Kollateralschäden vorprogrammiert?Strafbarkeitsrisiken für IT-Security-Consultants durch das ZKDSG

Ordnungsmerkmale

erschienen in: <kes> 2003^#1, Seite 64

Autor: Von Tobias C. Strobel, München

Zusammenfassung: Das Zugangskontrolldiensteschutzgesetz (ZKDSG) soll entgeltpflichtige Rundfunk- und Teledienste vor Crackern bewahren, daher lautet sein Spitzname oft "Lex Premiere". Selbst Juristen von Anbietern geschützter Dienste sehen in dem Paragraphenwerk jedoch neben willkommener Schützenhilfe auch Risiken für Sicherheits-Branche, Forschung und Lehre: Denn das ZKDSG könnte auch Sicherheitsaudits mit Strafe bedrohen.

Viele kennen es gar nicht, andere sehen in ihm ein Damoklesschwert: das Zugangskontrolldiensteschutzgesetz (ZKDSG, [1]). Seit seinem In-Kraft-Treten im März 2002 hegt mancher Security Consultant schlimme Befürchtungen. Denn mit dem strafbewehrten Verbot von "Umgehungsvorrichtungen" für Zugangskontrolldienste befürchten viele IT-Consultants einen tiefen Einschnitt in ihre Tätigkeit. Ein <kes>-Artikel [3] erörterte im Mai 2002, dass bereits der berufliche Besitz von bestimmten Analysewerkzeugen strafbar sein könnte. Da die IT-Sicherheitsbranche zwingend auf den Besitz von Software-Werkzeugen zur Durchführung von Penetrationstests sowie kryptologischen Tools angewiesen ist, käme ein entsprechendes Besitzverbot für eine ganze Branche einem faktischen Berufsverbot gleich.

Hintergrund

Das ZKDSG ist die Umsetzung der Richtlinie 1998/84/EG über den rechtlichen Schutz von zugangskontrollierten Diensten und von Zugangskontrolldiensten (Conditional-Access-Richtlinie): "Die Richtlinie … hat das Ziel, die gewerbsmäßige Verbreitung von 'Vorrichtungen' zu verhindern (einschließlich Werbung und Wartung), mit denen sich der Zugangsschutz von Fernseh- und Radiosendungen sowie von Diensten der Informationsgesellschaft unbefugt überwinden lässt" [2]. Geschützt werden sollen ausschließlich Dienste, die entgeltlich erbracht werden, soweit diese durch Verschlüsselung oder Verschleierung gegen unbefugten Zugang geschützt sind. Im Wesentlichen sind dies derzeit Abonnenten-TV, Video- und Music-On-Demand-Dienste. Mit Bezahldiensten im Internet und dem Vordringen entgeltlicher mobiler Dienste auf der Basis von GPRS und UMTS wird sich der Anwendungsbereich des Gesetzes jedoch rasch ausweiten. Somit ist zwar die häufig anzutreffende Einordnung des Gesetzes als "Lex Premiere" durch die Entstehungsgeschichte der Richtlinie nahe gelegt, gleichwohl verkennt sie den Kern des technologisch neutral formulierten Gesetzes.

Der Schutz zugangskontrollierter Dienste dient vordringlich der Schaffung vielfältigerer Auswahlmöglichkeiten zugunsten der Konsumenten und der Bereicherung des kulturellen Pluralismus durch die Möglichkeiten der Digitaltechnologie. Die Conditional-Access-Richtlinie dient zudem auch dem Schutz des Verbrauchers vor Täuschung über die Herkunft der von ihm erworbenen Zugangsmittel (etwa Decoder, Mediaplayer etc.) sowie über die Legalität der Inanspruchnahme zugangskontrollierter Dienste. All das sind hochrangige Ziele. Gleichzeitig besteht ein starkes Interesse der Allgemeinheit an sicheren IT-Infrastrukturen – Voraussetzung dafür sind jedoch regelmäßige Security-Assessments.

Ansatzpunkte des ZKDSG

Strafbar sind seit letztem Jahr "die Herstellung, die Einfuhr und die Verbreitung von Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken" (§ 3 Abs. 1 i. Vbdg. m. § 4 ZKDSG), ordnungswidrig der Besitz, die technische Einrichtung, die Wartung und der Austausch von Umgehungsvorrichtungen zu gewerbsmäßigen Zwecken (§ 3 Abs. 2 i. Vbdg. m. § 5 Abs. 1 ZKDSG). Lediglich verboten, aber nicht strafbar, ist die Absatzförderung von Umgehungsvorrichtungen.

