Frank absolutfinal - Pi1 - Universität Mannheim
Frank absolutfinal - Pi1 - Universität Mannheim
Frank absolutfinal - Pi1 - Universität Mannheim
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
UNIVERSITÄT MANNHEIM LEHRSTUHL FÜR PRAKTISCHE INFORMATIK I<br />
Diskussion des neuen<br />
„Hackerparagraphen“<br />
§ 202c StGB<br />
<strong>Frank</strong> Zimmer<br />
30.10.2007<br />
Software- und Internettechnologie<br />
Erstprüfer: Prof. Dr.-Ing. Felix Freiling, <strong>Universität</strong> <strong>Mannheim</strong><br />
Zweitprüfer: Dr. Kay Schumann, <strong>Universität</strong> Bonn<br />
Betreuer: Prof. Dr.-Ing Felix Freiling
Ich versichere, dass ich die vorliegende Arbeit selbständig verfasst und keine<br />
anderen als die angegebenen Quellen und Hilfsmittel benutzt, sowie Zitate<br />
kenntlich gemacht habe.<br />
<strong>Mannheim</strong>, den 29.10.2007<br />
(<strong>Frank</strong> Zimmer)
Zusammenfassung<br />
Diese Arbeit stellt eine Diskussion des neu in das Gesetz eingeführten „Hackerparagraphen“<br />
§ 202c StGB dar. Sie wird dessen Entstehungsgeschichte und die<br />
Absicht einer europäischen Einigung des gemeinsamen Straftatbestands in Bezug<br />
auf Computerkriminalität beschreiben.<br />
Dabei werden verschiedene Arten der Computerkriminalität angesprochen und<br />
erläutert.<br />
Eine Grundlage für die Diskussion stellen die sogenannten „Dual-Use-Tools“ dar,<br />
die zum einen als Hacker-Tool zum anderen aber auch zur Absicherung des<br />
eigenen Computernetzes für IT-Sicherheitsexperten unabdingbar sind. Zu diesen<br />
Diskussionen kommt es insbesondere dadurch, dass Hacker-Tools auf verschiedene<br />
Art und Weise eingesetzt bzw. missbraucht, jedoch nicht (immer) in „gute“<br />
und „böse“ getrennt werden können. Auf diese Problematik wurde der Gesetzgeber<br />
bereits im Gesetzgebungsverfahren hingewiesen, eine Reaktion darauf<br />
erfolgte hingegen nicht.<br />
Im weiteren Verlauf der Arbeit wird eine Einordnung des § 202c StGB in das<br />
deutsche Recht vorgenommen. Hierbei soll klargestellt werden, was eine Straftat<br />
ist und welche Voraussetzungen für eine Strafbarkeit gegeben sein müssen.<br />
Abschließend soll an Hand eines Medienechos aufgezeigt werden, welch Aufruhr<br />
dieses Gesetz bzw. Vorschrift in Deutschland erzeugt hat.
Inhaltsverzeichnis<br />
ZUSAMMENFASSUNG ................................................................................................................................. 4<br />
INHALTSVERZEICHNIS ................................................................................................................................. 5<br />
1. EINLEITUNG ....................................................................................................................................... 6<br />
2. ENTSTEHUNG DES „HACKERPARAGRAPHEN“..................................................................................... 8<br />
2.1 GESCHICHTLICHES UND ZIELE ...................................................................................................................... 8<br />
2.2 COMPUTERKRIMINALITÄT UND IHRE FORMEN .............................................................................................. 10<br />
2.2.1 Computermanipulation / Datenveränderung .......................................................................... 12<br />
2.2.2 Computerspionage / Ausspähen von Daten ............................................................................ 14<br />
2.2.3 Computerbetrug ...................................................................................................................... 15<br />
2.2.4 Computermissbrauch / Zeitdiebstahl ....................................................................................... 15<br />
2.2.5 Softwarepiraterie ..................................................................................................................... 15<br />
2.2.6 Hacking .................................................................................................................................... 16<br />
2.2.7 Computererpressung ............................................................................................................... 16<br />
2.2.8 Betrug mit Zugangsberichtigung zu Kommunikationsdiensten ............................................... 17<br />
2.2.9 Fälschung beweiserheblicher Daten / urkundenfälschung ...................................................... 17<br />
2.2.10 Phishing ................................................................................................................................... 17<br />
2.3 NEUE ARTEN DER COMPUTERKRIMINALITÄT ................................................................................................ 18<br />
2.3.1 Cyberstalking ........................................................................................................................... 18<br />
2.3.2 Cybersquatting ........................................................................................................................ 18<br />
2.3.3 Domain-Hijacking .................................................................................................................... 18<br />
2.4 EINREIHUNG DES § 202C STGB IN DIE COMPUTERKRIMINALITÄT ..................................................................... 19<br />
2.4.1 Der „Hackerparagraph“........................................................................................................... 19<br />
2.4.2 Die Einordnung zur Computerkriminalität ............................................................................... 20<br />
2.4.3 Beispiele zu „Dual-Use-Tools“.................................................................................................. 21<br />
3. RECHTLICHE ASPEKTE UND AUSWIRKUNGEN .................................................................................. 22<br />
3.1 ALLGEMEIN ........................................................................................................................................... 22<br />
3.2 VORAUSSETZUNG EINER STRAFBARKEIT ....................................................................................................... 24<br />
3.3 PRÜFUNG DER STRAFBARKEIT IM ALLGEMEINEN UND DES § 202C STGB IM BESONDEREN .................................... 26<br />
3.3.1 Übersicht .................................................................................................................................. 26<br />
3.3.2 Der Objektive Tatbestand ........................................................................................................ 26<br />
3.3.3 Der Subjektive Tatbestand ....................................................................................................... 29<br />
3.3.4 Rechtswidrigkeit und Schuld .................................................................................................... 31<br />
3.3.5 Zusammenfassung ................................................................................................................... 31<br />
3.3.6 Mögliche Reaktionen der Rechtsprechung .............................................................................. 32<br />
3.4 BLICK NACH ÖSTERRREICH ....................................................................................................................... 34<br />
3.5 AUSWIRKUNGEN DES PARAGRAPHEN AUF IT-DIENSTLEISTER UND FORENSIKER ................................................... 35<br />
4. MEDIENECHO................................................................................................................................... 40<br />
5. SCHLUSSGEDANKEN......................................................................................................................... 43<br />
6. LITERATURVERZEICHNIS .................................................................................................................. 45
1. Einleitung<br />
Als am 10.Oktober um 7.40 Uhr auf den Internetseiten der Gewerkschaft der<br />
Lokführer (GDL) die Einigung im Tarifstreit zwischen GDL und der Bahn veröffentlich<br />
wurde, dachten viele Menschen an das Ende der Streikwelle.<br />
In Wirklichkeit jedoch hatten Unbekannte den Internetauftritt der GDL gehackt und<br />
unter der Rubrik aktuelle Meldungen die Pressemitteilung herausgegeben, dass<br />
auf dem kurzen Dienstweg eine Einigung erfolgt wäre und mit weiteren Streiks<br />
nicht mehr zu rechnen sei [Die Welt07].<br />
Dieser Artikel zeigt neben den rasanten Fortschritten im Bereich der Informationstechnologie<br />
die große Anzahl neuer Möglichkeiten, aber auch des Missbrauchs.<br />
Aus diesem Grund entstehen Gesetze, die der Bekämpfung der Computerkriminalität<br />
dienen.<br />
Meine ersten Erfahrungen an der <strong>Universität</strong> <strong>Mannheim</strong> machte ich in der<br />
Vorlesung „Sicherheit in Rechnersystemen“ von Prof. Dr. Henning Pagnia. Durch<br />
diese Vorlesung bekam ich einen sehr guten Überblick über die Sicherheit von<br />
Computersystemen. Aus diesem Grund stellt das Schreiben dieser Arbeit für mich<br />
einen großen Anreiz dar.<br />
In der vorliegenden Arbeit werde ich mich mit dem neuen „Hackerparagraphen“<br />
§ 202c StGB auseinandersetzen. Hierbei wird sich die Arbeit in vier weitere Teile<br />
gliedern.<br />
.Das nächste Kapitel, Kapitel 2, befasst sich mit der Entstehungsgeschichte des<br />
neuen „Hackerparagraphen“ § 202c StGB und dessen Ziele. Es werden<br />
verschiedene Arten der Computerkriminalität beschrieben. Es wird der § 202c<br />
StGB vorgestellt und eine Einordnung in die Delikte der Computerkriminaltät<br />
hergestellt. Auch der Begriff der „Dual-Use-Tools“ wird darüber hinaus anhand von<br />
Beispielen erläutert.
1. Einleitung<br />
In Kapitel 3 werden rechtliche und informatische Gesichtspunkte, unter Rückgriff<br />
auf wissenschaftliche Literatur, erläutert. Dabei wird zuerst klar gestellt, was zur<br />
Voraussetzung der Strafbarkeit gegeben sein muss und welche möglichen<br />
Reaktionen sich aus der Rechtssprechung ergeben können. Des Weiteren findet<br />
in diesem Kapitel ein Blick über die Grenzen Deutschlands nach Österreich statt<br />
und beleuchtet dort die Umsetzung des Paragraphen. Abschließend wird das<br />
Kapitel die Auswirkungen des Paragraphen auf IT- Dienstleister und Forensiker<br />
darlegen.<br />
Wie die Gesetzesänderungen in den Medien aufgenommen wurden, soll in<br />
Kapitel 4 aufgezeigt werden. Es soll deutlich werden, welche Reaktionen bzw.<br />
Diskussionsthemen durch Einführung des § 202c StGB entstanden sind.<br />
