Hackerparagraf

Hackerparagraf (oder auch Hackertoolparagraf) ist eine umgangssprachliche Bezeichnung für den Ende Mai 2007 mit großer Mehrheit im Bundestag in Deutschland verabschiedeten § 202c des deutschen Strafgesetzbuches (StGB) mit dem offiziellen Titel Vorbereiten des Ausspähens und Abfangens von Daten. Der Paragraph stellt die Beschaffung und Verbreitung von Zugangscodes zu zugangsgeschützten Daten sowie auch die Herstellung und Gebrauch von Werkzeugen, die diesem Zweck dienlich sind, als Vorbereitung einer Straftat unter Strafe (maximal ein Jahr Freiheitsstrafe). Eine juristische Stellungnahme der European Expert Group for IT Security (EICAR) geht davon aus, dass gutartige Tätigkeiten (im Dienste der IT-Sicherheit) bei ausführlicher Dokumentation nach diesem Paragraphen nicht strafbar sind.^[1]

Entstehungsgeschichte

In das StGB eingefügt wurde er unter durch das „Einundvierzigst[e] Strafrechtsänderungsgesetz zur Bekämpfung von Computerkriminalität (41. StrÄndG)“.^[2] Er befindet sich im Abschnitt „Verletzung des persönlichen Lebens- und Geheimbereichs“. Am 11. August 2007 trat er in Kraft^[3]. Die deutsche Rechtsnorm stellt unter anderem die Herstellung und die Verbreitung von so genannten Hackertools unter bestimmten Umständen unter Strafe. Hierdurch wird das Übereinkommen des Europarats über Computerkriminalität^[4] vom 23. November 2001 (Cybercrime Convention, ETS No.185) sowie der Rahmenbeschluss des Rates der Europäischen Union über Angriffe auf Informationssysteme ^[5] umgesetzt.

Wortlaut

§ 202c Vorbereiten des Ausspähens und Abfangens von Daten^[6]

Absatz 1

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

Absatz 2

(2) § 149 Abs. 2 und 3 gilt entsprechend.

Kritik

Welche Software unter Hackertools fällt, ist im Gesetzestext sehr vage formuliert und stößt daher auf erhebliche Kritik insbesondere von Sicherheitsexperten und IT-Branchenverbänden. Vor allem wird kritisiert, dass allein entscheidend sei, dass ein Programm oder eine Information genutzt werden könnte, in fremde Computer einzudringen und keine Ausnahmeregelungen bestehen, die den Einsatz für legale Zwecke erlaubt. So wurde unter anderem gegen das Bundesamt für Sicherheit in der Informationstechnik Strafanzeige erstattet, da das Amt angeblich selbst gegen das Gesetz verstoße. Die Staatsanwaltschaft Bonn stellte das Ermittlungsverfahren ein, da der Tatbestand gemäß § 202c StGB nicht erfüllt sei.^[7] Ebenso wurde das Verfahren von der Staatsanwaltschaft Mannheim im Falle der Selbstanzeige von Michael Kubert im Februar 2008 eingestellt.^[8]

Reaktionen

Als Reaktion auf die wachsende Kritik hat der Rechtsausschuss des Deutschen Bundestages 2007 in einem Bericht (Bundestags-Drucksache 16/5449^[9]) darauf hingewiesen, dass der gutwillige Umgang mit Hackertools durch IT-Sicherheitsexperten nicht vom § 202c StGB erfasst werde. Auch die Bundesjustizministerin Brigitte Zypries verwies im Juli 2007 mehrfach darauf, dass dieser Paragraf nur die Vorbereitungshandlungen zu Computerstraftaten unter Strafe stelle.^[10]

Fraglich war auch die Rechtslage für die Hersteller von Hackertools, wenn sie ihre Software beispielsweise im Internet verbreiten und diese von Kriminellen tatsächlich für Straftaten missbraucht werden. Aus diesem Grund verlagern viele Hersteller ihr Angebot auf ausländische Webseiten bzw. publizieren im Ausland.^[11]

Ein weiteres Beispiel für die Unklarheit dieses Paragrafen stellt auch der Beschluss der Staatsanwaltschaft bei dem Landgerichts Fulda dar. Denn auch der Fall der Selbstanzeige des Geschäftsführers Herbert Treinen der dit-consulting GmbH, ebenfalls IT-Dienstleister und damit zwangsläufig auf den Gebrauch sogenannter Hacker-Tools angewiesen, wurde im Februar 2008 eingestellt. Als Begründung gab die Staatsanwaltschaft an, dass „die §§ 202a, 202b mangels Rechtswidrigkeit nicht gegeben sind“^[12] und somit eine Verurteilung nicht zu erwarten war. Auch der Tatbestand des § 202c StGB sei nicht erfüllt worden, da die Hacker-Tools nur zu „gutartigen“^[3] Verwendungen beschafft und genutzt wurden, so die Staatsanwaltschaft.^[12]

