Hackerparagraph

Der Hackerparagraf ist eine umgangssprachliche Bezeichnung für den Ende Mai 2007 mit großer Mehrheit im Bundestag verabschiedeten Zusatzparagrafen § 202c des Strafgesetzbuches. Die offizielle Bezeichnung lautet „Einundvierzigstes Strafrechtsänderungsgesetz zur Bekämpfung von Computerkriminalität (41. StrÄndG)"^[1]. Er erlangte am 11. August 2007 Gültigkeit. Das Gesetz stellt unter anderem die Herstellung und die Verbreitung von so genannten Hackertools unter bestimmten Umständen unter Strafe. Durch das Gesetz wird das Übereinkommen des Europarats über Computerkriminalität^[2] vom 23. November 2001 (Cybercrime Convention, ETS No.185) sowie des Rahmenbeschlusses des Rates der Europäischen Union 24. Februar 2005 über Angriffe auf Informationssysteme (Abl. EU Nr. L 69 S. 67) umgesetzt.

Text des § 202c StGB

Vorbereiten des Ausspähens und Abfangens von Daten

1. Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
   1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
   2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
2. § 149 Abs. 2 und 3 gilt entsprechend.

Reaktionen

Welche Software unter Hackertools fallen, ist im Gesetzestext sehr vage formuliert und stößt daher auf erhebliche Kritik insbesondere von Sicherheitsexperten und IT-Branchenverbänden. Vor allem wird kritisiert, dass allein entscheidend sei, dass ein Programm oder eine Information genutzt werden könnte, in fremde Computer einzudringen und keine Ausnahmeregelungen bestehen, die den Einsatz für legale Zwecke erlaubt. So wurde unter anderem gegen das Bundesamt für Sicherheit in der Informationstechnik Strafanzeige erstattet, da das Amt angeblich selbst gegen das Gesetz verstoße. Die Staatsanwaltschaft Bonn stellte das Ermittlungsverfahren ein, da der Tatbestand gemäß § 202c StGB nicht erfüllt sei.^[3] Ebenso wurde das Verfahren von der Staatsanwaltschaft Mannheim im Falle der Selbstanzeige von Michael Kubert im Februar 2008 eingestellt.^[4]

Als Reaktion auf die wachsende Kritik hat der Rechtsausschuss des Deutschen Bundestages 2007 in einem Bericht (Bundestags-Drucksache 16/5449^[5]) darauf hingewiesen, dass der gutwillige Umgang mit Hackertools durch IT-Sicherheitsexperten nicht vom § 202c StGB erfasst werde. Auch die Bundesjustizministerin Brigitte Zypries verwies im Juli 2007 mehrfach darauf, dass dieser Paragraf nur die Vorbereitungshandlungen zu Computerstraftaten unter Strafe stelle.^[6]

Fraglich ist auch die Rechtslage für die Hersteller von Hackertools, wenn sie ihre Software beispielsweise im Internet verbreiten und diese von Kriminellen tatsächlich für Straftaten missbraucht werden. Aus diesem Grund verlagern viele Hersteller ihr Angebot auf ausländische Webseiten bzw. publizieren im Ausland.^[7] Aufgrund dieser Unklarheiten hat der Geschäftsführer Marco Di Filippo des IT-Dienstleisters VisuKom eine Verfassungsbeschwerde gegen das Gesetz eingereicht.^[8]

Ein weiteres Beispiel für die Unklarheit dieses Paragrafen stellt auch der Beschluss der Staatsanwaltschaft bei dem Landgerichts Fulda dar. Denn auch der Fall der Selbstanzeige des Geschaftsführers Herbert Treinen der dit-consulting GmbH, ebenfalls IT-Dienstleister und damit zwangsläufig auf den Gebrauch sogenannter Hacker-Tools angewiesen, wurde im Februar 2008 eingestellt. Als Begründung gab die Staatsanwaltschaft an, dass „die §§ 202a, 202b mangels Rechtswidrigkeit nicht gegeben sind“^[9] und somit eine Verurteilung nicht zu erwarten war. Auch der Tatbestand des § 202c StGB sei nicht erfüllt worden, da die Hacker-Tools nur zu „gutartigen“ Verwendungen beschafft und genutzt wurden, so die Staatsanwaltschaft.^[9]

Ebenfalls wurde die Ende 2008 erstattete Selbstanzeige des iX-Chefredakteurs Jürgen Seeger von der Staatsanwaltschaft Hannover „aus rechtlichen Gründen“ im März 2009 abgelehnt.^[10]. Seeger hatte sich selbst angezeigt, nachdem er ein iX-Sonderheft „Sicher im Netz“ veröffentlichte. Diese enthält unter Anderem einen Datenträger mit der Linux-Distribution BackTrack, die verschiedene Hackertools beinhaltet. „Aufgrund der erheblichen Rechtsunsicherheit nicht nur bei professionellen Sicherheitsexperten, sondern auch bei Zeitschriften, bleibt uns keine andere Wahl, als die juristische Einordnung des Verteilens derartiger Programme im Rahmen einer Selbstanzeige prüfen zu lassen.“, kommentierte Seeger seine Selbstanzeige^[11]. Die Staatsanwaltschaft wiederum kommentierte die Ablehnung dahingehend, dass es vor allem auf die subjektive Vorstellung des Handelnden ankäme. Dies spiegele auch der Gesetzesentwurf wider.

