Zur Strafe

Hacks, Bots und DDoS-Attacken beschäftigen seit Jahren IT-Experten und Juristen. Etliche Vorschriften des Computerstrafrechts sollen regeln, was verboten ist. Die „rote Linie“ ist aber nicht immer klar definiert.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 13 Min.
Von
  • Tobias Haar
Inhaltsverzeichnis

Ist das Aufdecken von Sicherheitslücken in IT-Systemen oder das Hacking strafbar oder straffrei? Vor dieser Frage stehen Strafrichter mitunter, wenn ihnen die Staatsanwaltschaften Anklagen über das Eindringen in Computersysteme zur Entscheidung vorlegen. In New Jersey wurde jüngst der Hacker „Weev“ zu dreieinhalb Jahren Haft verurteilt, weil er in IT-Systeme eines Unternehmens eingedrungen war. Er beteuert seine Unschuld und erklärte, dass er mit seinen Aktionen lediglich auf Sicherheitslücken von Servern der US-Telefongesellschaft AT&T hinweisen wollte. Sicherheitssysteme hätten nicht überwunden werden müssen, da die Eingabe von Telefonnummern auf öffentlich über das Internet erreichbaren AT&T-Servern genügt hätte, um an weitere Informationen zu gelangen.

In Großbritannien wurde vergangenes Jahr ein Informatikstudent wegen Hacking von Facebook zu einer Freiheitsstrafe von acht Monaten verurteilt. Auch er bezeichnete sich als „ethischer Hacker“, der lediglich Sicherheitslücken aufdecken und die betroffenen Unternehmen darüber informieren wollte. In den USA droht einem LulzSec-Hacktivisten sogar eine lebenslange Haftstrafe, weil er am Hack des Privatermittlungsdienstleisters Stratfor beteiligt war. Dabei wurden jedoch auch Kreditkarten-Informationen von Stratfor-Kunden kopiert und im Internet veröffentlicht. Im Januar hatte sich der US-Aktivist Aaron Swartz das Leben genommen. Gegen ihn wurde ebenfalls wegen strafbaren Hacking ermittelt. Es gibt Stimmen, die in den Ermittlungsmethoden der US-Behörden in diesem Verfahren einen Grund für den Selbstmord sehen.

Die Fälle werfen ein Schlaglicht auf die Frage, wann Angriffe auf IT-Systeme durch Hacks, DDos-Angriffe und dergleichen unter Strafe stehen. Fraglich ist dabei insbesondere, wo im Detail der Unterschied zwischen nicht strafwürdigen „gutgemeinten“ und strafwürdigen „bösen“ Hacks liegen soll. In den Strafgesetzen vieler Länder finden sich Vorschriften, die „Computer- und Internetkriminalität“ unter Strafe stellen. In wesentlichen Einzelheiten unterscheiden sie sich mitunter. Gerade der strafrechtliche Umgang mit Hacking in Deutschland zeigt, dass der Gesetzgeber nicht mehr zwischen guten und bösen Hacks unterscheiden möchte. Möglicherweise wäre der AT&T-Hacker hierzulande aber dennoch straffrei aus dem Gerichtssaal gegangen.

Besondere Bedeutung hat § 202a des Strafgesetzbuches. Darin ist das „Ausspähen von Daten“ unter Strafe gestellt: „Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft“. Um eine Zugangssicherung handelt es sich, wenn diese den Zugang zu den Daten nicht nur unerheblich erschwert.

Das Gesetz verlangt bewusst nicht, dass sie erst mit einem bestimmten Aufwand oder bestimmten IT-Kenntnissen überwunden werden können. Bei den Zugangssicherungen muss es sich nicht um IT-systemische Maßnahmen handeln. Einlasskontrollen an Rechenzentren gehören ebenso dazu wie der Einsatz von Verschlüsselung. Organisatorische Maßnahmen oder bestimmte Registrierungspflichten gelten hingegen nicht als Zugangssicherung in diesem Sinne. Nur wenn auch ein Laie eine Schutzmaßnahme ohne Weiteres überwinden kann, genügt sie nicht mehr.

