![[Aufmachergrafik: heller, corporate design]](images/06-6-006-0.jpg)
Der Hackerhammer Verschärfte Vorschriften zur Computerkriminalität geplantDer Hackerhammer Verschärfte Vorschriften zur Computerkriminalität geplantDas "Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität" (StrÄndG) soll im nächsten Jahr für eine deutliche Erweiterung der Tatbestände zu IT-Delikten führen. Ein entsprechender Gesetzentwurf der Bundesregierung enthält neben der Ausweitung bestehender Paragraphen vor allem eine neue Strafbarkeit für das "Abfangen von Daten" sowie für Vorbereitungshandlungen [1].
Durch das zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität hatte der Gesetzgeber 1986 erstmalig Paragraphen in das Strafgesetzbuch (StGB, [2]) eingefügt, um neue Handlungsformen zu berücksichtigen, die gemeinhin als Computerkriminalität bezeichnet werden, namentlich das Ausspähen von Daten (§ 202a StGB), Computerbetrug (§ 263a), Fälschung beweiserheblicher Daten (§ 269), Täuschung im Rechtsverkehr bei Datenverarbeitung (§ 270), Datenveränderung (§ 303a) und Computersabotage (§ 303b). In den Jahren danach ist hierüber in der juristischen Fachliteratur viel diskutiert worden, wobei die Autoren von Zustimmung bis hin zum Vorwurf der Verfassungswidrigkeit gingen (letzteres durch Prof. Zaczyk zu § 303a).
Die steigende Vernetzung und Bedeutung der IT sowie steigende Fallzahlen der hiermit verbundenen Delikte haben nicht zuletzt auf supranationaler Ebene zu weiteren Gesetzgebungsvorhaben rund um den Computer geführt. So dient der jetzt vorliegende StrÄndG-Entwurf auch der Umsetzung des Übereinkommens des Europarats über Computerkriminalität (ETS-Nr. 185, 2001) und des Rahmenbeschlusses 2005/222/JI des Rates der EU über Angriffe auf Informationssysteme (ABl. EU Nr. L 69 S. 67, 2005).
Der EU-Rahmenbeschluss verpflichtet die Mitgliedstaaten, die erforderlichen Umsetzungsmaßnahmen bis spätestens 16. März 2007 zu treffen, weswegen das StrÄndG dem Entwurf zufolge bereits am Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten soll. Die nachfolgenden Kästen zeigen die Paragraphen des Strafgesetzbuches in der Form, wie sie durch den vom Bundeskabinett am 20. September 2006 beschlossenen Regierungs-Entwurf geändert würden. Lücken und damit Handlungsbedarf hat man vor allem im Bereich des Ausspähens und Abfangens von Daten gesehen, aber auch bei der Datenveränderung und der Computersabotage.
Erstmals geht der Gesetzentwurf sogar so weit, dass bei einigen IT-Delikten bereits Vorbereitungshandlungen unter Strafe gestellt werden sollen (§ 202c E StGB), obwohl bislang selbst der Versuch des Ausspähens von Daten straffrei blieb. Das Vorbereiten einer Straftat ist auf der Zeitschiene erheblich früher anzusiedeln, als der Versuch einer Straftat und deswegen in aller Regel straffrei. So ist das Besorgen eines Messers, um einen Widersacher zu töten, noch keine strafbare Handlung – strafbar wird es erst, wenn man das Messer unmittelbar ansetzt (Versuch). Nur in ganz wenigen Fällen ist bereits das Vorbereitungsstadium explizit mit Strafe bedroht, etwa bei der Vorbereitung eines Angriffskrieges (§ 80 StGB) oder der Fälschung von Geld und Wertzeichen (§ 149 StGB).
Das Gesetz verlagert also den Beginn strafbaren Handelns sehr weit nach vorne und man kann durchaus Bedenken haben, ob hier dem Zwecke des Strafrechts wirklich genügt wird: Eigentlich soll es als "ultima ratio" (letztes, äußerstes Mittel) nur besonders schwerwiegende strafwürdige Taten erfassen. Im Vergleich mit anderen Delikten (überlege: Vorbereitung eines Totschlages) muss man letztlich zu dem Ergebnis kommen, dass die Handlungen, die der vorgesehene § 202c StGB sanktionieren soll, nicht so schwerwiegend sind, wie andere, die nicht unter Strafe stehen. Es stellt sich die Frage, ob es nicht völlig ausreicht, hier den Versuch strafbar zu machen (der bislang straflos war), denn helfende Handlungen eines Dritten – beispielsweise Herstellen eines Programms, um andere bei Spionagetätigkeiten zu unterstützen – sind auch heute bereits als Beihilfehandlung strafbar.