Im abschließenden Kapitel 5 wird die Arbeit mit einem Resümee zu den in diesem<br />
Bereich stattfindenden Diskussionen sowie mit dem persönlichen Standpunkt des<br />
Verfassers dieser Arbeit beendet.<br />
Diese Arbeit hat zum Ziel, die Computerkriminalität und den § 202c StGB näher zu<br />
beschreiben. Im Weiteren soll sie eine Einordnung, auch für Nichtjuristen, in das<br />
Strafrecht ermöglichen. Nach dem Lesen dieser Arbeit soll es ohne tiefgreifende<br />
juristische Vorkenntnisse möglich sein, die Grundlagen der Strafbarkeit des § 202c<br />
zu verstehen.<br />
7
2. Entstehung des „Hackerparagraphen“<br />
Im folgenden Kapitel soll die Entstehungsgeschichte des neuen „Hackerparagraphen“<br />
§ 202c StGB und die damit verfolgten Ziele beschrieben werden. Neben<br />
den „Dual-Use-Tools“ sollen verschiedene Arten der Computerkriminalität erklärt<br />
werden und eine Einordnung des § 202c StGB gegeben werden.<br />
2.1 Geschichtliches und Ziele<br />
Der „ Hackerparagraph“ § 202c des Strafgesetzbuchs (StGB) entstand aus der<br />
vorzunehmenden Umsetzung des Artikel 6 aus dem Übereinkommens des<br />
Europarates über Computerkriminalität (Cybercrime Convention) [CC01] vom<br />
23.November 2001 in Budapest sowie aus dem Rahmenbeschluss des Rates der<br />
Europäischen Union vom 24. Februar 2005 in Brüssel über Angriffe auf Informationssysteme<br />
[EU05].<br />
Ziele dieser Vereinbarungen sind zum Einen die Förderung der verstärkten Zusammenarbeit<br />
der Mitgliedsstaaten des Europarates zur Bekämpfung der<br />
Computerkriminalität; zum Anderen soll eine gemeinsame Überzeugung dahingehend<br />
erreicht werden, dass in Europa die Notwendigkeit zur Schaffung einer<br />
gemeinsamen Strafrechtspolitik mit einem Mindeststandard an Strafvorschriften<br />
bestehe, die z.B. Vorbereitungshandlungen für Computerstraftaten beinhalten und<br />
die Einhaltung bestimmter Mindesthöchststrafen bei bestimmten schweren<br />
Formen der Computerkriminalität verlangen. Darüber hinaus enthält die Vereinbarung<br />
Vorgaben für das Strafverfahrensrecht, für die internationale Zusammenarbeit<br />
und zur Rechtshilfe. Dadurch soll eine Verbesserung der Zusammenarbeit<br />
zwischen Justiz und den sonstigen zuständigen Behörden, einschließlich der<br />
Polizei und anderer Strafverfolgungsbehörden der Mitgliedsstaaten entstehen<br />
[DB06]. Die Gesellschaft soll durch die entsprechenden Umsetzungen und die<br />
damit verbundene Aufnahme in das Strafgesetzbuch noch stärker vor Computerkriminalität<br />
geschützt werden.<br />
8
2. Entstehung des „Hackerparagraphen“<br />
Die Änderung des StGB erweitert die Strafbarkeit von Handlungen in Bezug auf<br />
Hacking und anderer Onlinestraftaten. Da Rechnernetze weltweit verteilt sind, soll<br />
sich der Schutz nicht nur national beschränken, sondern sich auf Grund der angestrebten<br />
Zusammenarbeit und der Gemeinsamkeiten auch auf internationale<br />
Ebene erstrecken.<br />
Rechnernetze und elektronische Informationssysteme können neben den vielen<br />
positiven Funktionen auch zum Begehen von Straftaten missbraucht werden.<br />
Hieraus erwächst die Besorgnis, dass Terroranschläge auf Informationssysteme<br />
zunehmen werden, da sie Teil der kritischen Infrastruktur eines Staates sind.<br />
Nach den Vorgaben des EU-Rahmenbeschlusses bestand bis zum 16. März 2007<br />
für die Mitgliedsstaaten die Verpflichtung zur Umsetzung der Vereinbarungen.<br />
Bemerkenswert ist in diesem zeitlichen Zusammenhang, dass erst am 21. März<br />
2007 eine öffentliche Anhörung im Bundestag stattfand. Zu dieser wurden neun<br />
Sachverständige geladen und angehört, die zum Gesetzentwurf der Bundesregierung<br />
Stellung nahmen.<br />
Am 24. Mai 2007 um 2.00Uhr wurde der Gesetzentwurf, unter den Gegenstimmen<br />
der PDS und des forschungs- und medienpolitischen Sprechers der SPD Jörg<br />
Tauss, angenommen [BR07].<br />
Die Umsetzung dieser Vorgaben zieht verschiedene Gesetzesänderungen im<br />
deutschen Recht nach sich. Die §§ 202b (Abfangen von Daten) und 202c<br />
(Vorbereiten des Ausspähens und Abfangen von Daten) StGB wurden in das<br />
Strafgesetzbuch (StGB) neu eingefügt, die §§ 202a (Ausspähen von Daten), 303a<br />
(Datenveränderung) und 303b (Computersabotage) StGB wurden hingegen<br />
lediglich geändert, beziehungsweise ergänzt.<br />
Seit dem 11. August 2007 ist das Strafrechtsänderungsgesetz zur Bekämpfung<br />
der Computerkriminalität in Kraft getreten [BGBl07].<br />
Die Umsetzung der Bundesregierung wurde und wird auch nach dem Zeitpunkt<br />
des In-Kraft-Tretens von Juristen und IT-Experten stark kritisiert.<br />
9
2. Entstehung des „Hackerparagraphen“<br />
Bei der Umsetzung der Vorgaben der Cybercrime Convention sowie des Rahmenbeschlusses<br />
ist Deutschland einen eigenen Weg gegangen, in dem der Gesetzeswortlaut<br />
viel enger als die Empfehlungen gefasst wurde. In seiner aktuellen<br />
Fassung behindert er die Arbeit von Systemadministratoren und IT-Sicherheitsfirmen<br />
[Hilgendorf07a, S.7].<br />
2.2 Computerkriminalität und ihre Formen<br />
Unter Computerkriminalität versteht man alle Delikte bei denen der Computer<br />
Werkzeug oder Ziel der Tathandlung ist, wobei die Tat durch den Einsatz des<br />
Computers erleichtert, ermöglicht oder die Entdeckung erschwert wird<br />
[Dornseif03].<br />
Computerkriminalität ist nur sehr schwer in Worte oder gar in Zahlen zu fassen, da<br />
keine allgemein gültige Begriffsdefinition besteht. Es werden aber alle bekannt<br />
gewordene Straftaten jährlich in der polizeilichen Kriminalstatistik (PKS) erfasst<br />
[BKA06].<br />
In diese Statistik (siehe Abbildung 2.2) kommen allerdings nur Fälle, die der<br />
Polizei auf Grund von Ermittlungsverfahren durch Erlangen von Tatbestand, Zeitpunkt,<br />
Ort, Beteiligte usw. hinreichend bekannt geworden sind. In der PKS wird<br />
ferner darauf hingewiesen, dass auf Grund einer enorm hohen Dunkelziffer „kein<br />
getreues Spiegelbild der Kriminalitätswirklichkeit, sondern nur eine je nach<br />
Deliktart mehr oder weniger starke Annäherung an die Realität wiedergegeben<br />
werden kann. Gleichwohl ist sie für Legislative, Exekutive und Wissenschaft ein<br />
Hilfsmittel, um Erkenntnisse über die Häufigkeit der erfassten Fälle sowie über<br />
Formen und Entwicklungstendenzen der Kriminalität für die oben beschriebenen<br />
Zielsetzungen zu gewinnen [BKA06].“<br />
10
2. Entstehung des „Hackerparagraphen“<br />
Abbildung 2.1: Polizeiliche Kriminalstatistik 2006 (Quelle: www.bka.de)<br />
In der Statistik (siehe Abbildung 2.1) fällt auf, dass es im Jahre 2002 einen Einbruch<br />
in den erfassten Fällen gab. Dieser Rückgang ist damit zu erklären, dass ab<br />
dem Jahr 2002 Betrug mittels Scheck-/Kreditkarten ohne PIN erstmals nicht mehr<br />
unter den Begriff der Computerkriminalität fallen sollte.<br />
Abbildung 2.2: Fallentwicklung und Aufklärung (Quelle: www.bka.de)<br />
Neben diesen amtlichen Statistiken liefern zunehmend private Umfragen aussagekräftige<br />
Zahlen. Zum Beispiel führt die Zeitschrift „Kommunikations- und EDV<br />
Sicherheit“ [Kes02] Befragungen in Unternehmen durch, die Auskunft darüber<br />
geben sollen, ob es zu irgendwelchen Auffälligkeiten in diesem strafrechtlichen<br />
Bereich gekommen ist.<br />
11
2. Entstehung des „Hackerparagraphen“<br />
In den USA gibt es zudem zwei große Umfragen durch das „Computer Security“<br />
Institute, sowie durch die „Computer Intrusion Squad“ der Bundespolizei FBI<br />
[Gocsi07].<br />
In den folgenden Unterkapiteln werden verschiedene Arten der Computerkriminalität<br />
vorgestellt. Jedoch wird nachfolgend nur eine Auswahl der wichtigsten<br />
Computerdelikte beschrieben. Die Beschreibung aller in Betracht kommenden<br />
Sachverhalte würde auf Grund der Vielzahl von möglichen Delikten den Rahmen<br />
dieser Arbeit sprengen.<br />
Zudem soll aufgezeigt werden, dass es nicht ungewöhnlich ist, dass eine Straftat<br />
nur durch Begehung einer anderen ermöglicht werden kann.<br />
Beispielsweise kann der erste Schritt einer Computererpressung durch eine vorher<br />
erfolgte Computermanipulation bewerkstelligt werden.<br />
2.2.1 Computermanipulation / Datenveränderung<br />
Unter Computermanipulation bzw. Computersabotage, geregelt in § 303b StGB,<br />
versteht man die Störung einer Datenverarbeitung, die für einen anderen von<br />
wesentlicher Bedeutung ist [HGF05].<br />
Dies entsteht durch Datenveränderung (löschen, unterdrücken, unbrauchbar<br />
machen oder verändern von Daten, § 303a StGB; Daten in der Absicht, einem<br />
anderen Nachteil zuzufügen, eingibt oder übermittelt, sowie durch die Modifikation<br />
von Datenverarbeitungsanlagen oder Datenträgern durch zerstören, beschädigen,<br />
unbrauchbar machen, beseitigten oder verändern(§ 303b Abs.1).<br />
Computermanipulation ist die häufigste Form und der Kernbereich der Computerkriminalität<br />
[Schmitz90, S25].<br />
Der Begriff der Computermanipulation wird in dem Buch von Herbert Schmitz,<br />
Computerkriminalität, Ein Leitfaden für die Praxis, in verschiedene Untergruppen<br />
eingeteilt:<br />
12
2. Entstehung des „Hackerparagraphen“<br />
Bei einer Inputmanipulation werden unrichtige Daten in ein ordnungsgemäß<br />
ablaufendes Computerprogramm eingegeben. Diese werden von einem Computer<br />
programmgemäß bearbeitet.<br />
Als Beispiel nennt er einen Sachbearbeiter einer Kindergeldstelle, der über einen<br />
Zeitraum von zehn Monaten Kindergeldnachzahlungen auf mehrere familieneigene<br />
Konten angewiesen hat. Der entstandene Schaden belief sich auf DM<br />
250.000,- [Schmitz90, S.25-26].<br />
Bei einer Konsolenmanipulation werden die mechanischen Elemente eines<br />
Computers missbraucht. Richtige Daten werden in ein ordnungsgemäß laufendes<br />
Programm eingegeben. Die Ausgaben jedoch werden durch Eingriffe in die<br />
Hardware modifiziert.<br />
„Die gesamten Abrechnungen des Devisen- und Geldhandels der Herstatt-Bank<br />
wurden über die Konsolenschreibmaschine eines Kleincomputers erfasst und<br />
anschließend an den zentralen Computer der Bank übertragen. Zur Vertuschung<br />
einzelner Devisenspekulationsgeschäfte erreichten die Mitglieder der Bank durch<br />
das Drücken einer an der Konsole des Kleincomputers angebrachten sog.<br />
'Abbruchtaste', dass die Daten einzelner Devisengeschäfte nicht an den Zentralcomputer<br />
der Bank übertragen wurden. Hierdurch gelang es, von dem Kleincomputer<br />
eine ordnungsgemäße Bestätigung des Geschäfts für den Kontrahenten<br />
