Frank absolutfinal - Pi1 - Universität Mannheim

UNIVERSITÄT MANNHEIM LEHRSTUHL FÜR PRAKTISCHE INFORMATIK I
Diskussion des neuen
„Hackerparagraphen“
§ 202c StGB
Frank Zimmer
30.10.2007
Software- und Internettechnologie
Erstprüfer: Prof. Dr.-Ing. Felix Freiling, Universität Mannheim
Zweitprüfer: Dr. Kay Schumann, Universität Bonn
Betreuer: Prof. Dr.-Ing Felix Freiling

Ich versichere, dass ich die vorliegende Arbeit selbständig verfasst und keine
anderen als die angegebenen Quellen und Hilfsmittel benutzt, sowie Zitate
kenntlich gemacht habe.
Mannheim, den 29.10.2007
(Frank Zimmer)

Zusammenfassung
Diese Arbeit stellt eine Diskussion des neu in das Gesetz eingeführten „Hackerparagraphen“
§ 202c StGB dar. Sie wird dessen Entstehungsgeschichte und die
Absicht einer europäischen Einigung des gemeinsamen Straftatbestands in Bezug
auf Computerkriminalität beschreiben.
Dabei werden verschiedene Arten der Computerkriminalität angesprochen und
erläutert.
Eine Grundlage für die Diskussion stellen die sogenannten „Dual-Use-Tools“ dar,
die zum einen als Hacker-Tool zum anderen aber auch zur Absicherung des
eigenen Computernetzes für IT-Sicherheitsexperten unabdingbar sind. Zu diesen
Diskussionen kommt es insbesondere dadurch, dass Hacker-Tools auf verschiedene
Art und Weise eingesetzt bzw. missbraucht, jedoch nicht (immer) in „gute“
und „böse“ getrennt werden können. Auf diese Problematik wurde der Gesetzgeber
bereits im Gesetzgebungsverfahren hingewiesen, eine Reaktion darauf
erfolgte hingegen nicht.
Im weiteren Verlauf der Arbeit wird eine Einordnung des § 202c StGB in das
deutsche Recht vorgenommen. Hierbei soll klargestellt werden, was eine Straftat
ist und welche Voraussetzungen für eine Strafbarkeit gegeben sein müssen.
Abschließend soll an Hand eines Medienechos aufgezeigt werden, welch Aufruhr
dieses Gesetz bzw. Vorschrift in Deutschland erzeugt hat.

Inhaltsverzeichnis
ZUSAMMENFASSUNG ................................................................................................................................. 4
INHALTSVERZEICHNIS ................................................................................................................................. 5
1. EINLEITUNG ....................................................................................................................................... 6
2. ENTSTEHUNG DES „HACKERPARAGRAPHEN“..................................................................................... 8
2.1 GESCHICHTLICHES UND ZIELE ...................................................................................................................... 8
2.2 COMPUTERKRIMINALITÄT UND IHRE FORMEN .............................................................................................. 10
2.2.1 Computermanipulation / Datenveränderung .......................................................................... 12
2.2.2 Computerspionage / Ausspähen von Daten ............................................................................ 14
2.2.3 Computerbetrug ...................................................................................................................... 15
2.2.4 Computermissbrauch / Zeitdiebstahl ....................................................................................... 15
2.2.5 Softwarepiraterie ..................................................................................................................... 15
2.2.6 Hacking .................................................................................................................................... 16
2.2.7 Computererpressung ............................................................................................................... 16
2.2.8 Betrug mit Zugangsberichtigung zu Kommunikationsdiensten ............................................... 17
2.2.9 Fälschung beweiserheblicher Daten / urkundenfälschung ...................................................... 17
2.2.10 Phishing ................................................................................................................................... 17
2.3 NEUE ARTEN DER COMPUTERKRIMINALITÄT ................................................................................................ 18
2.3.1 Cyberstalking ........................................................................................................................... 18
2.3.2 Cybersquatting ........................................................................................................................ 18
2.3.3 Domain-Hijacking .................................................................................................................... 18
2.4 EINREIHUNG DES § 202C STGB IN DIE COMPUTERKRIMINALITÄT ..................................................................... 19
2.4.1 Der „Hackerparagraph“........................................................................................................... 19
2.4.2 Die Einordnung zur Computerkriminalität ............................................................................... 20
2.4.3 Beispiele zu „Dual-Use-Tools“.................................................................................................. 21
3. RECHTLICHE ASPEKTE UND AUSWIRKUNGEN .................................................................................. 22
3.1 ALLGEMEIN ........................................................................................................................................... 22
3.2 VORAUSSETZUNG EINER STRAFBARKEIT ....................................................................................................... 24
3.3 PRÜFUNG DER STRAFBARKEIT IM ALLGEMEINEN UND DES § 202C STGB IM BESONDEREN .................................... 26
3.3.1 Übersicht .................................................................................................................................. 26
3.3.2 Der Objektive Tatbestand ........................................................................................................ 26
3.3.3 Der Subjektive Tatbestand ....................................................................................................... 29
3.3.4 Rechtswidrigkeit und Schuld .................................................................................................... 31
3.3.5 Zusammenfassung ................................................................................................................... 31
3.3.6 Mögliche Reaktionen der Rechtsprechung .............................................................................. 32
3.4 BLICK NACH ÖSTERRREICH ....................................................................................................................... 34
3.5 AUSWIRKUNGEN DES PARAGRAPHEN AUF IT-DIENSTLEISTER UND FORENSIKER ................................................... 35
4. MEDIENECHO................................................................................................................................... 40
5. SCHLUSSGEDANKEN......................................................................................................................... 43
6. LITERATURVERZEICHNIS .................................................................................................................. 45

1. Einleitung
Als am 10.Oktober um 7.40 Uhr auf den Internetseiten der Gewerkschaft der
Lokführer (GDL) die Einigung im Tarifstreit zwischen GDL und der Bahn veröffentlich
wurde, dachten viele Menschen an das Ende der Streikwelle.
In Wirklichkeit jedoch hatten Unbekannte den Internetauftritt der GDL gehackt und
unter der Rubrik aktuelle Meldungen die Pressemitteilung herausgegeben, dass
auf dem kurzen Dienstweg eine Einigung erfolgt wäre und mit weiteren Streiks
nicht mehr zu rechnen sei [Die Welt07].
Dieser Artikel zeigt neben den rasanten Fortschritten im Bereich der Informationstechnologie
die große Anzahl neuer Möglichkeiten, aber auch des Missbrauchs.
Aus diesem Grund entstehen Gesetze, die der Bekämpfung der Computerkriminalität
dienen.
Meine ersten Erfahrungen an der Universität Mannheim machte ich in der
Vorlesung „Sicherheit in Rechnersystemen“ von Prof. Dr. Henning Pagnia. Durch
diese Vorlesung bekam ich einen sehr guten Überblick über die Sicherheit von
Computersystemen. Aus diesem Grund stellt das Schreiben dieser Arbeit für mich
einen großen Anreiz dar.
In der vorliegenden Arbeit werde ich mich mit dem neuen „Hackerparagraphen“
§ 202c StGB auseinandersetzen. Hierbei wird sich die Arbeit in vier weitere Teile
gliedern.
.Das nächste Kapitel, Kapitel 2, befasst sich mit der Entstehungsgeschichte des
neuen „Hackerparagraphen“ § 202c StGB und dessen Ziele. Es werden
verschiedene Arten der Computerkriminalität beschrieben. Es wird der § 202c
StGB vorgestellt und eine Einordnung in die Delikte der Computerkriminaltät
hergestellt. Auch der Begriff der „Dual-Use-Tools“ wird darüber hinaus anhand von
Beispielen erläutert.

1. Einleitung
In Kapitel 3 werden rechtliche und informatische Gesichtspunkte, unter Rückgriff
auf wissenschaftliche Literatur, erläutert. Dabei wird zuerst klar gestellt, was zur
Voraussetzung der Strafbarkeit gegeben sein muss und welche möglichen
Reaktionen sich aus der Rechtssprechung ergeben können. Des Weiteren findet
in diesem Kapitel ein Blick über die Grenzen Deutschlands nach Österreich statt
und beleuchtet dort die Umsetzung des Paragraphen. Abschließend wird das
Kapitel die Auswirkungen des Paragraphen auf IT- Dienstleister und Forensiker
darlegen.
Wie die Gesetzesänderungen in den Medien aufgenommen wurden, soll in
Kapitel 4 aufgezeigt werden. Es soll deutlich werden, welche Reaktionen bzw.
Diskussionsthemen durch Einführung des § 202c StGB entstanden sind.
Im abschließenden Kapitel 5 wird die Arbeit mit einem Resümee zu den in diesem
Bereich stattfindenden Diskussionen sowie mit dem persönlichen Standpunkt des
Verfassers dieser Arbeit beendet.
Diese Arbeit hat zum Ziel, die Computerkriminalität und den § 202c StGB näher zu
beschreiben. Im Weiteren soll sie eine Einordnung, auch für Nichtjuristen, in das
Strafrecht ermöglichen. Nach dem Lesen dieser Arbeit soll es ohne tiefgreifende
juristische Vorkenntnisse möglich sein, die Grundlagen der Strafbarkeit des § 202c
zu verstehen.
7

