Computerstrafrecht


Seit dem 11. August 2007 ist das Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität in Kraft. Es erweitert die Strafbarkeit bestimmter Handlungen im Bereich des Hacking und anderer Online-Straftaten – das hat auch Konsequenzen für die FinanzIT.



Mit dem am 11. August 2007 in Kraft getretenen so genannten Hacker-Paragrafen droht eine Kriminalisierung von Systemadministratoren, IT-Sicherheitsexperten und Software-Händlern“, so kommentierte der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) den mit dem „Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität“ eingeführten Paragrafen 202c des Strafgesetzbuches (StGB).

Der Verband steht mit seiner Kritik nicht allein. Der deutsche Gesetzgeber ist für seine Ausgestaltung der Rechtsnormen in den Medien und von betroffenen Fachkreisen scharf kritisiert worden. Inzwischen hat sogar der Geschäftsführer eines Unternehmens für Security-Dienstleistungen Verfassungsbeschwerde gegen das Strafrechtsänderungsgesetz eingelegt.

Die Gesetzesänderung zur Bekämpfung der Computerkriminalität hat im Wesentlichen europarechtliche Hintergründe und dient der Umsetzung des Übereinkommens zur Computerkriminalität des Europarats („Cybercrime Convention) vom 23. November 2001 und des EU-Rahmenbeschlusses zu Angriffen auf Informationssysteme vom 24. Februar 2005. Nach der neuen Rechtslage macht sich nicht nur strafbar, wer Passwörter und andere Sicherheitscodes ausspäht, sondern auch, wer PC-Programme nutzt, mit denen Systeme geknackt werden können. Zudem ist nun auch der gutartige Einsatz von Penetrationstests und so genannten Exploits (einem Tool oder einer Sequenz von Befehlen, die Schwächen beziehungsweise Fehlfunktionen eines anderen Computerprogramms ausnutzen) nicht mehr legal.
Für die FinanzIT, aber auch andere Unternehmen, deren Mitarbeiter Tätigkeiten beispielsweise in den Bereichen Administration oder IT-Sicherheit ausüben, ist die Frage, ob ihr Tun strafbar ist, existenziell. Sind doch professionelle IT-Sicherheitschecks und Audits wichtiger Bestandteil des betrieblichen Informationsschutzes und des unternehmerischen Risikomanagements.

Nach der geänderten Vorschrift des Paragrafen 202a StGB ist auf der Basis der neuen Gesetzeslage bereits der unbefugte Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen unter Strafe gestellt. Damit wird klargestellt, dass auch das reine Hacking strafbar ist, da die Strafbarkeit um das Verschaffen des „bloßen“ Zugangs zu diesen Daten erweitert wird. Es werden also auch die Fälle eingeschlossen, in denen die handelnde Person die gewonnen Daten nur am Bildschirm betrachtet.
Bisher war die Herstellung beziehungsweise der Verkauf von Hacker-Tools, auch wenn diese nur wenig verschleiert „zum Testen der eigenen Sicherheit“ angepriesen wurden, nicht strafbar. Der völlig neu eingefügte Paragraf 202c StGB stellt nunmehr auch die Vorbereitung von Taten unter Strafe, wenn dies dadurch geschieht, dass der Täter Passworte oder sonstige Sicherheitscodes, die den Zugang zu Daten ermöglichen (Absatz 1 Nummer 1) oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist (Absatz 1 Nummer 2), herstellt, sich oder einem anderen verschafft, verkauft, überlässt, verbreitet oder sonst zugänglich macht. Ziel der Norm ist damit die Pönalisierung besonders gefährlicher Vorbereitungshandlungen.
Viele Unternehmen stehen angesichts der Gesetzesänderungen vor der Frage, wie man in Zukunft die Hacker schlagen soll, wenn nicht mit ihren eigenen Waffen. Manager und IT-Chefs stecken in der Zwickmühle: Wollen sie die gesetzlich und aufsichtsrechtlich geforderte Sicherheit ihrer sensiblen Daten gewährleisten, kommen sie ohne Hacker-Werkzeuge nicht aus. Verzichten sie auf Praxistests mit Software nach dem neusten Stand der Hackertechnik und entstehen deshalb Schäden, haften sie womöglich persönlich.
Dennoch gibt es auch künftig bei richtiger Anwendung und Auslegung der neuen Rechtslage durch die Einhaltung wichtiger Maßgaben ausreichend Möglichkeiten, einer Strafbarkeit im Rahmen der IT-Sicherheit vorzubeugen. Zu diesem Zweck sollten Unternehmen wie die FinanzIT beim Umgang mit Hacker-Tools Folgendes beachten:

• Es erfolgt keine Bestrafung nach Paragraf 202a StGB, sofern eine    Einwilligung des Berechtigten vorliegt, auf dessen Computersysteme oder Daten zu Testzwecken Angriffe verübt werden sollen. Daher sollte vor einem Hacker-Angriff die Zustimmung eingeholt werden.
  
  
• Auch im Rahmen des Paragrafen 202c StGB ist in den Fällen eine     Einwilligung notwendig, in denen der Einsatz (beispielsweise das Herstellen, Verschaffen, Verkaufen oder Verbreiten) von Malware beziehungsweise Exploits beabsichtigt ist. In allen anderen Fällen (wie beim Einsatz von anerkannten IT-Secur-ity Tools) ist das Einholen einer Einwilligung nicht zwingend notwendig; um einer eventuellen Strafverfolgung im Keim begegnen zu können, aber zumindest ratsam.
  
  
• In jedem Falle sollte zu Dokumentations- und Beweiszwecken das Verschaffen beziehungsweise die Beschaffung (auch kostenlose Downloads) mitsamt des beabsichtigten konkreten Einsatzzwecks der Software sowie deren tatsächliche Verwendung dauerhaft und veränderungssicher belegt werden. Die Hacker-Tools sollten außerdem sicher gehalten und durch sichere Verwahrung von Datenträgern beziehungsweise sichere Dateizugriffsberechtigung vor unbefugtem Gebrauch geschützt werden.

Christian Schlingensiepen ist Rechtsanwalt im Bereich Einkauf und Recht der FinanzIT. Sein Schwerpunkt ist unter anderem das IT-Recht.
christian.schlingensiepen(at)finanzit.com