erstellen, ohne dieses jedoch buchungsmäßig in dem zentralen Computer der<br />
Bank zu erfassen ( […]). Insgesamt sollen dabei Beträge von mehreren Milliarden<br />
US-Dollar nicht oder nicht ordnungsgemäß verbucht worden sein [Schmitz03,<br />
S.26-27].“<br />
Bei der Programm-Manipulation versucht der Täter entweder das bestehende<br />
Programm zu verändern, so dass für ihn ein günstigerer Datenverarbeitungsvorgang<br />
durchgeführt wird oder er installiert ein für ihn günstiges Programm.<br />
„Der Täter fügte mit Hilfe eines hierfür speziell erstellten Programms in den die<br />
Gehaltsdaten der Firma enthaltenen Datenspeicher die Gehaltsdaten fiktiver<br />
Personen ein und gab dabei als Konto […] sein eigenes Konto an.<br />
13
2. Entstehung des Hackerparagraphen<br />
( […]). Um eine Aufdeckung der Manipulation […] zu verhindern, veranlasste der<br />
Täter […] zunächst durch Veränderungen an dem Gehaltszahlungsprogramm,<br />
dass über die Zahlungen an die fiktiven Mitarbeiter keine Lohnzettel gedruckt<br />
wurden und dass die Zahlungen auch nicht in den vom Computer erstellten<br />
Kontrolllisten erschienen. Durch eine weitere Manipulation an dem die Prüfungsübersichten<br />
und die Bilanzen des Unternehmens erstellenden Programm erreichte<br />
er schließlich, dass die unterschlagenen Beträge von der an das Finanzamt zu<br />
entrichtenden Lohnsteuer abgehoben wurden und daher in den Buchungsübersichten<br />
und der Bilanz des Unternehmens nicht als Fehlbeträge auffielen. Bis zu<br />
der durch Zufall erfolgten Aufdeckung bereicherte sich der Täter um DM 193.000.-<br />
[Schmitz90, S.27-28].“<br />
Die einfachste Art der der Computermanipulation ist die Outputmanipulation. Der<br />
Täter nimmt dabei die Manipulation erst vor, nachdem die Daten in den Computer<br />
eingegeben und ordnungsgemäß verarbeitet wurden. Diese Art der Manipulation<br />
stellt eine Verfälschungshandlung, ohne spezielle EDV-Kenntnisse, des ursprünglichen<br />
richtigen Outputs dar [Schmitz90, S. 28].<br />
2.2.2 Computerspionage / Ausspähen von Daten<br />
Unter dem Ausspähen von Daten versteht der Gesetzgeber unter § 202a StGB<br />
sich oder einem anderen Zugang zu Daten unter Überwindung der Zugangssicherung<br />
zu verschaffen, die nicht für ihn bestimmt und die gegen unberechtigten<br />
Zugang besonders gesichert sind (§ 202b StGB). Als Computerspionage werden<br />
die "zu einer Vermögensschädigung des Opfers führenden Fälle der unberechtigten<br />
Erlangung und Verwertung von EDV-Daten" verstanden [Sieber96].<br />
Jüngst bekannt gewordenes Beispiel ist die Entdeckung chinesischer Trojaner auf<br />
Rechnern von Bundesministerium und Kanzleramt.<br />
Ein Trojaner bzw. ein trojanisches Pferd ist ein Spionageprogramm, das unbemerkt<br />
im Hintergrund Dienste vollbringt. In diesem Beispiel wurden Daten<br />
ausgespäht und nach China weitergeleitet. Durch die Erkennung konnte ein<br />
Datentransfer von 160Gigabyte verhindert werden [Spiegelon07c].<br />
14
2. Entstehung des „Hackerparagraphen“<br />
2.2.3 Computerbetrug<br />
Unter dem Computerbetrug § 263a StGB versteht man all die Fälle, in denen das<br />
Ergebnis eines Datenverarbeitungsvorgangs beeinflusst wird. Dies geschieht zum<br />
einen durch eine unrichtige Gestaltung eines Programms, sowie durch Verwendung<br />
unrichtiger oder unvollständiger Daten. Darüber hinaus zählt auch die<br />
unbefugte Datenverwendung und das Einwirken auf den Ablauf des Programms<br />
zum Tatbestand [Jaeger98 S. 51] Haupttatbestände sind vor allem Missbrauchsfälle<br />
von Kreditkarten und ec-Karten.<br />
2.2.4 Computermissbrauch / Zeitdiebstahl<br />
Unter dem Begriff Zeitdiebstahl versteht man die Nutzung fremder Systeme und<br />
deren Rechenleistung für private Zwecke. Früher waren Ressourcen und der<br />
Zugang zum schnellen Datennetz knapp und sehr teuer, so dass es verlockend<br />
war, eigene Programme auf fremden Rechnern ablaufen zu lassen [Jaeger98 S.<br />
53].<br />
Das Nutzen von Fremdressourcen ist auch in der heutigen Zeit wieder aktuell.<br />
Neben den erwähnten Trojanern, die die Rechenleistung eines fremden<br />
Computers ausnutzen und dabei fremde Programme im Hintergrund ablaufen<br />
lassen, fällt der Begriff des Spammings in diesen Bereich hinein. Beim Spamming<br />
werden fremde Computer oder Mailserver benutzt, um massenhaft Emails zu<br />
verbreiten [Dornseif97].<br />
2.2.5 Softwarepiraterie<br />
Unter Softwarepiraterie versteht man die Vervielfältigung einer urheberrechtlich<br />
geschützten Software ohne die Einwilligung des Berechtigten (UrhG § 106). Die<br />
Software wird unerlaubt vervielfältigt und an interessierte Computerbetreiber für<br />
einen Bruchteil des normalen Verkaufspreises verkauft [Schmitz90, S. 60-62].<br />
Softwarepiraterie ist im Urheberrechtsgesetz UrhG geregelt. In der Bundesrepublik<br />
Deutschland entstand im Jahre 2004 ein Schaden durch Softwarepiraterie in Höhe<br />
von 1.8 Milliarden Euro [dpa05].<br />
15
2. Entstehung des Hackerparagraphen<br />
2.2.6 Hacking<br />
Der Begriff des Hacking wird im allgemeinen Sprachgebrauch und in der<br />
strafrechtlichen Literatur in einer unterschiedlichen Bedeutung verwendet.<br />
Hacker werden zum Teil mit Datenspionen bzw. Saboteuren gleichgesetzt, denen<br />
es um die Erlangung fremder Daten geht um dadurch einen geldwerten Vorteil zu<br />
erlangen [Winkelbauer98].<br />
Nach anderer Ansicht handelt es sich bei Hackern sich um „Computerfreaks“, die<br />
einen sportlichen Ehrgeiz entwickeln, die Sicherheitsmechanismen anderer<br />
Computersysteme zu überwinden ohne ein Interesse an den Daten des gehackten<br />
Systems zu haben [Hauptmann89]. In den Anfängen des Computerzeitalters gab<br />
es eine überschaubare „Hackergemeinde“, die sich einem ungeschriebenen<br />
Ehrenkodex verpflichtete und keine Schäden in dem gehackten System<br />
verursachte [CCC98].<br />
Eine andere Einstufung von Hackern (IT-Spionen, Vandalen, Cracker und Hacker)<br />
kann durch eine Klassifikation der Angreifer nach möglicher krimineller Energie<br />
erstellt werden [Freiling07].<br />
Der Begriff des Hacking sowie die Diskussion des „Hackerparagraphen“ § 202c<br />
StGB hat in dieser vorliegenden Arbeit eine übergeordnete Rolle.<br />
2.2.7 Computererpressung<br />
Computererpressung entsteht durch die Veränderung oder Unbrauchbarmachung<br />
von Daten bzw. der Computeranlage. Daten werden quasi „über Nacht“ verschlüsselt<br />
und das Passwort wird nur durch Zahlung eines bestimmten Betrages<br />
bekannt gegeben [Jaeger98, S. 52].<br />
Eine gängige Art, um Computersysteme bzw. ganze Webserver außer Gefecht zu<br />
setzen, sind die sogenannten DDoS (Distributed Denial of Service) Angriffe.<br />
16
2. Entstehung des „Hackerparagraphen“<br />
Hierbei stellen mehrere tausend gekaperte Computer zeitgleich sinnlose Anfragen<br />
an eine Webseite, bis der Webserver überlastet ist und dadurch den Dienst<br />
quittieren muss. Ziele dieser Angriffe sind oft Unternehmen, die über ihre Webseite<br />
ihre Geschäfte abwickeln, wie z. B: online Wettbüros und Casinos. Durch<br />
Zahlung von Schutzgeld können diese Angriffe verhindert werden.<br />
2.2.8 Betrug mit Zugangsberichtigung zu Kommunikationsdiensten<br />
Bei dieser Straftat handelt es sich, wie schon unter Kapitel 2.3.2 erwähnt, um<br />
einen Unterpunkt des Ausspähens von Daten. Bei diesen Daten handelt es sich<br />
meist um Zugangskennungen zum Surfen im Internet auf Kosten der Dateninhaber<br />
oder um Zugangserschleichungen zu Telefonanschlüssen mit illegalem<br />
Anwählen von gebührenintensiven 0190/0900 Nummern [Heise02].<br />
2.2.9 Fälschung beweiserheblicher Daten / urkundenfälschung<br />
Unter Fälschung beweiserheblicher Daten versteht man die unberechtigte<br />
Speicherung oder Veränderung solcher Daten. Unter diesen Punkt fällt auch die<br />
Täuschung im Rechtsverkehr bei Datenverarbeitung (§ 270 StGB), wenn man<br />
vorsätzlich beweiserhebliche Daten so speichert oder verändert, dass diese<br />
unecht oder verfälscht sind [Heintschel97].<br />
2.2.10 Phishing<br />
Unter „Phishing" versteht man das sich Verschaffen von Zugangsdaten wie<br />
Passwörter, Kontendaten, Pin-Nummern, Kreditkartennummern, um mit deren<br />
Hilfe an das Geld fremder Leute zu gelangen. Der Ablauf ist relativ einfach.<br />
Überweisungen werden von dem schutzlosen Konto auf das Konto eines Dritten,<br />
eines sogenannten Finanzagenten angewiesen, der durch E-Mails mit dem<br />
Versprechen eines lukrativen Nebenverdienstes unter Vorspiegelung falscher<br />
Tatsachen angeworben wurde. Der Finanzagent darf sich für seine Mühe eine<br />
zuvor vereinbarte Provision einbehalten und weist den Rest z.B. als Baranweisung<br />
über die Western Union Bank einer bestimmten Person zu.<br />
17
2. Entstehung des Hackerparagraphen<br />
Diese Person, natürlich unter Vorlage eines gefälschten Ausweises, bekommt das<br />
Geld dann am Zielort bar ausbezahlt. „Das „Phishen“ von Zugangsdaten zu<br />
Online-Bankdiensten ist als Fälschen beweiserheblicher Daten (§ 269 StGB) und<br />
als unerlaubte Datenerhebung (§§ 44 I, 43 II Nr.1 BDSG) mangels unmittelbarer<br />
Schädigung, aber nicht als Betrug strafbar. Wer die „gephishten“ Daten danach<br />
bei Kontozugriffen verwendet, begeht zudem einen Computerbetrug [Wistra05].“<br />
2.3 Neue Arten der Computerkriminalität<br />
Unter den folgenden Unterkapiteln werden weitere „sozialschädliche<br />
Handlungsmuster“ aufgezeigt, die in der heutigen Zeit zu immensen Schäden und<br />
Problemen geführt haben [HGF05, S. 199, Rn. 738].<br />
2.3.1 Cyberstalking<br />
Unter Cyberstalking versteht man die Nutzung von E-Mail, Internet oder anderen<br />
elektronischen Kommunikationsmitteln, um eine Person zu belästigen. Da man im<br />
Internet anonym unterwegs sein kann, bieten sich hier neue Wege, einem anderen<br />
zu schaden [HGF05, S. 201, Rn. 747, 748].<br />
2.3.2 Cybersquatting<br />
Cybersquatting, auch Domain-Grabbing genannt, bezeichnet den Versuch,<br />
Internet-Adressen mit markenrechtlich geschützten Namen zu registrieren und<br />
diese dann gegen ein möglichst hohes Entgelt zu veräußern. Opfer dieser<br />
Vorgehensweise waren in der Vergangenheit zum Beispiel Panasonic, Hertz, Brad<br />
Pitt und Mutter Teresa [HGF05, S. 203 Rn. 755].<br />
2.3.3 Domain-Hijacking<br />
Unter Domain-Hijacking versteht man die Übernahme einer fremden Domain.<br />
Bekanntestes Beispiel war die Übernahme der Domain www.ebay.de durch einen<br />
Internetnutzer [HGF05, S. 206, Rn. 766].<br />
18
2. Entstehung des „Hackerparagraphen“<br />
