Spionage und Sabotage: Rechtliche Aspekte bei Hacking-Gadgets

Geräte, die heimlich Hintertüren in Computern einrichten, sind der Albtraums eines Systemverantwortlichen. Sie können jedoch auch wertvolle Dienste leisten.

1

07.02.2023, 06:30 Uhr

Lesezeit: 12 Min.

c't Magazin

Von

Verena Ehrl

Dieser Beitrag ist erstmals erschienen in c't 18/2017. Er beschreibt die rechtliche Situation beim Einsatz sogenannter Hacking-Gadgets.

Es gibt Gegenstände, mit denen man nach deutschem Recht nicht umgehen darf – man darf sie nicht kaufen, einführen, herstellen, besitzen oder verkaufen und erst recht nicht benutzen. Die Liste dieser Gegenstände ist allerdings sehr kurz und es handelt sich samt und sonders um Waffen und einschlägiges Zubehör: vom Wurfstern über den Regenschirm-Degen bis zum Laserpunkt-Zielmarkierer für Gewehre. Kein Wunder, die Liste befindet sich ja auch in einer Anlage zum Waffengesetz.

Das heißt aber nicht, dass das deutsche Recht den Einsatz von Gegenständen jeder anderen Art stets wohlwollend betrachten würde – nur ist etwa bei digitalen Spionage- oder Sabotage-Tools die Frage weitaus schwieriger zu beantworten, was genau verboten ist und warum. Dabei können geschickte Hände mit ihnen möglicherweise mehr gezielten Schaden anrichten als mit eher altmodisch anmutenden Schrecknissen von der Tabuliste des Waffengesetzes.

Strafbar oder "nur" rechtswidrig?

Es kann viele Gründe und Abstufungen geben, warum oder inwieweit man mit Keyloggern, WLAN-Störern oder Killsticks gegen Gesetze verstößt. Schon die Einfuhr eines Produkts in den Bereich der Europäischen Union kann illegal sein. Dasselbe kann für den Handel damit und die Werbung dafür gelten, natürlich erst recht für die Nutzung des Produkts zu rechtswidrigen Zwecken.

Allerdings hat längst nicht alles, was aus den verschiedensten Gründen illegal ist, auch eine strafrechtliche Bedeutung. Das Strafrecht bedroht gesetzlich verbotenes Verhalten mit staatlichen Sanktionen. Das Zivilrecht hingegen regelt Streitfälle zwischen Privatleuten respektive Unternehmen und kommt dann zum Einsatz, wenn jemand Rechte anderer verletzt oder andere schädigt. Darüber hinaus gibt es noch diverse produktbezogene Bestimmungen, deren Verletzung etwa zollrechtliche Konsequenzen hat.

Das "Hacker Warehouse" ist ein Eldorado für Experimentierer, aber auch für Leute mit finsteren Absichten. Der Online-Shop gehört zur Godai Group, einer in Kalifornien beheimateten Unternehmensgruppe mit Schwerpunkt auf Werkzeugen, Diensten und Informationen rund um IT- und Netzsicherheit.

Straftäter im Visier

Das deutsche Strafrecht hebt vorwiegend auf den Taterfolg ab – also auf das Ergebnis, zu dem eine Tat führt. Bei allen Tatbeständen, die mit Daten zu tun haben, ist das üblicherweise die Störung der rechtmäßigen Verfügungsgewalt über die Daten. Auch im Zusammenhang mit elektronischen Hilfsmitteln geht es hier also um das Ergebnis einer kriminellen Nutzung.

Ziemlich klar ist das bei Killer-USB-Sticks: Wer damit nur eigene Hardware röstet, macht sich nicht strafbar. Anderenfalls geht es um eine Sachbeschädigung nach Paragraf 303 des Strafgesetzbuchs (StGB). Unerheblich ist, ob der Täter das beschädigte Objekt wieder ersetzen und den Schaden damit beheben kann. Es ist auch nicht entscheidend, ob der Gegenstand ganz oder nur teilweise zerstört wurde.

Veränderung und Zerstörung von Daten

Daten hingegen sind keine körperlichen Gegenstände, § 303 StGB greift somit nicht. Der Gesetzgeber musste darauf reagieren und hat § 303 a und b ins StGB eingefügt: Damit wird die Veränderung und Zerstörung von Daten unter Strafe gestellt.

Daten im Sinne des Gesetzes sind nach § 202a Abs. 2 StGB nur solche, die elektronisch, magnetisch oder in anderer nicht unmittelbar wahrnehmbarer Form gespeichert sind oder übermittelt werden. Betroffen sind zudem nur solche Daten, an denen ausschließlich jemand anderem das Recht zur Veränderung, Nutzung und Löschung zusteht. Damit fallen beispielsweise Arbeitnehmer, die von ihrem Job her mit den Daten arbeiten dürfen, aus der Strafbarkeit heraus. Sie können durch unerlaubte Veränderung oder Löschung von Daten jedoch heftigen zivilrechtlichen Ärger bekommen, der sich beispielsweise in Schadenersatzansprüchen äußert.

Die strafbare Datenveränderung erfasst alles, was den Zugriff des Berechtigten erschwert oder unmöglich macht, also etwa Unterdrücken, Löschen, Unbrauchbarmachen und Abändern. Dabei ist es egal, ob der Täter die Daten etwa durch Überschreiben löscht oder das Speichermedium, auf dem sie sich befinden, physisch zerstört.

Computersabotage

§ 303b StGB stellt unter bestimmten Bedingungen die Störung von Datenverarbeitungsvorgängen unter eine höhere Strafe. Das gilt etwa dann, wenn ein Geschädigter auf die Funktionsfähigkeit der Datenverarbeitung angewiesen ist. Hiervon sind Vorgänge in Unternehmen betroffen, aber auch im privaten Bereich. Wann die Bedeutung für einen Geschädigten wesentlich ist, hängt vom Einzelfall ab.

Damit die Strafbestimmung über Computersabotage greift, braucht noch nicht einmal ein konkreter Schaden eingetreten zu sein – es genügt schon, dass der Täter die Gefahr dafür schafft. § 303 Abs. 2 erfasst die missbräuchliche Eingabe und Übermittlung von Daten, die in der Absicht geschieht, jemandem einen Nachteil zuzufügen. Ein solcher Nachteil kann, muss aber nicht unbedingt ein Vermögensschaden sein. Ein klassisches Beispiel in diesem Zusammenhang sind Denial-of-Service-Angriffe (DoS). Auch der Einsatz von Spionagegadgets kann hier erfasst sein, wenn etwa das Aufzeichnen von Bildern ohne Kenntnis und Einwilligung eines Betroffenen geschieht und dieser dann durch den Upload des Materials in Social Networks lächerlich gemacht wird.

§ 303 Abs. 3 schließlich stellt auf die Zerstörung der Hardware ab. Vom Magneten bis zum explodierenden USB-Stick können hier die verschiedensten Hilfsmittel als Tatwerkzeuge eine Rolle spielen.