----------Anfang Textkasten----------
----------Ende Textkasten----------
Der zur Zeit gültige § 202a StGB hat nach dem ausdrücklichen Willen des Gesetzgebers das "reine" Hacking nicht unter Strafe gestellt. Genau hier zog man seinerzeit die Grenze zum straflosen Tun, denn der bloße Zugang (reines Hacken) wurde als nicht so schlimm angesehen, dass man ihn mit Strafe bedrohen musste – man verwies auf das Strafrecht als ultima ratio. Erst dann, wenn sich ein Hacker beim Einbruch in das System wirklich Daten verschafft, übertritt er die Schwelle zur Strafbarkeit.
In der Praxis hat sich allerdings herausgestellt, dass Eindringlinge meist bereits durch den technischen Vorgang beim Hacken unbefugte Datenzugriffe erlangen, sodass diese Handlungen meistens doch strafbar sind. Darüber hinaus hat die herrschende Meinung in Literatur und Rechtsprechung den Begriff des "Sichverschaffens von Daten" in § 202a StGB derart weit ausgelegt, dass bereits derjenige mit Strafe bedroht wird, der nach Überwindung einer Zugangssicherung Daten (nur) zur Kenntnis genommen hat.
Unter diesen Voraussetzungen sieht der jetzige StrÄndG-Entwurf lediglich marginale Änderungen an § 202a StGB vor, sodass man beim ersten Überfliegen gar keinen großen Unterschied feststellt. Der Teufel steckt aber im Detail: War es früher verboten, "sich Daten zu verschaffen", so wäre es künftig verboten, sich "Zugang zu Daten zu verschaffen". Formal ist dies ein sehr großer Unterschied: Hätte man zum Vergleich früher gesagt, dass sich nur derjenige strafbar macht, der eine Sache wegnimmt, soll künftig bereits bestraft werden, wer sich zu der wegzunehmenden Sache lediglich Zugang verschafft. In der alten Variante bedarf es der tatsächlichen "Wegnahme" (Sichverschaffen von Daten), also eines direkten Zugriffs auf das Rechtsgut an sich, während künftig bereits der geebnete Weg zum Zugriff auf das Rechtsgut genügen soll (sich Zugang zu den Daten verschaffen). In der Praxis hat dies jedoch aufgrund der vorgenannten Umstände vermutlich nur eine geringe Bedeutung.
Auch weiterhin soll nur bestraft werden, wer sich unbefugt Zugang verschafft, sodass beispielsweise der Systemadministrator, der ein System testet, oder der Berater, der von einem Unternehmen beauftragt wird, dessen Systeme zu Testzwecken zu hacken, nicht von der Strafvorschrift erfasst werden. Gleich bleibt ebenfalls, dass es keine Rolle spielt, ob ein Täter für sich oder für einen Dritten handelt.
Es reicht im Übrigen für eine Strafbarkeit nicht aus, dass Daten gegen unberechtigten Zugang "irgendwie" gesichert sind, der Gesetzgeber verlangt vielmehr die Überwindung einer besonderen Sicherung (über das normale Maß hinaus). Über dieses Tatbestandsmerkmal wurde in der Vergangenheit vielfach diskutiert. Mittlerweile muss man davon ausgehen, dass Daten nur dann besonders gesichert sind, wenn Vorkehrungen getroffen wurden, die objektiv geeignet und subjektiv (nach dem Willen des Berechtigten) dazu bestimmt sind, den Zugriff auf die Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren.
Es reicht beispielsweise nach gängiger Meinung für Daten im Rechenzentrum nicht das alleinige Abschließen des Gebäudes, wobei jedoch eine mittelbare Sicherung (etwa des Betriebssystems) ausreichen soll – jedoch nur dann, wenn diese Zugangssicherung zum Zeitpunkt der Tat tatsächlich wirksam war. So sind nach herrschender Ansicht die üblicherweise in einem Tresor aufbewahrten Datenträger, die sich gerade nicht im Tresor befinden, auch nicht besonders gesichert.
Die (leicht zweckentfremdete) Aussage einer bekannten Werbefigur "Ich bin drin!" würde sowohl vor, als auch nach der geplanten Änderung des Gesetzes dann zu einer strafbaren Handlung, wenn es sich um einen unbefugten Zugang zu Daten handelt, die besonders gesichert waren. Dass künftig das bloße "Drinsein" auch ohne explizite Ausgabe oder Kenntnisnahme von Daten strafbewehrt ist, kann man durchaus akzeptieren: Insgesamt ist diese Änderung eine nachvollziehbare logische Konsequenz der Rechtsprechung der letzten Jahre.