2.4 Einreihung des § 202c StGB in die Computerkriminalität<br />
2.4.1 Der „Hackerparagraph“<br />
Seitens der Bundesregierung wurde nachfolgender Textvorschlag des<br />
„Hackerparagraphen“ an den Deutschen Bundestag übermittelt.<br />
Dieser Vorschlag wurde in der Literatur, in den Medien und in verschiedenen<br />
Stellungnahmen aufs heftigste diskutiert und zum Teil mit verschiedenen<br />
Verbesserungsvorschlägen versehen. Diese Vorschläge wurden vom Gesetzgeber<br />
allerdings nicht gehört und auch nicht umgesetzt, so dass die Vorschrift in<br />
ihrer ursprünglich vorgeschlagenen Form im August diesen Jahres in Kraft<br />
getreten ist.<br />
Dieser Paragraph stellt in § 202c StGB das Vorbereiten des Ausspähens und<br />
Abfangens von Daten unter Strafe, indem er besagt, dass<br />
„Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er<br />
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu<br />
Daten (§ 202a Abs. 2) ermöglichen, oder<br />
2. Computerprogramme, deren Zweck die Begehung einer solchen<br />
Tat ist, herstellt, sich oder einem anderen verschafft, verkauft,<br />
einem anderen überlässt, verbreitet oder zugänglich macht, wird mit<br />
Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. […]“.<br />
Der im Gesetzeswortlaut zitierte § 202a StGB stellt das Ausspähen von Daten<br />
unter Strafe, indem er besagt, dass:<br />
1. Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht<br />
für ihn bestimmt und die gegen unberechtigten Zugang besonders<br />
gesichert sind, unter Überwindung der Zugangssicherung<br />
verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit<br />
Geldstrafe bestraft<br />
2. Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch,<br />
magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert<br />
sind oder übermittelt werden.“<br />
19
2. Entstehung des „Hackerparagraphen“<br />
2.4.3 Beispiele zu „Dual-Use-Tools“<br />
Passwort Scanner werden von Systemadministratoren in Unternehmen dazu<br />
verwendet, die Sicherheit von Passwörtern zu gewährleisten. Entspricht ein<br />
Passwort nicht den Sicherheitsstandards eines Unternehmens, bekommt der<br />
Anwender eine Aufforderung, sein Passwort zu ändern. Ein Passwort Scanner<br />
kann aber auch dazu eingesetzt werden, Passwörter herauszufinden, um diese<br />
dann missbräuchlich zu verwenden bzw. einzusetzen.<br />
Netzwerksniffer überwachen den gesamten Datenverkehr einer Netzwerkkarte<br />
und können diesen auch aufzeichnen. Dies dient der Fehlerdiagnose im Netzwerk.<br />
Wird ein erhöhter Datenverkehr festgestellt, so kann man mit Hilfe eines<br />
Netzwerksniffers herausfinden, welches Programm diesen erhöhten Datenverkehr<br />
verursacht hat. Netzwerksniffer können aber auch dazu eingesetzt werden,<br />
Passwörter oder Pins aufzuzeichnen.<br />
Mittels Portscanner findet man offene Ports in Netzwerken, und der<br />
Netzwerkadministrator hat dann die Möglichkeit, diese zu schließen.<br />
Der Portscanner kann aber auch von einem Angreifer benutzt werden, um<br />
Schwachstellen zu finden und diese dann in seinen Angriff mit einzubeziehen.<br />
Die Doppelverwendung dieser IT-Programme hat für sehr viele Diskussionen<br />
gesorgt. Im Bundestag waren neun Sachverständige geladen, die zu den<br />
Gesetzesänderungen Stellung nehmen sollten. Mit Ausnahme der Sachverständigen<br />
aus den Organen der Bundesregierung äußerten alle Bedenken an den<br />
zu eng gefassten Gesetzen im Bezug auf die mögliche Doppelverwendung der<br />
„Dual-Use-Tools“. Ein geladener Vertreter aus der Wirtschaft äußerte gar<br />
Existenzängste. In dem nachfolgenden Kapitel werde ich auf verschiedene<br />
juristische und informatische Komponenten, sowie teilweise auf die Stellungnahmen<br />
der Sachverständigen, eingehen.<br />
21
3. Rechtliche Aspekte und Auswirkungen<br />
3.1 Allgemein<br />
Die §§ 202a, 202b und 202c StGB wurden in den 15. Abschnitt des StGB<br />
eingefügt. Dieser Abschnitt soll die Verletzung des persönlichen Lebens- und<br />
Geheimbereichs einen hoheitlichen bzw. staatlichen Schutzes unterwerfen. Die<br />
Tatbestände des Abschnitts beruhen auf dem gemeinsamen Grundgedanken,<br />
dass eine freie Entfaltung der Persönlichkeit nur möglich ist, wenn dem einzelnen<br />
ein Freiraum gegenüber Gemeinschaft, Staat und Mitmenschen eingeräumt bzw.<br />
gewährleistet wird [Schönke06a]. Dieser Grundsatz hat seinen Ursprung<br />
wiederum in dem in Art. 1GG (Grundgesetz) in Verbindung mit Art. 2 Abs. 2 GG<br />
verankerten verfassungsrechtlich geschützten Persönlichkeitsrechts gefunden<br />
[Schmidt-Bleibtreu04].<br />
Nachdem die private Nutzung von Computern noch vor 20 Jahren einen seltenen<br />
Ausnahmefall darstellte, ist der Computer heute, nicht nur im geschäftlichen<br />
sondern auch im privaten Bereich, fast nicht mehr wegzudenken. Auch die<br />
Nutzung des Internet ist heutzutage eine Selbstverständlichkeit geworden und ein<br />
unverzichtbarer Bestandteil der öffentlichen Infrastruktur, ähnlich schnell<br />
gewachsen wie das Straßennetz [Hilgendorf07a S.1]<br />
Diese seit Mitte der 80er Jahre bis heute immer mehr zunehmende Digitalisierung<br />
veranlasste den Gesetzgeber aufgrund gleichfalls zunehmender krimineller<br />
Verhaltensweisen in diesem Bereich zu reagieren.<br />
Durch das 2. WiKG (Wirtschaftskriminalitätsbekämpfungsgesetz) vom 15.05.1986<br />
(BGBl. I 721) sollten die Strafbarkeitslücken geschlossen werden, die mit dem<br />
Aufkommen von computergestützten Informations- und Kommunikationssystemen<br />
entstanden waren. Einen strafrechtlichen Schutz aus § 202 StGB, der die<br />
Verletzung des Briefgeheimnisses unter Strafe stellt, erachtete der Gesetzgeber<br />
bereits vor über 20 Jahren als nicht mehr zeitgemäß bzw. ausreichend und stellte<br />
in § 202a StGB fortan auch das Ausspähen von Daten unter Strafe.<br />
22
3. Rechtliche Aspekte und Auswirkungen<br />
An dieser damals eingefügten Vorschrift hat sich bis heute nichts (Wesentliches)<br />
verändert. Da sich die bereits früher erkannten sozialschädlichen und kriminellen<br />
Verhaltensweisen im Laufe der Jahre entsprechend des technischen Fortschritts<br />
gleichfalls weiterentwickelt haben, wurden auf europäischer Ebene neue Vorgaben<br />
für das Computer- und Internetstrafrecht entwickelt [Hilgendorf07b].<br />
Diese Vorgaben werden in dem Übereinkommen des Europarats über<br />
Computerkriminalität (Cybercrime Convention) vom 23.11.2001 [CC01] und dem<br />
Rahmenbeschluss des Rates vom 24.02.2005 [EU05] über Angriffe auf<br />
Informationssysteme modifiziert und mussten von den Mitgliedsstaaten in<br />
nationales Recht umgesetzt werden.<br />
Die geforderte Umsetzung der „Cybercrime Convention“ in nationales Recht nahm<br />
der deutsche Gesetzgeber zum Anlass, die bereits bestehenden §§ 202a, 303a,<br />
303b StGB zu überarbeiten und darüber hinaus die §§ 202b und 202c StGB in das<br />
Gesetz, d.h. in das StGB neu aufzunehmen.<br />
Mit Aufnahme des § 202b StGB ist damit nicht mehr nur das Ausspähen, sondern<br />
nunmehr auch das Abfangen von Daten strafbar. Mit § 202c StGB geht der<br />
Gesetzgeber sogar noch einen Schritt weiter und stellt bereits bestimmte<br />
besonders gefährliche Vorbereitungshandlungen, die auf eine Straftat nach § 202a<br />
StGB oder § 202b StGB hinzielen, unter Strafe. Der Straftatbestand des § 202c<br />
StGB sorgte sowohl bei den Juristen, als auch bei den Informatikern für heftigen<br />
Diskussionsstoff.<br />
Im Folgenden soll zunächst ein kurzer Überblick über die Voraussetzungen, die<br />
das deutsche Strafrecht an eine Strafbarkeit stellt, gegeben werden. Im Anschluss<br />
daran werden die Tatbestandsvoraussetzungen des § 202c StGB erörtert. Dabei<br />
soll insbesondere der Versuch unternommen werden, die Auswirkungen dieser<br />
neuen Vorschrift auf IT-Dienstleister und Forensiker darzustellen, die daraus<br />
resultierenden Probleme herauszuarbeiten und ggf. sich anbietende Lösungswege<br />
aufzuzeigen.<br />
23
3. Rechtliche Aspekte und Auswirkungen<br />
3.2 Voraussetzung einer Strafbarkeit<br />
Zum besseren Überblick und Verständnis insbesondere im Hinblick auf die später<br />
folgende Darstellung der Auswirkungen des § 202c StGB auf die IT-Dienstleister<br />
und Forensiker und der damit zusammenhängenden Problemfelder, sollen hier<br />
vorab zunächst die wichtigsten Grundsätze bzw. Grundprinzipien des deutschen<br />
Rechts bzw. Strafrechts kurz dargestellt werden<br />
Einer der wichtigsten Grundsätze im Strafrecht und damit auch im StGB ist in dem<br />
Gesetzlichkeitserfordernis zu sehen. Man darf nur für etwas bestraft werden,<br />
wenn dieses Verhalten vom Gesetzgeber vorher unter Strafe gestellt worden ist.<br />
Damit ist untersagt, dass ein Handeln erst nachträglich unter Strafe gestellt<br />
werden kann. (nullum crimen sine lege und nulla poena sine lege).<br />
Die Bedeutung dieses Prinzips im deutschen Strafrecht ist insbesondere auch<br />
daran zu erkennen, dass es in den §§ 1 und 2 StGB geregelt und damit an den<br />
Anfang des StGB gestellt worden ist [Schönke06b] und dass die Vorschrift in der<br />
Fassung des 2.StRG (Strafrechtsreformgesetz vom 04.07.1969 BGBl. I 717)<br />
wörtlich mit Art. 103 II GG übereinstimmt [Tröndle06a, Rn.1].<br />
Damit enthält § 1 StGB das verfassungsrechtliche Gebot (Art. 103 II GG) der<br />
Bestimmtheit von Straftatbeständen. Dieser Bestimmtheitsgrundsatz enthält als<br />
Bestandteile das Bestimmtheitsverbot, das Verbot der Rückwirkung, das Verbot<br />
der Analogie sowie die Bindung des Strafrechts an geschriebene Gesetze<br />
[Tröndle06a, Rn.2].<br />
Die Anforderungen an die Bestimmtheit setzen voraus, dass die Strafbarkeit der<br />
Tat gesetzlich bestimmt sein muss [Tröndle06a, Rn.3].<br />
Das bedeutet, dass eine Tat nur dann bestraft werden kann, wenn zum Tatzeitpunkt<br />
ein Gesetz vorhanden war, durch das gerade dieses Verhalten unter Strafe<br />
gestellt ist, §1 StGB. Durch das Gesetzlichkeitserfordernis soll zum einen eine<br />
Bindung der Executive und der Judikative an Recht und Gesetz erreicht werden<br />
und zum anderen der potentielle Täter durch die gesetzliche Festlegung an der<br />
Ausführung der verbotenen Tat abgeschreckt werden.<br />
24
3. Rechtliche Aspekte und Auswirkungen<br />
Dies setzt wiederum voraus, dass der Täter das entsprechende Gesetz kennt bzw.<br />
kennen kann und insoweit bei Begehung der Tat mit entsprechendem Unrechtsbewusstsein<br />
(d.h. schuldhaft) handelt. Dies wird in der Literatur für den § 202c<br />
StGB allerdings in Frage gestellt.<br />
