Vom Hackertool zum Haftbefehl: Neues Gesetz in der Kritik

Am 24. Mai 2007 war es so weit: In einer spätabendlichen Sitzung winkte der Bundestag einen Gesetzesentwurf durch, der Computerkriminalität stärker bekämpfen soll. Der alte Paragraph 202a („Ausspähen von Daten“) wurde verschärft und erweitert. Mittlerweile hat auch der Bundesrat grünes Licht gegeben.

Bisher war es laut Strafgesetzbuch verboten, Sicherheitsvorkehrungen zu durchbrechen, um an fremde Daten heranzukommen. Die neuen Paragraphen 202b („Abfangen von Daten“) und 202c („Vorbereiten des Ausspähens und Abfangens von Daten“) stellen jetzt bereits das Abhören von „nichtöffentlichen“ Daten sowie den Besitz von so genannten „Hackertools“ unter Strafe – mit Gefängnis bis zu einem Jahr. In der öffentlichen Diskussion haben vor allem Computerexperten, Penetration-Tester und Anwälte diese Erweiterungen des Strafgesetzbuches scharf kritisiert. Das Bundesjustizministerium (BMJ) verteidigt sich und beteuert, auch weiterhin seien weder professionelle Computerforscher noch gutwillige Hacker in Gefahr.

Kriminalisierung von Forschung und Information?

Sicherheitslücken in Computersystemen werden oft von Experten aufgedeckt, die zwar gezielt nach Exploits suchen, diese jedoch nicht für kriminelle Zwecke ausnutzen. Bisher stand dieses Vorgehen nicht unter Strafe, denn nur wer sich durch eine Sicherheitslücke auch Daten verschaffte, machte sich strafbar. Allerdings war schon immer strittig, ob es nicht schon unter „Verschaffen“ fiel, sich bestimmte Daten anzusehen – zum Beispiel Personaldaten. Mit den neuen Paragraphen ist diese Frage endgültig geklärt, und zwar zu Ungunsten der gutwilligen Tester: „Künftig wird es für eine Strafbarkeit bereits genügen, sich rechtswidrigen Zugang zu geschützten Bereichen unter Überwindung von Sicherheitsvorkehrungen zu verschaffen, ohne dass es einer Kenntnisnahme der Daten durch den Täter bedarf“, sagt Horst Speichert, Rechtsanwalt bei ESB-Rechtsanwälte in Stuttgart.

Das BMJ sieht hier jedoch keine Verschärfung, denn bereits nach geltendem §202a sei es strafbar gewesen, sich Daten zu verschaffen und Kenntnis zu nehmen, da die „Justiz diese Vorschrift entsprechend ausgelegt“ habe. Die neue Regelung stelle nunmehr nur „sprachlich“ klar, dass das „reine Hacking verboten“ sei. „Die Strafwürdigkeit des Hackings liegt darin, dass schon beim Eindringen erhebliche Schäden entstehen können“, heißt es aus dem Ministerium. Außerdem stehe das Hacking meist in engem Zusammenhang mit dem Begehen weiterer Straftaten – eine Aussage, die auch den bisher straffreien und spielerischen Umgang mit Computersoftware kriminalisiert.

Dass der Täter „unbefugt“ handeln muss, mildert das Gesetz nicht ab. Ganze Generationen von Computerexperten haben genau so ihr Handwerk gelernt, indem sie mehr oder minder unbefugt mit Unix-Maschinen experimentiert und ihre Schwachstellen gesucht haben. Das System der Selbstschulung durch Neugier und Experimentierfreude geht damit verloren. Nur noch wer Administrator, Berater oder Penetrationstester von einem Unternehmen den Auftrag zum Systemtesten bekommt, darf dies auch tun.