Damit wären in Zukunft allerdings bereits alle Handlungen tabu, in denen (selbst ohne böse Absichten) beispielsweise ein Journalist, ein experimentierender Jugendlicher oder sonsteine Person lediglich überprüfen, ob man zu einem fremden, besonders gesicherten System Zugang bekommen kann. Auch das so genannte Wardriving, bei dem man durch die Gegend fahrend WLAN-Netze abtastet und prüft, ob diese beispielsweise verschlüsselt sind, fällt demnächst unter Strafe, wenn man dabei testet, ob ein Zugang möglich ist oder nicht – wiederum vorausgesetzt, dass das WLAN überhaupt "besonders gesichert" war. Wenn beispielsweise die werksseitigen Passwörter unverändert im Einsatz sind, so entfällt eine Strafbarkeit mangels besonderer Sicherung.
Fraglich bleibt, ob sich ein Mitarbeiter nach § 202a (E) StGB strafbar macht, der mit seinem Passwort Daten an andere Personen unbefugt übermittelt, die ihm im Rahmen seiner Tätigkeit zugänglich sind (unbenommen bleibt natürlich der regelmäßig vorliegende Verstoß gegen § 17 UWG). Dies wird weiterhin nicht der Fall sein, da das Tatbestandsmerkmal fehlt, dass die bewussten Daten nicht für ihn bestimmt sein dürfen. Es wäre zudem fraglich und letztlich zu verneinen, ob er unter Überwindung der Zugangssicherung an die Daten herangekommen ist, denn die Eingabe des offiziellen Passworts des berechtigten Mitarbeiters dürfte kein "Überwinden" einer Zugangssicherung sein.
Der vollständig neue Paragraph § 202b (E) StGB hat unter anderem zum Hintergrund, dass Artikel 3 des angesprochenen Europarat-Übereinkommens die Verpflichtung für die Bundesrepublik Deutschland enthält, das unbefugte Abfangen nicht-öffentlicher Computerdatenübermittlung unter Strafe zu stellen. Gedacht ist an ein strafrechtliches Gegenstück zum Abhören und Aufzeichnen von Telefongesprächen, da es hier nicht um den Zugriff auf gespeicherte Daten geht, sondern um den Zugriff auf die Datenübermittlung an sich.
Nach jetzt geltendem Recht sind unverschlüsselt übertragene Computerdaten strafrechtlich nicht gesichert. Zwar erfasst § 202a StGB grundsätzlich auch Daten in der Übermittlungsphase, jedoch erstreckt sich dessen Anwendungsbereich nur auf besonders gesicherte Daten, sodass unverschlüsselte Daten nicht hierunter fallen. § 201 StGB (Verletzung der Vertraulichkeit des Wortes) erfasst lediglich das Abhören von Telefongesprächen und auch die Strafvorschriften des Telekommunikationsgesetzes (§ 148 TKG i. V. m. § 89 TKG) erfassen lediglich das Abhören von Nachrichten mit einer Funkanlage, obwohl das Fernmeldegeheimnis (§ 88 TKG) prinzipiell auch für andere Übertragungen gilt (und § 206 StGB, Verletzung des Post- oder Fernmeldegeheimnisses, betrifft nur Dienstleister und Amtsträger).
§ 202b (E) StGB soll künftig ausdrücklich nicht nur die verschlüsselte, sondern auch die unverschlüsselte Datenübermittlung vor unbefugtem Abfangen schützen. Unglücklich erscheint in diesem Zusammenhang die Einschränkung des Tatbestandes dahingehend, dass nur die nichtöffentliche Übermittlung von Daten erfasst sein soll. Auf den ersten Blick denkt man, das Gesetz möchte differenzieren zwischen Daten, die in einem Firmennetzwerk kursieren (LAN) und solchen, die beispielsweise über das Internet übermittelt werden. Ein Blick in die Gesetzesbegründung [1] zeigt jedoch, dass der Regierungsentwurf als entscheidend für die Nichtöffentlichkeit einer Datenübermittlung weder Art und Inhalt der übertragenden Daten noch den Übertragungsort der Daten ansieht, sondern vielmehr die Art des Übertragungsvorgangs. So kann nach seiner ausdrücklichen Wertung auch eine Übermittlung über das Internet nichtöffentlich sein, selbst wenn es sich bei den übermittelten Daten um Informationen öffentlich zugänglicher Art handele.
