![[externer Link]](../../../../images/link.gif)
www.recht-freundlich.de).Trotz aller Vorbehalte und Warnungen von Security-Fachleuten und Juristen (vgl. [1]) haben der Deutsche Bundestag und Bundesrat das 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität unverändert beschlossen – es wurde am 10. August 2007 verkündet [2] und trat am Tag darauf in Kraft. Seither sehen etliche Sicherheits-Berater und -Administratoren ein Damoklesschwert über ihren Köpfen hängen. Vor allem die Einführung eines neuen Paragraphen erscheint heikel, der "Vorbereitungstatbestände" zur Computerkriminalität definiert (§ 202c StGB, siehe Kasten).
Zur rechtlichen Bewertung und der Frage der Anwendung der gesetzlichen Neuregelungen existiert derzeit eine große Bandbreite von Rechtsauffassungen: Die Stellungnahmen reichen von "man muss sich keine Sorgen machen" bis hin zu dramatischen Schilderungen drohender, insbesondere strafrechtlicher Gefahren für Berater, Unternehmer und auch Mitarbeiter im EDV-Bereich. Neben seiner unmittelbaren Anwendung dürfte dabei der so genannte Hacker-Paragraph zusätzlich auch in andere Rechtsgebiete ausstrahlen – vor allem in das Arbeits- und Wettbewerbsrecht (s. u.).
----------Anfang Textkasten----------
----------Ende Textkasten----------
Ein juristischer Aufsatz [3] hat im Okober die Frage diskutiert, ob beispielsweise Google ein strafbares Hacker-Tool ist. Der Autor nimmt dabei unter anderem Bezug auf das Buch "Google-Hacking for Penetration Testers" von Johnny Long aus dem Jahre 2005. Diese und weitere Veröffentlichungen zeigen, wie man mithilfe von Google Sicherheitslücken und auch sensitive Daten wie Passwörter oder Nutzernamen ausfindig machen kann. Nach eingehender juristischer Erörterung kommt der Autor zu dem Schluss, dass Google sich an den Normalanwender richtet und im Vertriebskonzept sowie der Werbung keinerlei Hinweise darauf zu finden sind, dass kriminelle Aktivitäten gefördert werden sollen.
Für die rechtliche Beurteilung soll im ersten Schritt also darauf abgestellt werden, ob eine Software geeignet ist, Straftaten zu begehen – beispielsweise Daten auszuspähen. Der zweite Schritt prüft, ob die Software hauptsächlich für einen strafrechtlich relevanten Verwendungszweck eingesetzt werden soll. Im Ergebnis würden damit so genannte "Dual-Use"-Programme nicht als Hacker-Tools anzusehen sein. Als Indiz für den Verwendungszweck wird auf die "Förderung krimineller Aktivitäten" abgestellt – nach dieser juristischen Auffassung sollen das Vertriebskonzept des Herstellers und die Bewerbung des Produktes nähere Anhaltspunkte liefern, ob im Einzelfall kriminelle Aktivitäten gefördert werden.
Diese Ausführungen zeigen, wie weit mittlerweile die juristische Debatte zum neuen Computer-Strafrecht ausufert! Allein die Existenz einer Diskussion über die Strafbarkeit von Google (i. S. d. § 202c StGB) mutet bei einer oberflächlichen Betrachtung eigentümlich an. Darüber hinaus ist die Betrachtung des Vertriebskonzeptes und der Produktpräsentation nur ein begrenzt taugliches Mittel für die Abgrenzung zwischen "strafbaren Hacker-Tools" und straflosen Programmen.
Überhaupt fällt derzeit auf, dass juristische Diskussionen immer wieder davon ausgehen, dass eine generelle, klare Trennung zwischen "bösen Programmen" und "guten Programmen" möglich ist. Aus Sicht der Praxis muss jedoch mehr als bezweifelt werden, dass man jemals eine derartige Grenze ziehen kann.
Der in der Diskussion immer wieder eingebrachte Verweis auf die Gesetzesmaterialien (Begründung, Stellungnahmen, Gegenäußerungen usw.), aus denen sich Mängel im Gesetzeswortlaut angeblich klären lassen, übersieht dabei unter anderem, dass die Stellungnahmen des Rechtsausschusses des Bundestages sich erheblich von früheren Aussagen der Bundesregierung unterscheiden (vgl. [4,5]).