2. Entstehung des „Hackerparagraphen“
Im folgenden Kapitel soll die Entstehungsgeschichte des neuen „Hackerparagraphen“
§ 202c StGB und die damit verfolgten Ziele beschrieben werden. Neben
den „Dual-Use-Tools“ sollen verschiedene Arten der Computerkriminalität erklärt
werden und eine Einordnung des § 202c StGB gegeben werden.
2.1 Geschichtliches und Ziele
Der „ Hackerparagraph“ § 202c des Strafgesetzbuchs (StGB) entstand aus der
vorzunehmenden Umsetzung des Artikel 6 aus dem Übereinkommens des
Europarates über Computerkriminalität (Cybercrime Convention) [CC01] vom
23.November 2001 in Budapest sowie aus dem Rahmenbeschluss des Rates der
Europäischen Union vom 24. Februar 2005 in Brüssel über Angriffe auf Informationssysteme
[EU05].
Ziele dieser Vereinbarungen sind zum Einen die Förderung der verstärkten Zusammenarbeit
der Mitgliedsstaaten des Europarates zur Bekämpfung der
Computerkriminalität; zum Anderen soll eine gemeinsame Überzeugung dahingehend
erreicht werden, dass in Europa die Notwendigkeit zur Schaffung einer
gemeinsamen Strafrechtspolitik mit einem Mindeststandard an Strafvorschriften
bestehe, die z.B. Vorbereitungshandlungen für Computerstraftaten beinhalten und
die Einhaltung bestimmter Mindesthöchststrafen bei bestimmten schweren
Formen der Computerkriminalität verlangen. Darüber hinaus enthält die Vereinbarung
Vorgaben für das Strafverfahrensrecht, für die internationale Zusammenarbeit
und zur Rechtshilfe. Dadurch soll eine Verbesserung der Zusammenarbeit
zwischen Justiz und den sonstigen zuständigen Behörden, einschließlich der
Polizei und anderer Strafverfolgungsbehörden der Mitgliedsstaaten entstehen
[DB06]. Die Gesellschaft soll durch die entsprechenden Umsetzungen und die
damit verbundene Aufnahme in das Strafgesetzbuch noch stärker vor Computerkriminalität
geschützt werden.
8

2. Entstehung des „Hackerparagraphen“
Die Änderung des StGB erweitert die Strafbarkeit von Handlungen in Bezug auf
Hacking und anderer Onlinestraftaten. Da Rechnernetze weltweit verteilt sind, soll
sich der Schutz nicht nur national beschränken, sondern sich auf Grund der angestrebten
Zusammenarbeit und der Gemeinsamkeiten auch auf internationale
Ebene erstrecken.
Rechnernetze und elektronische Informationssysteme können neben den vielen
positiven Funktionen auch zum Begehen von Straftaten missbraucht werden.
Hieraus erwächst die Besorgnis, dass Terroranschläge auf Informationssysteme
zunehmen werden, da sie Teil der kritischen Infrastruktur eines Staates sind.
Nach den Vorgaben des EU-Rahmenbeschlusses bestand bis zum 16. März 2007
für die Mitgliedsstaaten die Verpflichtung zur Umsetzung der Vereinbarungen.
Bemerkenswert ist in diesem zeitlichen Zusammenhang, dass erst am 21. März
2007 eine öffentliche Anhörung im Bundestag stattfand. Zu dieser wurden neun
Sachverständige geladen und angehört, die zum Gesetzentwurf der Bundesregierung
Stellung nahmen.
Am 24. Mai 2007 um 2.00Uhr wurde der Gesetzentwurf, unter den Gegenstimmen
der PDS und des forschungs- und medienpolitischen Sprechers der SPD Jörg
Tauss, angenommen [BR07].
Die Umsetzung dieser Vorgaben zieht verschiedene Gesetzesänderungen im
deutschen Recht nach sich. Die §§ 202b (Abfangen von Daten) und 202c
(Vorbereiten des Ausspähens und Abfangen von Daten) StGB wurden in das
Strafgesetzbuch (StGB) neu eingefügt, die §§ 202a (Ausspähen von Daten), 303a
(Datenveränderung) und 303b (Computersabotage) StGB wurden hingegen
lediglich geändert, beziehungsweise ergänzt.
Seit dem 11. August 2007 ist das Strafrechtsänderungsgesetz zur Bekämpfung
der Computerkriminalität in Kraft getreten [BGBl07].
Die Umsetzung der Bundesregierung wurde und wird auch nach dem Zeitpunkt
des In-Kraft-Tretens von Juristen und IT-Experten stark kritisiert.
9

2. Entstehung des „Hackerparagraphen“
Bei der Umsetzung der Vorgaben der Cybercrime Convention sowie des Rahmenbeschlusses
ist Deutschland einen eigenen Weg gegangen, in dem der Gesetzeswortlaut
viel enger als die Empfehlungen gefasst wurde. In seiner aktuellen
Fassung behindert er die Arbeit von Systemadministratoren und IT-Sicherheitsfirmen
[Hilgendorf07a, S.7].
2.2 Computerkriminalität und ihre Formen
Unter Computerkriminalität versteht man alle Delikte bei denen der Computer
Werkzeug oder Ziel der Tathandlung ist, wobei die Tat durch den Einsatz des
Computers erleichtert, ermöglicht oder die Entdeckung erschwert wird
[Dornseif03].
Computerkriminalität ist nur sehr schwer in Worte oder gar in Zahlen zu fassen, da
keine allgemein gültige Begriffsdefinition besteht. Es werden aber alle bekannt
gewordene Straftaten jährlich in der polizeilichen Kriminalstatistik (PKS) erfasst
[BKA06].
In diese Statistik (siehe Abbildung 2.2) kommen allerdings nur Fälle, die der
Polizei auf Grund von Ermittlungsverfahren durch Erlangen von Tatbestand, Zeitpunkt,
Ort, Beteiligte usw. hinreichend bekannt geworden sind. In der PKS wird
ferner darauf hingewiesen, dass auf Grund einer enorm hohen Dunkelziffer „kein
getreues Spiegelbild der Kriminalitätswirklichkeit, sondern nur eine je nach
Deliktart mehr oder weniger starke Annäherung an die Realität wiedergegeben
werden kann. Gleichwohl ist sie für Legislative, Exekutive und Wissenschaft ein
Hilfsmittel, um Erkenntnisse über die Häufigkeit der erfassten Fälle sowie über
Formen und Entwicklungstendenzen der Kriminalität für die oben beschriebenen
Zielsetzungen zu gewinnen [BKA06].“
10

2. Entstehung des „Hackerparagraphen“
Abbildung 2.1: Polizeiliche Kriminalstatistik 2006 (Quelle: www.bka.de)
In der Statistik (siehe Abbildung 2.1) fällt auf, dass es im Jahre 2002 einen Einbruch
in den erfassten Fällen gab. Dieser Rückgang ist damit zu erklären, dass ab
dem Jahr 2002 Betrug mittels Scheck-/Kreditkarten ohne PIN erstmals nicht mehr
unter den Begriff der Computerkriminalität fallen sollte.
Abbildung 2.2: Fallentwicklung und Aufklärung (Quelle: www.bka.de)
Neben diesen amtlichen Statistiken liefern zunehmend private Umfragen aussagekräftige
Zahlen. Zum Beispiel führt die Zeitschrift „Kommunikations- und EDV
Sicherheit“ [Kes02] Befragungen in Unternehmen durch, die Auskunft darüber
geben sollen, ob es zu irgendwelchen Auffälligkeiten in diesem strafrechtlichen
Bereich gekommen ist.
11

2. Entstehung des „Hackerparagraphen“
In den USA gibt es zudem zwei große Umfragen durch das „Computer Security“
Institute, sowie durch die „Computer Intrusion Squad“ der Bundespolizei FBI
[Gocsi07].
In den folgenden Unterkapiteln werden verschiedene Arten der Computerkriminalität
vorgestellt. Jedoch wird nachfolgend nur eine Auswahl der wichtigsten
Computerdelikte beschrieben. Die Beschreibung aller in Betracht kommenden
Sachverhalte würde auf Grund der Vielzahl von möglichen Delikten den Rahmen
dieser Arbeit sprengen.
Zudem soll aufgezeigt werden, dass es nicht ungewöhnlich ist, dass eine Straftat
nur durch Begehung einer anderen ermöglicht werden kann.
Beispielsweise kann der erste Schritt einer Computererpressung durch eine vorher
erfolgte Computermanipulation bewerkstelligt werden.
2.2.1 Computermanipulation / Datenveränderung
Unter Computermanipulation bzw. Computersabotage, geregelt in § 303b StGB,
versteht man die Störung einer Datenverarbeitung, die für einen anderen von
wesentlicher Bedeutung ist [HGF05].
Dies entsteht durch Datenveränderung (löschen, unterdrücken, unbrauchbar
machen oder verändern von Daten, § 303a StGB; Daten in der Absicht, einem
anderen Nachteil zuzufügen, eingibt oder übermittelt, sowie durch die Modifikation
von Datenverarbeitungsanlagen oder Datenträgern durch zerstören, beschädigen,
unbrauchbar machen, beseitigten oder verändern(§ 303b Abs.1).
Computermanipulation ist die häufigste Form und der Kernbereich der Computerkriminalität
[Schmitz90, S25].
Der Begriff der Computermanipulation wird in dem Buch von Herbert Schmitz,
Computerkriminalität, Ein Leitfaden für die Praxis, in verschiedene Untergruppen
eingeteilt:
12

2. Entstehung des „Hackerparagraphen“
Bei einer Inputmanipulation werden unrichtige Daten in ein ordnungsgemäß
ablaufendes Computerprogramm eingegeben. Diese werden von einem Computer
programmgemäß bearbeitet.
Als Beispiel nennt er einen Sachbearbeiter einer Kindergeldstelle, der über einen
Zeitraum von zehn Monaten Kindergeldnachzahlungen auf mehrere familieneigene
Konten angewiesen hat. Der entstandene Schaden belief sich auf DM
250.000,- [Schmitz90, S.25-26].
Bei einer Konsolenmanipulation werden die mechanischen Elemente eines
Computers missbraucht. Richtige Daten werden in ein ordnungsgemäß laufendes
Programm eingegeben. Die Ausgaben jedoch werden durch Eingriffe in die
Hardware modifiziert.
„Die gesamten Abrechnungen des Devisen- und Geldhandels der Herstatt-Bank
wurden über die Konsolenschreibmaschine eines Kleincomputers erfasst und
anschließend an den zentralen Computer der Bank übertragen. Zur Vertuschung
einzelner Devisenspekulationsgeschäfte erreichten die Mitglieder der Bank durch
das Drücken einer an der Konsole des Kleincomputers angebrachten sog.
'Abbruchtaste', dass die Daten einzelner Devisengeschäfte nicht an den Zentralcomputer
der Bank übertragen wurden. Hierdurch gelang es, von dem Kleincomputer
eine ordnungsgemäße Bestätigung des Geschäfts für den Kontrahenten
erstellen, ohne dieses jedoch buchungsmäßig in dem zentralen Computer der
Bank zu erfassen ( […]). Insgesamt sollen dabei Beträge von mehreren Milliarden
US-Dollar nicht oder nicht ordnungsgemäß verbucht worden sein [Schmitz03,
S.26-27].“
Bei der Programm-Manipulation versucht der Täter entweder das bestehende
Programm zu verändern, so dass für ihn ein günstigerer Datenverarbeitungsvorgang
durchgeführt wird oder er installiert ein für ihn günstiges Programm.
„Der Täter fügte mit Hilfe eines hierfür speziell erstellten Programms in den die
Gehaltsdaten der Firma enthaltenen Datenspeicher die Gehaltsdaten fiktiver
Personen ein und gab dabei als Konto […] sein eigenes Konto an.
13