Der Entwurf verweist im Übrigen für die Auslegung des Begriffs "nichtöffentlich" auf § 201 Abs. 2 Nr. 2 StGB. Dies erscheint zunächst konsequent, denn auch für die Verletzung der Vertraulichkeit des Wortes (§ 201) ist nicht ausschlaggebend, ob das Wort selbst vertraulich ist, sondern ob es nach dem Willen des Äußernden innerhalb eines abgegrenzten Zuhörerkreises bleiben soll, der auch sehr groß sein kann, solange er nur begrenzt bleibt. Man muss dann aber die Frage stellen, wann technisch gesehen eine Datenübermittlung öffentlich und wann nichtöffentlich sein soll. § 201 StGB betrifft unmittelbar das aus dem allgemeinen Persönlichkeitsrecht folgende Recht auf Bestimmung der Reichweite einer Äußerung. Eine derart feine Differenzierung erscheint im Zusammenhang mit technischen Übermittlungsvorgängen in der Praxis kaum umsetzbar.
Mag man noch ohne großes Nachdenken die Übermittlung in einem VPN als nichtöffentlich einstufen, so kommt man bei einer E-Mail oder bei einer sonstigen Übermittlung von Daten im Internet bereits schwer ins Grübeln: Denn es wird ja ständig betont, dass im Internet im Prinzip "jeder mitlesen" könne. Auch wird man schwer einen Unterschied finden, wann Daten "nicht für den Täter bestimmt" und wann sie "nichtöffentlich" sein sollen, denn beide Tatbestandsvoraussetzungen müssen erfüllt sein. Es fallen einem eigentlich nur Übermittlungen ein, die stets nicht für den anderen bestimmt sind, wenn sie nichtöffentlich sind. Dann wäre aber eine der Voraussetzungen überflüssig.
Diese Überlegungen lassen vermuten, dass es wohl angemessener wäre, statt "nichtöffentlich" besser "gesicherte" Datenübermittlungen zu schützen. Entscheidend ist die Frage, ob der Gesetzgeber es beispielsweise unter Strafe stellen möchte, wenn eine unverschlüsselt versandte E-Mail abgefangen und gelesen wird. Diese Nachricht ist sicher nicht für den Täter bestimmt, aber ist sie deswegen auch nichtöffentlich versendet worden? Die Gesetzesbegründung hilft hier leider nicht weiter.
Hätte man den gesamten Datentransfer über moderne Kommunikationskanäle wie das Internet vor den Zugriffen Dritter schützen wollen, was ja durchaus denkbar ist, dann hätte man § 202b (E) StGB jedenfalls nicht so einschränkend formulieren dürfen. Wenn also dieser Verkehr nicht generell geschützt ist, dann sollte man den verschlüsselten Verkehr deutlicher schützen, in dem man statt "nichtöffentlich" das Wort "gesichert" wählt. Ansonsten ist bereits jetzt zu erwarten, dass es hinsichtlich der Anwendbarkeit dieses Paragraphen in der Praxis zu Schwierigkeiten kommen kann, was mit einer gewissen Rechtsunsicherheit einhergeht.
Einen ganz entscheidenden, weiten Schritt geht der StrÄndG-Entwurf mit der geplanten Einführung des § 202c (E) StGB, denn diese neue Vorschrift bestraft nun auch schon Vorbereitungshandlungen. Bereits derjenige, der eine solche Tat vorbereitet, indem er Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten ermöglichen oder Programme, deren Zweck die Begehung einer solchen Tat ist, herstellt oder sich oder einem anderen verschafft, verkauft, verbreitet oder sonst zugänglich macht oder einem anderen überlässt, soll künftig als Straftäter gelten. Warum der Gesetzgeber solche Handlungen als derart schwerwiegend ansehen sollte, dass das Strafrecht eingreifen muss (ultima ratio-Gedanke), ist der Begründung nicht unbedingt zu entnehmen, denn dort wird überwiegend auf das Europarat-Übereinkommen verwiesen.
Wenn man die Gesetzesbegründung durchliest, kann man sich ein wenig darüber wundern, dass die Bundesregierung relativ unreflektiert Vorgaben aus Brüssel annimmt und in nationales Recht transportiert. Seit Jahren gibt es Diskussionen darüber, ob man den Bereich des Strafrechts europaweit lösen möchte oder ob das Strafrecht weiterhin in den Händen der Hoheitsgewalt der einzelnen Mitgliedsstaaten verbleibt. In Deutschland wird in aller Deutlichkeit an Letzterem festgehalten, wobei man an der Ernsthaftigkeit solcher Beteuerungen angesichts der tatsächlichen Umsetzung von EU-Abkommen gewisse Zweifel haben mag.