In diesem Graubereich bewegt sich jeder, der eine Sicherheitslücke von IT-Systemen ausnutzt. In den USA wurde der AT&T-Hacker unter anderem wegen „unrechtmäßigen Zugriffs auf fremde Computer“ verurteilt, ein Delikt, das einen Strafrahmen von bis zu zwanzig Jahren Haft vorsieht. Der zugrunde liegende Computer Fraud and Abuse Act steht nach diesem Urteil wieder vermehrt in der Kritik. Nach Ansicht der Kritiker legen die Gerichte die Tatbestandsmerkmale „unerlaubt“ und „Zugang verschaffen“ viel zu weit aus. Ihrer Ansicht nach wäre so bereits das Aufrufen einer Webseite ohne Erlaubnis des Seitenbetreibers eine Straftat. Ohne das Überwinden von Zugangssicherungen – wie beim US-Verfahren vorgebracht – wäre dieses Hacking nach deutschem Recht nicht strafbar gewesen. Strafrechtlich relevant ist aber auch hierzulande die Verwendung der so erlangten Daten für weitere Taten, selbst wenn die eigentliche Beschaffung nicht unter das Strafrecht fällt.

Straffrei bleiben Dienstleister im Bereich von sogenannten Penetrationstests oder Schwachstellenscans, wenn sie für solche Projekte vom Berechtigten beauftragt wurden. Dann entfällt das Tatbestandsmerkmal „nicht für ihn bestimmt“. Dies gilt auch, wenn beispielsweise der IT-Leiter eines Unternehmens von der Beauftragung nichts weiß, weil diese direkt von der Geschäftsleitung erfolgt, die die IT-Sicherheit eines Unternehmens möglichst unverfälscht testen lassen möchte. Nicht strafbar machen sich selbstverständlich auch beauftragte Dienstleister im Bereich Fernwartung und dergleichen.

Interessant an der Strafvorschrift des § 202a StGB ist, dass diese nach der Einführung im Jahre 1986 Hacking an sich nicht unter Strafe stellte, solange sich der Täter keine Daten unbefugt verschaffte. Der Systemeinbruch selbst war zunächst straffrei. Nach der Gesetzesänderung im Jahre 2007 genügt nun das „Verschaffen des Zugangs“, um die Strafbarkeit auszulösen. Damit ist das Hacking grundsätzlich in jeder Form von der Vorschrift erfasst, wenn dabei Zugangssicherungen überwunden werden.

Das Herstellen von Raubkopien fällt übrigens nicht unter § 202a StGB, da ein etwaiger Kopierschutz „nur“ das Kopieren der Daten auf einem Datenträger, nicht aber den „Zugang zu Daten“ an sich verhindern soll.

§ 202a StGB ist ein sogenanntes Antragsdelikt. Das bedeutet, dass eine potenzielle Straftat nur auf entsprechenden Antrag des Berechtigten hin von Polizei und Staatsanwaltschaft verfolgt wird. Werden beispielsweise Daten von Zahlkarten wie Kreditkarten und dergleichen ausgespäht, ist der Berechtigte die kartenausgebende Stelle – das Kreditkartenunternehmen – und nicht der Karteninhaber.

Eine besondere Form des Hacking kann das Verschaffen eines Zugangs zu einem sogenannten „Zugangskontrolldienst“ sein. Darunter versteht man beispielsweise Webinhalte, die nur gegen Entgelt erhältlich oder sichtbar sind. Wer Vorrichtungen zur Umgehung von Zugangskontrollen in diesem Bereich gewerbsmäßig herstellt, verbreitet oder einfach nur besitzt, kann mit Freiheitsentzug bis zu einem Jahr oder einer Geldstrafe belegt werden. So schreibt es das wenig bekannte „Gesetz über den Schutz von zugangskontrollierten Diensten und von Zugangskontrolldiensten“ vor. Strafbar ist danach auch das kostenpflichtige Verbreiten von Hacking-Tools für Pay-TV-Verschlüsselung.