Zentraler Anknüpfungspunkt des Verbotes ist somit der Begriff der Umgehungsvorrichtung, definiert als "technische Verfahren oder Vorrichtungen, die dazu bestimmt oder entsprechend angepasst sind, die unerlaubte Nutzung eines zugangskontrollierten Dienstes zu ermöglichen" (§ 3 Abs. 3 ZKDSG). Im Wesentlichen erfasst das Software (etwa Mediaplayer) und Hardware (etwa Smartcards, Set-Top-Boxen etc.). Reine Daten, zum Beispiel kryptologische Schlüssel oder Authentifizierungsstrings, können jedoch keine Umgehungsvorrichtungen im Sinne des ZKDSG sein, da sie weder körperlich, noch Verfahren oder deren Implementationen sind.

Schwerer fällt es, das Begriffspaar "bestimmt oder angepasst" mit Leben zu füllen. Aufschluss über die richtige Auslegung der beiden Begriffe gibt letztlich der englische Originaltext der Richtlinie, der von "designed" und "adapted" spricht (Näheres siehe [4]). "Bestimmt" ist demnach als bei Herstellung des Gegenstandes vorliegende, objektive Eigenschaft und eine zu diesem Zeitpunkt bestehende, subjektive Zweckbestimmung zu verstehen, die unerlaubte Nutzung eines zugangskontrollierten Dienstes zu ermöglichen. "Angepasst" ist demgegenüber im Sinne der nachträglichen Veränderung der Eigenschaften einer Vorrichtung oder eines Verfahrens zu verstehen.

Das Schutzkonzept des ZKDSG geht laut Gesetzesbegründung davon aus, dass Umgehungsvorrichtungen abstrakt dazu tauglich sind, die Umsetzung eines verschlüsselten oder verschleierten entgeltlichen Dienstes der Informationsgesellschaft in Klartext zu gewährleisten [2]. Dabei muss die Umsetzung nicht notwendigerweise eigenständig bewirkt werden, sondern kann auch erst im Zusammenspiel mit anderem Verfahren oder Vorrichtungen zur unerlaubten Nutzung führen. Das ZKDSG erfasst auch so genannte Dual-Use-Produkte, die aufgrund ihrer technischen Beschaffenheit eine Umgehungsvorrichtung darstellen, selbst wenn ihre hauptsächliche Nutzung im legalen Bereich liegt.

Damit ist ein breites Konfliktpotenzial eröffnet. Zwar werden viele der im Bereich von Security Assessments eingesetzten Tools keine verschlüsselten Dienste in Klartext überführen können. Zahlreiche andere Tools sind aber zielgerichtet für das Knacken von Verschlüsselungen entwickelt. Einige davon werden – zumindest theoretisch – auch imstande sein, zugangskontrollierte Dienste zu "öffnen". Besonders bedeutungsvoll wird dies, wenn Security Consultants die Verwundbarkeit von Zugangskontrolldiensten im Auftrag des Diensteanbieters ermitteln sollen. Im Rahmen derartiger Assessments sind Besitz und Einsatz der einschlägigen Umgehungsvorrichtungen für die Durchführung des Auftrages essenziell.

Das ZKDSG verbietet und kriminalisiert bewusst Handlungen, die weit im Vorfeld der kernstrafrechtlichen Strafbarkeiten angesiedelt sind, die auf tatsächliche und vor allem rechtswidrige Eingriffe in Systeme zielen. Gerade diese Vorverlagerung erweist sich für die IT-Sicherheitsbranche als problematisch. Die Verbote des ZKDSG haben zudem auch wettbewerbsrechtliche Relevanz: Verstöße lösen Unterlassungs-, gegebenenfalls auch Schadensersatzansprüche der direkten Wettbewerber, der Hersteller von Zugangskontrollsystemen sowie der Anbieter von Zugangskontrolldiensten und zugangskontrollierten Diensten aus. Die Praxis zeigt, dass die durch wettbewerbsrechtliche Auseinandersetzungen bedingten finanziellen Verluste oftmals verheerender sind als gerichtlich verhängte Strafen.