Letztlich ist auch die Umsetzung in das deutsche strafrechtliche System nicht ganz einfach, denn man befindet sich hier mitten in der Problematik der so genannten "neutralen Handlung": Derjenige, der beispielsweise ein Feuerzeug verkauft, soll nach bislang geltender Rechtsauffassung als neutral Handelnder nicht einmal dann strafbar sein, wenn er weiß, dass sein Käufer einer ist, der gerne an fremden Häusern zündelt. Diese Wertung des deutschen Strafgesetzbuches führte wohl nach der herrschenden Ansicht auch zu dem Ergebnis, dass die CD-Programmsammlung "Hackers best Friend" strafrechtlich nicht zu sanktionieren war, denn die böswilligen Programme, die über diverse Schienen verbreitet wurden, werden ja erst in den Händen des (böswilligen) Benutzers zu einem Tatwerkzeug – das Programm selbst blieb neutral.
Werden nun hunderte Programmierer und Systemadministratoren kriminalisiert? Macht sich schon strafbar, wer eine Software programmiert, mit der man in Systeme eindringen kann, oder derjenige, der als Dienstleistung seines Unternehmens eine Sicherheitslücke aufzuspüren verspricht? Je nachdem: ja! Zunächst ist nämlich zu überlegen, wieweit der Vorsatz des Täters gehen muss. Klar ist der Fall dann, wenn jemand absichtlich etwas programmiert, mit dem er oder ein anderer eine Tat nach § 202a oder b StGB begehen wird. Dies wäre schon nach dem heute geltenden Strafgesetzbuch im Rahmen der Beihilfe durchaus strafbar, es hätte also keiner neuen Norm bedurft. Dies sieht auch die Begründung, vertritt aber die Auffassung, "das strafwürdige Unrecht wird damit aber nicht ausreichend berücksichtigt", denn "kommt es nicht zur Begehung der Haupttat des § 202a Abs. 1 StGB, läge nur eine nicht strafbare versuchte Beihilfe vor".
Dann wird das Ganze schwierig: Denn streng genommen gehen Gesetzestext und die Begründung zum Gesetzestext in zwei unterschiedliche Richtungen und widersprechen sich. Wenn man zur Interpretation und zum Verständnis des Gesetzestextes zunächst die Begründung durchliest, findet man: "Erfasst werden insbesondere die so genannten Hacker-Tools, die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden können. Insbesondere die durch das Internet mögliche weite Verbreitung und leichte Verfügbarkeit der Hacker-Tools sowie ihre einfache Anwendung stellen eine erhebliche Gefahr dar, die nur dadurch effektiv bekämpft werden kann, dass bereits die Verbreitung solcher an sich gefährlicher Mittel unter Strafe gestellt wird."
Nach dieser Begründung erscheint der Wille der Bundesregierung zunächst klar: Jegliche Form des Herstellens, Verbreitens et cetera solcher Programme ist in Zukunft strafbar, unabhängig davon, ob eine Tat in irgendeiner Weise bereits konkretisiert wurde, der Täter diese gewollt hat, von ihr weiß oder sie plant. Denn die in der Begründung angesprochene Verbreitung über das Internet ist ja nichts anderes als eine Zurverfügungstellung solcher Programme durch den Autor, ohne dass er sich Gedanken darüber macht, was Dritte damit machen, und ohne eine konkrete Vorstellung von einer möglicherweise damit zu begehenden Straftat. Dies würde im Ergebnis eine sehr weite Strafbarkeit bedeuten und auch das Programmieren von Software sanktionieren, die lediglich zu Testzwecken von Sicherheitsfirmen hergestellt werden, die hiermit in keiner Weise etwas Böses beabsichtigen, sondern lediglich Systeme ihrer Kunden auf Schwachstellen überprüfen wollen (unabhängig davon, dass in solchen Fällen meistens eine die Rechtswidrigkeit des Handelns ausschließende Einwilligung vorliegen wird).
Haben die Verfasser aber wirklich eine solche weite Fassung gewollt? Der Gesetzestext selbst sagt etwas anderes. Die wichtigste Passage ist hier: "Wer eine Straftat ... vorbereitet, indem er ...". Vergegenwärtigt man sich andere Stellen des Strafgesetzbuches, die vorbereitende Handlungen betreffen, so sind dort bereits die Vorbereitungshandlungen als solche sanktioniert – beispielsweise in § 267 Abs. 1 StGB: "Wer zur Täuschung im Rechtsverkehr eine unechte Urkunde herstellt...". Während dort also das Herstellen selbst erfasst ist, stellt der geplante § 202c StGB nicht das Herstellen unter Strafe, sondern das Vorbereiten einer Straftat durch das Herstellen.