Neben diesen Strafvorschriften, die in erster Linie die technische Infrastruktur schützen, gibt es solche, die sich gegen unmittelbar auf Inhalte abzielende Angriffe richten. Handlungen, die eine Straftat im Sinne von § 202a StGB darstellen, können auch nach diesen weiteren Vorschriften strafbar sein. § 17 des Gesetzes gegen den unlauteren Wettbewerb stellt das unbefugte Verschaffen oder Sichern von Betriebs- und Geschäftsgeheimnissen unter Strafe. § 44 des Bundesdatenschutzgesetzes sieht Freiheitsstrafen bis zu zwei Jahren vor, wenn personenbezogene Daten Gegenstand bestimmter Hackangriffe sind und der Täter mit Bereicherungs- oder Schädigungsabsicht handelt. Sind die gestohlenen Informationen urheberrechtlich geschützt und werden sie vom Täter verwertet, ist nach § 106 des Urheberrechtsgesetzes eine Freiheitsstrafe von bis zu drei Jahren möglich.

Wenig Bedeutung vor Gericht erlangte bislang § 202b StGB. Bei dieser Vorschrift geht es um das „Abfangen von Daten“ während eines Übertragungsvorgangs oder einer „elektromagnetischen Abstrahlung“. In eine ähnliche Richtung gehen Strafvorschriften des Telekommunikationsgesetzes. Das Abhören von Nachrichten kann als Verstoß gegen das Fernmeldegeheimnis mit einer Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe geahndet werden.

Brisant ist auf den ersten Blick der Straftatbestand des § 203c StGB, der das „Vorbereiten des Ausspähens und Abfangens von Daten“ unter Strafe stellt. Die Vorschrift ist landläufig bekannt als „Hackerparagraf“ und stellt letztlich unter Strafe, was zum Begehen einer Straftat nach § 203a oder § 203b StGB benötigt wird. Gemeint ist damit das Beschaffen und Verbreiten von Passwörtern oder sonstigen Sicherungscodes zu zugangsgeschützten Daten sowie das Herstellen sogenannter Hackertools. Mit ihnen kann man zwar in Systeme einbrechen, sie sind aber auch unverzichtbar für Sicherheitstests- und -audits.

Nach heftiger Kritik an der Reichweite des Paragrafen haben sowohl der Rechtsausschuss des Deutschen Bundestages als auch die damalige Bundesjustizministerin Zypries 2007 erklärt, dass die Vorschrift nicht gegen den „gutwilligen Einsatz mit Hackertools durch IT-Sicherheitsexperten“ gerichtet ist.

Mehrere Personen haben nach Einführung der Vorschrift Selbstanzeige erstattet, um den Anwendungsbereich der Vorschrift klären zu lassen. Die Staatsanwaltschaft Hannover hatte ein Ermittlungsverfahren gegen den Chefredakteur der iX, Jürgen Seeger, wegen der fehlenden subjektiven Motivation abgelehnt. Das deckt sich insofern mit dem Bundesverfassungsgericht, da bei Dual-Use-Tools kein „Zweck zur Begehung einer Straftat“ gegeben ist. Trotzdem führt diese Vorschrift nach Auffassung des „Chaos Computer Club“ zu einem Standortnachteil Deutschlands für IT-Sicherheitsanbieter. Verurteilungen sind nicht bekannt, was dafür spricht, dass es für die seit sechs Jahren bestehende Vorschrift keinen oder nur einen geringen Anwendungsbereich gibt. Dann kann sie aber auch abgeschafft werden, sagen Kritiker.

Nach § 303a StGB wird bestraft, wer rechtswidrig Daten „löscht, unterdrückt, unbrauchbar macht oder verändert“. Dies gilt auch dann, wenn der Täter dafür keine besonderen Zugangssicherungen überwinden muss.

Das Landgericht Düsseldorf (Az. 3 KLs 1/11) verurteilte im Jahr 2011 einen Täter wegen wiederholter DDoS-Angriffe auf Webseiten von Unternehmen mit anschließender Erpressung zu einer Freiheitsstrafe von zwei Jahren und zehn Monaten. Das Urteil stützte sich neben der strafbaren Erpressung insbesondere auf Computersabotage nach § 303b StGB.