2. Entstehung des Hackerparagraphen
( […]). Um eine Aufdeckung der Manipulation […] zu verhindern, veranlasste der
Täter […] zunächst durch Veränderungen an dem Gehaltszahlungsprogramm,
dass über die Zahlungen an die fiktiven Mitarbeiter keine Lohnzettel gedruckt
wurden und dass die Zahlungen auch nicht in den vom Computer erstellten
Kontrolllisten erschienen. Durch eine weitere Manipulation an dem die Prüfungsübersichten
und die Bilanzen des Unternehmens erstellenden Programm erreichte
er schließlich, dass die unterschlagenen Beträge von der an das Finanzamt zu
entrichtenden Lohnsteuer abgehoben wurden und daher in den Buchungsübersichten
und der Bilanz des Unternehmens nicht als Fehlbeträge auffielen. Bis zu
der durch Zufall erfolgten Aufdeckung bereicherte sich der Täter um DM 193.000.-
[Schmitz90, S.27-28].“
Die einfachste Art der der Computermanipulation ist die Outputmanipulation. Der
Täter nimmt dabei die Manipulation erst vor, nachdem die Daten in den Computer
eingegeben und ordnungsgemäß verarbeitet wurden. Diese Art der Manipulation
stellt eine Verfälschungshandlung, ohne spezielle EDV-Kenntnisse, des ursprünglichen
richtigen Outputs dar [Schmitz90, S. 28].
2.2.2 Computerspionage / Ausspähen von Daten
Unter dem Ausspähen von Daten versteht der Gesetzgeber unter § 202a StGB
sich oder einem anderen Zugang zu Daten unter Überwindung der Zugangssicherung
zu verschaffen, die nicht für ihn bestimmt und die gegen unberechtigten
Zugang besonders gesichert sind (§ 202b StGB). Als Computerspionage werden
die "zu einer Vermögensschädigung des Opfers führenden Fälle der unberechtigten
Erlangung und Verwertung von EDV-Daten" verstanden [Sieber96].
Jüngst bekannt gewordenes Beispiel ist die Entdeckung chinesischer Trojaner auf
Rechnern von Bundesministerium und Kanzleramt.
Ein Trojaner bzw. ein trojanisches Pferd ist ein Spionageprogramm, das unbemerkt
im Hintergrund Dienste vollbringt. In diesem Beispiel wurden Daten
ausgespäht und nach China weitergeleitet. Durch die Erkennung konnte ein
Datentransfer von 160Gigabyte verhindert werden [Spiegelon07c].
14

2. Entstehung des „Hackerparagraphen“
2.2.3 Computerbetrug
Unter dem Computerbetrug § 263a StGB versteht man all die Fälle, in denen das
Ergebnis eines Datenverarbeitungsvorgangs beeinflusst wird. Dies geschieht zum
einen durch eine unrichtige Gestaltung eines Programms, sowie durch Verwendung
unrichtiger oder unvollständiger Daten. Darüber hinaus zählt auch die
unbefugte Datenverwendung und das Einwirken auf den Ablauf des Programms
zum Tatbestand [Jaeger98 S. 51] Haupttatbestände sind vor allem Missbrauchsfälle
von Kreditkarten und ec-Karten.
2.2.4 Computermissbrauch / Zeitdiebstahl
Unter dem Begriff Zeitdiebstahl versteht man die Nutzung fremder Systeme und
deren Rechenleistung für private Zwecke. Früher waren Ressourcen und der
Zugang zum schnellen Datennetz knapp und sehr teuer, so dass es verlockend
war, eigene Programme auf fremden Rechnern ablaufen zu lassen [Jaeger98 S.
53].
Das Nutzen von Fremdressourcen ist auch in der heutigen Zeit wieder aktuell.
Neben den erwähnten Trojanern, die die Rechenleistung eines fremden
Computers ausnutzen und dabei fremde Programme im Hintergrund ablaufen
lassen, fällt der Begriff des Spammings in diesen Bereich hinein. Beim Spamming
werden fremde Computer oder Mailserver benutzt, um massenhaft Emails zu
verbreiten [Dornseif97].
2.2.5 Softwarepiraterie
Unter Softwarepiraterie versteht man die Vervielfältigung einer urheberrechtlich
geschützten Software ohne die Einwilligung des Berechtigten (UrhG § 106). Die
Software wird unerlaubt vervielfältigt und an interessierte Computerbetreiber für
einen Bruchteil des normalen Verkaufspreises verkauft [Schmitz90, S. 60-62].
Softwarepiraterie ist im Urheberrechtsgesetz UrhG geregelt. In der Bundesrepublik
Deutschland entstand im Jahre 2004 ein Schaden durch Softwarepiraterie in Höhe
von 1.8 Milliarden Euro [dpa05].
15

2. Entstehung des Hackerparagraphen
2.2.6 Hacking
Der Begriff des Hacking wird im allgemeinen Sprachgebrauch und in der
strafrechtlichen Literatur in einer unterschiedlichen Bedeutung verwendet.
Hacker werden zum Teil mit Datenspionen bzw. Saboteuren gleichgesetzt, denen
es um die Erlangung fremder Daten geht um dadurch einen geldwerten Vorteil zu
erlangen [Winkelbauer98].
Nach anderer Ansicht handelt es sich bei Hackern sich um „Computerfreaks“, die
einen sportlichen Ehrgeiz entwickeln, die Sicherheitsmechanismen anderer
Computersysteme zu überwinden ohne ein Interesse an den Daten des gehackten
Systems zu haben [Hauptmann89]. In den Anfängen des Computerzeitalters gab
es eine überschaubare „Hackergemeinde“, die sich einem ungeschriebenen
Ehrenkodex verpflichtete und keine Schäden in dem gehackten System
verursachte [CCC98].
Eine andere Einstufung von Hackern (IT-Spionen, Vandalen, Cracker und Hacker)
kann durch eine Klassifikation der Angreifer nach möglicher krimineller Energie
erstellt werden [Freiling07].
Der Begriff des Hacking sowie die Diskussion des „Hackerparagraphen“ § 202c
StGB hat in dieser vorliegenden Arbeit eine übergeordnete Rolle.
2.2.7 Computererpressung
Computererpressung entsteht durch die Veränderung oder Unbrauchbarmachung
von Daten bzw. der Computeranlage. Daten werden quasi „über Nacht“ verschlüsselt
und das Passwort wird nur durch Zahlung eines bestimmten Betrages
bekannt gegeben [Jaeger98, S. 52].
Eine gängige Art, um Computersysteme bzw. ganze Webserver außer Gefecht zu
setzen, sind die sogenannten DDoS (Distributed Denial of Service) Angriffe.
16

2. Entstehung des „Hackerparagraphen“
Hierbei stellen mehrere tausend gekaperte Computer zeitgleich sinnlose Anfragen
an eine Webseite, bis der Webserver überlastet ist und dadurch den Dienst
quittieren muss. Ziele dieser Angriffe sind oft Unternehmen, die über ihre Webseite
ihre Geschäfte abwickeln, wie z. B: online Wettbüros und Casinos. Durch
Zahlung von Schutzgeld können diese Angriffe verhindert werden.
2.2.8 Betrug mit Zugangsberichtigung zu Kommunikationsdiensten
Bei dieser Straftat handelt es sich, wie schon unter Kapitel 2.3.2 erwähnt, um
einen Unterpunkt des Ausspähens von Daten. Bei diesen Daten handelt es sich
meist um Zugangskennungen zum Surfen im Internet auf Kosten der Dateninhaber
oder um Zugangserschleichungen zu Telefonanschlüssen mit illegalem
Anwählen von gebührenintensiven 0190/0900 Nummern [Heise02].
2.2.9 Fälschung beweiserheblicher Daten / urkundenfälschung
Unter Fälschung beweiserheblicher Daten versteht man die unberechtigte
Speicherung oder Veränderung solcher Daten. Unter diesen Punkt fällt auch die
Täuschung im Rechtsverkehr bei Datenverarbeitung (§ 270 StGB), wenn man
vorsätzlich beweiserhebliche Daten so speichert oder verändert, dass diese
unecht oder verfälscht sind [Heintschel97].
2.2.10 Phishing
Unter „Phishing" versteht man das sich Verschaffen von Zugangsdaten wie
Passwörter, Kontendaten, Pin-Nummern, Kreditkartennummern, um mit deren
Hilfe an das Geld fremder Leute zu gelangen. Der Ablauf ist relativ einfach.
Überweisungen werden von dem schutzlosen Konto auf das Konto eines Dritten,
eines sogenannten Finanzagenten angewiesen, der durch E-Mails mit dem
Versprechen eines lukrativen Nebenverdienstes unter Vorspiegelung falscher
Tatsachen angeworben wurde. Der Finanzagent darf sich für seine Mühe eine
zuvor vereinbarte Provision einbehalten und weist den Rest z.B. als Baranweisung
über die Western Union Bank einer bestimmten Person zu.
17

