Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Markt > Probleme mit dem Hackerparagrafen

IT-Strafrecht

Probleme mit dem Hackerparagrafen

26. Februar 2008, 6:00 Uhr |

Seit dem 11.08.2007 gilt Paragraf 202c Strafgesetzbuch (StGB). Dieser wird landläufig als »Hackerparagraf« bezeichnet und stellt bereits den Besitz von Computerprogrammen unter Strafe, mit denen sich Sicherheitslücken ausfindig machen lassen. Die Sanktion gipfelt in einem Jahr Gefängnis.

Der Paragraf ist Teil eines Gesetzespakets mit Neuerungen zum IT-Strafrecht. Gemeinsam mit weiteren Vorschriften (insbesondere die Paragrafen 202a, 202b, 303a und 303b StGB) ist dort die Strafbarkeit massiv ausgedehnt worden.

Nach altem Recht war die Strafverfolgung im IT-Bereich beziehungsweise im Zusammenhang mit Hacking streng begrenzt. Eine Strafbarkeit war in der Regel nur dann sicher gegeben, wenn tatsächlich Daten »gestohlen« oder »manipuliert« wurden.

Die bloße Vorbereitung des Hackings war dagegen entweder gar nicht oder nur höchst begrenzt sanktioniert. Ebenso war die Strafbarkeit problematisch, wenn lediglich ein Zugriff auf Daten ohne Herunterladen erfolgte. Auch der »gute« Angriff ohne böse Absicht beziehungsweise zum bloßen Aufdecken von Schwachstellen (auch) im Interesse des Systembetreibers (so geanntes White-Hacking) war grundsätzlich nicht strafrechtlich erfasst.

Auch White-Hacking ist strafbar

Dies ist jetzt anders. Nach Paragraf 202a StGB ist bereits der bloße Zugang zu fremden geschützten Daten grundsätzlich strafbar. Völlig unbeachtlich ist, ob Daten herunter geladen werden oder nicht. Dabei ist egal, ob dieser Zugriff mit bösem Willen erfolgt. Auch das White-Hacking ist damit strafbar. Etwas anderes gilt nur, wenn der Betreiber dem Zugriff vorher ausdrücklich zugestimmt hat.

Paragraf 202c StGB weitet den Strafrechtsschutz für Vorbereitungshandlungen massiv aus. Schon das Ausspähen von Passwörtern und sonstigen Zugangssicherungen (»Phishing«) und die Weitergabe dieser Zugangssicherungen sind sanktioniert.

Gleiches gilt für Software, die den Zugang zu fremden gesicherten Dateien ermöglicht. Jede Verschaffung oder Weitergabe ist hiervon erfasst. Nach Paragraf 202c StGB ist damit der bloße Besitz von Hackersoftware strafbar.

Entgegen landläufiger Auffassung erfolgt keinerlei Einschränkung hinsichtlich der Qualifikation der Software. Es muss sich also nicht um eine besonders anspruchsvolle Hackersoftware handeln. Der Wortlaut erfordert lediglich, dass hierüber Zugang zu Dateien erfolgen kann. Letztlich ist damit jede Software erfasst, welche die Überprüfung von fremden Dateien beziehungsweise Datenflüssen möglich macht (damit auch bloße »Sniffer«).

Wegen der Formulierung des Paragrafen 202c StGB zu »Computerprogramme(n), deren Zweck die Begehung einer solchen Tat ist«, wird fast durchgehend angenommen, dass die Beschaffung oder Erstellung von Hackersoftware in »guter« Absicht auch nach der neuen Rechtslage straflos sein soll. Dies folge auch aus der Verweisung auf die Paragrafen 202a und 202b StGB. Diese erforderten eine »unbefugte« Handlung.

Nur unter dieser Voraussetzung könnten also auch Handlungen von Paragraf 202c StGB erfasst sein; daher soll etwa der Besitz von Hacker-Tools nur zum Einsatz mit Zustimmung der Betroffenen zulässig sein. Schließlich wird hierzu auch die Gesetzesbegründung herangezogen, wonach die Software nach ihrer »objektive(n) Zweckbestimmung« auch auf die »Begehung einer solchen Straftat« angelegt sein müsse.


Dilemma Dual-Use-Software

Rein zu eigenen Überprüfungszwecken angeschaffte Software oder zum Einsatz gegenüber Zustimmenden erworbene oder erstellte soll demnach nicht vom Paragrafen 202c StGB erfasst sein. Gleiches soll für sowohl gut- als auch bösartige Programme (»Dual-Use-Software«) gelten, sofern die Anschaffung nur zu guten beziehungsweise erlaubten Zwecken erfolgt. Insoweit wurde oftmals Entwarnung angesagt.

Diese Sichtweise ist aber problematisch. Sie ist zum einen nicht durch entsprechende Rechtsprechung abgesichert und daher nicht wirklich rechtlich belastbar. Zum anderen verkennt sie die Praxis eines Strafverfahrens. Der Besitzer einer Hacker- beziehungsweise Dual-Use-Software wird nach seiner Ergreifung stets zu argumentieren versuchen, dass er die Software doch nur für »gute« Zwecke angeschafft habe.

Müssten die Ermittlungsbehörden in diesen Fällen stets die böse Absicht oder gar eine entsprechende Verwendung konkret nachweisen, liefe die Vorschrift im Ergebnis ins Leere.

  1. Probleme mit dem Hackerparagrafen
  2. Sieben goldene Regeln
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Vertiv GmbH

Vertiv GmbH
G DATA CyberDefense AG

G DATA CyberDefense AG
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH
elektrofachkraft.de

elektrofachkraft.de
Plusnet GmbH

Plusnet GmbH
Dahua Technology GmbH

Dahua Technology GmbH