Die Hackerparagraphen und ihre juristischen Folgen Interview mit Rechtsanwalt Dr. Michael Stehmann vom FSFE
Seit Beginn der Neunziger Jahre ist das Internet nicht mehr ein Medium, dass nur von wenigen Studenten, Professoren, Militärs oder Computerfans genutzt wird. Es hat sich zu einer Informationsquelle und einer Kommunikationsplattform entwickelt, die von alten wie jungen Menschen sehr intensiv genutzt wird. Neue Techniken verändern stetig das Aussehen des Netzes und ziehen dabei ständig neue Benutzerkreise an. Menschen kommunizieren via Instant-Messenger oder IP-Telefonie, diskutieren in Internetforen, innerhalb einer Online-Community oder in Newsgroups.
Sie schauen sich in Videoportalen Kurzfilme an oder laden eigene hoch. Unzählige Texte werden täglich in Weblogs oder Wikis veröffentlicht. Zu Tausenden spielen Gleichgesinnte zeitgleich in der Arena ihres Online-Rollenspiels. Sie tauschen Musik, Bücher oder Filme per Peer-to-Peer-Technologie aus. Die Vielfalt der Möglichkeiten scheint unbegrenzt zu sein. Das deutsche Strafrecht indes hinkt der veränderten Situation schon seit langem hinterher. Man kann es bezogen auf das Internet getrost sowohl als veraltet wie auch als unvollständig bezeichnen. Der Europarat wollte nachbessern und die Rechtslage den veränderten Gegebenheiten anpassen. Unter Mithilfe der sogenannten "Cybercrime Convention" sollte ein rechtlicher Rahmen geschaffen werden, der fortan eine strafrechtliche Verfolgung von Hackern ermöglicht. Um wiederum den Vorgaben des Europarates gerecht zu werden, hat der Bundestag am 7. August 2007 das deutsche Strafgesetzbuch geändert und erweitert. Wir haben uns ausführlich mit dem in Langenfeld niedergelassenen Rechtsanwalt Dr. Michael Stehmann über die kürzlich neu eingeführten Hackerparagraphen unterhalten.
Um sich ein konkretes Bild von der Materie machen zu können, zitieren wir zunächst die entsprechenden Teile des Strafgesetzbuches (StGB):
§ 202a Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
§ 202b Abfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.
§ 202c Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2)§ 149 Abs. 2 und 3 gilt entsprechend.
Lars Sobiraj: Hallo Michael! Du bist als aktiver Fellow der Free Software Foundation EuropeCCCs offensichtlich zu einem stetigen Beobachter der Rechtslage speziell im Bereich der Computerkriminalität geworden. Ich als Laie kann auf den ersten Blick keine kritischen Punkte an dem veränderten Gesetzestext entdecken. Anderen Lesern wird es wahrscheinlich ähnlich gehen. Wie aber stellt sich das für dich als Jurist dar? (FSFE) und Sympathisant des Düsseldorfer
Michael Stehmann: Um es gleich vorweg zu sagen, ich halte diese Novelle, vor allem § 202c StGB für gesetzestechnisch mangelhaft und rechtspolitisch verfehlt. § 202c ist leider so formuliert, dass Auslegungsrobleme auf der Hand liegen. Niemand kann heute zuverlässig sagen, wie ihn die Gerichte auslegen werden. Das schafft Unsicherheit gerade bei denen, denen IT-Sicherheit ein Anliegen ist. Der Gesetzgeber hat sich leider als beratungsresistent erwiesen.
Lars Sobiraj: Existieren denn inhaltliche Unterschiede zwischen dem, was die "Cybercrime Convention" als rechtlichen Rahmen empfohlen und was der Bundestag letztendlich verabschiedet hat?
Michael Stehmann: Der Gesetzgeber hat zunächst die von der Konvention in Artikel 6 Absatz 3 eröffnete Möglichkeit, auf die Bestrafung des Umgangs mit Computerprogrammen zu verzichten, bewusst keinen Gebrauch gemacht. Um es klar zu sagen: § 202c hätte es so nicht geben müssen.
Er hat ferner "im Gegensatz zum österreichischen Gesetzgeber" die in der genannten Konvention enthaltene Beschränkung auf vorwiegend zu kriminellen Zwecken hergestellte oder angepasste Programme nicht übernommen.
Er hat "wiederum im Gegensatz zum österreichischen Gesetzgeber und zur Vorgabe der Konvention" nicht klargestellt, dass der Umgang mit dem sogenannten direkten Vorsatz geschehen muss, dass mit dem Programm eine der genannten Straftaten begangen wird.
