23C3: Geplante Hackerparagraphen bringen "absolute Rechtsunsicherheit"

Der Anwalt Peter Voigt hat die vom Bundeskabinett beschlossene Verschärfung des Computer-Strafrechts als überaus zweifelhaftes Unterfangen kritisiert. Als besonders prekär bezeichnete der Rechtsexperte auf dem 23. Chaos Communication Congress (23C3) in Berlin am heutigen Mittwoch den hauptsächlich umkämpften Entwurf für den neuen Paragraphen 202c Strafgesetzbuchs (StGB). Mit der Klausel sollen Vorbereitungshandlungen und der Einsatz und die Verbreitung von "Hacker-Tools" bestraft werden. Letztlich betroffen wären davon laut Voigt voraussichtlich "40 bis 60 Programme". Es sei aber abzuwarten, was die Gerichte aus der Passage machen würden. "Damit haben wir eine absolute Rechtsunsicherheit", beklagte der Rechtsanwalt. Der Nutzer könne etwa beim Aufspielen einer Knoppix-DVD nie wissen, ob bei dem Paket rund um die Distribution für das frei verfügbare Betriebssystem Linux nicht auch verbotene Software dabei sei.

Der reine Besitz so genannter Hackerwerkzeuge sei auf jeden Fall nicht strafbar, stellte Voigt klar. Zudem müsse sich der Anwender "seiner Sache bewusst sein", also um die Strafbarkeit der Verwendung einer entsprechende Software wissen. Interessanterweise sei so eine Selbstbezüglichkeit in den Gesetzesvorschlag gewandert, die im Programmierumfeld als "schlechter Stil" verpönt sei. Sicher könne man nur sagen, dass Sniffer-Programme zum Abhören des Netzwerksverkehrs darunter fallen würden. Intrusion Detection Systeme hätten dagegen bereits darüber hinausgehende Funktionalitäten. Eindeutig nicht von dem Paragraphen betroffen sieht Voigt Passwort-Cracker, da es sich dabei um eine Vorfeld-Straftat handle, die nicht zu einer Straftat gemacht werden könne.

Ginge es nach der Philosophie des Gesetzesentwurfs, wonach den "Hacker-Tools" der Nährboden entzogen werden solle, müsste man Voigt zufolge "Windows verbieten". Ganz sei der Vorschlag zwar nicht "auf diesem Kalauer-Niveau", aber auch nicht weit davon entfernt. Generell "haben wir es mit recht komplizierten, unglücklich benannten Tatbeständen zu tun", führte er aus. Fünf seien es an der Zahl, wobei zwei neu hinzugekommen seien. Im Einzelnen gehe es um das Verbot der Datenveränderung, des Ausspähens, der Computersabotage sowie des Vorbereitens des Ausspähens und Abfangens von Daten. Als "Auffangtatbestand" solle zudem das Abfangen von Informationen strafbar werden, "wenn andere nicht greifen". Letzterer lasse aber eine Lücke, wenn eine Firewall nicht richtig installiert sei.

Weiterhin erlaubt bleibe es zudem angesichts des gesamten Gesetzesentwurfs, neue Daten auf einem fremden Rechner zu erzeugen oder fremde Computer zu nutzen, erläuterte Voigt. Auch "simples Port-Scanning", also das reine Anklopfen an den Toren eines Servers, werde "mit großer Wahrscheinlichkeit nicht strafbar." Unsicherer sei die Sache beim Phishing, wozu das Gesetz keinen neuen Straftatbestand einführt. Hier tendiere die Rechtsprechung bereits angesichts der bestehenden Gesetzeslage von der Strafbarkeit. Klar verboten würde das Verbreiten von Trojanern sowie Denial-of-Service-Attacken (DoS). Dies könne sich theoretisch auch auf eine Online-Demo beziehen, wenn sie in der Absicht erfolge, einen Rechnerbetrieb zu stören und wesentlicher Server betroffen sei. Aber der Organisator einer solchen "virtuellen" Kundgebung habe eher gute Chancen zu sagen, dass er nicht wissen konnte, "was da losbricht". Auch einzelne Betroffen könnten wohl eher nicht zur Rechenschaft gezogen werden.

Die Sorgen der Hacker zu mildern versuchte Voigt auch mit dem Hinweis, dass "nicht immer ein Strafurteil wartet". Viele Verfahren rund um die Computerkriminalität würden eingestellt. Unternehmen würden ferner dazu neigen, nicht den Weg an die Öffentlichkeit zu gehen und keine Strafanträge einreichen. "Gut im Strafverfahren macht es sich zudem, tätige Reue zu zeigen", gab Voigt den Sicherheitstestern einen weiteren Tipp an die Hand. Diese käme etwa zum Ausdruck, wenn man in einen Trojaner gleich eine "Reverse Backdoor" für die rasche Deaktivierung einbaue. Insgesamt gebe es widersprüchliche Aussagen gerade zum möglichen Verbot von "Dual-Use"-Software, da damit beispielsweise auch das IT-Referat des Bundestags Server vor DoS-Attacken gehärtet habe. Die Cybercrime-Konvention des Europarates, die mit dem Entwurf umgesetzt werden soll, wolle ausdrücklich "positive Zwecke" nicht untergraben. Zweifel bestünden auch an dem von der Bundesregierung vorgegebenen Zeitdruck bei der Umsetzung des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme. Dieser sei nämlich angesichts der Rechtsprechung des Europäischen Gerichtshofes rund um die Befugnisse des EU-Rates möglicherweise unwirksam.

Der Kölner Strafrechtsexperte Marco Gercke betonte zugleich, dass durch das Gesetz wohl in der Praxis wenig Änderungen zu erwarten seien und Sicherheitstester nicht kriminalisiert würden. "Nur die Vertriebsleute von Hacker-Tools sind wirklich in Gefahr", betonte der Forscher. Prinzipiell dürfte die Verfolgung von Cybergangstern wie auch Sicherheitstestern aber weiterhin daran scheitern, dass sie im Cyberspace kaum ausgemacht werden könnten und es an internationaler Zusammenarbeit bei der Strafverfolgung mangele.

Zum 23C3 siehe auch:

• 23C3: Die Guten ins Töpfchen, die Schlechten ins Kröpfchen
• 23C3: Chaos Computer Club stellt die Vertrauensfrage

(Stefan Krempl) / (thl)