Ebenfalls wurde die Ende 2008 erstattete Selbstanzeige des iX-Chefredakteurs Jürgen Seeger von der Staatsanwaltschaft Hannover „aus rechtlichen Gründen“ im März 2009 abgelehnt.^[13]. Seeger hatte sich selbst angezeigt, nachdem er ein iX-Sonderheft „Sicher im Netz“ veröffentlichte. Diese enthält unter Anderem einen Datenträger mit der Linux-Distribution BackTrack, die verschiedene Hackertools beinhaltet. „Aufgrund der erheblichen Rechtsunsicherheit nicht nur bei professionellen Sicherheitsexperten, sondern auch bei Zeitschriften, bleibt uns keine andere Wahl, als die juristische Einordnung des Verteilens derartiger Programme im Rahmen einer Selbstanzeige prüfen zu lassen.“, kommentierte Seeger seine Selbstanzeige^[14]. Die Staatsanwaltschaft wiederum kommentierte die Ablehnung dahingehend, dass es vor allem auf die subjektive Vorstellung des Handelnden ankäme. Dies spiegele auch der Gesetzesentwurf wider.

Der Chaos Computer Club hat 2008 Auswirkungen der Strafrechtsänderung des Hackerparagrafen untersucht und in einer Stellungnahme Standortnachteile für IT-Betriebe in Deutschland festgestellt. Diese rechtlichen Maßregelungen würden vielmehr dem Ziel des Gesetzgebers entgegen stehen und das Sicherheitsniveau senken: „Sicherheitsforscher und -unternehmen können Leistungen nicht mehr erbringen, ohne sich der Gefahr einer Strafverfolgung auszusetzen.“ Vielmehr zeige sich, dass die Ziele des Gesetzgebers, eine Verbesserung der Sicherheitslage zu erreichen, verfehlt wurden. Die Kriminalisierung von Softwareherstellern und -benutzern führe zu einem Standortnachteil für die deutsche Forschung und Wirtschaft.^[15]

In der Rechtswissenschaft wurde die Vorschrift als Straftatbestand „ohne erkennbaren ‚Unrechtskern‘“ bezeichnet.^[16]

Verfassungsrecht

Aufgrund dieser Unklarheiten haben drei Personen – eine aus der IT-Branche, eine aus dem akademischen Bereich und die dritte aus der Open-Source-Szene – jeweils eine Verfassungsbeschwerde gegen den sogenannten Hackerparagraphen (genauer: gegen § 202c Absatz 1 Nr. 2 StGB) eingereicht.^[17] Die drei Beschwerden wurden mit Beschluss vom 18. Mai 2009 durch das Bundesverfassungsgericht (BVerfG) als unzulässig abgelehnt.^[17][18] Das BVerfG begründete die Ablehnung damit, dass die Beschwerdeführer durch § 202c StGB nicht „selbst, gegenwärtig und unmittelbar“ in Ihren Grundrechten betroffen seien. Denn ein Risiko strafrechtlicher Verfolgung sei bei einer verfassungskonformen Auslegung des Gesetzestextes für die von ihnen genannten Tätigkeiten im Umgang mit derartigen Programmen nicht gegeben. Zum einen könne man (insbesondere bei so genannten „dual use tools“) nicht davon ausgehen, dass die Programme als „Zweck die Begehung einer Straftat“ hätten.^[19] Bei den Beschwerdeführern fehle jedenfalls das „subjektiv[e] Merkmal der Vorbereitung einer Computerstraftat“.^[20]

Situation in der Schweiz

Hier stellt Artikel 143bis StGB das unbefugte Eindringen in ein Datenverarbeitungs-System als solches, Art. 143 den Daten-Diebstahl und 144 bis die Daten-Beschädigung unter Strafe. Hinzu kommen die zivilrechtlichen Schadenersatz-Ansprüche.

Per 1. Januar 2011 wird Art. 143bis StGB um Bestimmungen analog zum deutschen Hackerpagraphen erweitert.^[21]

Literatur

• Dennis Jlussi: IT-Sicherheit und § 202c StGB – Strafbarkeit beim Umgang mit IT-Sicherheitstools nach dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität, Hannover/München 2007. Download als PDF-Datei
• Dr. Kai Cornelius: Zur Strafbarkeit des Anbietens von Hackertools, CR 2007, 682, 688
• Dr. Kai Cornelius: Gut oder nicht gut – Was bei der Entwicklung von Sicherheitssoftware zu beachten ist, iX 3/2008, Seite 101
• Gröseling/Höfinger, Der strafbare Umgang mit 'Hacker-Tools' auf dem Prüfstand, MMR 2007, Heft 12, S. XXVII
• Stefan Holzner: Klarstellung strafrechtlicher Tatbestände durch den Gesetzgeber erforderlich, ZRP 2009, 177
• Carl-Friedrich Stuckenberg: Viel Lärm um nichts? – Keine Kriminalisierung der „IT-Sicherheit“ durch § 202c StGB, wistra 2010, 41

