Verfassungsgericht legt Hackerparagraf de facto ad Acta

Paragraf 202c des Strafgesetzbuches, der »Hacker-Paragraf«, sorgte bei IT-Sicherheitsexperten für Unruhe. Er stellt unter anderem den Einsatz von Hacker-Tools unter Strafe, auch wenn diese für das Überprüfen von IT-Systemen eingesetzt werden. Das Bundesverfassungsgericht hat nun die Regelungen des Gesetzes präzisiert.

Machen sich IT-Sicherheitsspezialisten strafbar, wenn sie Penetrationstests durchführen, also Schwachstellen von Netzwerken aufspüren? Sind jetzt alle Forscher Hacker? Solche und ähnliche Fragen kamen auf, als am 11. August 2007 der so genannte Hacker-Paragraf ins Strafgesetzbuch aufgenommen wurde.

Der § 202c StGB besagt: »Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.«

Auch Marco Di Filippo, Regional Director Germany der Compass Security AG, reichte Verfassungsbeschwerde gegen die Strafrechtsänderung ein. Das Urteil hierzu liegt seit dem 18. Mai 2009 vor: Das Bundesverfassungsgericht lehnte die Bewerde ab.

Dennoch bringt die Begründung des Gerichts Klarheit, wie Di Filippo im Gespräch mit Network Computing erläutert.

Network Computing: Herr Di Filippo, warum haben Sie Verfassungsbeschwerde gegen den Hackerparagrafen beim Bundesverfassungsgericht [BVerfG] eingereicht?

Marco Di Filippo: Zahlreiche Unternehmen leben davon, dass sie auf ausdrücklichen Wunsch der Kunden so genannte Penetrationstests durchführen. Dabei werden realitätsnahe Hackerangriffe simuliert, die es ermöglichen, Sicherheitsschwachstellen in den Netzinfrastrukturen zu finden.

Die Strafbarkeit der in § 202c StGB beschriebenen Handlungen verbietet allerdings das Anbieten solcher Dienstleistungen und stellt damit die wirtschaftliche Existenz zahlreicher Anbieter in diesem Umfeld in Frage. Seitdem waren die wohl meistgestellten Fragen: Sind in Zukunft alle Security-Analysten Verbrecher? Wandern jetzt deutsche Sicherheitsfirmen in das europäische Ausland ab? Muss ich meine Tools vernichten?

Selbst in juristischen Kreisen war man sich nicht einig, wie der Paragraf interpretiert werden sollte. Die Motivation meiner Verfassungsbeschwerde war: Klarheit schaffen.

Network Computing: Diese Klarheit haben Sie nun. Seit dem 18. Mai 2009 liegt der Beschluss vor: »Verfassungsbeschwerden gegen § 202 Abs. 1 Nr. 2 StGB sind unzulässig«. Was sagen Sie dazu?

Di Filippo: Zwar wurde die Beschwerde abgelehnt, jedoch hat das Gericht in seiner Entscheidung einige Klarstellungen formuliert. Es begründet die Ablehnung damit, dass der Beschwerdeführer durch § 202c StGB nicht, ich zitiere, ‚selbst, gegenwärtig und unmittelbar‘ in seinen Grundrechten betroffen sei. Denn ein Risiko strafrechtlicher Verfolgung sei bei einer verfassungskonformen Auslegung des Gesetzestextes für die genannten Tätigkeiten im Umgang mit derartigen Programmen nicht gegeben.

Ferner hat das Gericht einige Fallbeispiele aus der Praxis erläutert. So wurde beispielsweise die Nutzung so genannter Dual-Use-Software sowie von Schadsoftware aus zweifelhaften Quellen im Internet weit gehend als mögliche Strafbarkeit ausgeschlossen. Die Voraussetzung ist, dass solche Tools im Rahmen von Penetrationstests eingesetzt werden.

Network Computing: Das heißt, Ihr Resümee fällt trotz der Ablehnung der Beschwerde positiv aus?

Di Filippo: Das Urteil des Gerichts hat durch seine Begründung Licht ins Dunkel gebracht und für Gewissheit gesorgt. Ich denke, mit dieser Entscheidung, die unanfechtbar ist, wird künftig Ruhe um den Paragrafen 202c einkehren. Somit kann dieses Thema zu den Akten gelegt werden.