Schutzkonzepte für die IT-Industrie

Die IT-Sicherheitsindustrie benötigt somit tragfähige Schutzkonzepte, um Strafbarkeiten und kostenträchtigen Auseinandersetzungen vorzubeugen. Da das ZKDSG mangels ausfüllungsbedürftiger Generalklauseln oder unbestimmter Rechtsbegriffe keinen Raum für eine Privilegierung aufgrund des verfassungsrechtlich verankerten Prinzips der Freiheit von Forschung und Lehre bietet, kann auch dieser Bereich unter bestimmten Bedingungen betroffen sein.

Bereits während des Gesetzgebungsverfahrens wurde die Problematik durch den Bundesrat prinzipiell erkannt. Eine entsprechende Anfrage wurde von der Bundesregierung jedoch zurückgewiesen (vgl. [3]). Die dabei an den Tag gelegte sorglos-apodiktische Stellungnahme der Bundesregierung kann nur verwundern. Da sie keine vom ZKDSG verwendeten Begriffe näher konkretisiert, kann sie überdies – etwa im Rahmen eines Strafverfahrens – kaum zur Auslegung des Gesetzes herangezogen werden. Die Richtigkeit der Stellungnahme hängt somit ausschließlich davon ab, ob die sachlichen Argumente der Bundesregierung zutreffen.

Die Anfrage bezog sich auf den Besitz von Umgehungsvorrichtungen durch Anbieter von Zugangskontrolldiensten. Darin sah die Bundesregierung "kein nach § 3 ZKDSG verbotenes Verhalten zu gewerbsmäßigen Zwecken". Die Tatbestände des ZKDSG knüpfen jedoch sämtlich an das Bezugsobjekt "Umgehungsvorrichtung" an, das – wie dargelegt – im Wesentlichen durch eine abstrakte Eigenschaft gekennzeichnet ist. Diese steht, anders als die Bundesregierung offensichtlich annahm, in keiner Beziehung zum tatsächlichen Anwendungszweck. Derartige abstrakte Eigenschaften können somit auch Verfahren und Vorrichtungen haben, die nicht oder nicht primär dem Knacken zugangskontrollierter Dienste dienen. Bereits der Besitz dieser Tools zu gewerblichen Zwecken ist durch das ZKDSG als Ordnungswidrigkeit mit Geldbußen bis zu 50 000 € bedroht, gewerbliche Herstellung und Einfuhr sind Straftaten. Der erste Teil der Stellungnahme der Bundesregierung entspringt daher offensichtlich eher Wunschdenken als juristischer Subsumption.

Auch die Ausführung der Bundesregierung, dass im geschilderten Fall eine Einwilligung der Diensteanbieter vorliege, ist problematisch, da sie die Betroffenen in einer trügerischen Sicherheit zu wiegen vermag. Zunächst bezieht sich diese Aussage auf eine Situation, in der die Anbieter von Zugangskontrolldiensten selbst Umgehungsvorrichtungen besitzen, um Security Assessments durchzuführen. Das ist nicht mit der Situation von IT-Consultants oder in Forschung und Lehre vergleichbar. Die Schlussfolgerungen der Bundesregierung streiten somit ohnehin nicht zugunsten der IT-Sicherheitsindustrie.

Rein praktisch betrachtet, liegt ein weiteres gravierendes Problem darin, dass die meisten Umgehungsvorrichtungen die unerlaubte Nutzung zugangskontrollierter Dienste mehrerer Anbieter zulassen. Dies bedeutet, dass – die Richtigkeit der weiteren von der Bundesregierung gesetzten Prämissen vorausgesetzt – solche Umgehungsvorrichtungen die Erlaubnis aller (vermeintlich) verfügungsberechtigten Anbieter von Zugangskontrolldiensten erforderlich machen würden. Alle erforderlichen Einverständnisse einzuholen, wäre in der Praxis ein Unterfangen nicht zu unterschätzender Komplexität.