Dem Bestimmtheitsgrundsatz steht allerdings nicht entgegen, wenn eine<br />
Strafrechtsnorm z.B. Generalklauseln oder unbestimmte,<br />
wertausfüllungsbedürftige Begriffe verwendet, wenn diese zum überlieferten<br />
Bestand an Strafrechtsnormen gehören und wenn sich durch den<br />
Normzusammenhang sowie durch die gefestigte Rechtsprechung eine<br />
zuverlässige Grundlage für ihre Auslegung und Anwendung gewinnen lässt<br />
[Tröndle06b].<br />
Selbst eine Häufung derartiger auslegungsbedürftiger Tatbestandsmerkmale<br />
(Begriffe) führen nicht zwangsläufig zur Unbestimmtheit im Sinne des Art 103II<br />
GG. Entscheidend dabei ist, dass eine verfassungskonforme Auslegung möglich<br />
ist.<br />
Aus diesem in § 1 StGB verankerten Prinzip leitet sich zudem das Verbot<br />
strafbegründender bzw. strafschärfender Analogie sowie das Verbot von einem<br />
(zu Lasten des Täters gehenden) Gewohnheitsrecht ab [Schönke06c].<br />
Das Analogieverbot besagt, dass die Anwendung eines Rechtssatzes auf einen<br />
von ihm auf Grund einer planwidrigen Gesetzeslücke nicht erfassten Sachverhalt,<br />
der dem geregelten rechtsähnlich ist, sowie das Entwickeln neuer Rechtssätze<br />
aus ähnlichen schon bestehenden, zu Ungunsten des Täters ausgeschlossen ist<br />
[Tröndle06c].<br />
Nicht ausgeschlossen ist hingegen eine Analogie zugunsten des Täters.<br />
Ebenso wie das Analogieverbot darf das Verbot von Gewohnheitsrecht nicht zu<br />
Lasten des Täters angewendet werden [BVerf01].<br />
Nicht verboten ist es jedoch, zu Gunsten des Täters gewohnheitsrechtlich bzw.<br />
durch Richterrecht entstandene Rechtssätze anzuwenden [Tröndle06d].<br />
25
3. Rechtliche Aspekte und Auswirkungen<br />
3.3 Prüfung der Strafbarkeit im Allgemeinen und des §<br />
202c StGB im besonderen<br />
3.3.1 Übersicht<br />
Zusammengefasst kann gesagt werden, dass sich jede Straftat aus einem<br />
Unrechts- und einem Schuldbestandteil zusammensetzt. Mit Unrecht ist insoweit<br />
der Blick auf die Tat an sich gemeint. Im Rahmen der juristischen Strafbarkeitsprüfung,<br />
innerhalb des dreigliedrigen Prüfungsaufbaus, wird unter den (beiden)<br />
Punkten der Tatbestandsmäßigkeit und der Rechtswidrigkeit danach gefragt, ob<br />
man, d.h. die Allgemeinheit ein bestimmtes Handeln erlaubt oder nicht<br />
[Wessels05, §5I, Rn.115f, S.45f].<br />
Im Anschluss daran, d.h. in einem dritten Schritt, wird dann der Blick auf den ganz<br />
bestimmten Täter gerichtet und danach gefragt, von ihm vorgenommene<br />
Handlung erlaubt ist. Eine Strafbarkeit liegt vor, wenn der Täter tatbestandsmäßig,<br />
rechtswidrig und schuldhaft gehandelt hat.<br />
3.3.2 Der Objektive Tatbestand<br />
Der objektive Tatbestand kennzeichnet das nach außen hin Sichtbare einer<br />
Straftat. Dazu gehört zunächst der Täter (d.h. das Tatsubjekt), der sich in einer<br />
bestimmten Weise verhält bzw. Handlungen vornimmt. Darüber hinaus zählen bei<br />
bestimmen Straftatbeständen das Opfer (d.h. das Tatobjekt) und das Verhalten<br />
selbst (d.h. die Tathandlung), das als strafwürdig angesehen wird. Bezogen auf<br />
den § 202c StGB stellt das Tatobjekt keinerlei Probleme dar. Täter kann hier jeder<br />
Mensch sein. Die Tathandlung wird in den jeweiligen gesetzlichen Tatbeständen<br />
beschrieben. In § 202c StGB besteht die Tathandlung in der Vorbereitung einer<br />
Straftat nach § 202a oder § 202b StGB in der Weise , dass entweder Passwörter<br />
oder sonstige Sicherungscodes, die den Zugang zu Daten ermöglichen, oder<br />
Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt,<br />
sich oder einem anderen verschafft, verkauft, einem anderen überlässt,<br />
verbreitet oder sonst zugänglich macht.<br />
26
3. Rechtliche Aspekte und Auswirkungen<br />
Gerade der objektive Tatbestand des § 202c StGB gilt nach Meinung mehrerer<br />
Literaturstimmen als zu weit geraten [Hilgendorf07a].<br />
Demnach wird kein klarer Unrechttypus umschrieben. Im Gegenteil werden auch<br />
die Tätigkeiten von Systemadministratoren, die sich mit der Herstellung bzw.<br />
Festlegung von Passwörtern und Sicherungscodes befassen, sowie von<br />
Sicherheitsfirmen, die Software zum Testen der Schutzvorrichtungen entwickeln,<br />
von § 202c StGB erfasst.<br />
Dieses Risiko der Überkriminalisierung wird bzw. wurde vom Gesetzgeber auch<br />
gesehen, er will dieses Problem aber bereits innerhalb des objektiven Tatbestands<br />
einer Korrektur zuführen. Die Bundesregierung führt hierzu wie folgt aus:<br />
„Die Befürchtung, dass auch der gutwillige Umgang mit Softwareprogrammen zur<br />
Sicherheitsüberprüfung von IT-Systemen von § 202c StGB-E erfasst werden<br />
könnte, ist nicht begründet. Die Nichterfassung des gutwilligen Umgangs mit<br />
Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen wird bereits<br />
auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert.<br />
Einerseits muss es sich objektiv um ein Computerprogramm handeln, dessen<br />
Zweck die Begehung einer Computerstraftat ist, und andererseits muss die<br />
Tathandlung – also das Herstellen, Verschaffen, Verkaufen, Überlassen,<br />
Verbreiten oder sonst Zugänglichmachen – zur Vorbereitung einer<br />
Computerstraftat erfolgen [Drucksache06, S.19].“<br />
Folglich werden nach Ansicht der Bundesregierung Computerprogramme, wegen<br />
fehlender objektiver Tatbestandsmäßigkeit, strafrechtlich nicht erfasst, die der<br />
Sicherheit oder Forschung in diesem Bereich dienen [Drucksache06, S.19a]. Auch<br />
bei den sogenannten „Dual-Use-Tools“, bei denen der funktionale Zweck nicht<br />
eindeutig ein krimineller ist, soll der objektive Tatbestand nach Ansicht der<br />
Bundesregierung genauso wenig erfüllt sein [Drucksache06, S.19a].<br />
Für die Praxis würde dies bedeuten, dass ein Strafrichter eine Unterscheidung<br />
dahingehend vornehmen müsste, ob eine Software „böse“ oder „gut“ ist. Diese<br />
Unterscheidung ist tatsächlich allerdings nicht möglich und auch nicht<br />
durchführbar [Ernst07].<br />
27
3. Rechtliche Aspekte und Auswirkungen<br />
Einem Programm oder einer Software ist nicht anzusehen, ob dessen funktionaler<br />
Zweck eindeutig ein krimineller war bzw. ist oder nicht. Aus diesem Grund wird<br />
sich ein Strafrichter kaum auf eine derartige Abgrenzung einlassen wollen und<br />
eher danach fragen, ob die Software grundsätzlich geeignet ist, kriminelle<br />
Handlungen damit vorzunehmen bzw. durchzuführen.<br />
Dies wird den Regelfall bei den „Dual-Use Tools“ darstellen, so dass nach hier<br />
vertretener Ansicht grundsätzlich davon auszugehen ist, dass das Verhalten von<br />
Netzwerkadministratoren in diesem Bereich stets auch objektiv tatbestandsmäßig<br />
sein wird.<br />
Sollte man dennoch der Gesetzesbegründung folgen, wäre jedenfalls in den<br />
Fällen der objektive Tatbestand zu bejahen, in denen realitätsnahe Tests in Form<br />
von Angriffen simuliert werden und dabei Programme zur Anwendung kommen,<br />
die auch bei wirklichen Angriffen eingesetzt werden. Hier ist in aller Regel der<br />
objektive Zweck der Begehung einer Straftat nicht mehr von der Hand zu weisen.<br />
Als Korrektiv für die zu weit geratene Fassung des objektiven Tatbestandes des §<br />
202c StGB kann somit nur noch der subjektive Tatbestand herangezogen werden,<br />
was jedoch, wie noch zu zeigen sein wird, kaum ausreichend sein dürfte<br />
[Hilgendorf07a].<br />
28
3. Rechtliche Aspekte und Auswirkungen<br />
3.3.3 Der Subjektive Tatbestand<br />
Neben dem objektiven Tatbestand setzt eine Strafbarkeit desweiteren voraus,<br />
dass auch der subjektive Tatbestand gegeben ist.<br />
Im subjektiven Tatbestand wird, vereinfacht ausgedrückt, untersucht, ob die innere<br />
Seite des Täters die äußere Seite der Tat widerspiegelt. Es wird danach gefragt,<br />
wie der Täter innerlich zur Verwirklichung des objektiven Tatbestands steht, d.h.<br />
ob er mit entsprechendem Vorsatz gehandelt hat.<br />
Unter Vorsatz versteht man das Wissen und Wollen der zum gesetzlichen Tatbestand<br />
gehörenden objektiven Merkmale. Damit setzt sich der Vorsatz aus einem<br />
Wissenselement und einem Wollenselement zusammen.<br />
Der Vorsatz wird gemeinhin in drei Gruppen eingeteilt:<br />
Die Absicht, der direkte Vorsatz und der Eventualvorsatz<br />
[Wessels05, §7II, Rn.210, S.82].<br />
Diese drei Formen unterscheiden sich durch die unterschiedlichsten Stärken von<br />
Wissen und Wollen.<br />
So dominiert bei der Absicht (dolus directus 1.Grades) das Wollen, wohingegen im<br />
Rahmen des Wissenselements ein bloßes „Für-möglich-Halten“ genügt<br />
[Wessels05, §7II Nr.1, Rn.211, S.82f].<br />
Beim direkten Vorsatz (dolus directus 2.Grades) dominiert dagegen das Wissen<br />
so dass beim Wollen sogar ein „Nicht-Wollen“ gegeben sein kann bzw. ausreicht<br />
[Wessels04, §7II Nr.2, Rn.213, S.84]<br />
Die dritte und zugleich schwächste Art des Vorsatzes ist schließlich der<br />
Eventualvorsatz. Bei diesem reicht auf der Wissensebene ein „Bloßes Fürmöglich-halten“<br />
und auf der Wollensebene ein „sich damit abfinden“ aus<br />
[Wessels05, §7II Nr.3, Rn.214, S.84].<br />
Welcher dieser drei Vorsatzformen bei der Prüfung einer Strafnorm vorliegen<br />
muss, ergibt sich aus dem Gesetz.<br />
29
3. Rechtliche Aspekte und Auswirkungen<br />
Während der dolus directus 1. und 2. Grades ausdrücklich in der jeweiligen<br />
Strafvorschrift genannt werden muss, reicht hinsichtlich aller anderen Strafnormen<br />
bzw. Tatbestandsmerkmale ein Eventualvorsatz aus.<br />
In § 202c StGB genügt, mangels ausdrücklicher anderweitiger Regelung im<br />
Gesetz, der Eventualvorsatz. Danach muss ein Täter zumindest billigend in Kauf<br />
nehmen, durch seine Handlung eine Computerstraftat nach § 202a oder § 202b<br />
StGB zu ermöglichen oder zu fördern. Dies bedeutet, dass sich z.B. ein Systemadministrator,<br />
der Passwörter vergibt oder Sicherungscodes festlegt, schon dann<br />
strafbar machen kann, wenn er dabei mit der Möglichkeit rechnet, dass die<br />
Passwörter bzw. Sicherungscodes in einem Hacker-Angriff benutzt werden<br />
können und sich mit dieser Begebenheit abfindet [Hilgendorf07a].<br />
In der Praxis kann wohl davon ausgegangen werden, dass Systemadministratoren<br />
jedenfalls mit der Möglichkeit rechnen müssen, dass die Passwörter oder<br />
Sicherungscodes sowie die erstellten Computerprogramme in krimineller Art und<br />
Weise auch von anderen eingesetzt werden können. Handeln sie nun trotzdem,<br />
finden sie sich zugleich mit der Möglichkeit ab, dass mit den Programmen ggf.<br />
Hacker-Angriffe oder dergleichen vorgenommen werden. In diesen Fällen wäre<br />
