Für Hacker und Premiere-Schwarzseher in Deutschland wird es immer enger: Nicht nur die Strafbarkeit des "Schwarzsehens" und das Abschalten der so genannten Monitoring-Schlüssel für Händler macht den Premiere-Piraten zu schaffen, seit 23. März stellt das Zugangskontrolldiensteschutzgesetz (ZKDSG) auch das Anbieten entsprechender Crack-Software für analoge oder digitale Zugänge im Internet unter Strafe. So weit, so gut ...
Das ZKDSG ist aber allgemein verfasst und greift erheblich weiter: Der Wortlaut des Gesetzes (vgl. Kasten) spezifiziert nicht den Zweck der Verwendung von Entschlüsselungstools. Die Strafbarkeit kann daher neben den Software- und TV-Piraten auch Security Consultants erfassen, die im Auftrag von Kunden Netzwerke auf Verwundbarkeit testen.
Bereits der Download eines entsprechenden Hacker-Tools von einem US-Webserver (Einfuhr) durch einen Sicherheitsspezialisten ist mit bis zu einem Jahr Freiheitsstrafe nebst Einzug des Tatwerkzeugs (Computer) bedroht. Selbst die Entwicklung von Angriffssoftware gegen eigene Schutzvorrichtungen könnte – sofern diese bereits im Einsatz sind – unter Strafe stehen. Wer "gewerbsmäßig" auf seiner Festplatte einen Exploit zum Remote-Zugriff auf einen passwortgeschützten Webserver liegen hat (Besitz), verhält sich ordnungswidrig und könnte mit einer Geldbuße bis zu 50 000 € konfrontiert werden.
----------Anfang Textkasten----------
Zweck des Gesetzes ist es, Zugangskontrolldienste gegen unerlaubte Eingriffe zu schützen.
Im Sinne dieses Gesetzes bezeichnet der Ausdruck
Verboten sind
Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer entgegen § 3 Nr. 1 eine Umgehungsvorrichtung herstellt, einführt oder verbreitet.
Gegenstände, auf die sich eine Straftat nach § 4
bezieht, können eingezogen werden.
----------Ende Textkasten----------
Nötig wurde das ZKDSG, um die Forderungen von Artikel 6 der Cybercrime Convention sowie der entsprechenden EU-Richtlinie zu erfüllen (vgl. Kasten "Strafbarkeitslücken"). Die derzeitige Fassung könnte aber dennoch mehr unerwünschte Nebenwirkungen als Lösungen bringen. Die Bedenken sind nicht einmal neu. Fachleute hatten vor der Verabschiedung des Gesetzes Zweifel geäußert.
Auch der Bundesrat nahm schon Ende September 2001 dazu Stellung: "Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren in geeigneter Weise klarzustellen, dass Zugangskontrolldiensteanbieter, die Umgehungsvorrichtungen verwenden, um Zugangskontrolldienste auf ihre Tauglichkeit zu testen bzw. deren Sicherheitsstandards zu verbessern, nicht vom Verbot des § 3 Nr. 1 und 2 ZKDSG und den Straf- und Bußgeldvorschriften in den §§ 5 und 6 ZKDSG erfasst werden. In diesen Fällen besteht für ein Verbot und damit auch für eine Bestrafung kein Anlass. Der Bundesrat weist auf die ähnliche Problematik bei Artikel 6 des Entwurfs eines Übereinkommens des Europarates über Datennetzkriminalität (Draft Convention on Cyber-Crime) und die diesbezüglichen Ausführungen in Nummer 76 des Entwurfs eines Erläuternden Berichts hierzu hin."
Die Bundesregierung äußerte sich hierzu wie folgt: "Die Bundesregierung hat den Vorschlag geprüft. Die Bundesregierung tritt dem Antrag entgegen. Eine Klarstellung ist nicht erforderlich. Zweck des Gesetzes ist es, zugangskontrollierte Dienste gegen unerlaubte Nutzungen zu schützen. Wenn Zugangskontrolldiensteanbieter Umgehungsvorrichtungen verwenden, um Zugangskontrolldienste auf ihre Tauglichkeit zu testen bzw. deren Sicherheitsstandards zu verbessern, liegt schon kein nach § 3 verbotenes Verhalten vor. Abgesehen davon, dass Tests und Verbesserungen des Sicherheitsstandards zu einem großen Teil schon von den Tathandlungen in den §§ 3, 5 und 6 nicht erfasst werden, beziehen sich diese in einem solchen Fall nicht auf technische Verfahren oder Verfahren, die dazu bestimmt oder angepasst sind, die 'unerlaubte' Nutzung eines zugangskontrollierten Dienstes zu ermöglichen. Auch liegt kein verbotenes Verhalten 'zu gewerbsmäßigen Zwecken' vor. Schließlich liegt auch noch eine Einwilligung der von den §§ 3, 5 und 6 geschützten und verfügungsberechtigten Zugangskontrolldiensteanbieter vor."
