertriebs“ haben. Dies erstaunt, da nach dem neu eingefügten § 202 c Abs. 1 StGB bereits das „Sich-Verschaffen“ für die Strafbarkeit genügt. Ein ausdrücklicher Vertrieb wird in der Strafvorschrift nicht verlangt. Unabhängig davon hat der Link auf die Herstellerseiten sicherlich einen vertrieblichen Aspekt. Das Bundesamt möchte mit der abgespeckten Version Hilfestellung bei Maßnahmen zur IT-Sicherheit geben. Die vollständige Verneinung eines „Softwarevertriebes“ überrascht hier.
-
Im weiteren Verlauf des oben zitierten Absatzes erklärt die Staatsanwaltschaft, dass das BSI bezüglich einer möglichen Straftat keinerlei „hinreichend konkrete Vorstellung“ gehabt habe. Dies unterstellt, dass dem BSI nicht bewusst gewesen ist, dass die Software „John the Ripper“ in ihrer Ursprungs- und Vollversion ein Hacker-Tool ist. Auch dies erstaunt und überrascht. Immerhin hat hier das Bundesamt für Sicherheit in der Informationstechnik ein Hacker-Tool veröffentlicht. Gerade dieser Institution darf wohl ohne weiteres unterstellt werden, dass dies in voller Kenntnis und in dem Bewusstsein dessen geschah, dass es sich hier um ein Hacker-Tool handelt.
Die Redaktion hatte sich mit der Strafanzeige ein höheres Maß an Rechtssicherheit in der mittlerweile sehr umfangreichen und intensiv geführten Diskussion über die Strafbarkeit des Nutzens von Hacker-Tools und so genannten „dual-use-Programmen“ erhofft. Mit der oben skizzierten und wiedergegebenen Argumentation der Staatsanwaltschaft wird dieses Ziel leider nicht erreicht. Im Gegenteil: Die Argumentation führt wohl zu einer weitergehenden Verwirrung.
Die Redaktion TecChannel denkt deshalb über weitere rechtliche Schritte nach. (mec)