Hacker-Tools verboten

Künftig gibt viele Sicherheits-Tools nicht mehr. Und Nutzer sollten diese auch nicht mehr sorglos auf eBay versteigern. Denn alleine das Tool Ethereal reicht für eine Abmahnung oder Strafanzeige. Grund ist das Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität, das seit dem 11. August 2007 in Kraft ist. Gegen das Gesetz stimmten nur die PDS und Jörg Tauss, der bildungs-, forschungs- und medienpolitische Sprecher der SPD-Fraktion. Das Gesetz setzt nach sechs Jahren die Cybercrime Convention des Europarates sowie einen EU-Rahmenbeschluss über Angriffe auf Informationssysteme um. Hacken steht ausdrücklich unter Freiheitsstrafe, wenn sich der Eindringling unbefugt den Zugang zu den Daten verschafft. Das alte Gesetz griff erst ein, wenn sich der Eindringling auch unbefugt Daten verschaffte.

Vor allem der neue § 202c des Strafgesetzbuches steht im Kreuzfeuer der Kritiker. Strafbar macht sich danach bereits, wer eine Straftat vorbereitet, indem er Computerprogramme herstellt, sich oder anderen verschafft oder verbreitet - deren Zweck die Begehung einer Straftat nach § 202 a oder 202 b ist. Allein das Besitzen von Hacker-Tools steht damit potenziell unter Freiheitsstrafe bis zu einem Jahr.

Hacker-Tools - legal oder illegal?

Welche "Hacker-Tools" fallen unter das neue Gesetz und welche dürfen Sie weiterhin legal benutzen? Dies verrät der Paragraf nicht. "Das Gesetz ist sehr schwammig formuliert", kritisiert Julius Mittenzwei vom Chaos Computer Club (CCC). Der CCC hatte vergeblich für die Klarstellung plädiert, nach der sich nur derjenige strafbar mache, der beabsichtige, eine Straftat zu begehen. Auch dem Bundesverband der IT-Industrie (BITKOM) geht die gesetzliche Formulierung zu weit: "Mit dem neuen Paragrafen droht eine Kriminalisierung von Systemadministratoren, IT-Sicherheitsexperten und Software-Händlern. Sicherheitslücken werden seit jeher mit Hacker-Tools getestet", prangert Hauptgeschäftsführer Bernhard Rohleder an.

Die Gesetzesbegründung liest sich etwas milder: "die Verschaffung des Zugangs zu Daten unter Verletzung von Sicherheitsmaßnahmen ist nur strafbewehrt, wenn der Täter unbefugt handelt. Nicht strafbar ist daher z.B. das Aufspüren von Sicherheitslücken im EDV-System eines Unternehmens, soweit der "Hacker" vom Inhaber des Unternehmens mit dieser Aufgabe betraut wurde." Mittenzwei vom CCC rät dementsprechend. "Wir sehen momentan keinen Grund zu Panik. Nach Aussagen der verantwortlichen Politiker sind Werkzeuge zur Sicherheitsprüfung gerade nicht betroffen. Wir gehen davon aus, dass die Gerichte und Staatsanwaltschaften dieser Auslegung folgen werden." Solange das aber nicht zweifelsfrei geschehen ist, herrscht Unsicherheit bei den Sicherheitsexperten.

Deutsche IT-Sicherheitsindustrie in Gefahr?

Ein weiteres Zitat aus der Gesetzesbegründung zeigt, dass die Anwender und die IT-Sicherheitsindustrie zu Recht verunsichert sind: "Es kommt auf die (objektivierte) Zweckbestimmung des Programms an... Das Programm muss nicht ausschließlich für die Begehung einer Computerstraftat bestimmt sein. Es reicht, wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat ist."

IT-Sicherheitsexperte Felix Lindner malte bei einer Anhörung im Bundestag ein Szenario an die Wand. "Im Falle einer Anzeige beispielsweise durch ein konkurrierendes Unternehmen würde eine Ermittlung eingeleitet, sämtliche Rechentechnik des betroffenen Unternehmens beschlagnahmt, um Beweismittel... zu sichern. Und das betroffene Unternehmen wäre auch im Falle eines Freispruchs seiner existenziellen Grundlagen beraubt und müsste den Betrieb einstellen. Bevor es überhaupt zu einer Verhandlung kommt...". Das Szenario ist mitnichten von der Hand zu weisen. Der neue § 202 c StGB bietet keine Rechtssicherheit für Unternehmen, welche sich auf die Überprüfung von Sicherheitsmechanismen spezialisiert haben.

Deutsche IT-Sicherheitsindustrie in Gefahr?

Es ist nicht gewährleistet, dass Sicherheitstools nicht gegen die Norm verstoßen, die primär zur Abwehr von IT-Sicherheitsrisiken entwickelt wurden. Gleichzeitig diskutiert der Gesetzgeber über die Erlaubnis von staatlichen Hackertools wie den Bundestrojaner. Wahrlich paradox.Die Autorin ist Rechtsanwältin in Berlin.