Strafbarkeit nach § 202c StGB beim Einsatz von Security-Tools

Umgang mit Hackertools in der IT-Sicherheit

02.11.2007 | Autor / Redakteur: Dennis Jlussi, cand. iur. / Peter Schmitz

Als Security-Experte steht man heute leicht mit einem Fuß im Gefängnis.
Als Security-Experte steht man heute leicht mit einem Fuß im Gefängnis.

Mit der Einführung des Paragraphen 202c StGB im Zuge des 41. Strafrechtänderungsgesetzes zur Bekämpfung der Computerkriminalität ist in großen Teilen der IT-Branche Rechtsunsicherheit entstanden: Auch gutartiger Einsatz von Penetrationstests und Exploits, um den Ist-Zustand eines Firmennetzwerks unter realen Bedingungen abzubilden, sind ohne Ausnahme strafbar. Administratoren, die zu solchen Mitteln greifen, um mit tatsächlichen Angreifern mitzuhalten, handeln illegal und unterliegen der Gnade der Richter und der Verschwiegenheit der Vorgesetzten.

Der Paragraph 202c wurde durch das 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität (41. StrÄndG) eingeführt, das am 11. August 2007 in Kraft getreten ist. Neben § 202c hat das 41.StrÄndG auch die §§ 202a, 202b, 303a, 303b StGB geändert bzw. eingefügt, die das Ausspähen und Abfangen von Daten, die Datenveränderung und die Computersabotage unter Strafe stellen und so den Kern des Computerstrafrechts bilden.

§ 202c poenalisiert bereits die Vorbereitung von Computerstraftaten, indem er Herstellung, Verschaffung und Verbreitung von Hackertools unter Strafe stellt. Mit § 202c setzt Deutschland Art. 6 der Cybercrime Convention des Europarates um; die in Art. 6 Abs. 2 ausdrücklich formulierte Ausnahme für autorisierte IT-Sicherheitstests findet jedoch in § 202c keine Entsprechung. Nicht zuletzt deshalb besteht unter IT Security Professionals eine erhebliche Verunsicherung darüber, ob ihr Tun strafbar ist und Sorge über eventuelle strafrechtliche Verfolgungen.

Die Sorgen sind nicht ganz unbegründet, weil der Gesetzgeber Art. 6 Abs. 2 im Wortlaut nicht umgesetzt hat und auch auf keine gefestigte Rechtsprechung im Bezug auf andere ähnliche Vorfelddelikte (z.B. Geräte zur Geld oder Passfälschung) zurückgreifen konnte. Im Ergebnis ist jedoch festzuhalten, dass die Strafbarkeitsrisiken bei Beachtung einiger weniger Punkte sehr gering gehalten werden können. Es ist daher keine Panik angesagt, wohl aber Obacht im Umgang mit Hacker Tools.

Einsatz von Hackertools vermeiden

Als Hackertools nennt das Gesetz einerseits Passwörter u.ä. die man sich zu kriminellen Zwecken beschafft und andererseits Computerprogramme, jedoch nur solche, deren Zweck die Begehung einer Computerstraftat (§§ 202a, 202b, 303a, 303b) ist. Entscheidend ist eine „objektivierte Zweckbestimmung“, also der Zweck, der sich einem objektiven fachkundigen Betrachter erschließt. Daher sind allgemein anerkannte IT Security Tools gar nicht erst erfasst, und zwar auch dann nicht, wenn man sie auch böswillig einsetzen könnte (dual use tools). Erfasst sind jedoch Malware und Exploits, denn diese sind aus ihrem Zweck heraus bösartig, auch wenn sie zu Testzwecken mit gutartiger Absicht eingesetzt werden können.

Nicht erfasst sind Informationen, die kein Computerprogramm sind, also etwa der Austausch von Algorithmen oder Vorgehensweisen in „Menschen-sprache“. Soweit möglich, sollten also anerkannte Sicherheitstools und – beim Austausch – allgemein-sprachliche Beschreibungen verwendet werden.

Einwilligung einholen

Wenn ein Hackertool (z.B. Malware, Exploit) vorliegt, kann eine Einwilligung helfen. Die Dogmatik des deutschen Strafrechts bereitet hier jedoch ein Problem: § 202c ist ein „abstraktes Gefährdungsdelikt“, es ist also die konkrete Beeinträchtigung eines Rechtsguts für die Strafbarkeit nicht erforderlich. Wo es keinen konkret beeinträchtigten Rechtsgutsträger gibt, kann auch niemand einwilligen; eine Einwilligung in die Tathandlungen des § 202c ist daher an sich unmöglich.

Jedoch ist für die Strafbarkeit nach § 202c erforderlich, dass die Tathandlung in der Absicht begangen wird, eine Computerstraftat zu begehen. Die §§ 202a, 202b, 303a, 303b sind einwilligungsfähig; besteht also eine dahingehende Einwilligung, so erfolgt der Umgang mit Hackertools nicht mehr in der Absicht, eine solche Straftat zu begehen. Bei der Einwilligung ist auf eine geschlossene Legitimationskette und u.U. auf eine Beteiligung der Mitarbeitervertretung (insbesondere bei erlaubter Privatnutzung im Betrieb) zu achten.

Dokumentieren und sichern

Um einer eventuellen Strafverfolgung im Keim begegnen zu können, sollten die Beschaffung (auch kostenlose Downloads) mitsamt des beabsichtigten konkreten Einsatzzwecks sowie die tatsächliche Verwendung dauerhaft und veränderungssicher dokumentiert werden. Die Hackertools sollten außerdem sicher gehalten und vor unbefugtem Gebrauch geschützt werden durch sichere Verwahrung von Datenträgern bzw. sichere Dateizugriffsberechtigungen.

Es gibt – und gab schon bisher – keinen sicheren Schutz vor übereifrigen Strafverfolgungsbehörden. Unter Beachtung der genannten wenigen Umgangsempfehlungen können jedoch IT Security Professionals ihrer Arbeit gelassen weiter nachgehen.

Eine ausführliche Stellungnahme des Autors zum § 202c kann bei der EICAR heruntergeladen werden (siehe Link).

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2008802 / Security-Testing)