sowohl der objektive als auch der subjektive Tatbestand gegeben, da insoweit der<br />
Eventualvorsatz vorläge.<br />
Diese Strafbarkeitsausweitung wurde vom Gesetzgeber gesehen und hätte durch<br />
eine Engerfassung des subjektiven Tatbestands dadurch eingeschränkt werden<br />
können, dass eine Strafbarkeit nach § 202c absichtliches Handeln vorausgesetzt<br />
hätte. Dies hätte man wie folgt formulieren können:<br />
„Wer in der Absicht, eine Straftat nach § 202a oder § 202b vorbereitet, indem er<br />
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a<br />
Abs.2) ermöglichen, oder<br />
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,<br />
herstellt sich oder einem anderen verschafft, verkauft, einem anderen überlässt,<br />
verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr<br />
oder mit Geldstrafe bestraft.“<br />
30
3. Rechtliche Aspekte und Auswirkungen<br />
3.3.4 Rechtswidrigkeit und Schuld<br />
Des Weiteren setzt eine Strafbarkeit voraus, dass der Täter auch rechtswidrig und<br />
schuldhaft gehandelt hat.<br />
In den meisten Fällen, die im Zusammenhang mit einer Strafbarkeit nach § 202c<br />
StGB stehen, wird bei gegebener Tatbestandsmäßigkeit, die Tat auch rechtswidrig<br />
und schuldhaft gewesen sein. Insofern soll hier auf weitere Ausführungen in<br />
diesem Bereich verzichtet werden.<br />
3.3.5 Zusammenfassung<br />
Zusammenfassend ist festzuhalten, dass die Strafvorschrift des § 202c StGB viel<br />
zu weit geraten ist und zu einer Überkriminalisierung, die der Gesetzgeber ja<br />
ausdrücklich vermeiden wollte, führen wird bzw. bereits geführt hat. Entgegen der<br />
Gesetzesbegründung ist es nicht möglich bzw. zulässig, den objektiven Tatbestand<br />
dahingehend einzuschränken, dass z.B. nur diejenigen Programme unter<br />
§ 202c StGB fallen, die einen ausschließlich kriminellen Hintergrund haben.<br />
Auch eine effektive Eingrenzung über den subjektiven Tatbestand wurde vom<br />
deutschen (anders als vom österreichischen) Gesetzgeber nicht aufgegriffen.<br />
Dies hätte leicht durch die Forderung bzw. Einführung einer „absichtlichen“<br />
Tatbegehung erfolgen können.<br />
Insoweit sind die in der Computerszene vorherrschenden Ängste bzw. Bedenken,<br />
sich einer Strafbarkeit auszusetzen, als nicht unberechtigt einzustufen.<br />
Ob sich diese Bedenken in der Praxis bewahrheiten werden, bleibt voll und ganz<br />
der Rechtsprechung und damit der richterlichen Rechtsfortbildung überlassen und<br />
bleibt damit abzuwarten.<br />
31
3. Rechtliche Aspekte und Auswirkungen<br />
3.3.6 Mögliche Reaktionen der Rechtsprechung<br />
In der Literatur wird zum Teil die Meinung vertreten, dass die Gerichte bei der<br />
strafrechtlichen Bewertung eines Falles, der in Zusammenhang mit § 202c StGB<br />
steht, auch die Gesetzesbegründung und die Änderungen der Bundesregierung<br />
mit zu berücksichtigen sind.<br />
Dieser Ansicht steht zumindest nicht das oben angesprochene und näher<br />
erläuterte Bestimmtheitsgebot, das Verbot von Gewohnheitsrecht oder das Verbot<br />
einer Gesetzesanalogie entgegen.<br />
Bei den hier in Betracht kommenden Fällen wird nämlich in aller Regel eine<br />
Anwendung zu „Gunsten“ des Täters in Betracht kommen. Diese ist nicht<br />
verboten.<br />
Anderseits ist die Judikative, d.h. der Strafrichter, nicht verpflichtet die Gesetzesbegründung<br />
heranzuziehen. Im Gegenteil ist ihm eine Einbeziehung sogar dann<br />
verboten, wenn sich aus dem Wortlaut der Strafnorm keinerlei Auslegungsprobleme<br />
ergeben [Tröndle06a, Rn.11].<br />
Eine Korrektur des eindeutigen Wortlauts nach Maßgabe eigener verfassungsrechtlichen<br />
Bewertung ist den Strafrichtern mithin nicht gestattet. Maßgebend ist<br />
insoweit allein der im Gesetz zum Ausdruck kommende „objektivierte“ Wille des<br />
Gesetzgebers [BVerf02].<br />
Im vorliegenden Fall und damit im § 202c StGB ergeben sich auf Grund der weiten<br />
Fassung aber gerade keine Auslegungsprobleme, so dass hier mit einer Einschränkung<br />
nicht zu rechnen sein dürfte. Es sind eben nahezu alle<br />
problematischen Konstellationen bzw. Sachverhalte nach dem Wortlaut der Norm<br />
unter § 202c eingeordnet.<br />
32
3. Rechtliche Aspekte und Auswirkungen<br />
Wie bereits angesprochen können verfassungsrechtliche Bedenken gegen die<br />
Rechtmäßigkeit einer Strafvorschrift nicht vom Strafrichter festgestellt werden.<br />
Hierfür ist einzig und allein das Bundesverfassungsgericht zuständig, so dass der<br />
Strafrichter den Fall bzw. die Norm dem Bundesverfassungsgericht zur Beurteilung<br />
nach Art. 100 Abs. 1 GG vorlegen müsste.<br />
Diese Möglichkeit der verfassungsrechtlichen Überprüfung hat auch der einzelne<br />
Bürger. Dieser könnte eine Verfassungsbeschwerde einlegen. In dem sich daraus<br />
ergebenden Urteil könnte z.B. eine Verletzung der Berufsfreiheit nach Art. 12 GG,<br />
die eine Anwendung des § 202c StGB in der jetzigen Fassung ggf. mit sich<br />
bringen, gerügt werden.<br />
Die Strafbarkeit von sog. „Dual-Use-Programmen“ führt faktisch dazu, dass<br />
bestimmte Tätigkeiten im Umfeld der IT-Sicherheitsmaßnahmen nicht mehr<br />
möglich sind. Als problematisch könnte sich hier allerdings die in aller Regel sehr<br />
langwierige Verfahrensdauer herausstellen. Die auf diese Weise im Unklaren<br />
gelassene Computerszene müsste somit sehr lange warten und sich in der<br />
Zwischenzeit in einer Art „luftleerem Raum“ bewegen, bis die Rechtssprechung<br />
eine Regelung bzw. ein Urteil herbeigeführt bzw. gesprochen hat.<br />
Letztlich bleibt der in diesem Bereich tätigen Computerszene kaum eine andere<br />
Wahl, als die aktuelle Entwicklung gespannt zu verfolgen und zu hoffen, dass bei<br />
ggf. erfolgenden Strafurteilen der Gesetzgeber rechtzeitig einlenkt und eine<br />
Korrektur vornehmen wird.<br />
33
3. Rechtliche Aspekte und Auswirkungen<br />
3.4 Blick nach Österrreich<br />
Schon am 1. Oktober 2002 wurden in Österreich die Vorgaben der Cybercrime<br />
Convention im Bereich der Computerkriminalität in das österreichische Strafgesetzbuch<br />
aufgenommen. Die Umsetzung der österreichischen Regierung hätte<br />
als Vorbild oder zumindest als Vorlage für den Gesetzesentwurf der Bundesregierung<br />
dienen können. In dieser Umsetzung findet sich in dem äußerst<br />
zentralen Punkt eine genauere Formulierung als hierzulande. Demnach muss der<br />
wesentliche bzw. primäre Zweck die Begehung der genannten Straftaten sein.<br />
Eine bloße Eignung ist dabei nicht ausreichend [DuD07].<br />
§ 126c öStGB Missbrauch von Computerprogrammen oder Zugangsdaten:<br />
„Wer<br />
1. ein Computerprogramm, das nach seiner besonderen<br />
Beschaffenheit ersichtlich zur Begehung eines<br />
widerrechtlichen Zugriffs auf ein Computersystem (§ 118a), einer<br />
Verletzung des Telekommunikationsgeheimnisses (§ 119), eines<br />
missbräuchlichen Abfangens von Daten (§ 119a), einer<br />
Datenbeschädigung (§ 126a), einer Störung der<br />
Funktionsfähigkeit eines Computersystems (§ 126b) oder eines<br />
betrügerischen Datenverarbeitungsmissbrauchs (§ 148a)<br />
geschaffen oder adaptiert worden ist, oder eine vergleichbare<br />
solche Vorrichtung oder<br />
2. ein Computerpasswort, einen Zugangscode oder vergleichbare<br />
Daten, die den Zugriff auf ein Computersystem oder einen Teil<br />
davon ermöglichen,<br />
mit dem Vorsatz herstellt, einführt, vertreibt, veräußert, sonst<br />
zugänglich macht, sich verschafft oder besitzt, dass sie zur<br />
Begehung einer in Z 1 genannten strafbaren Handlungen<br />
gebraucht werden, ist mit Freiheitsstrafe bis zu 6 Monaten oder mit<br />
Geldstrafe bis zu 360 Tagessätzen zu bestrafen.“(2) […]<br />
34
3. Rechtliche Aspekte und Auswirkungen<br />
3.5 Auswirkungen des Paragraphen auf IT-Dienstleister<br />
und Forensiker<br />
Wie bereits in den vorangegangenen Kapiteln erwähnt besteht im Gesetzestext<br />
des § 202c StGB keine Unterscheidung zwischen „Dual Use Tools“ und<br />
Programmen, die auf Begehung von Straftaten ausgelegt sind. Daher fehlt es den<br />
IT Sicherheitsunternehmen und der Forschung die Rechtsicherheit.<br />
[Sabre07, Kap. 2.3.1].<br />
Allein schon das Verschaffen einer solchen Software, reicht für den Anfangsverdacht<br />
einer Straftat aus.<br />
Aus diesem Grund besteht für einen Hersteller oder einen Anwender immer die<br />
Gefahr einer Anzeige. Dabei spielt es keine Rolle, ob die Software privat oder<br />
geschäftlich eingesetzt wird.<br />
In der Gegenäußerung der Bundesregierung wird zwar in der Begründung darauf<br />
hingewiesen, dass der § 202c StGB nur dann greifen solle, wenn der Zweck<br />
dieses Computerprogramms die Begehung einer Computerstraftat ist. Dadurch<br />
wäre nach Angaben der Bundesregierung nämlich sichergestellt, dass keine<br />
Computerprogramme erfasst werden, die der Überprüfung der IT-Sicherheit oder<br />
Forschung dienen [Drucksache06].<br />
An dieser Stelle möchte ich nun detailierter auf die möglichen Auswirkungen und<br />
die Befürchtungen der IT-Branche eingehen.<br />
Im Rahmen ihrer Arbeit müssen Systemadministratoren Passwörter vergeben und<br />
Sicherheitscodes festlegen. Wenn ein Systemadministrator mit der Möglichkeit<br />
rechnet, dass diese Passwörter bzw. Sicherheitscodes bei einem Hacker Angriff<br />
benutzt werden können, macht er sich nach neuem Recht strafbar [Hilgendorf07a].<br />
Wie bereits im oben erwähnten Beispiel über die Herstellung und Anwendung von<br />
„Dual-Use-Tools“, kann es sehr leicht zu einer Anzeige von einem<br />
konkurrierenden Unternehmen kommen.<br />
35
3. Rechtliche Aspekte und Auswirkungen<br />
Würden dann Ermittlungen eingeleitet und die komplette EDV-Ausrüstung eines<br />
Unternehmens zur Beweismittelsicherung des Falles beschlagnahmt werden,<br />
käme dies, auch wenn später dann ein Freispruch erfolgen solle, einem Bankrott<br />
gleich. Hinzu kommen die unter Umständen eintretenden und nicht zu unterschätzenden<br />
Rufschädigungen, mit denen ein Unternehmen in der ohnehin sehr<br />
sensiblen Computerbranche zu rechnen hätte.<br />
Hinzu kommt, dass auch Freiberufler oder kleinere Firmen sehr hart betroffen<br />
sind, da sie ihre Aufgabenbereiche nicht von einem auf den anderen Tag<br />
umstellen können. Dienstleistungen im Bereich der Computersicherheit basieren<br />
bzw. bestehen insbesondere auf der Grundlage von Vertrauen. Es gibt womöglich<br />
kein Unternehmen, das Mitarbeiter einstellen oder Unternehmen beauftragen<br />
würde, die schon einmal auf Grund einer Computerstraftat aktenkundig geworden<br />