2. Entstehung des Hackerparagraphen
Diese Person, natürlich unter Vorlage eines gefälschten Ausweises, bekommt das
Geld dann am Zielort bar ausbezahlt. „Das „Phishen“ von Zugangsdaten zu
Online-Bankdiensten ist als Fälschen beweiserheblicher Daten (§ 269 StGB) und
als unerlaubte Datenerhebung (§§ 44 I, 43 II Nr.1 BDSG) mangels unmittelbarer
Schädigung, aber nicht als Betrug strafbar. Wer die „gephishten“ Daten danach
bei Kontozugriffen verwendet, begeht zudem einen Computerbetrug [Wistra05].“
2.3 Neue Arten der Computerkriminalität
Unter den folgenden Unterkapiteln werden weitere „sozialschädliche
Handlungsmuster“ aufgezeigt, die in der heutigen Zeit zu immensen Schäden und
Problemen geführt haben [HGF05, S. 199, Rn. 738].
2.3.1 Cyberstalking
Unter Cyberstalking versteht man die Nutzung von E-Mail, Internet oder anderen
elektronischen Kommunikationsmitteln, um eine Person zu belästigen. Da man im
Internet anonym unterwegs sein kann, bieten sich hier neue Wege, einem anderen
zu schaden [HGF05, S. 201, Rn. 747, 748].
2.3.2 Cybersquatting
Cybersquatting, auch Domain-Grabbing genannt, bezeichnet den Versuch,
Internet-Adressen mit markenrechtlich geschützten Namen zu registrieren und
diese dann gegen ein möglichst hohes Entgelt zu veräußern. Opfer dieser
Vorgehensweise waren in der Vergangenheit zum Beispiel Panasonic, Hertz, Brad
Pitt und Mutter Teresa [HGF05, S. 203 Rn. 755].
2.3.3 Domain-Hijacking
Unter Domain-Hijacking versteht man die Übernahme einer fremden Domain.
Bekanntestes Beispiel war die Übernahme der Domain www.ebay.de durch einen
Internetnutzer [HGF05, S. 206, Rn. 766].
18

2. Entstehung des „Hackerparagraphen“
2.4 Einreihung des § 202c StGB in die Computerkriminalität
2.4.1 Der „Hackerparagraph“
Seitens der Bundesregierung wurde nachfolgender Textvorschlag des
„Hackerparagraphen“ an den Deutschen Bundestag übermittelt.
Dieser Vorschlag wurde in der Literatur, in den Medien und in verschiedenen
Stellungnahmen aufs heftigste diskutiert und zum Teil mit verschiedenen
Verbesserungsvorschlägen versehen. Diese Vorschläge wurden vom Gesetzgeber
allerdings nicht gehört und auch nicht umgesetzt, so dass die Vorschrift in
ihrer ursprünglich vorgeschlagenen Form im August diesen Jahres in Kraft
getreten ist.
Dieser Paragraph stellt in § 202c StGB das Vorbereiten des Ausspähens und
Abfangens von Daten unter Strafe, indem er besagt, dass
„Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu
Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen
Tat ist, herstellt, sich oder einem anderen verschafft, verkauft,
einem anderen überlässt, verbreitet oder zugänglich macht, wird mit
Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. […]“.
Der im Gesetzeswortlaut zitierte § 202a StGB stellt das Ausspähen von Daten
unter Strafe, indem er besagt, dass:
1. Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht
für ihn bestimmt und die gegen unberechtigten Zugang besonders
gesichert sind, unter Überwindung der Zugangssicherung
verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit
Geldstrafe bestraft
2. Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch,
magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert
sind oder übermittelt werden.“
19

2. Entstehung des „Hackerparagraphen“
2.4.3 Beispiele zu „Dual-Use-Tools“
Passwort Scanner werden von Systemadministratoren in Unternehmen dazu
verwendet, die Sicherheit von Passwörtern zu gewährleisten. Entspricht ein
Passwort nicht den Sicherheitsstandards eines Unternehmens, bekommt der
Anwender eine Aufforderung, sein Passwort zu ändern. Ein Passwort Scanner
kann aber auch dazu eingesetzt werden, Passwörter herauszufinden, um diese
dann missbräuchlich zu verwenden bzw. einzusetzen.
Netzwerksniffer überwachen den gesamten Datenverkehr einer Netzwerkkarte
und können diesen auch aufzeichnen. Dies dient der Fehlerdiagnose im Netzwerk.
Wird ein erhöhter Datenverkehr festgestellt, so kann man mit Hilfe eines
Netzwerksniffers herausfinden, welches Programm diesen erhöhten Datenverkehr
verursacht hat. Netzwerksniffer können aber auch dazu eingesetzt werden,
Passwörter oder Pins aufzuzeichnen.
Mittels Portscanner findet man offene Ports in Netzwerken, und der
Netzwerkadministrator hat dann die Möglichkeit, diese zu schließen.
Der Portscanner kann aber auch von einem Angreifer benutzt werden, um
Schwachstellen zu finden und diese dann in seinen Angriff mit einzubeziehen.
Die Doppelverwendung dieser IT-Programme hat für sehr viele Diskussionen
gesorgt. Im Bundestag waren neun Sachverständige geladen, die zu den
Gesetzesänderungen Stellung nehmen sollten. Mit Ausnahme der Sachverständigen
aus den Organen der Bundesregierung äußerten alle Bedenken an den
zu eng gefassten Gesetzen im Bezug auf die mögliche Doppelverwendung der
„Dual-Use-Tools“. Ein geladener Vertreter aus der Wirtschaft äußerte gar
Existenzängste. In dem nachfolgenden Kapitel werde ich auf verschiedene
juristische und informatische Komponenten, sowie teilweise auf die Stellungnahmen
der Sachverständigen, eingehen.
21

3. Rechtliche Aspekte und Auswirkungen
3.1 Allgemein
Die §§ 202a, 202b und 202c StGB wurden in den 15. Abschnitt des StGB
eingefügt. Dieser Abschnitt soll die Verletzung des persönlichen Lebens- und
Geheimbereichs einen hoheitlichen bzw. staatlichen Schutzes unterwerfen. Die
Tatbestände des Abschnitts beruhen auf dem gemeinsamen Grundgedanken,
dass eine freie Entfaltung der Persönlichkeit nur möglich ist, wenn dem einzelnen
ein Freiraum gegenüber Gemeinschaft, Staat und Mitmenschen eingeräumt bzw.
gewährleistet wird [Schönke06a]. Dieser Grundsatz hat seinen Ursprung
wiederum in dem in Art. 1GG (Grundgesetz) in Verbindung mit Art. 2 Abs. 2 GG
verankerten verfassungsrechtlich geschützten Persönlichkeitsrechts gefunden
[Schmidt-Bleibtreu04].
Nachdem die private Nutzung von Computern noch vor 20 Jahren einen seltenen
Ausnahmefall darstellte, ist der Computer heute, nicht nur im geschäftlichen
sondern auch im privaten Bereich, fast nicht mehr wegzudenken. Auch die
Nutzung des Internet ist heutzutage eine Selbstverständlichkeit geworden und ein
unverzichtbarer Bestandteil der öffentlichen Infrastruktur, ähnlich schnell
gewachsen wie das Straßennetz [Hilgendorf07a S.1]
Diese seit Mitte der 80er Jahre bis heute immer mehr zunehmende Digitalisierung
veranlasste den Gesetzgeber aufgrund gleichfalls zunehmender krimineller
Verhaltensweisen in diesem Bereich zu reagieren.
Durch das 2. WiKG (Wirtschaftskriminalitätsbekämpfungsgesetz) vom 15.05.1986
(BGBl. I 721) sollten die Strafbarkeitslücken geschlossen werden, die mit dem
Aufkommen von computergestützten Informations- und Kommunikationssystemen
entstanden waren. Einen strafrechtlichen Schutz aus § 202 StGB, der die
Verletzung des Briefgeheimnisses unter Strafe stellt, erachtete der Gesetzgeber
bereits vor über 20 Jahren als nicht mehr zeitgemäß bzw. ausreichend und stellte
in § 202a StGB fortan auch das Ausspähen von Daten unter Strafe.
22

3. Rechtliche Aspekte und Auswirkungen
An dieser damals eingefügten Vorschrift hat sich bis heute nichts (Wesentliches)
verändert. Da sich die bereits früher erkannten sozialschädlichen und kriminellen
Verhaltensweisen im Laufe der Jahre entsprechend des technischen Fortschritts
gleichfalls weiterentwickelt haben, wurden auf europäischer Ebene neue Vorgaben
für das Computer- und Internetstrafrecht entwickelt [Hilgendorf07b].
Diese Vorgaben werden in dem Übereinkommen des Europarats über
Computerkriminalität (Cybercrime Convention) vom 23.11.2001 [CC01] und dem
Rahmenbeschluss des Rates vom 24.02.2005 [EU05] über Angriffe auf
Informationssysteme modifiziert und mussten von den Mitgliedsstaaten in
nationales Recht umgesetzt werden.
Die geforderte Umsetzung der „Cybercrime Convention“ in nationales Recht nahm
der deutsche Gesetzgeber zum Anlass, die bereits bestehenden §§ 202a, 303a,
303b StGB zu überarbeiten und darüber hinaus die §§ 202b und 202c StGB in das
Gesetz, d.h. in das StGB neu aufzunehmen.
Mit Aufnahme des § 202b StGB ist damit nicht mehr nur das Ausspähen, sondern
nunmehr auch das Abfangen von Daten strafbar. Mit § 202c StGB geht der
Gesetzgeber sogar noch einen Schritt weiter und stellt bereits bestimmte
besonders gefährliche Vorbereitungshandlungen, die auf eine Straftat nach § 202a
StGB oder § 202b StGB hinzielen, unter Strafe. Der Straftatbestand des § 202c
StGB sorgte sowohl bei den Juristen, als auch bei den Informatikern für heftigen
Diskussionsstoff.
Im Folgenden soll zunächst ein kurzer Überblick über die Voraussetzungen, die
das deutsche Strafrecht an eine Strafbarkeit stellt, gegeben werden. Im Anschluss
daran werden die Tatbestandsvoraussetzungen des § 202c StGB erörtert. Dabei
soll insbesondere der Versuch unternommen werden, die Auswirkungen dieser
neuen Vorschrift auf IT-Dienstleister und Forensiker darzustellen, die daraus
resultierenden Probleme herauszuarbeiten und ggf. sich anbietende Lösungswege
aufzuzeigen.
23