Da aber der maßgebliche Ansatzpunkt des ZKDSG an die abstrakte Eignung einer Umgehungsvorrichtung anknüpft, ist die Erteilung einer bereits auf Tatbestandsebene Strafbarkeitsrisiken ausschließenden Erlaubnis zudem an hohe Anforderungen gebunden: Eine derart wirksame Erlaubnis setzt voraus, dass die abstrakte Eigenschaft beseitigt wird, die unerlaubte Nutzung zugangskontrollierter Dienste zu ermöglichen. Dies kann jedoch aufgrund der Abstraktheit der Eigenschaft nur durch die Erteilung einer Genehmigung des Verfügungsberechtigten erzielt werden, die (an die Umgehungsvorrichtung gebunden) jederzeit gegen jedermann wirkt und eine Nutzungserlaubnis hinsichtlich des zugangskontrollierten Dienstes zum Gegenstand hat.

Hiermit wird auch der Kreis der Verfügungsbefugten deutlich: Anders als die Bundesregierung ausführt, sind nicht die Anbieter der Zugangskontrolldienste verfügungsbefugt, sondern ausschließlich die Anbieter der zugangskontrollierten Dienste. Eine solche Erlaubnis wird regelmäßig nur schwer oder gar nicht zu bekommen sein. Wenn eine Umgehungsvorrichtung mehrere Dienste betrifft, müssen zudem die entsprechend weitreichenden Erlaubnisse aller verfügungsbefugten Anbieter eingeholt werden, was schlichtweg unmöglich erscheinen muss.

Da erhebliche Strafbarkeits- und wettbewerbsrechtliche Risiken mit dem Besitz von Umgehungsvorrichtungen einhergehen, ist bei der Formulierung entsprechender Einverständniserklärungen äußerste Vorsicht geboten. Zur Risikominimierung sollte sie durch einen spezialisierten Anwalt erfolgen. Bedenken der Anbieter zugangskontrollierter Dienste, einem Tool eine Art "Generalabsolution" zu erteilen, lassen sich sicherlich (nur) in einer projektgebundenen Zusammenarbeit zerstreuen, die gerade im Sicherheitsbereich ohnehin ein besonderes Vertrauensverhältnis erfordert. Auch das hilft aber lediglich, wenn das Tool keine unerlaubte Nutzung zugangskontrollierter Dienste anderer Anbieter ermöglichen könnte.

Grundsätzlich ebenfalls zum Ausschluss von Strafbarkeiten heranzuziehen wäre das Rechtsinstitut des tatbestandsausschließenden Einverständnisses. Dies scheitert jedoch bereits aufgrund der Hochrangigkeit der vom ZKDSG geschützten Rechtsgüter: Diese sind der Dispositionsbefugnis der Diensteanbieter entzogen. Dieser Befund erschwert ausgerechnet die Arbeit bei E-Security-Einheiten der Anbieter von zugangskontrollierten Diensten (oder Zugangskontrolldiensten/-vorrichtungen): Denn ihnen ist es somit nicht möglich, einem Informanten in spe Straffreiheit hinsichtlich der Strafbarkeiten des ZKDSG zuzusagen.

Fazit

Das ZKDSG stellt sicherlich einen Schritt in die richtige Richtung dar, um den bislang geringen, aber volkswirtschaftlich gebotenen gesetzlichen Schutz digitaler Güter zu intensivieren. Es birgt jedoch erhebliche Risiken für die IT-Sicherheitsindustrie sowie Forschung und Lehre im Bereich IT und Kryptologie. Diese Bedenken sind aufgrund des Schutzkonzepts des ZKDSG nur bezüglich solcher Verfahren oder Vorrichtungen zu zerstreuen, die zugangskontrollierte Dienste nicht aufgrund von Entschlüsselung "angreifen". Bei "dechiffrierenden" Verfahren oder Vorrichtungen kommt eine Erlaubnis zur Nutzung der zugangskontrollierten Dienste in Betracht. Diese ist jedoch an weit reichende Voraussetzungen gebunden und wird nur in Fällen konkreter Projektzusammenarbeit mit Anbietern zugangskontrollierter Dienste zu erzielen sein. Die Ausgestaltung einer solchen Erlaubnis folgt strengen Kriterien und sollte wegen der weit reichenden Risiken ausschließlich durch spezialisierten Rechtsbeistand erfolgen. Für die Zukunft bleibt zu hoffen, dass die Auditverpflichtung der Conditional-Access-Richtlinie (Art. 7) dazu führt, dass die bislang von ihr selbst und dem ZKDSG aufgeworfenen Probleme beseitigt werden.

Tobias C. Strobel ist Referent "Recht" in der Abteilung E-Security bei der Premiere Fernsehen GmbH & Co. KG.

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2003^#1, Seite 64