Er hat schließlich weder durch eine klare Formulierung des Gesetzestextes noch durch die Übernahme der in Artikel 6 Absatz 2 enthaltenen Auslegungsanweisung sichergestellt, dass nicht auch der Umgang mit den in Rede stehenden Programmen zu anderen Zwecken, vor allem zur Prüfung und zum Schutz von Computersystemen, bestraft wird.
Diese Unklarheiten haben zu der eingangs gerügten Verunsicherung der IT-Sicherheitsexperten geführt. Zurecht bemängeln diese, dass sie das Gefühl haben müssen, "mit einem Bein im Knast zu stehen".
Lars Sobiraj: Du hast im Verlauf deines Vortrags vom 29.08. im Auftrag der FSFE erwähnt, dass die angedrohten Strafen bei der jetzigen Rechtslage oftmals ihr Ziel verfehlen werden. Trotz der neu erlassenen Gesetze werden Phisher und andere Cyberkriminelle auch in Zukunft meist nicht bestraft. Woran liegt das deiner Meinung nach?
Michael Stehmann: Kriminelle Aktivitäten im Internet werden erfahrungsgemäß in Ländern in die Wege geleitet, in denen die Täter Strafverfolgung nicht fürchten müssen. Organisierte Kriminelle werden sich von einer solchen Norm kaum abschrecken lassen.
Ihnen wird sogar in die Hände gespielt, wenn sich die Bevölkerung durch die vermeintliche Sicherheit, die mit derartigen Regelungen suggeriert werden soll, "einlullen" lässt ("da nicht sein kann, was nicht sein darf") und auf Vorsichtsmaßnahmen verzichtet.
Lars Sobiraj: Du hast auf deinem Seminar auch die Befürchtung ausgesprochen, Staatsanwälte könnten die verabschiedeten Regelungen als "Türöffner" benutzen. Ebenfalls ist in diesem Zusammenhang der Begriff "Zufallsfund" gefallen. Wie muss ich mir diese beiden Begriffe in der Praxis vorstellen? Ist eine Festplatte voll mit "raubkopierten" Musikstücken auch ein Zufallsfund?
Michael Stehmann: Wenn die Ermittlungsbehörden eine Hausdurchsuchung wegen eines Diebstahls durchführen und sie Diebesgut suchen und dann im Keller die sprichwörtliche Leiche finden, dürfen sie diesen Zufallsfund nicht ignorieren, sondern sind gehalten, auch Ermittlungen wegen eines Tötungsdeliktes anzustellen, bei denen sie diesen Fund auch verwerten dürfen.
Rechtsstaatlich bedenklich ist jedoch eine Verfahrensweise, bei der davon ausgegangen wird, dass man schon etwas finden werde, wenn man einmal "drin" ist, und dann den Antrag auf Erlass des Durchsuchungsbeschluss auf eine Norm stützt, bei der die rechtlichen Voraussetzungen einer Durchsuchung sich leichter begründen lassen. Man ist dann praktisch auf die sogenannten Zufallsfunde aus. Leider muss man in Einzelfällen in der Praxis den Eindruck gewinnen, dass Ermittlungsbehörden manchmal so vorgehen.
§ 202c StGB scheint eine solche Norm zu sein, auf die man den Antrag auf Erlass des Durchsuchungsbeschluss relativ leicht stützen kann.
Eine Hausdurchsuchung ist erfahrungsgemäß geeignet, den Betroffenen und sein soziales Umfeld nachhaltig zu beeindrucken. Dies wird sicher manche, vor allem "ehrenamtlich" für die IT-Sicherheit Tätige, wie die CCCler, darüber nachdenken lassen, ob sie sich einem solchen Risiko aussetzen.
Hinzu kommt noch folgendes: Meiner Erfahrung nach reagieren Behörden und Unternehmer, die von "Ehrenamtlichen" auf Sicherheitslücken aufmerksam gemacht werden, nicht immer mit Dankbarkeit. Die für die IT Verantwortlichen stehen dann unter einem Rechtfertigungszwang, dem sie dadurch ausweichen, dass sie versuchen, "kriminelle Hacker" für diese Lücke verantwortlich zu machen, so dass in diesen Fällen das Risiko eines Ermittlungsverfahrens recht hoch ist. Auch hier ist dann § 202c StGB ein geeigneter Hebel.
Auch unter diesem Aspekt ist leider von dieser Norm eine Beeinträchtigung der IT-Sicherheit in Deutschland zu befürchten.
Lars Sobiraj: Wie ist es zu dieser Form der Ausarbeitung der Gesetze gekommen? Wer hat die Politiker dabei beraten?