Zudem wird in der Diskussion um den § 202c StGB oft darauf verwiesen, dass es sich bei dieser Regelung um ein so genanntes abstraktes Gefährdungsdelikt handelt: Bestimmte Verhaltensweisen sind aus Sicht des Gesetzgebers so gefährdend, dass sie "pauschal" verboten werden müssen – so sollen die typischerweise mit diesen Verhaltensweisen verbundenen Gefahren für Rechtsgutverletzungen generell vermieden werden.
In der Konsequenz ist es aber dann auch nicht möglich, als konkret betroffener Rechtsgutträger in entsprechende Gefährdungen einzuwilligen, also beispielsweise als Unternehmen die Durchführung eines IT-Sicherheitstests bewusst mit derart "gefährlichen" Verfahren durchführen zu lassen: Eine solche Einwilligung ist nach der bisherigen juristischen Dogmatik bei abstrakten Gefährdungsdelikten nicht möglich und führt nicht zur Straflosigkeit des "Täters". Dennoch soll eine Einwilligung hinsichtlich derjenigen Straftaten sehr wohl möglich sein, deren Vorbereitung § 202c StGB erfasst – auch diese Diskussion ist noch in vollem Gange.
Zusammenfassend bleibt nur festzustellen, dass der Umfang der Strafbarkeit nach dem neuen Gesetz und insbesondere dem Hacker-Paragraphen im Moment noch umfassend diskutiert wird. Zurzeit ist das Ergebnis dieser Diskussion nicht absehbar. Es steht zu hoffen, dass die vor kurzem eingereichte Verfassungsbeschwerde gegen § 202c StGB (s. Kasten) sowie verschiedene ergangene Strafanzeigen und Selbstanzeigen zu einer baldigen Klärung beitragen.
----------Anfang Textkasten----------
Stellvertretend für zahlreiche Unternehmen wehrt sich der IT-Security-Dienstleister Visukom gegen den so genannten Hacker-Paragraphen und hat Verfassungsbeschwerde gegen § 202c StGB eingereicht. Visukom offeriert Services im Bereich der Informations- und Telekommunikations-Sicherheit und führt beispielsweise als Dienstleister auf ausdrücklichen Wunsch der Kunden Penetrationstests durch.
Die Strafbarkeit der in § 202c StGB beschriebenen Handlungen verbietet dem Beschwerdeführer nunmehr das Anbieten zahlreicher Dienstleistungen und stellt damit dessen wirtschaftliche Existenz infrage. Die von Rechtsanwalt Thomas Feil eingereichte Verfassungsbeschwerde wird daher unter anderem mit einem Eingriff in die grundgesetzlich garantierte freie Berufsausübung (Art. 12 Abs. 1 GG) begründet.
Daneben sieht Visukom eine Verletzung des so genannten Bestimmtheitsgrundsatzes (Art. 103 Abs. 2 GG): Nach dieser Regelung wird vom Gesetzgeber verlangt, die Voraussetzung einer Strafbarkeit so genau zu beschreiben, dass Tragweite und Anwendungsbereich des Straftatbestandes schon aus dem Gesetz selbst zu erkennen sind. Mit Verweis auf die umfangreiche aktuelle Diskussion wird die Umsetzung dieser grundgesetzlichen Anforderung verneint.
----------Ende Textkasten----------
Sicher erscheint indes bereits jetzt, dass die neue Gesetzeslage eine Neubewertung im IT-Risiko-Management nach sich zieht: Viele Überprüfungen, die sowohl von entsprechenden Dienstleistungsunternehmen als auch von internen IT-Abteilungen durchgeführt werden, basieren in ihrer Qualität unter anderem auf dem Besitz oder dem gezielten und begrenzten Nutzen von Hacker-Tools oder sogar Malware. Entsprechende Programme wurden bislang nicht selten eingesetzt, um mit realistischen Tests festzustellen, ob die eigene IT-Infrastruktur Angriffen Dritter wirklich standhält.