3. Rechtliche Aspekte und Auswirkungen
3.2 Voraussetzung einer Strafbarkeit
Zum besseren Überblick und Verständnis insbesondere im Hinblick auf die später
folgende Darstellung der Auswirkungen des § 202c StGB auf die IT-Dienstleister
und Forensiker und der damit zusammenhängenden Problemfelder, sollen hier
vorab zunächst die wichtigsten Grundsätze bzw. Grundprinzipien des deutschen
Rechts bzw. Strafrechts kurz dargestellt werden
Einer der wichtigsten Grundsätze im Strafrecht und damit auch im StGB ist in dem
Gesetzlichkeitserfordernis zu sehen. Man darf nur für etwas bestraft werden,
wenn dieses Verhalten vom Gesetzgeber vorher unter Strafe gestellt worden ist.
Damit ist untersagt, dass ein Handeln erst nachträglich unter Strafe gestellt
werden kann. (nullum crimen sine lege und nulla poena sine lege).
Die Bedeutung dieses Prinzips im deutschen Strafrecht ist insbesondere auch
daran zu erkennen, dass es in den §§ 1 und 2 StGB geregelt und damit an den
Anfang des StGB gestellt worden ist [Schönke06b] und dass die Vorschrift in der
Fassung des 2.StRG (Strafrechtsreformgesetz vom 04.07.1969 BGBl. I 717)
wörtlich mit Art. 103 II GG übereinstimmt [Tröndle06a, Rn.1].
Damit enthält § 1 StGB das verfassungsrechtliche Gebot (Art. 103 II GG) der
Bestimmtheit von Straftatbeständen. Dieser Bestimmtheitsgrundsatz enthält als
Bestandteile das Bestimmtheitsverbot, das Verbot der Rückwirkung, das Verbot
der Analogie sowie die Bindung des Strafrechts an geschriebene Gesetze
[Tröndle06a, Rn.2].
Die Anforderungen an die Bestimmtheit setzen voraus, dass die Strafbarkeit der
Tat gesetzlich bestimmt sein muss [Tröndle06a, Rn.3].
Das bedeutet, dass eine Tat nur dann bestraft werden kann, wenn zum Tatzeitpunkt
ein Gesetz vorhanden war, durch das gerade dieses Verhalten unter Strafe
gestellt ist, §1 StGB. Durch das Gesetzlichkeitserfordernis soll zum einen eine
Bindung der Executive und der Judikative an Recht und Gesetz erreicht werden
und zum anderen der potentielle Täter durch die gesetzliche Festlegung an der
Ausführung der verbotenen Tat abgeschreckt werden.
24

3. Rechtliche Aspekte und Auswirkungen
Dies setzt wiederum voraus, dass der Täter das entsprechende Gesetz kennt bzw.
kennen kann und insoweit bei Begehung der Tat mit entsprechendem Unrechtsbewusstsein
(d.h. schuldhaft) handelt. Dies wird in der Literatur für den § 202c
StGB allerdings in Frage gestellt.
Dem Bestimmtheitsgrundsatz steht allerdings nicht entgegen, wenn eine
Strafrechtsnorm z.B. Generalklauseln oder unbestimmte,
wertausfüllungsbedürftige Begriffe verwendet, wenn diese zum überlieferten
Bestand an Strafrechtsnormen gehören und wenn sich durch den
Normzusammenhang sowie durch die gefestigte Rechtsprechung eine
zuverlässige Grundlage für ihre Auslegung und Anwendung gewinnen lässt
[Tröndle06b].
Selbst eine Häufung derartiger auslegungsbedürftiger Tatbestandsmerkmale
(Begriffe) führen nicht zwangsläufig zur Unbestimmtheit im Sinne des Art 103II
GG. Entscheidend dabei ist, dass eine verfassungskonforme Auslegung möglich
ist.
Aus diesem in § 1 StGB verankerten Prinzip leitet sich zudem das Verbot
strafbegründender bzw. strafschärfender Analogie sowie das Verbot von einem
(zu Lasten des Täters gehenden) Gewohnheitsrecht ab [Schönke06c].
Das Analogieverbot besagt, dass die Anwendung eines Rechtssatzes auf einen
von ihm auf Grund einer planwidrigen Gesetzeslücke nicht erfassten Sachverhalt,
der dem geregelten rechtsähnlich ist, sowie das Entwickeln neuer Rechtssätze
aus ähnlichen schon bestehenden, zu Ungunsten des Täters ausgeschlossen ist
[Tröndle06c].
Nicht ausgeschlossen ist hingegen eine Analogie zugunsten des Täters.
Ebenso wie das Analogieverbot darf das Verbot von Gewohnheitsrecht nicht zu
Lasten des Täters angewendet werden [BVerf01].
Nicht verboten ist es jedoch, zu Gunsten des Täters gewohnheitsrechtlich bzw.
durch Richterrecht entstandene Rechtssätze anzuwenden [Tröndle06d].
25

3. Rechtliche Aspekte und Auswirkungen
3.3 Prüfung der Strafbarkeit im Allgemeinen und des §
202c StGB im besonderen
3.3.1 Übersicht
Zusammengefasst kann gesagt werden, dass sich jede Straftat aus einem
Unrechts- und einem Schuldbestandteil zusammensetzt. Mit Unrecht ist insoweit
der Blick auf die Tat an sich gemeint. Im Rahmen der juristischen Strafbarkeitsprüfung,
innerhalb des dreigliedrigen Prüfungsaufbaus, wird unter den (beiden)
Punkten der Tatbestandsmäßigkeit und der Rechtswidrigkeit danach gefragt, ob
man, d.h. die Allgemeinheit ein bestimmtes Handeln erlaubt oder nicht
[Wessels05, §5I, Rn.115f, S.45f].
Im Anschluss daran, d.h. in einem dritten Schritt, wird dann der Blick auf den ganz
bestimmten Täter gerichtet und danach gefragt, von ihm vorgenommene
Handlung erlaubt ist. Eine Strafbarkeit liegt vor, wenn der Täter tatbestandsmäßig,
rechtswidrig und schuldhaft gehandelt hat.
3.3.2 Der Objektive Tatbestand
Der objektive Tatbestand kennzeichnet das nach außen hin Sichtbare einer
Straftat. Dazu gehört zunächst der Täter (d.h. das Tatsubjekt), der sich in einer
bestimmten Weise verhält bzw. Handlungen vornimmt. Darüber hinaus zählen bei
bestimmen Straftatbeständen das Opfer (d.h. das Tatobjekt) und das Verhalten
selbst (d.h. die Tathandlung), das als strafwürdig angesehen wird. Bezogen auf
den § 202c StGB stellt das Tatobjekt keinerlei Probleme dar. Täter kann hier jeder
Mensch sein. Die Tathandlung wird in den jeweiligen gesetzlichen Tatbeständen
beschrieben. In § 202c StGB besteht die Tathandlung in der Vorbereitung einer
Straftat nach § 202a oder § 202b StGB in der Weise , dass entweder Passwörter
oder sonstige Sicherungscodes, die den Zugang zu Daten ermöglichen, oder
Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt,
sich oder einem anderen verschafft, verkauft, einem anderen überlässt,
verbreitet oder sonst zugänglich macht.
26

3. Rechtliche Aspekte und Auswirkungen
Gerade der objektive Tatbestand des § 202c StGB gilt nach Meinung mehrerer
Literaturstimmen als zu weit geraten [Hilgendorf07a].
Demnach wird kein klarer Unrechttypus umschrieben. Im Gegenteil werden auch
die Tätigkeiten von Systemadministratoren, die sich mit der Herstellung bzw.
Festlegung von Passwörtern und Sicherungscodes befassen, sowie von
Sicherheitsfirmen, die Software zum Testen der Schutzvorrichtungen entwickeln,
von § 202c StGB erfasst.
Dieses Risiko der Überkriminalisierung wird bzw. wurde vom Gesetzgeber auch
gesehen, er will dieses Problem aber bereits innerhalb des objektiven Tatbestands
einer Korrektur zuführen. Die Bundesregierung führt hierzu wie folgt aus:
„Die Befürchtung, dass auch der gutwillige Umgang mit Softwareprogrammen zur
Sicherheitsüberprüfung von IT-Systemen von § 202c StGB-E erfasst werden
könnte, ist nicht begründet. Die Nichterfassung des gutwilligen Umgangs mit
Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen wird bereits
auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert.
Einerseits muss es sich objektiv um ein Computerprogramm handeln, dessen
Zweck die Begehung einer Computerstraftat ist, und andererseits muss die
Tathandlung – also das Herstellen, Verschaffen, Verkaufen, Überlassen,
Verbreiten oder sonst Zugänglichmachen – zur Vorbereitung einer
Computerstraftat erfolgen [Drucksache06, S.19].“
Folglich werden nach Ansicht der Bundesregierung Computerprogramme, wegen
fehlender objektiver Tatbestandsmäßigkeit, strafrechtlich nicht erfasst, die der
Sicherheit oder Forschung in diesem Bereich dienen [Drucksache06, S.19a]. Auch
bei den sogenannten „Dual-Use-Tools“, bei denen der funktionale Zweck nicht
eindeutig ein krimineller ist, soll der objektive Tatbestand nach Ansicht der
Bundesregierung genauso wenig erfüllt sein [Drucksache06, S.19a].
Für die Praxis würde dies bedeuten, dass ein Strafrichter eine Unterscheidung
dahingehend vornehmen müsste, ob eine Software „böse“ oder „gut“ ist. Diese
Unterscheidung ist tatsächlich allerdings nicht möglich und auch nicht
durchführbar [Ernst07].
27

3. Rechtliche Aspekte und Auswirkungen
Einem Programm oder einer Software ist nicht anzusehen, ob dessen funktionaler
Zweck eindeutig ein krimineller war bzw. ist oder nicht. Aus diesem Grund wird
sich ein Strafrichter kaum auf eine derartige Abgrenzung einlassen wollen und
eher danach fragen, ob die Software grundsätzlich geeignet ist, kriminelle
Handlungen damit vorzunehmen bzw. durchzuführen.
Dies wird den Regelfall bei den „Dual-Use Tools“ darstellen, so dass nach hier
vertretener Ansicht grundsätzlich davon auszugehen ist, dass das Verhalten von
Netzwerkadministratoren in diesem Bereich stets auch objektiv tatbestandsmäßig
sein wird.
Sollte man dennoch der Gesetzesbegründung folgen, wäre jedenfalls in den
Fällen der objektive Tatbestand zu bejahen, in denen realitätsnahe Tests in Form
von Angriffen simuliert werden und dabei Programme zur Anwendung kommen,
die auch bei wirklichen Angriffen eingesetzt werden. Hier ist in aller Regel der
objektive Zweck der Begehung einer Straftat nicht mehr von der Hand zu weisen.
Als Korrektiv für die zu weit geratene Fassung des objektiven Tatbestandes des §
202c StGB kann somit nur noch der subjektive Tatbestand herangezogen werden,
was jedoch, wie noch zu zeigen sein wird, kaum ausreichend sein dürfte
[Hilgendorf07a].
28