Diese Entgegnung vermag aber aus logischen und juristischen Gründen in keiner Weise zu befriedigen. Erstens kann die Definition "unerlaubt" in einem Straftatbestand kein zusätzliches Kriterium bieten, da dies zu einem Zirkelschluss führen würde: "Wenn es unerlaubt ist, dann ist es nach diesem Gesetz nicht erlaubt!". Zweitens greift die angesprochene Verfügungsberechtigung der Rechteinhaber nicht in jedem Fall, da der Netzwerkbetreiber und der Inhaber des Urheberrechts an der geknackten Software in der Regel auseinanderfallen. Damit ist nicht klar aus dem Gesetz erkennbar, wer mit seiner Einwilligung die Strafbarkeit der Handlungen eines Security-Dienstleisters verhindern kann.
In diesem Fall können sich Administratoren nicht mehr ausreichend über den Schutzbedarf informieren und Lücken nicht mehr selbst testen. Netzwerksicherheitsexperten würden sowohl bei ihren Sicherheitstests als auch bei Schulungen für Systemadministratoren durch eine solche Interpretation schwer behindert.
Um die Sicherheit von Netzen effektiv testen zu können, müssen Security-Firmen die gleichen effektiven Hilfsmittel benutzen können wie die Hacker selbst. Wenn der Vertrieb und die "Einfuhr" von Hackertools und Demonstrationen von Sicherheitslücken strafbar sind, so würden diese "Offenbarungen" in den Untergrund von Insiderkreisen versinken. Wenn Besitz und Einrichtung solcher Tools ordnungswidrig sind, verlieren die Security-Experten in dem Hase-und-Igel-Spiel Sicherheit noch weiter an Boden, weil sich böswillige Angreifer naturgemäß weiterhin unter Verstoß gegen das Gesetz solcher Hilfsmittel bedienen werden.
Microsoft kann sich aus einem anderen Grund über das Gesetz freuen: Jede Linux-Distribution enthält bereits in der Standard-Variante zahlreiche Tools, die der Wortlaut des Gesetzes erfasst. Weder den Linux-Distributoren noch den Netzwerk-Security-Firmen wird letztlich die Beschränkung auf die Gewerbsmäßigkeit etwas helfen, da sie Firmen wie der Suse Linux AG oder einem Beratungsunternehmen ja kaum abzusprechen ist.
----------Anfang Textkasten----------
Bisher haben Hacker häufig die fehlende internationale Harmonisierung der Strafrechtsvorschriften ausgenutzt. In den relativ liberalen Niederlanden konnten Musiktauschbörsen, Raubkopie- und Pornoanbieter noch bis vor kurzem weitgehend unbehelligt ihrer Tätigkeit nachgehen. Staaten wie Togo vergeben Domains, die keinem Besitzer zugeordnet werden können und daher häufig zu illegalen Zwecken missbraucht werden usw.
Diesen Problemen will man angesichts der ansteigenden Cyber-Kriminalität zumindest im europäischen Rahmen zu Leibe rücken. Am 9. November 2001 ist der 27. Diskussionsentwurf des Cybercrime-Abkommens des Europarats endgültig abgesegnet worden. Es enthält Vereinbarungen zur Überwachung und Verfolgung von Straftaten im und über das Internet. Damit will man sowohl die strafrechtlichen Grundlagen des "Hacker-Strafrechts" als auch die Überwachungs- und Verfolgungsmaßnahmen vereinheitlichen und die internationale Zusammenarbeit verbessern.
Die 41 Mitgliedsstaaten des Europarats verpflichten sich, bei der Verfolgung von Hackern einen ganzen Katalog von Verhaltensweisen unter Strafe zu stellen. In vielen Ländern fehlen einzelne oder auch eine ganze Reihe von Strafvorschriften, um die Cyberkriminalität wirksam bekämpfen zu können. Im Bereich Hacking sollen unerlaubter Zugriff auf Rechnersysteme, Abhören (Sniffen) von Daten, Störung oder Veränderung der Kommunikation, Störung von Computersystemen und der Missbrauch von Geräten und Programmen (auch der Besitz mit der Absicht des Missbrauchs) sowie Fälschung von Daten und Betrug durch Datenveränderung in allen Mitgliedsstaaten unter Strafe stehen.
Beim Ausspähen von Daten wird den Mitgliedsstaaten die Möglichkeit eingeräumt, die Überwindung von technischen Schranken, eine besondere Absicht des Ausspähens oder das Ausspähen über vernetzte Computer zur Voraussetzung der Strafbarkeit zu machen. Demnach entsprach schon das bisherige deutsche Recht in diesem Bereich den Anforderungen der Konvention, da hier das Überwinden einer technischen Hürde und das tatsächliche Ausspähen von Daten zur Strafbarkeit erforderlich sind. Das bedeutet:
Gesetzgebungsbedarf gab es hingegen für Deutschland im Bereich der (Weiter-)Verbreitung von Passwörtern und anderen Zugriffsberechtigungen oder -methoden. Zur Umsetzung der EU-Richtlinie vom 20.11.1998 hat der Bundestag am 01.02.2002 den Entwurf eines Zugangskontrolldiensteschutzgesetzes verabschiedet, ohne die Einwände des Bundesrates und von Fachleuten zu berücksichtigen. Danach hat das Gesetz am 22.03.2002 den Bundesrat passiert und ist bereits am darauf folgenden Tag in Kraft getreten.