Wenn nun die neuen strafrechtlichen Vorschriften den Besitz oder die Anwendung bestimmter Programme untersagen oder zumindest eine Strafbarkeitsdrohung vorliegt, so hat dies zwangsläufig auch Auswirkungen auf die Bewertung von Risiken durch Angriffe auf die IT-Infrastruktur. Hier kann bei der derzeitigen Rechtslage der bisherige Standard nicht mehr aufrechterhalten werden. Die Diskussion, wie weit sich dies in der Praxis auswirkt, steht noch am Anfang und sollte intensiv geführt werden – ein simples "weitermachen, wie bisher" kann es aber dabei nicht geben.
Ein selektives Lesen der ersten Tatvariante von § 202c StGB besagt: "Wer eine Straftat ... vorbereitet, indem er ... Passwörter ... herstellt, ... einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird ... bestraft." Dies könnte auch typische Arbeitsabläufe eines Systemadministrators oder übliche – wenngleich unerwünschte – Handlungen von Mitarbeitern betreffen.
In seiner Stellungnahme für den Rechtsausschuss des Deutschen Bundestages vom hat Prof. Dr. Eric Hilgendorf (Uni Würzburg) darauf hingewiesen, dass die Neuregelung des § 202c StGB hinsichtlich des Passwortschutzes zu weit greife (vgl. [6]). Im Rahmen des Gesetzgebungsverfahrens war als Beispielfall der besonders vergessliche und auch nachlässige "Täter" beschrieben worden, der beispielsweise Angehöriger einer Behörde oder eines Unternehmens ist. Wenn dieser in der Nähe seines Computers sein Passwort vermerkt, wie dies häufig unter der Tastatur erfolgt, so muss dieser "Täter" damit rechnen und nimmt in Kauf, dass etwa eine Reinigungskraft das Passwort findet und sich am IT-System anmeldet. Nach dem Wortlaut des § 202c StGB wäre hier durchaus an eine Strafbarkeit zu denken: Der Reinigungskraft wird durch den "Täter" ermöglicht, die Passwortsicherung des Computers zu überwinden.
In einer Äußerung der Bundesregierung im Gesetzgebungsverfahren wird zwar darauf verwiesen, dass die Überwindung einer besonderen Zugangssicherung in dem beschriebenen Fall nicht vorliege. Dies übersieht jedoch, dass sehr wohl ein Passwort und damit auch eine besondere Zugangssicherung überwunden wird.
Häufig wird argumentiert, dass über den subjektiven Tatbestand eine Korrektur unerwünschter Strafbarkeiten möglich ist: Zu Recht verweisen aber Prof. Dr. Georg Borges (Ruhr-Uni Bochum) und andere Sachverständige in ihren Stellungnahmen für den Bundestag [6] darauf, dass für den § 202c StGB bereits ein so genannter "dolus eventualis" genügt. Damit verlangt das Gesetz für eine vorsätzliche Handlung in solchen Fällen nur ein "billigendes Inkaufnehmen", um zu einem Vorsatz und dann möglicherweise zu einer Strafbarkeit zu kommen.
Jeder Systemadministrator, der Passwörter vergibt oder Sicherungscodes festlegt, könnte sich also strafbar machen – denn er wird in der Praxis damit rechnen müssen, dass solche Passwörter oder Sicherungscodes in einem Hackerangriff benutzt werden und wird sich auch damit abfinden. Zu Recht hatte Borges angeregt und gefordert, den Wortlaut hinsichtlich des subjektiven Tatbestandes enger zu fassen. Es sollte nur bestraft werden, wer in der Absicht und positiven Kenntnis handelt, Straftaten vorzubereiten. Dies hat der Gesetzgeber trotz der deutlichen Hinweise nicht umgesetzt.
An dieser Stelle sei auch die Frage gestattet, wie generell mit einem Gesetzgeber und dessen Gesetz umzugehen ist, der Hinweise und Forderungen von Sachverständigen im Gesetzgebungsverfahren völlig unberücksichtigt lässt. Möglicherweise ist im Umkehrschluss davon auszugehen, dass der Gesetzgeber die befürchteten Auslegungs- und Anwendungsschwierigkeiten "bewusst und billigend in Kauf" nimmt?!