Unter Strafe steht dabei der Eingriff in die Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist. Die Tathandlungen reichen vom Verändern von Daten über die Eingabe von Daten, um jemanden zu schädigen, bis zur Zerstörung oder Beschädigung von DV-Anlagen oder Datenträgern. Der Strafrahmen reicht in besonders schweren Fällen bis zu zehn Jahren Freiheitsstrafe.

Nach § 303b StGB ist auch das Programmieren und Verbreiten von Computerprogrammen zur Durchführung von DoS-Attacken unter Strafe gestellt. Das Einrichten eines Bot-Netzes an sich ist nicht strafbar, denn bestraft werden bislang nur Vorbereitungshandlungen im Hinblick auf Passwörter und Computerprogramme. Allerdings ist die Infizierung der für ein Bot-Netz benötigten Computersysteme in der Regel nur mit strafrechtlich relevanten Handlungen möglich – etwa wenn die Täter dazu Sicherungssysteme überwinden müssen. Die Herstellung von Bot-Programmen kann in bestimmten Fällen ebenfalls strafbar sein.

Unter die Strafvorschrift der Computersabotage kann auch die Verbreitung von Schadsoftware wie Viren, Trojanern und dergleichen fallen, wenn die genannten weiteren Voraussetzungen vorliegen. Da sich die Malware je nach Verwendungszweck ebenfalls zum Ausspähen oder Abfangen von Daten einsetzen lässt, kann ihre Herstellung und Verbreitung auch nach dem Hackerparagrafen geahndet werden.

Problematisch kann im Einzelfall die Frage nach der Anwendbarkeit des deutschen Strafrechts sein, wenn ein Täter seine Taten nicht in oder aus Deutschland heraus begeht. Das deutsche Recht ist aber auch dann anzuwenden, wenn „der zum Tatbestand gehörende Erfolg“ hierzulande eingetreten ist. Kürzlich gelangte unter dem Stichwort „Internet Census“ eine Vermessung des Internets nebst grafischer Darstellung durch einen Hacker an die Öffentlichkeit. Er hatte ein Programm geschrieben, das die im Rahmen des Bot-Projekts infizierten Rechner zur Bestimmung der Verbreitung des Internets nutzte. Da auch Rechner aus Deutschland infiziert wurden, ist nach den genannten Grundsätzen das deutsche Strafrecht anwendbar.

Nach deutschen Maßstäben könnte sich der Hacker hierzulande wegen Ausspähens von Daten, Vorbereitens des Ausspähens von Daten, der Computersabotage und möglicherweise der Datenveränderung strafbar gemacht haben. Dass der Fall je vor einem deutschen Gericht landen wird, ist dennoch höchst unwahrscheinlich.

Hacker leben strafrechtlich gesehen gefährlich. Das deutsche Strafrecht unterscheidet ebenso wenig wie das anderer Länder zwischen „gutem Hacking“ zur Aufdeckung von Sicherheitslücken und „bösem Hacking“, bei dem es letztlich um die Verursachung von materiellen Schäden, Erpressung oder Verwertung rechtswidrig erlangter Daten geht. Richter werden hierzulande dennoch beim konkreten Strafmaß die ermittelten Motive und Absichten der Angeklagten berücksichtigen. Vielen „ethischen Hackern“ ist dies aber nur ein geringer Trost.

Die vor Jahren geführte Diskussion um den Hackerparagrafen hat sich abgekühlt. Der Anwendungsbereich scheint gering. Hackertools sind weiterhin verfügbar, vielleicht auch weil angeblich etliche Anbieter vor dem deutschen Strafrecht ins Ausland geflüchtet sind.

In Deutschland gab es bislang noch wenige Verurteilungen nach den seit den 80er-Jahren geltenden Vorschriften im Computer- und Internetstrafrecht. Dass (D)DoS-Attacken strafbar sind, hat aber immerhin ein höheres Gericht festgestellt. Die ersten Urteile gegen Hacker gibt es ebenfalls. Für Viren, Trojaner & Co. dürfte die Strafbarkeit auch im Einzelfall meist klar sein. Für Diskussionen hierzulande sorgt die Tatsache, dass ausländische Gerichte in diesem Bereich meist härtere Strafen verhängen als deutsche.

ist Rechtsanwalt bei Vogel & Partner, Karlsruhe. (ur)