IT-Branchenverband gegen pauschales Verbot von "Hacker-Tools"

Der Bitkom hält den umstrittenen Regierungsentwurf zur Änderung des Computerstrafrechts für zu weitgehend, da auch "notwendige sicherheitsrelevante Aktivitäten" von Firmen in Frage gestellt würden. Gleichzeitig vermisst der IT-Branchenverband aber ein klares Phishing-Verbot. Generell sei die Initiative des Bundeskabinetts zu begrüßen, die "internationalen Vorgaben" des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme sowie des Cybercrime-Abkommens des Europarats müssten zügig umgesetzt werden, heißt es in einer heise online vorliegenden Stellungnahme der Lobbyvereinigung. Zerstörungen und Vertrauensmissbrauch an den wirtschaftlichen Werten, welche die Branche in den vergangenen Jahren aufgebaut habe, könnten "massive Schäden" hervorrufen. Die vorgeschlagene Strafrechtsänderung zur Bekämpfung der Computerkriminalität werfe jedoch noch einige Fragen auf.

Insbesondere erscheint dem Verband der neu zu schaffende Paragraph 202c des Strafgesetzbuches zu schwammig. Dieser soll unter anderem das Herstellen, Überlassen, Verbreiten oder Verschaffen von "Hacker-Tools" kriminalisieren, die schon in ihrem Aufbau darauf angelegt sind, "illegalen Zwecken zu dienen". Laut Gesetzesbegründung sollen zwar nur echte Hacker-Werkzeuge und nicht etwa "allgemeine Programmier-Tools, -sprachen oder sonstige Anwendungsprogramme" unter den objektiven Tatbestand der Vorschrift fallen. Damit dürften nach Ansicht des Bitkom etwa Antivirensoftware und andere Sicherheitsprogramme zunächst ausgenommen sein. Die derzeitige Formulierung des Tatbestandes stelle aber dennoch ein großes Risiko dar, da die Zweckbestimmung im Tatbestand zu ungenau sei. Die Ausführungen in der Begründung, wonach die objektive Zweckbestimmung zur Kriminalisierung lediglich "auch" die Begehung einer entsprechenden Straftat zu sein braucht, verstärkt bei dem Verband diese Bedenken. Gerade die Entwicklung der herrschenden Meinung zum unbefugten "Sichverschaffen" von Daten im geltenden Paragraph 202a des Strafgesetzbuches (StG) zeige, "wie schnell die Rechtsanwendung weit über die Intention des Gesetzgebers hinausgehen kann."

Zum anderen schaffen und benutzen etwa IT-Sicherheitsexperten und "andere vorsorgliche Branchenteilnehmer" Programme, die manche Rechtsanwender durchaus als "Hacker-Tools" einordnen könnten, moniert der Bitkom im Einklang mit dem Chaos Computer Club (CCC) weiter. In beiden Fällen sei für ein sachgerechtes Ergebnis allein der subjektive Tatbestand entscheidend. Es müsse also auf einen Vorsatz abgestellt werden, die bezeichneten Taten auch tatsächlich begehen zu wollen. Daher sei bedauerlich, dass die Begründung die Erfordernis des Vorsatzes nicht noch einmal deutlich für die gesamte Vorschrift heraushebt. Bisher geschehe dies nur in einem anderen Absatz, was sogar einen für die Bekämpfung elektronischer Schädlinge kontraproduktiven und vom Gesetzgeber sicher nicht so gewollten Gegenschluss zum neuen Hackerparagraphen zulassen könnte.

Andererseits sieht der Bitkom im 201c einen "guten Ansatz", um einen klaren Phishing-Straftatbestand zu etablieren. Der bisherige Entwurf sollte daher so erweitert werden, dass er auch Versuche umfasst, sich über das Abfangen eines Passwortes unbefugt Zugang zu besonders gesicherten Daten zu verschaffen. Da Phishing-Nachrichten wegen des damit einhergehenden Vertrauensverlustes in den elektronischen Geschäftsverkehr einen enormen wirtschaftlichen Schaden anrichten, sei eine Strafbarkeit durchaus gerechtfertigt. Bisher würden Staatsanwaltschaften Ermittlungsverfahren einstellen, weil sie eine "Fälschung beweiserheblicher Daten" nach Paragraph 268 StGB oder andere in Frage kommende Straftatbestände rund ums Phishing nicht immer vorliegen sähen. Darüber hinaus schlägt der Verband vor, einzelne Deliktsbezeichnungen im Regierungsentwurf genauer zu fassen. Gänzlich offen sei etwa die Rechweite des Tatbestandsmerkmals der "nichtöffentlichen Datenübermittlung". (Stefan Krempl) / (jk)