Es gelten jedenfalls neue Anforderungen an die Handhabung von Passwörtern! Hier empfiehlt sich aus Sicht des Systemadministrators klare Regelungen mit dem Arbeitgeber zu treffen, wie zukünftig mit Zugangskennungen umgegangen werden soll, wer diese festlegt und vergibt. Darüber hinaus sollte mit Blick auf die Mitarbeiter deutlich darauf hingewiesen werden, dass bei einer unberechtigten Weitergabe von Passwörtern und Sicherungscodes entgegen der Unternehmens-Policy auch eine Strafbarkeit in Betracht kommt.
Bei einer Weitergabe im Rahmen von IT-Sicherheitstests sind unverzüglich nach Abschluss die entsprechenden Kennungen zu ändern. Vereinbarungen mit externen IT-Sicherheitsfirmen sollten zudem explizite Regelungen über die Verwendung von Passwörtern und Sicherungscodes aufgenommen werden. Denn die Frage einer möglichen Strafbarkeit ist zurzeit noch nicht allen beauftragten IT-Sicherheitsunternehmen und EDV-Anbietern bewusst und sollte daher offensiv erörtert werden.
In Diskussionen des Autors mit Praktikern wurde die erweiterte Strafbarkeit hinsichtlich der unberechtigten Weitergabe von Passworten übrigens positiv aufgenommen: Darin sahen einige IT-Verantwortliche durchaus eine Möglichkeit, unternehmens- oder verwaltungsintern dem sorglosen Umgang mit Passwörter deutlicher entgegenzuwirken und der IT-Sicherheit eine höhere Wertigkeit zu verschaffen.
Eine zweite Betrachtung bezüglich des Arbeitsrechts geht in Richtung der Strafbarkeit durch den Besitz von Hacker-Tools oder Angriffssoftware: Nicht wenige IT-Verantwortliche verfügen über Datenträger mit Viren oder anderen Schadprogrammen, um Tests der eigenen IT-Sicherheit vorzunehmen. § 202c StGB geht bereits dann von einer Strafbarkeit aus, wenn ein "Täter" sich entsprechende Hacker-Tools verschafft, um eine Straftat vorzubereiten. Hier besteht Konfliktpotenzial: Wenn ein Arbeitgeber beispielsweise nach Möglichkeiten sucht, unter Vermeidung erhöhter Abfindungszahlungen einen Mitarbeiter zu kündigen, ist die neue Strafvorschrift ein "guter" Ansatzpunkt.
Wie unter anderem eine Entscheidung des Landesarbeitsgerichts Hamm vom 04. Februar 2004 (Az. 9 Sa 502/03) zeigt, sind die Arbeitsgerichte beim Thema IT-Sicherheit sehr sensibel (vgl. Kasten). Dies zeigt auch die mittlerweile umfangreiche Rechtsprechung – bis hin zum Bundesarbeitsgericht – zur privaten E-Mail- und Internetnutzung am Arbeitsplatz: Für eine außerordentliche Kündigung eines Arbeitsverhältnisses kann schon ein schwerwiegender Verdacht ausreichen, dass eine Vertragsverletzung oder strafbare Handlung begangen wurde.
Das Bundesarbeitsgericht (BAG) verweist in einschlägigen Entscheidungen darauf, dass ein Arbeitsverhältnis ein gewisses gegenseitiges Vertrauen voraussetzt, dessen Verlust einen wichtigen Kündigungs-Grund im Sinne des § 626 BGB darstellen kann (vgl. BAG v. 05. April 2001, Az. 2 AZR 217/00). Zwar werden an eine Verdachtskündigung hohe Anforderungen gestellt – es scheint aber durchaus realistisch, dass ein durch Tatsachen belegter und begründeter Verdacht eines Fehlverhaltens des Arbeitnehmers dargelegt werden kann, wenn beispielsweise ein IT-Mitarbeiter über Datenträger mit Schadprogrammen verfügt. Der bloße Besitz solcher Malware kann durchaus so interpretiert werden, dass gefährliche Verhaltensweisen drohen und das Vertrauen zum Mitarbeiter hierdurch zerstört wird.