3. Rechtliche Aspekte und Auswirkungen
3.3.3 Der Subjektive Tatbestand
Neben dem objektiven Tatbestand setzt eine Strafbarkeit desweiteren voraus,
dass auch der subjektive Tatbestand gegeben ist.
Im subjektiven Tatbestand wird, vereinfacht ausgedrückt, untersucht, ob die innere
Seite des Täters die äußere Seite der Tat widerspiegelt. Es wird danach gefragt,
wie der Täter innerlich zur Verwirklichung des objektiven Tatbestands steht, d.h.
ob er mit entsprechendem Vorsatz gehandelt hat.
Unter Vorsatz versteht man das Wissen und Wollen der zum gesetzlichen Tatbestand
gehörenden objektiven Merkmale. Damit setzt sich der Vorsatz aus einem
Wissenselement und einem Wollenselement zusammen.
Der Vorsatz wird gemeinhin in drei Gruppen eingeteilt:
Die Absicht, der direkte Vorsatz und der Eventualvorsatz
[Wessels05, §7II, Rn.210, S.82].
Diese drei Formen unterscheiden sich durch die unterschiedlichsten Stärken von
Wissen und Wollen.
So dominiert bei der Absicht (dolus directus 1.Grades) das Wollen, wohingegen im
Rahmen des Wissenselements ein bloßes „Für-möglich-Halten“ genügt
[Wessels05, §7II Nr.1, Rn.211, S.82f].
Beim direkten Vorsatz (dolus directus 2.Grades) dominiert dagegen das Wissen
so dass beim Wollen sogar ein „Nicht-Wollen“ gegeben sein kann bzw. ausreicht
[Wessels04, §7II Nr.2, Rn.213, S.84]
Die dritte und zugleich schwächste Art des Vorsatzes ist schließlich der
Eventualvorsatz. Bei diesem reicht auf der Wissensebene ein „Bloßes Fürmöglich-halten“
und auf der Wollensebene ein „sich damit abfinden“ aus
[Wessels05, §7II Nr.3, Rn.214, S.84].
Welcher dieser drei Vorsatzformen bei der Prüfung einer Strafnorm vorliegen
muss, ergibt sich aus dem Gesetz.
29

3. Rechtliche Aspekte und Auswirkungen
Während der dolus directus 1. und 2. Grades ausdrücklich in der jeweiligen
Strafvorschrift genannt werden muss, reicht hinsichtlich aller anderen Strafnormen
bzw. Tatbestandsmerkmale ein Eventualvorsatz aus.
In § 202c StGB genügt, mangels ausdrücklicher anderweitiger Regelung im
Gesetz, der Eventualvorsatz. Danach muss ein Täter zumindest billigend in Kauf
nehmen, durch seine Handlung eine Computerstraftat nach § 202a oder § 202b
StGB zu ermöglichen oder zu fördern. Dies bedeutet, dass sich z.B. ein Systemadministrator,
der Passwörter vergibt oder Sicherungscodes festlegt, schon dann
strafbar machen kann, wenn er dabei mit der Möglichkeit rechnet, dass die
Passwörter bzw. Sicherungscodes in einem Hacker-Angriff benutzt werden
können und sich mit dieser Begebenheit abfindet [Hilgendorf07a].
In der Praxis kann wohl davon ausgegangen werden, dass Systemadministratoren
jedenfalls mit der Möglichkeit rechnen müssen, dass die Passwörter oder
Sicherungscodes sowie die erstellten Computerprogramme in krimineller Art und
Weise auch von anderen eingesetzt werden können. Handeln sie nun trotzdem,
finden sie sich zugleich mit der Möglichkeit ab, dass mit den Programmen ggf.
Hacker-Angriffe oder dergleichen vorgenommen werden. In diesen Fällen wäre
sowohl der objektive als auch der subjektive Tatbestand gegeben, da insoweit der
Eventualvorsatz vorläge.
Diese Strafbarkeitsausweitung wurde vom Gesetzgeber gesehen und hätte durch
eine Engerfassung des subjektiven Tatbestands dadurch eingeschränkt werden
können, dass eine Strafbarkeit nach § 202c absichtliches Handeln vorausgesetzt
hätte. Dies hätte man wie folgt formulieren können:
„Wer in der Absicht, eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a
Abs.2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt sich oder einem anderen verschafft, verkauft, einem anderen überlässt,
verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr
oder mit Geldstrafe bestraft.“
30

3. Rechtliche Aspekte und Auswirkungen
3.3.4 Rechtswidrigkeit und Schuld
Des Weiteren setzt eine Strafbarkeit voraus, dass der Täter auch rechtswidrig und
schuldhaft gehandelt hat.
In den meisten Fällen, die im Zusammenhang mit einer Strafbarkeit nach § 202c
StGB stehen, wird bei gegebener Tatbestandsmäßigkeit, die Tat auch rechtswidrig
und schuldhaft gewesen sein. Insofern soll hier auf weitere Ausführungen in
diesem Bereich verzichtet werden.
3.3.5 Zusammenfassung
Zusammenfassend ist festzuhalten, dass die Strafvorschrift des § 202c StGB viel
zu weit geraten ist und zu einer Überkriminalisierung, die der Gesetzgeber ja
ausdrücklich vermeiden wollte, führen wird bzw. bereits geführt hat. Entgegen der
Gesetzesbegründung ist es nicht möglich bzw. zulässig, den objektiven Tatbestand
dahingehend einzuschränken, dass z.B. nur diejenigen Programme unter
§ 202c StGB fallen, die einen ausschließlich kriminellen Hintergrund haben.
Auch eine effektive Eingrenzung über den subjektiven Tatbestand wurde vom
deutschen (anders als vom österreichischen) Gesetzgeber nicht aufgegriffen.
Dies hätte leicht durch die Forderung bzw. Einführung einer „absichtlichen“
Tatbegehung erfolgen können.
Insoweit sind die in der Computerszene vorherrschenden Ängste bzw. Bedenken,
sich einer Strafbarkeit auszusetzen, als nicht unberechtigt einzustufen.
Ob sich diese Bedenken in der Praxis bewahrheiten werden, bleibt voll und ganz
der Rechtsprechung und damit der richterlichen Rechtsfortbildung überlassen und
bleibt damit abzuwarten.
31

3. Rechtliche Aspekte und Auswirkungen
3.3.6 Mögliche Reaktionen der Rechtsprechung
In der Literatur wird zum Teil die Meinung vertreten, dass die Gerichte bei der
strafrechtlichen Bewertung eines Falles, der in Zusammenhang mit § 202c StGB
steht, auch die Gesetzesbegründung und die Änderungen der Bundesregierung
mit zu berücksichtigen sind.
Dieser Ansicht steht zumindest nicht das oben angesprochene und näher
erläuterte Bestimmtheitsgebot, das Verbot von Gewohnheitsrecht oder das Verbot
einer Gesetzesanalogie entgegen.
Bei den hier in Betracht kommenden Fällen wird nämlich in aller Regel eine
Anwendung zu „Gunsten“ des Täters in Betracht kommen. Diese ist nicht
verboten.
Anderseits ist die Judikative, d.h. der Strafrichter, nicht verpflichtet die Gesetzesbegründung
heranzuziehen. Im Gegenteil ist ihm eine Einbeziehung sogar dann
verboten, wenn sich aus dem Wortlaut der Strafnorm keinerlei Auslegungsprobleme
ergeben [Tröndle06a, Rn.11].
Eine Korrektur des eindeutigen Wortlauts nach Maßgabe eigener verfassungsrechtlichen
Bewertung ist den Strafrichtern mithin nicht gestattet. Maßgebend ist
insoweit allein der im Gesetz zum Ausdruck kommende „objektivierte“ Wille des
Gesetzgebers [BVerf02].
Im vorliegenden Fall und damit im § 202c StGB ergeben sich auf Grund der weiten
Fassung aber gerade keine Auslegungsprobleme, so dass hier mit einer Einschränkung
nicht zu rechnen sein dürfte. Es sind eben nahezu alle
problematischen Konstellationen bzw. Sachverhalte nach dem Wortlaut der Norm
unter § 202c eingeordnet.
32

3. Rechtliche Aspekte und Auswirkungen
Wie bereits angesprochen können verfassungsrechtliche Bedenken gegen die
Rechtmäßigkeit einer Strafvorschrift nicht vom Strafrichter festgestellt werden.
Hierfür ist einzig und allein das Bundesverfassungsgericht zuständig, so dass der
Strafrichter den Fall bzw. die Norm dem Bundesverfassungsgericht zur Beurteilung
nach Art. 100 Abs. 1 GG vorlegen müsste.
Diese Möglichkeit der verfassungsrechtlichen Überprüfung hat auch der einzelne
Bürger. Dieser könnte eine Verfassungsbeschwerde einlegen. In dem sich daraus
ergebenden Urteil könnte z.B. eine Verletzung der Berufsfreiheit nach Art. 12 GG,
die eine Anwendung des § 202c StGB in der jetzigen Fassung ggf. mit sich
bringen, gerügt werden.
Die Strafbarkeit von sog. „Dual-Use-Programmen“ führt faktisch dazu, dass
bestimmte Tätigkeiten im Umfeld der IT-Sicherheitsmaßnahmen nicht mehr
möglich sind. Als problematisch könnte sich hier allerdings die in aller Regel sehr
langwierige Verfahrensdauer herausstellen. Die auf diese Weise im Unklaren
gelassene Computerszene müsste somit sehr lange warten und sich in der
Zwischenzeit in einer Art „luftleerem Raum“ bewegen, bis die Rechtssprechung
eine Regelung bzw. ein Urteil herbeigeführt bzw. gesprochen hat.
Letztlich bleibt der in diesem Bereich tätigen Computerszene kaum eine andere
Wahl, als die aktuelle Entwicklung gespannt zu verfolgen und zu hoffen, dass bei
ggf. erfolgenden Strafurteilen der Gesetzgeber rechtzeitig einlenkt und eine
Korrektur vornehmen wird.
33