Damit erscheint es eindeutig , dass in der neuen Regelung nicht bereits die Herstellung eines Programmes ausreichen soll, um eine strafbare Handlung zu begehen, sondern eine gewisse Finalität des Tuns vorliegen muss ("indem"). Als Minimum muss daher die Voraussetzung vorliegen, dass ein Delikt der angesprochenen Art bereits geplant ist (egal, ob vom "vorbereitenden" Täter oder von einem Dritten) und diese Tat ein Mindestmaß an Konkretisierung erfahren hat. Damit könnte also nicht einmal ausreichen, dass man eine solche Tat lediglich plant, sondern es müsste in den Köpfen bereits ein Tatplan mit einem gewissen Maß an Umrissen vorhanden sein.
Wenn man sich nun nach diesem Verständnis und dieser wohl richtigen Interpretation des § 202c (E) StGB und ihrem Ergebnis die Gesetzesbegründung nochmals vor Augen führt, so erkennt man, dass sie deutlich zu weit greift, denn die dort angesprochenen Fälle kann der neue Paragraph gerade nicht sanktionieren, sodass auch weiterhin nach Verständnis des Autors die "neutrale" Herstellung von Hacker-Tools et cetera und die Verbreitung derselben straffrei bleiben müssten, wenn der "Täter" der vermeintlichen Vorbereitungshandlung noch keine konkrete Vorstellung davon hat, dass eine bestimmte (!) Tat – in wesentlichen Umrissen – geplant ist. Der Gesetzgeber mag überprüfen, ob die Begründung dem Verständnis und Ergebnis des Gesetzestextes angepasst werden muss – oder gegebenenfalls umgekehrt.
Dieses Ergebnis bedeutet letztlich, dass all diejenigen Firmen, Unternehmen und Selbstständigen sowie Fachzeitschriften, aber auch "White Hat Hacker" weiterhin Programme und Tools herstellen und verbreiten können, die Schwachstellen von Systemen aufspüren, indem sie überprüfen, ob bei den Systemen das Ausspähen von Daten oder das Abfangen von Daten möglich ist. Denn ein solches Herstellen oder Verbreiten solcher Programme ist nach wohl richtiger Interpretation des § 202c (E) StGB nicht das Vorbereiten des Ausspähens oder Abfangens von Daten und damit nicht strafbar, da diese Programme nicht dediziert für strafbare Zwecke hergestellt wurden, hierfür nicht gedacht sind und die Hersteller und Verbreiter keinerlei Vorstellung davon haben, welche konkreten Taten damit begangen werden sollen. Die Vorstellung des Handelnden, dass solche Taten generell mit solchen Programmen begangen werden könnten, mit der er sich abfindet (Eventualvorsatz), reicht indes nicht aus, da es hier an einer konkreten, bekannten Straftat mangelt.
Sowohl der Student, der aus Gründen der Weiterbildung einen nur auf seinem Rechner vorgehaltenen Virus programmiert, als auch eine Softwarefirma, die ihre Produkte auf den neuesten Stand halten möchte und hierzu Muster der aktuell im Umlauf befindenen Viren benötigt, blieben dieser Meinung zufolge auch künftig außerhalb des Strafrechts – ebenso wie eine Firma, die Software herstellt, mit deren Hilfe man vergessene Passwörter "hacken" kann.
Dabei bleibt zu hoffen, dass auch die Strafverfolgung und Gerichtsbarkeit ein solches Verständnis dieser Vorschrift entwickeln, denn allein die Einleitung eines Strafverfahrens ist für denjenigen, gegen den es sich richtet, von erheblicher Bedeutung und kann weit reichende Konsequenzen haben. Schon unabhängig von der Zeit und Mühe, die ein Strafverfahren kostet, trägt derjenige, der sich mit einem versierten Strafverteidiger gegen ein Ermittlungsverfahren wehrt, die Kosten seiner Verteidigung selbst, sofern es nicht nach einer Hauptverhandlung bei Gericht zu einem Freispruch kommt. Zudem können bereits Ermittlungsverfahren selbst, etwa durch die Beschlagnahme von Computern oder gegebenenfalls einhergehende öffentliche Berichterstattung, erhebliche Folgen für Unternehmen und Einzelpersonen haben.
Der Gesetzgeber gibt einem "Vorbereitungs-Straftäter" eine Möglichkeit, ungestraft davonzukommen: nämlich dann, wenn er reuig ist und seine Reue mit Taten belegt. § 202c (E) Abs. 2 StGB verweist hierzu auf die Norm des § 149 Abs. 2 und 3 StGB (Vorbereitung der Fälschung von Geld und Wertzeichen), wonach derjenige nicht bestraft wird, der freiwillig die Ausführung der Tat aufgibt und die Tatmittel vernichtet, unbrauchbar macht, ihr Vorhandensein einer Behörde anzeigt oder sie dort abliefert.