Welche Konsequenzen ergeben sich aus diesem Szenario? In der Praxis schützen wohl im Moment nur ein offenes Wort und eine klare Regelung mit dem Arbeitgeber! Wenn ein IT-Mitarbeiter beispielsweise Hacker-Tools oder Malware zum Testen der eigenen IT-Systeme vorhält und einsetzt, sollte dies gegenüber dem Arbeitgeber offen kommuniziert werden und der Arbeitgeber ausdrücklich den Besitz entsprechender Programme genehmigen. Dies schützt zwar – wie bereits angesprochen – nicht in jedem Fall vor einer Strafbarkeit, da eine derartige Einwilligung bei einem abstrakten Gefährdungsdelikt nicht strafvermeidend ist. Dennoch entfällt so ein mögliches Kündigungsrisiko und das Arbeitsverhältnis bewegt sich in weitgehend sicheren Bahnen.
----------Anfang Textkasten----------
Das Landesarbeitsgericht Hamm hat bereits 2004 in einer Entscheidung (Az. 9 Sa 502/03) zu der Frage Stellung genommen, wie mit dem Besitz von "Hacker-Dateien" auf einem Arbeitsplatz-PC umzugehen ist. Ein gekündigter Mitarbeiter war als Konstruktionssachbearbeiter beschäftigt; in der Rechenanlage der Konstruktionsabteilung wurden 100.000 Zeichnungen und konstruktionsbegleitende Papiere verwaltet, auf die der Mitarbeiter Zugriff hatte. Im Rahmen seiner Nachforschungen hatte der Arbeitgeber beispielsweise ein Programm zum Entschlüsseln von Passwörtern entdeckt. Dem Arbeitnehmer war bekannt, dass externe Programme nicht auf die Laufwerke des Arbeitgebers kopiert werden durften – mithilfe eines Kollegen gelang ihm aber dennoch ein entsprechender Zugriff.
Das Landesarbeitsgericht fand für das Verhalten deutliche Worte und bestätigte die Ansicht des Arbeitgerichts, das in der ersten Instanz davon ausgegangen war, dass durch die eingeräumten Verhaltensweisen (Anschluss externer Speichermedien, Dateien kopieren ohne Inhaltsprüfung sowie Besitz von "Hacker-Dateien") das Vertrauensverhältnis derart zerstört sei, dass eine Fortsetzung des Arbeitsverhältnisses nicht möglich ist. Daher wurde die Kündigungsschutzklage des Mitarbeiters abgewiesen.
Diese Auffassung vertrat auch das Landesarbeitsgericht: Das Speichern von 17 "Hacker-Dateien", unter denen sich eine Datei zum Entschlüsseln des BIOS-Passworts befindet, stellt grundsätzlich einen Grund zur fristlosen Kündigung eines Arbeitnehmers dar. Im Rahmen der fristlosen Kündigung ist eine Interessenabwägung anzustellen: Hier verweist das Landesarbeitsgericht darauf, dass zwar zugunsten des Mitarbeiters 24 Jahre störungsfreie Arbeitsleistung anzuführen ist, allerdings die Störung des Vertrauensverhältnisses durch den Besitz der "Hacker-Dateien" die Interessenabwägung dennoch zu Ungunsten des Arbeitnehmers ausfallen lässt.
Wörtlich führte das Landesarbeitsgericht wie folgt aus: "Nach objektiven Gesichtspunkten gab es keinen nachvollziehbaren Grund, das dem Kläger bekannte Verbot, externe Programme zu speichern, ausgerechnet wegen 17 Hackerprogrammen vorsätzlich zu durchbrechen. Die Beklagte musste schon im Interesse der Erhaltung der Betriebsdisziplin mit der schärfsten arbeitsrechtlichen Maßnahme reagieren. Sie durfte gar nicht erst den Eindruck erwecken, langjährig beschäftigte Mitarbeiter, die sich zuvor beanstandungsfrei geführt hätten, können derartiges Fehlverhalten ohne Kündigungsrisiko 'ausprobieren' (vgl. BAG NZA 2004, 486)."
----------Ende Textkasten----------
Im Rahmen des Gesetzgebungsverfahrens zum Hacker-Paragraphen hat der Geschäftsführer eines IT-Sicherheitsunternehmens in seiner Stellungnahme ein Beispiel-Szenario vorgetragen, das leider nach Kenntnis des Autors in der Praxis schon verwirklicht wurde: Unter der Überschrift "Konkurrenzkampf mit neuen Mitteln" wurde darauf verwiesen, dass konkurrierende Unternehmen mithilfe einer Strafanzeige Mitbewerber kompromittieren könnten.
