Cybercrime: Experte warnt vor ungewollter Kriminalisierung

Neun Experten nahmen in einer Anhörung zum umstrittenen Gesetzentwurf der Bundesregierung Stellung, mit dem die europäische Cybercrime Convention umgesetzt werden soll. Sie warnen vor ungewollter Kriminalisierung durch ‚dual use tools’.

Die Experten begrüßten es ausdrücklich, Computerkriminalität in Zukunft umfassender unter Strafe zu stellen. „Die Gesetzesänderung hat auch erhebliche Bedeutung für die Bekämpfung des Phishing“, so Prof. Borges von der Juristischen Fakultät der RUB und der Arbeitsgruppe Identitätsschutz im Internet (a-i3).

Die aktuelle Rechtslage sei nicht eindeutig, so der Bochumer Experte. Der neue § 202c Abs. 1 Nr. 1 des Gesetzentwurfs stellt es nun ausdrücklich unter Strafe, sich Passwörter oder andere Sicherungscodes zu verschaffen. „Damit sind sämtliche Varianten des Phishing strafbar, bei denen Täter zum Beispiel PIN und TAN ausspionieren“, so Prof. Borges weiter. Dies gilt insbesondere für klassisches Phishing. Dabei sendet der Täter dem Internetnutzer eine E-Mail, um ihn mit einem Link auf eine gefälschte Website zu lenken, auf der er seine Kontodaten preisgeben soll. Aber auch die ausgefeilteren Methoden, die Daten der Nutzer mit Trojanern oder Pharming-Angriffen auszuspähen, sind davon erfasst.

Kontrovers diskutiert wurde Absatz 2 des Gesetzentwurfs. Er stellt so genannte Vorbereitungshandlungen unter Strafe. Dabei bezieht er sich darauf, dass bestimmte Computerprogramme hergestellt, verkauft, überlassen, verbreitet oder anderweitig zugänglich gemacht werden. Laut Bundesregierung soll der Gesetzentwurf zwar nur Hacker-Tools erfassen. Die Experten wiesen aber darauf hin, dass aufgrund der weiten Formulierung eine ungewollte Kriminalisierung von Tools zur Netzwerk- und sonstiger Sicherheitsanalyse eintreten könnte.

Computerstraftaten könnten auch mit Programmen verwirklicht werden, die sowohl legalen als auch illegalen Zwecken dienen („dual use tools“). „Derartige Tools gehören zu den typischen Arbeitsmitteln von Netzwerkadministratoren und IT-Sicherheitsbeauftragten, etwa zu Testzwecken“, so Borges weiter. „Solche Unsicherheiten und Risiken, die die Anbieter und Verwender präventiver Programme treffen, müssten beseitigt werden.“ Es müsse klar daraus hervorgehen, dass es nur strafbar sei, eine Software zu verbreiten, deren Zweck vorrangig darin besteht, Straftaten zu begehen. „Und auch nur dann, wenn der Verwender dies weiß oder beabsichtigt“, fordert Borges. (dsc)