Michael Stehmann: Es gab zunächst die erwähnten sinnvollen Vorgaben und Beschränkungen der Cybercrime Convention. Sehr kompetente Experten haben dann die Politiker beraten. Vereine, wie der ChaosComputerClub, und Verbände, beispielsweise der IT-Sicherheitsbranche, haben frühzeitig auf gravierende Bedenken hinsichtlich der beabsichtigten Normgebung hingewiesen. Die einschlägigen Medien haben die Gesetzgebungsarbeit kritisch begleitet.
Genutzt hat dies am Ende nichts.
Lars Sobiraj: Mit welchen Auswirkungen kann man konkret in Bezug auf die deutsche IT-Branche rechnen?
Michael Stehmann: Es ist zu befürchten, dass IT-Sicherheitsexperten wegen der entstandenen Unsicherheit Deutschland meiden werden bzw. ins Ausland abwandern. Dies wiederum führt nicht nur zum einem direkten Verlust an Arbeitsplätzen, sondern schadet auch dem guten Ruf der deutschen, meist mittelständischen IT-Unternehmen weltweit.
Außerdem wird dadurch die IT-Sicherheit in Deutschland gefährdet, § 202c StGB könnte sich insoweit als kontraproduktiv erweisen.
Lars Sobiraj: Ist es möglich, mit den Strafandrohungen Personen, die keiner bekannten Hackerethik folgen, von ihrer Tätigkeit abzuhalten? Würden eventuell höhere Strafen für weniger Cyberkriminalität sorgen?
Michael Stehmann: Die Existenz der Todesstrafe in den USA hat nicht dazu geführt, dass dort weniger Tötungsdelikte begangen werden als anderswo; glaubt man der Rechtstatsachenforschung ist eher das Gegenteil der Fall.
Dass harte Strafen abschreckend wirken, ist schon lange als Mär entlarvt worden. Ich halte vielmehr den Ruf nach Bestrafung, nach umfassenderen Strafgesetzen und nach härterer Bestrafung für einen Ausdruck der Hilflosigkeit gegenüber dem Phänomen unsozialen Verhaltens.
Wer meint, der Jugendkriminalität, um die es meist bei den sogenannten Scriptkiddies geht, durch Freiheitsstrafe Herr zu werden, ist definitiv auf dem Holzweg.
Lars Sobiraj: Bei Unix-ähnlichen Betriebssystemen wie auch GNU gehören Anwenderprogramme, die man als Hackertools bezeichnen könnte, zum Standardumfang des Operating Systems. Und alles was an Software sowohl für den gutartigen wie bösartigen Gebrauch geeignet ist, ist seit dem 8. August de facto verboten. Welche Auswirkungen hat dies auf die Benutzung und den Vertrieb von freien Betriebssystemen in Deutschland?
Michael Stehmann: Ein Vorzug unixoider Betriebssysteme ist, dass sie darauf ausgerichtet sind, Rechner in ein Netzwerk zu integrieren. Die Programme, die dies ermöglichen, können auch missbraucht werden. Leider hat der Gesetzgeber den Umgang mit diesen "dual use"-Programmen nicht hinreichend klar geregelt. Da viele dieser Programme aber seit langem zur Standardausstattung eines unixoiden Betriebssystems gehören, kann man ihren Besitz im Zweifelsfall recht gut erklären.
Man sollte also die weitere Entwicklung zunächst einmal mit aufmerksamer Gelassenheit verfolgen.
Lars Sobiraj: Wenn das Ausspähen von Daten Dritter grundsätzlich verboten ist, unter welchen Voraussetzungen darf demnächst der Bundestrojaner von den ermittelnden Beamten eingesetzt werden?
Michael Stehmann: Soweit ein solcher Einsatz vom Gesetz gedeckt ist, was er in weiten Bereichen derzeit noch nicht ist, können sich die Beamten wegen der Einheit der Rechtsordnung grundsätzlich nicht strafbar machen. Dies schließt jedoch strafrechtliche Risiken beim konkreten Einsatz nicht aus: Wenn man bei § 202c StGB bedingten Vorsatz genügen lässt und diese Norm auch "dual use"-Programme erfasst, was ich beides für falsch halte, und seitens der Beamten in Kauf genommen wird, dass das Tool auch in falsche Hände gerät, käme eine Strafbarkeit nach § 202c Absatz 1 Ziffer 2 StGB in Betracht.
Lars Sobiraj: Wird aktuell gegen diese Änderungen im StGB geklagt? Wie aussichtsreich wäre eine solche Klage?
Michael Stehmann: Ein Verfahren vor dem Bundesverfassungsgericht ist mir nicht bekannt. Verfassungsbeschwerden haben statistisch gesehen nur geringe Erfolgsaussichten. Einer gut begründeten Verfassungsbeschwerde gegen § 202c StGB würde ich allerdings gewisse Erfolgsaussichten einräumen. Das Bundesverfassungsgericht billigt dem Gesetzgeber zwar (richtigerweise) weite Gestaltungsspielräume zu; diese sind aber eben nicht grenzenlos (Artikel 20 Absatz 3 GG).