Die Zusammenarbeit im Bereich IT-Sicherheit und besonders bei der Durchführung von Penetrationstests ist stark von Vertrauen geprägt. Ein Mitbewerber hätte nun durchaus die Möglichkeit, bei Auftraggebern dahingehend "aufklärend" zu wirken, dass gegen einen möglichen Konkurrenten ein Ermittlungsverfahren eingeleitet wurde. Dies ist beispielsweise nach einer Strafanzeige bezüglich des Hacker-Paragraphen der Fall, sodass eine solche Aussage inhaltlich zunächst nicht zu beanstanden wäre.
In der Praxis dürfte ein solcher Hinweis meist dazu führen, dass die Zusammenarbeit mit dem betroffenen Unternehmen eingestellt wird. Denn kein Systemadministrator, IT-Verantwortlicher oder Unternehmen würden wohl Mitarbeiter einstellen oder Dienstleistungsunternehmen beauftragen, gegen die ein Ermittlungsverfahren wegen (angeblicher) Computerstraftaten läuft. Die Frage, ob es später zu einer rechtskräftigen Verurteilung kommt, ist dabei zweitrangig: Die Rufschädigung erfolgt unmittelbar und könnte ein derart betroffenes Unternehmen durchaus seiner wirtschaftlichen Grundlage berauben.
Die eingangs geschilderte juristische Diskussion in all ihren Facetten macht deutlich, dass solche "präprozessualen" Risiken sehr wohl bestehen. Wer beispielsweise auf der diesjährigen SYSTEMS die verschiedenen Live-Hacking-Vorträge beobachtet hat, der ahnt, welche Möglichkeiten für Strafanzeigen und die Einleitung von Ermittlungsverfahren nach den neuen Paragraphen bestehen. Wenn etwa auf Basis eines Live-Hackings ein Ermittlungsverfahren eingeleitet würde, spricht ja der erste Anschein klar für den Besitz von Hacker-Tools; dies lässt sich häufig bereits aus der Ankündigung der Demonstration herauslesen.
Ohne sich in der exakten strafrechtlichen Bewertung solcher Live-Hacking-Demonstrationen zu verlieren, ist das geschilderte Wettbewerbs-Szenario Ernst zu nehmen: Der Konkurrenzkampf mit Strafanzeigen gegen Mitbewerber wegen Verstoßes gegen § 202c StGB ist eine realistische Bedrohung.
Der Hacker-Paragraph hat eine noch weiter gehende Wirkung, als dies in der bisherigen Diskussion deutlich geworden wäre. Denn die juristische Auseinandersetzung blickt zunächst nur auf die Anwendbarkeit der Strafvorschrift an sich. Schon hier ist das jetzige Diskussions-Ergebnis für die Praxis unbefriedigend genug. Hinzu kommt, dass der Hacker-Paragraph auch beim Umgang mit Passwörtern oder in Kündigungssituationen bedeutsam sein kann – und selbst im Konkurrenzkampf ließe er sich instrumentalisieren. Nicht zuletzt sei daran erinnert, dass möglicherweise auch das Risiko-Management den neuen gesetzlichen Rahmenbedingungen angepasst werden muss. All dies bedarf noch genauerer Betrachtungen und richterlicher Klärung, die hoffentlich nicht mehr lange auf sich warten lassen.
Thomas Feil ist Rechtsanwalt sowie Fachanwalt für Informationstechnologierecht und Arbeitsrecht in Hannover ( www.recht-freundlich.de).
www.bgblportal.de/BGBL/bgbl1f/bgbl107s1786.pdf www.computerundrecht.de http://dip.bundestag.de/btd/16/054/1605449.pdf http://dip.bundestag.de/btd/16/036/1603656.pdf – Dokumentation des Gesetzgebungsprozess siehe http://dip.bundestag.de/gesta/16/C082.pdf www.bundestag.de/ausschuesse/a06/anhoerungen/15_Computerkriminalitaet/
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#6, Seite 6
tag:kes.info,2007:art:2007-6-006
| 