3. Rechtliche Aspekte und Auswirkungen
3.4 Blick nach Österrreich
Schon am 1. Oktober 2002 wurden in Österreich die Vorgaben der Cybercrime
Convention im Bereich der Computerkriminalität in das österreichische Strafgesetzbuch
aufgenommen. Die Umsetzung der österreichischen Regierung hätte
als Vorbild oder zumindest als Vorlage für den Gesetzesentwurf der Bundesregierung
dienen können. In dieser Umsetzung findet sich in dem äußerst
zentralen Punkt eine genauere Formulierung als hierzulande. Demnach muss der
wesentliche bzw. primäre Zweck die Begehung der genannten Straftaten sein.
Eine bloße Eignung ist dabei nicht ausreichend [DuD07].
§ 126c öStGB Missbrauch von Computerprogrammen oder Zugangsdaten:
„Wer
1. ein Computerprogramm, das nach seiner besonderen
Beschaffenheit ersichtlich zur Begehung eines
widerrechtlichen Zugriffs auf ein Computersystem (§ 118a), einer
Verletzung des Telekommunikationsgeheimnisses (§ 119), eines
missbräuchlichen Abfangens von Daten (§ 119a), einer
Datenbeschädigung (§ 126a), einer Störung der
Funktionsfähigkeit eines Computersystems (§ 126b) oder eines
betrügerischen Datenverarbeitungsmissbrauchs (§ 148a)
geschaffen oder adaptiert worden ist, oder eine vergleichbare
solche Vorrichtung oder
2. ein Computerpasswort, einen Zugangscode oder vergleichbare
Daten, die den Zugriff auf ein Computersystem oder einen Teil
davon ermöglichen,
mit dem Vorsatz herstellt, einführt, vertreibt, veräußert, sonst
zugänglich macht, sich verschafft oder besitzt, dass sie zur
Begehung einer in Z 1 genannten strafbaren Handlungen
gebraucht werden, ist mit Freiheitsstrafe bis zu 6 Monaten oder mit
Geldstrafe bis zu 360 Tagessätzen zu bestrafen.“(2) […]
34

3. Rechtliche Aspekte und Auswirkungen
3.5 Auswirkungen des Paragraphen auf IT-Dienstleister
und Forensiker
Wie bereits in den vorangegangenen Kapiteln erwähnt besteht im Gesetzestext
des § 202c StGB keine Unterscheidung zwischen „Dual Use Tools“ und
Programmen, die auf Begehung von Straftaten ausgelegt sind. Daher fehlt es den
IT Sicherheitsunternehmen und der Forschung die Rechtsicherheit.
[Sabre07, Kap. 2.3.1].
Allein schon das Verschaffen einer solchen Software, reicht für den Anfangsverdacht
einer Straftat aus.
Aus diesem Grund besteht für einen Hersteller oder einen Anwender immer die
Gefahr einer Anzeige. Dabei spielt es keine Rolle, ob die Software privat oder
geschäftlich eingesetzt wird.
In der Gegenäußerung der Bundesregierung wird zwar in der Begründung darauf
hingewiesen, dass der § 202c StGB nur dann greifen solle, wenn der Zweck
dieses Computerprogramms die Begehung einer Computerstraftat ist. Dadurch
wäre nach Angaben der Bundesregierung nämlich sichergestellt, dass keine
Computerprogramme erfasst werden, die der Überprüfung der IT-Sicherheit oder
Forschung dienen [Drucksache06].
An dieser Stelle möchte ich nun detailierter auf die möglichen Auswirkungen und
die Befürchtungen der IT-Branche eingehen.
Im Rahmen ihrer Arbeit müssen Systemadministratoren Passwörter vergeben und
Sicherheitscodes festlegen. Wenn ein Systemadministrator mit der Möglichkeit
rechnet, dass diese Passwörter bzw. Sicherheitscodes bei einem Hacker Angriff
benutzt werden können, macht er sich nach neuem Recht strafbar [Hilgendorf07a].
Wie bereits im oben erwähnten Beispiel über die Herstellung und Anwendung von
„Dual-Use-Tools“, kann es sehr leicht zu einer Anzeige von einem
konkurrierenden Unternehmen kommen.
35

3. Rechtliche Aspekte und Auswirkungen
Würden dann Ermittlungen eingeleitet und die komplette EDV-Ausrüstung eines
Unternehmens zur Beweismittelsicherung des Falles beschlagnahmt werden,
käme dies, auch wenn später dann ein Freispruch erfolgen solle, einem Bankrott
gleich. Hinzu kommen die unter Umständen eintretenden und nicht zu unterschätzenden
Rufschädigungen, mit denen ein Unternehmen in der ohnehin sehr
sensiblen Computerbranche zu rechnen hätte.
Hinzu kommt, dass auch Freiberufler oder kleinere Firmen sehr hart betroffen
sind, da sie ihre Aufgabenbereiche nicht von einem auf den anderen Tag
umstellen können. Dienstleistungen im Bereich der Computersicherheit basieren
bzw. bestehen insbesondere auf der Grundlage von Vertrauen. Es gibt womöglich
kein Unternehmen, das Mitarbeiter einstellen oder Unternehmen beauftragen
würde, die schon einmal auf Grund einer Computerstraftat aktenkundig geworden
sind [Sabre07 Kap. 2.3.1].
Eine mögliche Folge daraus wäre die Abwanderung von führenden deutschen
Unternehmen ins Ausland. Einige Firmen haben schon ihre Server und Programmierabteilungen
ins Ausland verlagert, um sich der deutschen
Gerichtsbarkeit zu entziehen und um sich und ihre Existenz zu schützen [Stern07].
Im (europäischen) Ausland ist auf Grund der bereits erwähnten genaueren
Gesetzesfassung (siehe Bsp. Österreich Kap.3.2.5), von keiner strafrechtlichen
Verantwortbarkeit auszugehen. Gerade in der Computerbranche sollte durch die
vorherrschende Globalisierung durch das World Wide Web eine derartige Flucht
bzw. Auswanderung nicht die allergrößten Probleme bereiten. Fraglich ist hier
allerdings, ob das in dieser Konsequenz vom Gesetzgeber so gewollt ist.
36

3. Rechtliche Aspekte und Auswirkungen
Umzug von Entwicklern von Sicherheitstools
Abbildung 3.1: Auswanderung KisMAC (Quelle: http://kismac.binaervarianz.de/)
Den gleichen Weg wie KisMAC ins Ausland , siehe Abbildung 3.1, nahm auch die
security crew Phenoelit, sowie die securitysite „ The hackers choice“, die die
Entwicklung von Sicherheits-Tools eingestellt haben und ihre bereits entwickelten
Tools auf Server im Ausland ausgelagert haben.
Da Deutschland im Hochtechnologiebereich der Computersicherheit unter den
führenden Nationen zu finden ist, würde eine Abwanderung zugleich auch einen
Rückschritt bedeuten. Neben den Kosten der Umlagerung ins Ausland würden
dem Unternehmen kaum weitere Kosten entstehen, da die weltweite Nachfrage im
Bereich der Computersicherheit größer als das Angebot ist. Aus diesem Grund
sollte es keine Probleme geben, im Ausland Fuß zu fassen. Jedoch wird auf
Grund der fehlenden Rechtssicherheit kein Unternehmen mehr bereit sein, einen
Auftrag über Überprüfungsdienstleistungen eines deutschen Unternehmens
anzunehmen [Sabre07 Kap. 2.3.1].
37

3. Rechtliche Aspekte und Auswirkungen
Als nicht minder problematisch stellen sich die Auswirkungen des „Hackerparagraphen“
auf die Forschung dar. Computersicherheit lebt größtenteils von der
Forschung nicht kommerzieller akademischer und privater Interessensgruppen.
Diese Gruppen stellen insbesondere durch selbstinitiierte Angriffe die Computersicherheit
auf Probe, erarbeiten mögliche Lösungen und stellen diese zum Teil
kostenfrei zur Verfügung. Dieses komplette Offenlegen von Schwachstellen bezeichnet
man als „Full Disclosure“. Dadurch werden Anwender, Administratoren
und Hersteller auf die Sicherheitsprobleme aufmerksam gemacht und können
diese Lücke in ihrem System beheben. Seit über zehn Jahren versuchen
kriminelle Gruppen dieses „Full Disclosure“ erfolglos zu verhindern. Bei diesem
Versuch bekommen sie nun Hilfe vom deutschen Gesetzgeber.
Da es sich bei diesen Forschungsgruppen um Privatpersonen handelt, hat eine
Anzeige drastische Auswirkungen auf das Privat- und Berufsleben des Betroffenen
[Sabre07 Kap. 2.3.2].
Der deutsche Sicherheitsexperte Stefan Esser beispielswiese, der sich auf die
Suche von PHP-Sicherheitslücken spezialisiert hat, entfernte von seiner Webseite
Demonstrationen zu PHP-Sicherheitslücken [Heise07].
Bedenken in dieser Hinsicht äußert auch Paul Frießem vom Fraunhofer Institut für
sichere Informationstechnologie in Sankt Augustin:
„In die Röhre schauen diejenigen, die sich für Forschung und Entwicklung einsetzen
wollen. Unsere Studenten und Wissenschaftler schauen sich diese
Werkzeuge an, um zu überprüfen, was man mit ihnen machen kann. Wenn ich mir
Sicherheitsvorkehrungen ausdenke, die ich nicht überprüfen kann, habe ich ein
Problem. Das sei ungefähr so, wie zu sagen, man solle einen feuersicheren Safe
bauen, aber man darf keinen Flammenwerfer verwenden, um ihn zu testen, weil
der zu gefährlich und daher verboten sei [Frießem07].“
Professor Johannes Buchmann vom Darmstädter Zentrum für IT-Sicherheit stellt
seine Forschungs- und Lehrinhalte auf Grund des „Hackerparagraphs“ nicht um.
„Darauf lassen wir es ankommen“ sagte er Spiegel Online. [Spiegelon07a]
38

