Eine ausführliche Analyse des Hackerparagrafen stellt mehr oder minder klar, dass zwar die Intention der Gesetzgeber nicht darin gelegen haben kann, Sicherheitsexperten zu kriminalisieren, der Wortlaut jedoch zumindest die Möglichkeit eröffnet, dass es in der Praxis in Teilen – und gerade hinsichtlich der umstrittenen Aspekte – anders gehandhabt wird.
Die Folge wären beispielsweise Ermittlungsverfahren und -maßnahmen, Anklageerhebungen und sogar unterinstanzliche Verurteilungen. Selbst wenn am Ende eines solchen Verfahrens keine Verurteilung stünde, so wäre allein mit der Aufnahme des Verfahrens und der Durchführung von Ermittlungsmaßnahmen (z. B. Durchsuchung, Sicherstellung oder Beschlagnahme von Computern) eine erhebliche Beeinträchtigung der Arbeitsfähigkeit im Bereich der IT-Sicherheit die Folge.
TecChannel hat beispielsweise versucht, mittels einer Strafanzeige gegen das BSI eine erste Entscheidung mit Begründung zu erreichen, die eine erste Rechtssicherheit gibt. Darüber hinaus empfiehlt der EICAR-Rechtsexperte die Anrufung des Bundesverfassungsgerichts.
Dieses hat beispielsweise hinsichtlich der ähnlichen (und ähnlich unklaren) Strafbarkeit des Herstellens und Vertreibens von Computerprogrammen für die Kilometerzählerverfälschung (§ 22b I Nr. 3 StVG) durch seinen Beschluss zumindest etwas mehr Rechtssicherheit hergestellt.
Handlungsempfehlungen
Zudem gibt die Analyse drei konkrete Handlungsempfehlungen:
1. Bei der Beschaffung, Erstellung und Speicherung von Hackertools oder Malware sollte man besondere Sorgfalt walten lassen. Man sollte sie also nicht an jemanden weitergeben, bei dem nicht zu 100 Prozent gewährleistet ist, dass er sie nur zu gutartigen Testzwecken verwendet. Zudem sollten die Dateien nicht zugänglich sein.
Problematisch wird es hier allerdings für die Hersteller von Sicherheitstools, die sich auch für bösartige Zwecke ausnutzen lassen. Denn sie können gegebenenfalls nicht verhindern, dass ihr Tool an einen Hacker verkauft wird.
2. Wenn Sie ein Hackertool beschaffen oder erstellen, sollten Sie unbedingt nachvollziehbar dokumentieren, für welche Test- und Sicherheitszwecke dies erfolgt. Auch der Einsatz eines solchen Tools sollte laut EICAR schriftlich und veränderungssicher protokolliert werden.
3. Einwilligung: Wenn Sie ein Hackertool nutzen, um die Sicherheit eines Netzwerks zu prüfen, begehen Sie gegebenenfalls eine Tathandlung nach §§ 202a, 202b, 303a, 303b StGB. Liegt allerdings eine Einwilligung in die Maßnahmen vor, entfällt die Strafbarkeit der Tat und damit auch die Strafbarkeit der Vorbereitungshandlung, also des Beschaffens der Hackertools. Die Einwilligung sollte schriftlich erfolgen und laut EICAR die konkreten Maßnahmen nennen, in die eingewilligt wird.
Zudem sollten Sie darauf achten, dass die Person, die die Einwilligung gibt, auch dazu legitimiert ist. Dabei sind auch die Arbeitnehmerbeteiligungsrechte zu wahren, die von den konkreten Umständen (z. B. erlaubte Privatnutzung) abhängen können und daher im Einzelfall zu prüfen sind. (mha)