Die strafrechtliche Behandlung der "tätigen Reue" ist deswegen etwas Besonderes, da der Gesetzgeber grundsätzlich dem Straftäter eine gnadenreiche Hand reicht, wenn er vom Versuch einer Straftat zurücktritt (§ 24 StGB). Da aber bei einer Vorbereitungstat die deliktische Handlung auf der Zeitschiene noch weit vor der Versuchsstrafbarbeit liegt, sind die Regelungen des Rücktritts nicht anwendbar, da ja bereits die Vorbereitungshandlung selbst strafbares Unrecht bedeutet. Der Gesetzgeber verlangt hierbei jedoch nicht nur die nach § 24 StGB für den normalen Rücktritt ausreichende Aufgabe der weiteren Ausführung der Tat beziehungsweise die Verhinderung ihrer Vollendung, sondern der Täter muss bei der tätigen Reue darüber hinaus Tatmittel vernichten, damit sichergestellt ist, dass diese gefährlichen Dinge unschädlich sind.
Der schlichte Verweis auf die tätige Reue im Zusammenhang mit der Geldfälschung ist jedoch für IT-Delikte durchaus schwierig, weil sich Programme im Gegensatz zu Materialien zur Geldfälschung beliebig reproduzieren lassen. Wie soll sich der Täter verhalten, der ein Hacker-Tool ins Internet gestellt hat und den nach einer Woche und tausenden Downloads von Unbekannten die tätige Reue packt? Er kann die Taten der anderen weder verhindern, noch kann er die Gefahr abwenden, er kann lediglich die Tools bei einer Behörde abliefern. Letzteres reicht aber nicht aus, denn zwischen beiden Handlungsweisungen steht eine Und-Verknüpfung.
Der Programmierer oder Verbreiter eines Tools hat also – je nach Vorgeschichte – eventuell keine Möglichkeit der tätigen Reue. Dies ist aber auch durchaus sachgerecht, weil sich genau in diesen Fällen die Gefährlichkeit seines Tuns ja bereits realisiert hat und deswegen nach Ansicht des Gesetzgebers auch eine Sanktion des Strafrechts erforderlich wird. Abschließend bleibt hier die Hoffnung, dass der Programmierer eines Computer-Virus als tätige Reue das Tatmittel nicht per E-Mail bei einer Behörde abliefert.
----------Anfang Textkasten----------
----------Ende Textkasten----------
§ 303b StGB erfährt hingegen etliche Neuerungen: Zum einen ist der Anwendungsbereich nicht mehr darauf beschränkt, dass es sich um eine Datenverarbeitung handeln muss, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde arbeitet. Künftig sollen alle Fälle von Computersabotage erfasst werden, also auch Sabotage an Systemen von Privatleuten. Voraussetzung ist aber weiterhin, dass die Datenverarbeitung für diese "von erheblicher Bedeutung" ist. Neu ist auch, dass die Sabotage eine Störung von mehr als geringem (nämlich "von erheblichem") Ausmaß haben muss, damit unbedeutende Fälle von vornherein ausgeschlossen werden.
Zudem soll eine solche Sabotage künftig auch dadurch gegeben sein können, dass Daten eingegeben oder übermittelt werden, und zwar in der Absicht, einem anderen einen Nachteil zuzufügen. Ausdrücklich soll dies laut Gesetzesbegründung die so genannten Denial-of-Service-Attacken (DoS) erfassen, die bislang schwer zu fassen waren. Auch bei allen Taten der Computersabotage soll darüber hinaus bereits die Vorbereitung strafbar sein.
Der unbestrittenen Bedeutung der IT wird die Qualifikation in Absatz 4 des § 303b (E) gerecht: Wenn es sich um einen besonders schweren Fall der Computersabotage handelt, beträgt die Freiheitsstrafe mindestens sechs Monate bis zu zehn Jahren, etwa wenn ein Vermögensverlust großen Ausmaßes herbeigeführt wird, eine Bande handelt, die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt wird.
----------Anfang Textkasten----------
Der Bundesrat hat in seiner 827. Sitzung am 3. November 2006 beschlossen [3], zu dem StrÄnG-Entwurf der Bundesregierung wie folgt Stellung zu nehmen (Auszüge): "Der Bundesrat stimmt der Bundesregierung in ihrer Auffassung zu, dass das geltende Computerstrafrecht verbessert werden muss. ... Der Bundesrat weist jedoch zugleich darauf hin, dass die Gefahr besteht, durch eine weite Tatbestandsfassung ein Spektrum von Handlungsweisen in die Strafbarkeit einzubeziehen, die das Verdikt der Strafbarkeit nicht verdienen."