Besser wäre es jedoch, wenn das Volk, der Souverän (Artikel 20 Absatz 2 Satz 1 GG), seine Repräsentanten auf den Weg der Vernunft zurückführen könnte, was in der Tat aber der mühsamere Weg ist.
Lars Sobiraj: Was fasziniert dich als Jurist, der sich in seiner Kanzlei inhaltlich auf Verkehrsrecht, Arbeitsrecht, Inkasso und Zwangsversteigerungsrecht spezialisiert hat, speziell an diesem Thema? Und wie sieht deiner Meinung nach die Welt der Datenreisenden in 10 Jahren aus?
Michael Stehmann: Prognosen sind bekanntermaßen schwierig, wenn es um die Zukunft geht. Was ich nicht möchte, ist beispielweise ein staatlich oder durch Unternehmen durchreglementiertes Internet. Was ist auch nicht möchte, ist ein Computer, der nicht durch mich, sondern durch Andere kontrolliert wird (Stichwort: DRM). Ich möchte, dass die Kommunikations- und Informationsmöglichkeiten, die durch das Internet entstanden sind und noch entstehen, mit größtmöglicher Freiheit und zum Wohle aller genutzt werden können.
Meine Motivation, mich mit dem Computer zu befassen, ist folgende:
Auch in einer Anwaltskanzlei spielt die EDV eine immer größere Rolle; der Computer ist schon heute ein sehr wichtiges Arbeitsmittel. Dieses will ich, soweit es mir möglich ist, beherrschen.
Mit großer Sorge betrachte ich daher die Entwicklung, dass Rechtsanwälte, aber auch Ärzte und andere Freiberufler, ihre EDV zunehmend durch fremde Dienstleister beherrschen lassen. Dies wirft gravierende Probleme, beispielsweise bei der Wahrung der Verschwiegenheit, auf und ist der Freiheit und Unabhängigkeit der Advoktur abträglich.
Lars Sobiraj: Zunächst möchte ich mich bei dir sehr herzlich für dieses wirklich sehr detaillierte und informative Gespräch bedanken. Man könnte sich noch lange darüber austauschen, inwiefern ein "lückenloses" Strafrecht Sinn macht. Ist es wirklich eine gute Idee alle möglichen Delikte, die begangen werden können, mit einer Strafandrohung zu belegen? Was erreicht man mit solchen Schritten, außer dass man die eigene Industrie schwächt und dazu ermuntert, das Land zu verlassen? Wir werden, wie von dir empfohlen, die weitere Entwicklung mit aufmerksamer Gelassenheit verfolgen. Wenn die Politikerinnen und Politiker für neuen Gesprächsstoff sorgen, was bald passieren könnte, werden wir gerne auf dich als Gesprächspartner zurückkommen.
Zitat:
Zitat von adlerweb
Kann ich nur bestätigen. Erst vor kurzen durch einen Tippfehler bei einer IP auf dem "Fileserver" einer Arztpraxis gelandet (offenes SMB). Von den Ordnernamen her waren es Patientenberichte, also etwas, dass so definitiv nicht im Netz liegen sollte. Nunja, auf meinen Hinweis an die Praxis (Servername = Praxisname -> Telefonbuch) hätte ich wohl besser verzichtet - direkt mit ...
Dr. Michael Stehmann über die kürzlich neu eingeführten Hackerparagraphen unterhalten.
gulli news abonnieren
news feed
suchbox
banner & buttons
Lars Sobiraj: Hallo Michael! Du bist als aktiver Fellow der 
Lars Sobiraj: Du hast auf deinem Seminar auch die Befürchtung ausgesprochen, Staatsanwälte könnten die verabschiedeten Regelungen als "Türöffner" benutzen. Ebenfalls ist in diesem Zusammenhang der Begriff "Zufallsfund" gefallen. Wie muss ich mir diese beiden Begriffe in der Praxis vorstellen? Ist eine Festplatte voll mit "raubkopierten" Musikstücken auch ein Zufallsfund?
Lars Sobiraj: Wie ist es zu dieser Form der Ausarbeitung der Gesetze gekommen? Wer hat die Politiker dabei beraten?
Lars Sobiraj: Was fasziniert dich als Jurist, der sich in seiner Kanzlei inhaltlich auf Verkehrsrecht, Arbeitsrecht, Inkasso und Zwangsversteigerungsrecht spezialisiert hat, speziell an diesem Thema? Und wie sieht deiner Meinung nach die Welt der Datenreisenden in 10 Jahren aus?