sind [Sabre07 Kap. 2.3.1].<br />
Eine mögliche Folge daraus wäre die Abwanderung von führenden deutschen<br />
Unternehmen ins Ausland. Einige Firmen haben schon ihre Server und Programmierabteilungen<br />
ins Ausland verlagert, um sich der deutschen<br />
Gerichtsbarkeit zu entziehen und um sich und ihre Existenz zu schützen [Stern07].<br />
Im (europäischen) Ausland ist auf Grund der bereits erwähnten genaueren<br />
Gesetzesfassung (siehe Bsp. Österreich Kap.3.2.5), von keiner strafrechtlichen<br />
Verantwortbarkeit auszugehen. Gerade in der Computerbranche sollte durch die<br />
vorherrschende Globalisierung durch das World Wide Web eine derartige Flucht<br />
bzw. Auswanderung nicht die allergrößten Probleme bereiten. Fraglich ist hier<br />
allerdings, ob das in dieser Konsequenz vom Gesetzgeber so gewollt ist.<br />
36
3. Rechtliche Aspekte und Auswirkungen<br />
Umzug von Entwicklern von Sicherheitstools<br />
Abbildung 3.1: Auswanderung KisMAC (Quelle: http://kismac.binaervarianz.de/)<br />
Den gleichen Weg wie KisMAC ins Ausland , siehe Abbildung 3.1, nahm auch die<br />
security crew Phenoelit, sowie die securitysite „ The hackers choice“, die die<br />
Entwicklung von Sicherheits-Tools eingestellt haben und ihre bereits entwickelten<br />
Tools auf Server im Ausland ausgelagert haben.<br />
Da Deutschland im Hochtechnologiebereich der Computersicherheit unter den<br />
führenden Nationen zu finden ist, würde eine Abwanderung zugleich auch einen<br />
Rückschritt bedeuten. Neben den Kosten der Umlagerung ins Ausland würden<br />
dem Unternehmen kaum weitere Kosten entstehen, da die weltweite Nachfrage im<br />
Bereich der Computersicherheit größer als das Angebot ist. Aus diesem Grund<br />
sollte es keine Probleme geben, im Ausland Fuß zu fassen. Jedoch wird auf<br />
Grund der fehlenden Rechtssicherheit kein Unternehmen mehr bereit sein, einen<br />
Auftrag über Überprüfungsdienstleistungen eines deutschen Unternehmens<br />
anzunehmen [Sabre07 Kap. 2.3.1].<br />
37
3. Rechtliche Aspekte und Auswirkungen<br />
Als nicht minder problematisch stellen sich die Auswirkungen des „Hackerparagraphen“<br />
auf die Forschung dar. Computersicherheit lebt größtenteils von der<br />
Forschung nicht kommerzieller akademischer und privater Interessensgruppen.<br />
Diese Gruppen stellen insbesondere durch selbstinitiierte Angriffe die Computersicherheit<br />
auf Probe, erarbeiten mögliche Lösungen und stellen diese zum Teil<br />
kostenfrei zur Verfügung. Dieses komplette Offenlegen von Schwachstellen bezeichnet<br />
man als „Full Disclosure“. Dadurch werden Anwender, Administratoren<br />
und Hersteller auf die Sicherheitsprobleme aufmerksam gemacht und können<br />
diese Lücke in ihrem System beheben. Seit über zehn Jahren versuchen<br />
kriminelle Gruppen dieses „Full Disclosure“ erfolglos zu verhindern. Bei diesem<br />
Versuch bekommen sie nun Hilfe vom deutschen Gesetzgeber.<br />
Da es sich bei diesen Forschungsgruppen um Privatpersonen handelt, hat eine<br />
Anzeige drastische Auswirkungen auf das Privat- und Berufsleben des Betroffenen<br />
[Sabre07 Kap. 2.3.2].<br />
Der deutsche Sicherheitsexperte Stefan Esser beispielswiese, der sich auf die<br />
Suche von PHP-Sicherheitslücken spezialisiert hat, entfernte von seiner Webseite<br />
Demonstrationen zu PHP-Sicherheitslücken [Heise07].<br />
Bedenken in dieser Hinsicht äußert auch Paul Frießem vom Fraunhofer Institut für<br />
sichere Informationstechnologie in Sankt Augustin:<br />
„In die Röhre schauen diejenigen, die sich für Forschung und Entwicklung einsetzen<br />
wollen. Unsere Studenten und Wissenschaftler schauen sich diese<br />
Werkzeuge an, um zu überprüfen, was man mit ihnen machen kann. Wenn ich mir<br />
Sicherheitsvorkehrungen ausdenke, die ich nicht überprüfen kann, habe ich ein<br />
Problem. Das sei ungefähr so, wie zu sagen, man solle einen feuersicheren Safe<br />
bauen, aber man darf keinen Flammenwerfer verwenden, um ihn zu testen, weil<br />
der zu gefährlich und daher verboten sei [Frießem07].“<br />
Professor Johannes Buchmann vom Darmstädter Zentrum für IT-Sicherheit stellt<br />
seine Forschungs- und Lehrinhalte auf Grund des „Hackerparagraphs“ nicht um.<br />
„Darauf lassen wir es ankommen“ sagte er Spiegel Online. [Spiegelon07a]<br />
38
3. Rechtliche Aspekte und Auswirkungen<br />
An der TU Darmstadt wurde gezeigt, wie leicht sich der WEP-Standard für die<br />
Verschlüsselung von drahtlosen Netzen knacken lässt [Spiegelon07a]. Jedoch fällt<br />
auf, dass auf der Homepage des Lehrstuhls von Professor Buchmann kein Link<br />
mehr zu der Seite „Angriffe und Kryptographie“ besteht.<br />
Eine entgegen gesetzte Meinung vertritt hingen der IT-Sicherheitsexperte<br />
Professor Bernhard Stütz von der Fachhochschule Stralsund. Professor Stütz wird<br />
zum nächsten Semester sein Lehrprogramm umstellen und die fraglichen Werkzeuge<br />
nicht mehr vorführen. Er ist sich dessen bewusst, dass hierdurch die Ausbildung<br />
leidet. Er werde sich aber keiner Gefahr aussetzen, rechtlich belangt zu<br />
werden, und schützt sich auf diese Weise [Deutschlandfunk07].<br />
39
4. Medienecho<br />
In seltener Einigkeit fordern der Chaos Computer Club (CCC), der Verband der<br />
deutschen Internetwirtschaft und der Verein zur Förderung der Vertrauenswürdigkeit<br />
von Informations- und Kommunikationstechnik im Grunde das Gleiche,<br />
eine Änderung des Gesetzeswortlautes [Brand07 S.121].<br />
Die Secunet Security Network AG mit Sitz in Essen hat für das Auswärtige Amt die<br />
Systemsoftware entwickelt, mit der deutsche Botschaften im Ausland miteinander<br />
verschlüsselt kommunizieren können. Derartige Systeme müssen ständig auf alle<br />
erdenklichen Sicherheitslücken hin überprüft werden, so dass die Gesetzesänderung<br />
auch hier Probleme bereitet. Der Pressesprecher des Unternehmens,<br />
Kay Rathke, fordert für sein Unternehmen eine Ausnahmegenehmigung zum<br />
Einsatz der verbotenen Werkzeuge. Diese gleiche Forderung äußert auch Rolf<br />
vom Stein, Leiter der Abteilung Technische Sicherheit bei der TÜV Secure IT<br />
GmbH, die neben der Bundesdruckerei auch viele große Banken mit fünf oder<br />
sechs Millionen Kunden auf Sicherheitsschwächen überprüft. Durch unsichere<br />
Computersysteme entstehen der gesamten Volkswirtschaft Schäden, die nur<br />
schwer zu beziffern sind [Brand07 S.122].<br />
<strong>Frank</strong> Rosengart vom CCC befürchtet eine pauschale Kriminalisierung der<br />
gesamten Sicherheitsszene, da es unmöglich ist abzugrenzen, um welche<br />
Programme es hier geht. Im Grunde fallen sämtlich Bordmittel von Linux oder<br />
Windows unter diese Definition. Selbst das im Emailverkehr eingesetzte<br />
Programm Outlook müsste streng genommen erfasst werden, denn Outlook kann<br />
dazu benutzt werden, Viren zu verbreiten [Brand07 S.123].<br />
Auch die getätigte Selbstanzeige des <strong>Mannheim</strong>er Securityexperten Michael<br />
Kubert beim <strong>Mannheim</strong>er Landgericht spricht für sich. Dieser hat auf seinem<br />
Server sogenannte „Hackertools“, z.B. zum Testen der Stärke von Passwörtern,<br />
angeboten [Gulli07].<br />
Michael Kubert erhofft sich durch diesen Schritt eine gewisse Rechtsicherheit.<br />
40
4. Medienecho<br />
Das PC-WELT Schwestermagazin Tecchannel will ebenfalls Klarheit in Bezug auf<br />
die Auslegung und Verwendung von „Dual Use Tools“ angesichts des § 202c<br />
StGB haben. Tecchannel berichtet im Internet ausführlich über Sicherheitslücken<br />
und deren Beseitigung. Das Magazin hat in Bonn Anzeige gegen das Bundesamt<br />
für Sicherheit und Informationstechnik (BSI) wegen des Verstoßes gegen § 202c<br />
StGB erstattet. Das BSI bietet auf ihren Internetseiten die Software BOSS (BSI<br />
OSS Security Suite) zum Download an. Ein Bestandteil dieser Security Suite,<br />
neben anderen Programmen, ist der Passswort-Cracker „Jack the Ripper“. Die<br />
Version in diesem Paket ist zwar stark eingeschränkt, aber der direkte Link zur<br />
Herstellerseite ermöglicht es, sich eine vollständige Version herunterzuladen. Für<br />
Tecchannel ein klarer Verstoß gegen § 202c StGB. Tecchannel erhofft für sich<br />
selbst und andere eine bessere Rechtssicherheit. Sollte die Staatsanwaltschaft die<br />
Anzeige ablehnen, könnte man sich am Vorbild des BSI orientieren. Es wäre dann<br />
nicht strafbar, in einem seriösen Umfeld das Thema aufzugreifen und solche<br />
Werkzeuge zu verbreiten. Sollte die Anzeige angenommen werden, ist auf alle<br />
Fälle eine Selbstzensur in diesem Bereich ratsam. Dennoch bleibt dann weiter<br />
abzuwarten, wie das Gericht entscheiden wird [Tecchannel07a].<br />
Beim Chaos Computer Camp 2007 im brandenburgischen Finowfurt haben sich<br />
die Sicherheitsexperten mit Netzwerkkabeln (Abbildung 4.1) gefesselt, da es nun<br />
ja keine Sicherheitsprobleme durch den neuen „Hackerparagraphen“ mehr geben<br />
wird [Tecchannel07b].<br />
Abbildung 4.1: gefesselte Sicherheitsexperten (Quelle: http://www.heise.de/newsticker/meldung/94236)<br />
41
4. Medienecho<br />
Selbst im Ausland hat man den „Hackerparagraphen“ kritisch gesehen und die<br />
Diskussion um ihn verfolgt. So beschreibt ein Artikel von Richard Stiennon eine<br />
interessante Sichtweise mit der Aussage „Hacking tools don’t hack, hackers do“<br />
[blogs.zdnet.com07]<br />
Auch die Gesellschaft für Informatiker (GI) hat ihre Bedenken zu dem neuen<br />
Gesetz erörtert. Der Sprecher der GI Professor Hartmut Pohl wies im Vorfeld auf<br />
die Notwendigkeit von Programmen und Tools hin, um die Aufdeckung von<br />
Sicherheitslücken zu ermöglichen. Außerdem bedeute der § 202c StGB eine<br />
Bedrohung der entsprechenden Lehre, Forschung und Entwicklung an<br />
<strong>Universität</strong>en. Er sieht sich von der Gnade der Richter abhängig [Spiegelon07b].<br />
Der ebenfalls der GI angehörende Juraprofessor Alexander Rossnagel befürchtet<br />
eine Kriminalisierung erwünschten Verhaltens. Auch er forderte eine Entschärfung<br />
des Paragraphen [computerwoche07]<br />
42
5. Schlussgedanken<br />
Die eigentliche und wichtigste Tatsache in den Augen des Verfassers ist, dass der<br />
§ 202c StGB an der deutschen Grenze endet. Im Gegensatz dazu ist das Internet<br />
nicht durch Grenzen behindert. In Russland gibt es IT-Experten, die für eine<br />
geringe Unkostenpauschale jede gewünschte Internetseite attackieren. Die dabei<br />
verwendete Angriffsform DDoS wurde bereits unter Kapitel 2.3.7 Computererpressung<br />
kurz erläutert. Für 150,00 US-Dollar kann man so einen Auftrag<br />