In diesem Zusammenhang weist der Bundesrat beispielhaft auf Folgendes hin: "Mit der Neufassung des § 202a StGB soll das Phänomen des 'Hacking' besser erfasst werden. Soweit das 'Hacking' im eigentlichen Sinn, also das unbefugte Eindringen in fremde Computersysteme durch Missbrauch der modernen Kommunikationsmöglichkeiten, in Frage steht, bestehen auch keine Bedenken in Bezug auf die Strafwürdigkeit und Strafbedürftigkeit. Jedoch reicht die Strafbarkeit weit über solche Konstellationen hinaus. ... Es erscheint nicht überzeugend, in diesem Zusammenhang auf die Möglichkeit der Verfahrenseinstellung nach Opportunitätsgrundsätzen zu verweisen."
"In § 202c StGB-E sollen Vorbereitungshandlungen unter Strafe gestellt werden. Auch insoweit verfolgt der Regierungsentwurf in Übereinstimmung mit dem umzusetzenden Rahmenbeschluss wichtige Anliegen, ... Jedoch ist der Tatbestand abermals sehr weit geraten. Auch im Hinblick darauf, dass bezüglich der vorbereiteten Tat bedingter Vorsatz ausreicht, würden künftig wohl [etliche beispielhaft aufgeführte] Verhaltensweisen in die Strafbarkeit einbezogen."
"§ 303a StGB ist überaus heftiger Kritik aus nahezu dem gesamten Schrifttum ausgesetzt (vgl. etwa Tröndle/Fischer, § 303a, Rnr. 4 mit zahlreichen Nachweisen). So wirft die Frage der Verfügungsberechtigung über die jeweiligen Daten vor allem in vernetzten Systemen kaum überwindliche Auslegungsprobleme auf (vgl. hierzu LK-Tolksdorf, § 303a, Rnr. 7, 8 ff.). Es ist zu befürchten, dass die Vorschrift in der gegenwärtigen Fassung einer verfassungsrechtlichen Prüfung nicht standhalten würde."
"§ 303b StGB soll auf den privaten Bereich erweitert werden. Damit ist auch eine erhebliche Ausdehnung der Strafbarkeit verbunden. Dieser Umstand erhält dadurch besonderes Gewicht, dass der Begriff der Datenverarbeitung aufgrund der bei elektronischen Geräten fortschreitenden Digitalisierung eine Vielzahl von Geräten erfasst ... Im Extremfall kann damit selbst die Beeinträchtigung des Betriebs einer Wasch- oder Spülmaschine unter den Tatbestand der Computersabotage subsumiert werden."
"Der Bundesrat bittet, im weiteren Verlauf des Gesetzgebungsverfahrens zu prüfen, ob die aktuelle Ausgestaltung des § 202c StGB-E beim gutwilligen Umgang mit allgemeinen Programmier-Tools, -sprachen oder sonstigen Softwareprogrammen sowie 'Hacker-Tools' zur Sicherheitsüberprüfung von IT-Systemen ausreichend vor einer ungewollten Kriminalisierung schützt und ob der § 202c StGB-E um eine konkrete Aufnahme des Tatbestandes des 'Phishing' ... erweitert werden kann."
----------Ende Textkasten----------
Es ist eindeutig zu erkennen, dass die Bundesregierung einige aufsehenerregende Fälle aus den letzten Jahren vor Augen hatte, als sie über die Neufassung der Paragraphen zur Computerkriminalität nachdachte. DoS-Attacken und Phishing-Angriffe sind nun in das Gesetz eingeflossen. Ob es hierfür solch weitreichender Änderungen bedurft hätte, mag noch in den Gremien diskutiert werden. Ob nicht manchmal einfachere Formulierungen genügt hätten, die eindeutigere Signale gesetzt hätten und dabei den Kern ebenso treffen, mögen diejenigen bedenken, die diese Gesetze abschließend formulieren. Man denke in dem Zusammenhang daran, dass die schlimmste Tat, die man überhaupt begehen kann, seit vielen Jahren in einem sehr einfachen und klaren Satz zusammengefasst ist: "Wer einen anderen Menschen tötet ... wird ... bestraft". Ach wie schön war doch dereinst die Aussagekraft der Gesetze.
Stefan Jaeger (jaeger@simon-law.de) ist Rechtsanwalt und Partner der Kanzlei Simon und Partner, Wiesbaden. Er referiert zu Fragen des Onlinerechts unter anderem an der Deutschen Richterakademie und der Polizeiführungsakademie.
![[externer Link]](../../images/link.gif)
www.bmj.bund.de/media/archive/1317.pdf, zum Gesetzgebungsprozess siehe http://dip.bundestag.de/gesta/16/C082.pdf http://bundesrecht.juris.de/stgb/ www.bundesrat.de (Parlamentsmaterialien/Beratungsvorgänge und Drucksachen)
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#6, Seite 6
| 