Siehe auch

• Ausspähen von Daten
• Einverständnis (Strafrecht)
• Straftat, Abschnitt Vorbereitungshandlung

Weblinks

• Stellungnahme des Chaos Computer Clubs anlässlich der Verfassungsbeschwerde gegen den § 202c StGB: Derzeitige und zukünftige Auswirkungen der Strafrechtsänderung auf die Computersicherheit (PDF-Datei)
• Chaosradio-Podcast: Der Hackerparagraf – der §202c auf dem Prüfstand
• Regierungsentwurf eines Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität vom 30. November 2006 (PDF-Datei; 316 kB)
• Netzeitung.de: Der Hackerparagraf ist der größte Unsinn
• Stern: „Hackerparagraph“ – Auch die Aufpasser müssen aufpassen
• GULP Knowledge Base: Hackerparagraf: „Das A und O ist eine gute Beweissicherung – Interview mit dem Rechtsanwalt und Strafrechtler Dr. Kai Cornelius“
• Ausführliche juristische Darstellung unter Berücksichtung aktueller Literatur (Stand Dezember 2008)

Einzelnachweise

1. ↑ im Rahmen des Information Security Summit abgegebene juristische Stellungnahme der European Expert Group for IT Security (EICAR) zur Einführung des § 202c StGB
2. ↑ Bundesgesetzblatt: Einundvierzigstes Strafrechtsänderungsgesetz zur Bekämpfung von Computerkriminalität vom 7. August 2007]
3. ↑ ^{a b} Redaktion nC: network Computing. Test, Trends, Technik für technische IT-Entscheider. Poing 2. März 2010, ISSN 1435-2524, S. 66 (http://www.networkcomputing.de).
4. ↑ CCC: Cybercrime-Konvention des Europarats
5. ↑ Rahmenbeschluss 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme (PDF, 54,6 KB, 55928 Bytes) (Abl. EU Nr. L 69 Seiten 67-71)
6. ↑ § 202c: Links nicht im Original; Absätze im Original durch (1) bzw. (2), Nummern durch 1. bzw 2. bezeichnet.
7. ↑ TecChannel: [1]Das BSI und der Hackerparagraf § 202c: Keine Strafverfolgung durch Staatsanwalt
8. ↑ SpitBlog:[2]Hackertoolparagraph 202c: Verfahren eingestellt
9. ↑ Bundestags-Drucksache 16/5449
10. ↑ Aussage von Brigitte Zypries am 26. Juli 2007 auf abgeordnetenwatch.de
11. ↑ The Hackers Choice als Beispiel für eine Trennung von deutscher und internationaler Webseite
12. ↑ ^{a b} Staatsanwaltschaft bei dem Landgericht Fulda. Geschäftszeichen 12 Js 17070/07 vom 25. Februar 2008
13. ↑ Az. 1111 Js 181/09, siehe auch: Meldung auf Heise online vom 10. März 2009
14. ↑ Meldung auf Heise Security vom 19. Dezember 2008
15. ↑ Golem: CCC: Hackerparagraph gefährdet den IT-Standort Deutschland vom 21. Juli 2008
16. ↑ Eric Hilgendorf: Recht durch Unrecht? Interkulturelle Perspektiven, in: Juristische Schulung (JuS), Heft 9/2008, S. 761-767 (S. 766 Fn. 59).
17. ↑ ^{a b} Bundesverfassungsgericht – Pressestelle –: Pressemitteilung Nr. 67/2009. vom 19. Juni 2009, abgerufen am 19. Juni 2009. 
18. ↑ Bundesverfassungsgericht: Beschluss vom 18. Mai 2009, Aktenzeichen: 2 BvR 2233/07, 2 BvR 1151/08, 2 BvR 1524/08. Abgerufen am 19. Juni 2009. 
19. ↑ Bundesverfassungsgericht: Beschluss vom 18. Mai 2009, Aktenzeichen: 2 BvR 2233/07, 2 BvR 1151/08, 2 BvR 1524/08, Absatz 62 ff. Abgerufen am 19. Juni 2009. 
20. ↑ Bundesverfassungsgericht: Beschluss vom 18. Mai 2009, Aktenzeichen: 2 BvR 2233/07, 2 BvR 1151/08, 2 BvR 1524/08, Absatz 70 ff. Abgerufen am 19. Juni 2009 (Verlinkung auf (besondere) subjektive Merkmale im subjektiven Tatbestand nicht im Original;Kursive Hervorhebung nicht im Original). 
21. ↑ http://www.swissblawg.ch/2010/07/bundesbeschluss-betreffend.html

Bitte den Hinweis zu Rechtsthemen beachten!