Der Einsatz geknackter Schlüssel oder Passwörter zur kostenlosen Nutzung von kostenpflichtigen Fernseh- oder Online-Angeboten war bereits früher unter Strafe gestellt (§ 265a StGB oder § 263a StGB). Da derartige Straftaten zu Hause schon wegen des grundgesetzlichen Schutzes der Privatsphäre (Art. 13 GG) aber kaum zu entdecken sind und ein großer Schaden für die Urheberrechtsinhaber droht, war es notwendig, schon im Vorfeld der eigentlichen Rechtsverletzung einzugreifen. Jetzt stehen daher bereits die Verbreitung von Passwort-Listen, von Knackprogrammen für Pay-TV oder Schlüsselgeneratoren für Shareware- Programme unter Strafe.
----------Ende Textkasten----------
Die Bemühungen der Urheberrechtslobby zu effektiveren Schutzmaßnahmen gehen aber noch weiter. Die neue EU-Urheberrechtsrichtlinie lässt für die Umsetzung in deutsches Recht relativ viel Spielraum, was Erlaubnis oder Verbot privater Kopien anlangt. Der vorliegende Entwurf verschärft jedoch die derzeit geltende Rechtslage. Es wird zwar das bestehende Recht auf die private Kopie beibehalten, aber die Umgehung von Kopierschutzmechanismen soll in Zukunft in jedem Fall verboten sein, auch dann, wenn bisher die Privatkopie trotz Kopierschutz erlaubt war. Bei Privatleuten soll allerdings keine Strafbarkeit daran gebunden werden.
Den Urheberrechtsinhabern geht selbst diese Änderung nicht weit genug. Sie streben an, zwingend Digital Rights Management (DRM) Mechanismen einzuführen. In einem Entwurf des "Security System and Copyright Act" in den USA wird in einem noch weiter gehenden Schritt sogar gefordert, dass die Industrie nur noch Computer mit vorinstalliertem Digital Rights Management System ausliefern dürfen soll. Microsoft könnte damit seine beherrschende Marktposition noch weiter festigen, da die Firma Inhaberin mehrerer Patente im Bereich Digital Rights Management ist. Die Verbreitung von Linux und anderen Betriebssystemen könnte das effektiv torpedieren.
Durch das Zugangskontrolldiensteschutzgesetz dürfte niemand mehr die Qualität dieser DRM-Modelle und deren eventuell vorhandene Spionageaktivität durch Übertragung von Lizenzinformationen auf legale Weise untersuchen. Wenn man sich die Funktionen des Windows Media Players in der Version 8 einmal genauer anschaut, kann man sich etwa vorstellen, welche Spionagemöglichkeiten sich zukünftig unter dem Deckmantel des Urheberrechts auftun. Bei Windows XP lässt sich Microsoft schon jetzt im Lizenzvertrag das Recht einräumen, jederzeit auf den Rechner des Nutzers zugreifen zu können. Darüber hinaus ist ein User vorinstalliert, der dies auch technisch ermöglicht.
Durch die Beteiligung von Lobbyisten an der Erarbeitung von Gesetzesentwürfen werden häufig berechtigte Interessen anderer Gruppen, beispielsweise diejenigen der IT-Security-Branche, nicht genügend berücksichtigt. Dies geschieht leider in letzter Zeit häufiger: Auch bei der Änderung des Teledienstedatenschutzgesetzes durch das Elektronische Geschäftsverkehrsgesetz sind Ausnahmeregeln für Speicherungsrechte auf Fälle des Abrechnungsbetrugs beschränkt worden, während der Gesetzentwurf vom 14.02.2001 auch noch andere Sicherheitsverletzungen berücksichtigt hatte. Firewall-Protokolle bleiben daher vermutlich weiterhin meist unrechtmäßig, sofern keine kostenpflichtigen Dienste für externe Nutzer angeboten werden.
Durch die unklare Formulierung des Zugangskontrolldiensteschutzgesetzes wird es in Zukunft immer wieder zu Irritationen bezüglich der Zulässigkeit etwa von "Hackerschulungen" für Systemadministratoren oder bei Penetrationstests kommen, obwohl man dies auf Anregung des Bundesrates hätte klar und deutlich formulieren können. Wenn man an die eigenwillige Gesetzesauslegung durch Richter wie im Fall des früheren Compuserve-Chefs Somm denkt, kann man jetzt schon die Gefahren erahnen, in die Security Consultants zukünftig geraten könnten.
Rechtsanwalt Ulrich Emmert ist Sozius der Kanzlei e|s|b Rechtsanwälte, Tübingen.
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/2, Seite 6