ausführen lassen.<br />
Minder selten sind auch politische Ziele Angriffsobjekt, z.B. die Internetpräsenz<br />
der Oppositionsbewegung „Anderes Russland“ des früheren Schachweltmeisters<br />
Garri Kasparow. Diese Webseiten wurden regelmäßig vor geplanten Anti-Putin<br />
Demonstrationen außer Gefecht gesetzt. Da der Kreml das Fernsehen und weite<br />
Teile der Presse kontrolliert, ist das Internet die einzige Möglichkeit, die Anhänger<br />
anzusprechen [Spiegel07].<br />
Diese Angriffe sind aber nur möglich, solange unsichere Systeme existieren.<br />
Daher kommt es nach meiner Ansicht im Wesentlichen darauf an, die Sicherheit<br />
weitervoranzutreiben und nicht zu blockieren bzw. sie unter Strafe zu stellen.<br />
Im Internet kann man sich kostengünstig und problemlos die „wirklich bösen“<br />
Tools beschaffen. Mittels des Programms Pinch zum Preis von ca. 30,00 Euro<br />
kann man sich seinen „eigenen“ Trojaner zusammenstellen. Man wählt aus einer<br />
vordefinierten Auswahl an Checkboxen die zu organisierenden Passwörter aus.<br />
Anschließend drückt man noch COMPILE, und der eigene Trojaner ist fertig.<br />
Der § 202c StGB ist Ursache dafür, dass die Internetsicherheit in Deutschland<br />
gesunken ist und noch weiter sinken wird. Sicherheitsexperten sind verunsichert<br />
und wandern ins Ausland ab. Unternehmen der IT-Security investieren und<br />
wachsen jetzt vermehrt im Ausland. Wie der Fall des Professors aus Stralsund<br />
belegt, trauen sich Menschen aus Forschung und Lehre nicht mehr, sich mit<br />
„Hacker-Tools“ öffentlich zu beschäftigen.<br />
43
5. Schlussgedanken<br />
Der Bundesinnenminister der Bundesrepublik Deutschland, Wolfgang Schäuble,<br />
hat auf einer Tagung des Bundesamtes für Sicherheit und Informationstechnik<br />
vorgeschlagen, Lizenzen für vertrauenswürdige Sicherheitsdienstleister einzuführen,<br />
einen sogenannten IT-Waffenschein.<br />
Nach Meinung des Verfassers dieser Arbeit sollte die Bundesregierung erkennen,<br />
dass die (IT)-Sicherheit eines Unternehmens oberste Priorität hat. In der heutigen<br />
Zeit sind Geschäftsbeziehungen ohne das Internet undenkbar. Nach den<br />
Systemeinbrüchen Chinas mit der Folge, dass sich seit Mai 2007 einige Trojaner<br />
auf den Rechnern der Regierung tummelten [Spiegelon07c], erscheint dies fast als<br />
Ironie des Schicksals.<br />
Weiterhin stellt sich die Frage, wie die Bundesregierung die Schwachstelle gefunden<br />
hat, ohne Einsatz einer nach § 202c StGB verbotenen Software.<br />
Dieses Beispiel zeigt umso deutlicher, dass sichere Systeme unabdingbar sind.<br />
Diese Meinung vertritt auch der Vizepräsident des Bundesamtes für<br />
Verfassungsschutz Elmar Remberg. Er fordert mittelständische Unternehmen auf,<br />
ihre Netzwerke ebenso gut abzusichern wie die der großen Unternehmen.<br />
Dadurch würde das Eindringen von Industriespionen in ihre Netzwerke erschwert<br />
werden.<br />
Nach Meinung des Verfassers ist § 202c StGB bewusst so eng gehalten, damit<br />
dem Bundestrojaner die Türen offen stehen und er sich nicht mit schwierigen<br />
Eindringen in geschlossene Systeme beschäftigen muss, da den Anwendern die<br />
Möglichkeit genommen wurde, ihre Systeme auf Sicherheit zu testen.<br />
Sollte dann doch jemand diese Tools einsetzen, und der Bundestrojaner käme<br />
nicht zum Zug, so hätte man auf jeden Fall die Möglichkeit, den Anwender nach §<br />
202c StGB zu belangen.<br />
Somit bleibt gespannt abzuwarten wie sich die Selbstanzeige des <strong>Mannheim</strong>er<br />
Security Experten, sowie die Anzeige gegen das BSI entwickeln und zu hoffen,<br />
dass der § 202c um die Absicht zur Begehung einer Straftat erweitert wird.<br />
44
6. Literaturverzeichnis<br />
[BGBl07] Bundesgesetzblatt Jahrgang 2007,Teil 1, Nr. 38 ausgegeben zu Bonn<br />
10.08.2007<br />
[BKA06] Elektronische Version der Polizeilichen Kriminalstatistik www.bka.de<br />
(Stand 17.10.2007)<br />
[blogs.zdnet.com07] Hacking tools don’t hack, hackers do 14.08.2007<br />
http://blogs.zdnet.com/threatchaos/?p=467 (Stand 17.10.2007)<br />
[BR07] Bundesrat, Gesetzesbeschluss des Deutschen Bundestages, Drucksache<br />
389/07, 15.06.2007<br />
[Brand07] BRAND EINS 01/07<br />
[BVerf01] BVerfGE 71,115; 73,235)<br />
[BVerf02] BVerfGE 79,106; BGHSt 29,198<br />
[CC01] Cybercrime Convention , ETS No.185 23.11.2001 Budapest<br />
[CCC98]Hackerethik des Chaos Computer Clubs www.ccc.de/hackerethics<br />
(Stand 17.10.2007)<br />
[computerwoche07] GI gegen verschärften Hackerparagraph, 04.07.2007 S.10<br />
[Die Welt07] Hacker schlichten Tarifstreit bei der Bahn 10.10.2007,<br />
http://www.welt.de/webwelt/article1250295/Hacker_schlichten_Tarifstreit_bei_<br />
der_Bahn.html (Stand 26.10.2007)<br />
[DB06] Gesetzentwurf der Bundesregierung, Drucksache 16/3656, 30.11.2007<br />
[Deutschlandfunk07] Radiosendung vom 8.9.2008 16.30 online als mp3 vorhanden<br />
[dpa05] Meldung dpa aus Macwelt<br />
http://www.macwelt.de/news/szene_wirtschaft/331422 (Stand 17.10.2007)<br />
45
6. Literaturverzeichnis<br />
[Dornseif03] Dr. Dornseif, Maximilian aus Computerkriminalität,<br />
http://md.hudora.de/presentations/2003-toepelcompkrim/computerkriminalitaet-sommer.pdf<br />
(Stand 17.10.2007)<br />
[Dornseif97] Dr. Dornseif, Maximilian, Projekt Rechtstatsachenforschung im Bereich<br />
der Computerkriminalität<br />
http://md.hudora.de/jura/rechtstatsachen/rechtstatsachen.html<br />
(Stand 17.10.2007)<br />
[Drucksache06] BT-Drucksache 16/3656 Gesetzentwurf der Bundesregierung<br />
30.11.2006<br />
[DuD07] Datenschutz und Datensicherheit Nr31 2007 Heft 4 Aufsatz von Borges,<br />
Stuckenberg, Wegener S.275-278<br />
[Ernst07] Bruns, Stellungnahme, S. 5; vgl. Kudlich, Stellungnahme, S. 7f.; Hilgendorf,<br />
Stellungnahme S. 6; Stefan Ernst,NJW 2007,S.2661, 2663<br />
[EU05]Rahmenbeschluss des Rates der Europäischen Union, Abl. EU Nr. L 69 S. 67,<br />
vom 24.02.2005 in Brüssel<br />
[Freiling07] Prof. Dr.-Ing. Freiling, Felix, Vorlesung Computerforensik 07.03.2007<br />
S.10-11<br />
[Frießem07] Frießem, Paul aus BRAND EINS 01/07 S121-122<br />
[Gocsi07] Computer Security Institute http://www.gocsi.com (Stand 17.10.2007)<br />
[gulli07] Security Experte zeigt sich selbst an, 13.07.2007<br />
http://www.gulli.com/news/hackertools-securityexperte-2007-09-13<br />
(17.10.2007)<br />
[Hauptmann89] Hauptmann, Peter-Helge, Zur Strafbarkeit des sog.<br />
Computerhackens, 1989, S.215-218<br />
[Heintschel97]Prof. Heintschel von Heinegg, Professor für Öffentliches Recht, 1997;<br />
46<br />
Computerkriminalität
6. Literaturverzeichnis<br />
[Heise07] Keine PHP-Exploits wegen Hackerparagraphen 14.08.2007<br />
http://www.heise.de/newsticker/meldung/94357 (Stand 17.10.2007)<br />
[Heise02] Computerkriminalität in Deutschland wieder kräftig gestiegen 2.5.2002<br />
http://www.heise.de/newsticker/meldung/27078 (Stand 17.10.2007)<br />
[Hilgendorf07a] Prof. Dr. Dr. Eric Hilgendorf, <strong>Universität</strong> Würzburg, Stellungnahme<br />
zum Entwurf eines Strafrechtänderungsgesetz zur Bekämpfung der<br />
Computerkriminalität<br />
[Hilgendorf07b] Überblick bei E. Hilgendorf, Tendenzen und Probleme einer<br />
Harmonisierung des Internetstrafrechts auf Europäischer Ebene, in Ch.<br />
Schwarzenegger, O. Arter und F.S. Jörg, Internet-Recht und Strafrecht,<br />
4.Tagungsbestand 2004,2005, S2257ff; Hilgendorf Stellungnahme zum<br />
Entwurf eines Strafrechtsänderungsgesetz zur Bekämpfung der<br />
Computerkriminalität<br />
[HGF05] Hilgendorf, <strong>Frank</strong>, Valerius Computer und Internetstrafrecht, Springer<br />
Verlag2005,S. 57<br />
[Jaeger98] Jaeger, Stefan Computerkriminalität, 1998<br />
[Kes02] Kommunikations- und EDV Sicherheit<br />
http://www.kes.info/archiv/material/studie2002/index.html (Stand 17.10.2007)<br />
[Sabre07] Stellungnahme SABRE Labs GmbH zum Entwurf eines<br />
Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität<br />
[Sieber96] Sieber, Ulrich, Missbrauch der Informationstechnik und<br />
Informationsstrafrecht, 1996, S.611<br />
[Schmidt-Bleibtreu04] Kommentar zum Grundgesetz Art. 1Rn 59 10.Auflage 2004<br />
[Schmitz90] Schmitz, Herbert Computerkriminalität 1990<br />
[Schönke06a] Schönke / Schröder / Lenckner Vorbemerkungen zu§§201ff.StGB<br />
Rn.2 Kommentar zum StGB 27.Auflage 2006<br />
47
6. Literaturverzeichnis<br />
[Schönke06b] Schönke / Schröder / Eser §1StGB Rn.1 Kommentar zum STGB 27.<br />
Auflage 2006<br />
[Schönke06c] Schönke/ Schröder /Eser §1 StGB Rn124 unter Hinweis auf BVerfGE<br />
25, S.269 ff, NJW 1986, S.1672 Kommentar zum STGB 27.Auflage 2006<br />
[Spiegel07] Der Spiegel, 31/2007 S. 74, Angriff der Cyber Söldner, Benjamin Bidder<br />
[Spiegelon07a] Datensicherung verboten, Peter Zschunke, 13.09.2007,Spiegel<br />
Online http://www.spiegel.de/netzwelt/tech/0,1518,505130,00.html<br />
(Stand 17.10.2007)<br />
[Spiegelon07b] Gesetz kriminalisiert Programmierer, Konrad Lischka,<br />
http://www.spiegel.de/netzwelt/web/0,1518,492932,00.html<br />
06.07.2007,Spiegel Online (Stand 17.10.2007)<br />
[Spiegelon07c] Chinesische Trojaner auf PCs im Kanzleramt, 25.08.2007, Spiegel<br />
Online, http://www.spiegel.de/netzwelt/tech/0,1518,501954,00.html<br />
(Stand 17.10.2007)<br />
[Stern07] Hackerparagraf, Auch die Aufpasser müssen aufpassen vom 23.09.2007<br />
http://www.stern.de/computer-technik/computer/:Hackerparagraph-Auch-<br />
Aufpasser/598457.html (Stand 17.10.2007)<br />
[Tecchannel07a] Der Hackerparagraph und das Bundesamt vom 17.09.2007<br />
http://www.tecchannel.de/sicherheit/grundlagen/1729025/ (Stand 17.10.2007)<br />
[Tecchannel07b] Administratoren und Programmierer werden kriminalisiert vom<br />
17.09.2007 http://www.tecchannel.de/sicherheit/grundlagen/1728239/<br />
(Stand 17.10.2007)<br />
[Tröndle06a] Tröndle/Fischer , §1StGB, 54. Auflage Stand 01.09.2006<br />
[Tröndle06b] Tröndle/Fischer, §1 StGB, Rn5c mit Verweis auf BVerfGE<br />
4,357;71,115;78,382 54. Auflage, Stand 01.09.2006<br />
48
6. Literaturverzeichnis<br />
[Tröndle06c] Tröndle Fischer, §1 StGB, Rn.10, u.a. mit Hinweis auf BGHSt 7,103;<br />
BGHSt 8,70 54. Auflage, Stand 01.09.2006<br />
[Tröndle06d] Tröndle/Fischer §1 StGB, Rn.9 mit Hinweis auf BGHSt 5,23 54. Auflage<br />
Stand 01.09.2006<br />
[Wessels05] Wessels/Beulke, Strafrecht AT, 35.Auflage 2005<br />
[Winkelbauer98] Winkelbauer, Wolfgang Computerkriminalität und Strafrecht, 1998,<br />
S.40-44<br />
[Wistra05] wistra 5/2007 S.167-170, Strafbarkeit des „Phishing“ von Bankkontodaten<br />
und ihrer Verwertung, Prof. Dr. Michael Heghmanns, <strong>Universität</strong> Münster<br />
49