Der Chaos Computer Club hat 2008 Auswirkungen der Strafrechtsänderung des Hackerparagrafen untersucht und in einer Stellungnahme Standortnachteile für IT-Betriebe in Deutschland festgestellt. Diese rechtlichen Maßregelungen würden vielmehr dem Ziel des Gesetzgebers entgegen stehen und das Sicherheitsniveau senken: „Sicherheitsforscher und -unternehmen können Leistungen nicht mehr erbringen, ohne sich der Gefahr einer Strafverfolgung auszusetzen.“ Vielmehr zeige sich, dass die Ziele des Gesetzgebers, eine Verbesserung der Sicherheitslage zu erreichen, verfehlt wurden. Die Kriminalisierung von Softwareherstellern und -benutzern führe zu einem Standortnachteil für die deutsche Forschung und Wirtschaft.^[12]

In der Rechtswissenschaft wurde die Vorschrift als Straftatbestand „ohne erkennbaren ‚Unrechtskern‘“ bezeichnet.^[13]

Literatur

• Dennis Jlussi: IT-Sicherheit und § 202c StGB - Strafbarkeit beim Umgang mit IT-Sicherheitstools nach dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität, Hannover/München 2007. Download als PDF-Datei
• Dr. Kai Cornelius: Zur Strafbarkeit des Anbietens von Hackertools, CR 2007, 682, 688
• Dr. Kai Cornelius: Gut oder nicht gut - Was bei der Entwicklung von Sicherheitssoftware zu beachten ist, iX 3/2008, Seite 101

Siehe auch

• Ausspähen von Daten
• Einverständnis (Strafrecht)

Weblinks

• Stellungnahme des Chaos Computer Clubs anlässlich der Verfassungsbeschwerde gegen den § 202c StGB: Derzeitige und zukünftige Auswirkungen der Strafrechtsänderung auf die Computersicherheit
• Chaosradio-Podcast: Der Hackerparagraf - der §202c auf dem Prüfstand
• Regierungsentwurf eines Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität vom 30.11.2006
• Netzeitung.de: Der Hackerparagraf ist der größte Unsinn
• Stern: "Hackerparagraph" - Auch die Aufpasser müssen aufpassen
• GULP Knowledge Base: Hackerparagraf: "Das A und O ist eine gute Beweissicherung - Interview mit dem Rechtsanwalt und Strafrechtler Dr. Kai Cornelius"
• Ausführliche juristische Darstellung unter Berücksichtung aktueller Literatur (Stand Dezember 2008)

Einzelnachweise

1. ↑ Bundesgesetzblatt: Einundvierzigstes Strafrechtsänderungsgesetz zur Bekämpfung von Computerkriminalität vom 07. August 2007]
2. ↑ CCC: Cybercrime-Konvention des Europarats
3. ↑ TecChannel: [1]Das BSI und der Hackerparagraf § 202c: Keine Strafverfolgung durch Staatsanwalt
4. ↑ SpitBlog:[2]Hackertoolparagraph 202c: Verfahren eingestellt
5. ↑ Bundestags-Drucksache 16/5449
6. ↑ Aussage von Brigitte Zypries am 26.07.2007 auf abgeordnetenwatch.de
7. ↑ The Hackers Choice als Beispiel für eine Trennung von deutscher und internationaler Webseite
8. ↑ Verfassungsbeschwerde gegen Hackerparagraf - VisuKom will Hackerparagraf kippen. pcwelt.de, 29. Oktober 2007. Abgerufen am 21. Juli 2008.
9. ↑ ^{a b} Staatsanwaltschaft bei dem Landgericht Fulda. Geschäftszeichen 12 Js 17070/07 vom 25. Februar 2008
10. ↑ Az. 1111 Js 181/09, siehe auch: Meldung auf Heise online vom 10. März 2009
11. ↑ Meldung auf Heise Security vom 19. Dezember 2008
12. ↑ Golem: CCC: Hackerparagraph gefährdet den IT-Standort Deutschland vom 21. Juli 2008
13. ↑ Eric Hilgendorf: Recht durch Unrecht? Interkulturelle Perspektiven, in: Juristische Schulung (JuS), Heft 9/2008, S. 761-767 (S.&xnbsp;766 Fn. 59).

Bitte beachte den Hinweis zu Rechtsthemen!