3. Rechtliche Aspekte und Auswirkungen
An der TU Darmstadt wurde gezeigt, wie leicht sich der WEP-Standard für die
Verschlüsselung von drahtlosen Netzen knacken lässt [Spiegelon07a]. Jedoch fällt
auf, dass auf der Homepage des Lehrstuhls von Professor Buchmann kein Link
mehr zu der Seite „Angriffe und Kryptographie“ besteht.
Eine entgegen gesetzte Meinung vertritt hingen der IT-Sicherheitsexperte
Professor Bernhard Stütz von der Fachhochschule Stralsund. Professor Stütz wird
zum nächsten Semester sein Lehrprogramm umstellen und die fraglichen Werkzeuge
nicht mehr vorführen. Er ist sich dessen bewusst, dass hierdurch die Ausbildung
leidet. Er werde sich aber keiner Gefahr aussetzen, rechtlich belangt zu
werden, und schützt sich auf diese Weise [Deutschlandfunk07].
39

4. Medienecho
In seltener Einigkeit fordern der Chaos Computer Club (CCC), der Verband der
deutschen Internetwirtschaft und der Verein zur Förderung der Vertrauenswürdigkeit
von Informations- und Kommunikationstechnik im Grunde das Gleiche,
eine Änderung des Gesetzeswortlautes [Brand07 S.121].
Die Secunet Security Network AG mit Sitz in Essen hat für das Auswärtige Amt die
Systemsoftware entwickelt, mit der deutsche Botschaften im Ausland miteinander
verschlüsselt kommunizieren können. Derartige Systeme müssen ständig auf alle
erdenklichen Sicherheitslücken hin überprüft werden, so dass die Gesetzesänderung
auch hier Probleme bereitet. Der Pressesprecher des Unternehmens,
Kay Rathke, fordert für sein Unternehmen eine Ausnahmegenehmigung zum
Einsatz der verbotenen Werkzeuge. Diese gleiche Forderung äußert auch Rolf
vom Stein, Leiter der Abteilung Technische Sicherheit bei der TÜV Secure IT
GmbH, die neben der Bundesdruckerei auch viele große Banken mit fünf oder
sechs Millionen Kunden auf Sicherheitsschwächen überprüft. Durch unsichere
Computersysteme entstehen der gesamten Volkswirtschaft Schäden, die nur
schwer zu beziffern sind [Brand07 S.122].
Frank Rosengart vom CCC befürchtet eine pauschale Kriminalisierung der
gesamten Sicherheitsszene, da es unmöglich ist abzugrenzen, um welche
Programme es hier geht. Im Grunde fallen sämtlich Bordmittel von Linux oder
Windows unter diese Definition. Selbst das im Emailverkehr eingesetzte
Programm Outlook müsste streng genommen erfasst werden, denn Outlook kann
dazu benutzt werden, Viren zu verbreiten [Brand07 S.123].
Auch die getätigte Selbstanzeige des Mannheimer Securityexperten Michael
Kubert beim Mannheimer Landgericht spricht für sich. Dieser hat auf seinem
Server sogenannte „Hackertools“, z.B. zum Testen der Stärke von Passwörtern,
angeboten [Gulli07].
Michael Kubert erhofft sich durch diesen Schritt eine gewisse Rechtsicherheit.
40

4. Medienecho
Das PC-WELT Schwestermagazin Tecchannel will ebenfalls Klarheit in Bezug auf
die Auslegung und Verwendung von „Dual Use Tools“ angesichts des § 202c
StGB haben. Tecchannel berichtet im Internet ausführlich über Sicherheitslücken
und deren Beseitigung. Das Magazin hat in Bonn Anzeige gegen das Bundesamt
für Sicherheit und Informationstechnik (BSI) wegen des Verstoßes gegen § 202c
StGB erstattet. Das BSI bietet auf ihren Internetseiten die Software BOSS (BSI
OSS Security Suite) zum Download an. Ein Bestandteil dieser Security Suite,
neben anderen Programmen, ist der Passswort-Cracker „Jack the Ripper“. Die
Version in diesem Paket ist zwar stark eingeschränkt, aber der direkte Link zur
Herstellerseite ermöglicht es, sich eine vollständige Version herunterzuladen. Für
Tecchannel ein klarer Verstoß gegen § 202c StGB. Tecchannel erhofft für sich
selbst und andere eine bessere Rechtssicherheit. Sollte die Staatsanwaltschaft die
Anzeige ablehnen, könnte man sich am Vorbild des BSI orientieren. Es wäre dann
nicht strafbar, in einem seriösen Umfeld das Thema aufzugreifen und solche
Werkzeuge zu verbreiten. Sollte die Anzeige angenommen werden, ist auf alle
Fälle eine Selbstzensur in diesem Bereich ratsam. Dennoch bleibt dann weiter
abzuwarten, wie das Gericht entscheiden wird [Tecchannel07a].
Beim Chaos Computer Camp 2007 im brandenburgischen Finowfurt haben sich
die Sicherheitsexperten mit Netzwerkkabeln (Abbildung 4.1) gefesselt, da es nun
ja keine Sicherheitsprobleme durch den neuen „Hackerparagraphen“ mehr geben
wird [Tecchannel07b].
Abbildung 4.1: gefesselte Sicherheitsexperten (Quelle: http://www.heise.de/newsticker/meldung/94236)
41

4. Medienecho
Selbst im Ausland hat man den „Hackerparagraphen“ kritisch gesehen und die
Diskussion um ihn verfolgt. So beschreibt ein Artikel von Richard Stiennon eine
interessante Sichtweise mit der Aussage „Hacking tools don’t hack, hackers do“
[blogs.zdnet.com07]
Auch die Gesellschaft für Informatiker (GI) hat ihre Bedenken zu dem neuen
Gesetz erörtert. Der Sprecher der GI Professor Hartmut Pohl wies im Vorfeld auf
die Notwendigkeit von Programmen und Tools hin, um die Aufdeckung von
Sicherheitslücken zu ermöglichen. Außerdem bedeute der § 202c StGB eine
Bedrohung der entsprechenden Lehre, Forschung und Entwicklung an
Universitäten. Er sieht sich von der Gnade der Richter abhängig [Spiegelon07b].
Der ebenfalls der GI angehörende Juraprofessor Alexander Rossnagel befürchtet
eine Kriminalisierung erwünschten Verhaltens. Auch er forderte eine Entschärfung
des Paragraphen [computerwoche07]
42

5. Schlussgedanken
Die eigentliche und wichtigste Tatsache in den Augen des Verfassers ist, dass der
§ 202c StGB an der deutschen Grenze endet. Im Gegensatz dazu ist das Internet
nicht durch Grenzen behindert. In Russland gibt es IT-Experten, die für eine
geringe Unkostenpauschale jede gewünschte Internetseite attackieren. Die dabei
verwendete Angriffsform DDoS wurde bereits unter Kapitel 2.3.7 Computererpressung
kurz erläutert. Für 150,00 US-Dollar kann man so einen Auftrag
ausführen lassen.
Minder selten sind auch politische Ziele Angriffsobjekt, z.B. die Internetpräsenz
der Oppositionsbewegung „Anderes Russland“ des früheren Schachweltmeisters
Garri Kasparow. Diese Webseiten wurden regelmäßig vor geplanten Anti-Putin
Demonstrationen außer Gefecht gesetzt. Da der Kreml das Fernsehen und weite
Teile der Presse kontrolliert, ist das Internet die einzige Möglichkeit, die Anhänger
anzusprechen [Spiegel07].
Diese Angriffe sind aber nur möglich, solange unsichere Systeme existieren.
Daher kommt es nach meiner Ansicht im Wesentlichen darauf an, die Sicherheit
weitervoranzutreiben und nicht zu blockieren bzw. sie unter Strafe zu stellen.
Im Internet kann man sich kostengünstig und problemlos die „wirklich bösen“
Tools beschaffen. Mittels des Programms Pinch zum Preis von ca. 30,00 Euro
kann man sich seinen „eigenen“ Trojaner zusammenstellen. Man wählt aus einer
vordefinierten Auswahl an Checkboxen die zu organisierenden Passwörter aus.
Anschließend drückt man noch COMPILE, und der eigene Trojaner ist fertig.
Der § 202c StGB ist Ursache dafür, dass die Internetsicherheit in Deutschland
gesunken ist und noch weiter sinken wird. Sicherheitsexperten sind verunsichert
und wandern ins Ausland ab. Unternehmen der IT-Security investieren und
wachsen jetzt vermehrt im Ausland. Wie der Fall des Professors aus Stralsund
belegt, trauen sich Menschen aus Forschung und Lehre nicht mehr, sich mit
„Hacker-Tools“ öffentlich zu beschäftigen.
43

5. Schlussgedanken
Der Bundesinnenminister der Bundesrepublik Deutschland, Wolfgang Schäuble,
hat auf einer Tagung des Bundesamtes für Sicherheit und Informationstechnik
vorgeschlagen, Lizenzen für vertrauenswürdige Sicherheitsdienstleister einzuführen,
einen sogenannten IT-Waffenschein.
Nach Meinung des Verfassers dieser Arbeit sollte die Bundesregierung erkennen,
dass die (IT)-Sicherheit eines Unternehmens oberste Priorität hat. In der heutigen
Zeit sind Geschäftsbeziehungen ohne das Internet undenkbar. Nach den
Systemeinbrüchen Chinas mit der Folge, dass sich seit Mai 2007 einige Trojaner
auf den Rechnern der Regierung tummelten [Spiegelon07c], erscheint dies fast als
Ironie des Schicksals.
Weiterhin stellt sich die Frage, wie die Bundesregierung die Schwachstelle gefunden
hat, ohne Einsatz einer nach § 202c StGB verbotenen Software.
Dieses Beispiel zeigt umso deutlicher, dass sichere Systeme unabdingbar sind.
Diese Meinung vertritt auch der Vizepräsident des Bundesamtes für
Verfassungsschutz Elmar Remberg. Er fordert mittelständische Unternehmen auf,
ihre Netzwerke ebenso gut abzusichern wie die der großen Unternehmen.
Dadurch würde das Eindringen von Industriespionen in ihre Netzwerke erschwert
werden.
Nach Meinung des Verfassers ist § 202c StGB bewusst so eng gehalten, damit
dem Bundestrojaner die Türen offen stehen und er sich nicht mit schwierigen
Eindringen in geschlossene Systeme beschäftigen muss, da den Anwendern die
Möglichkeit genommen wurde, ihre Systeme auf Sicherheit zu testen.
Sollte dann doch jemand diese Tools einsetzen, und der Bundestrojaner käme
nicht zum Zug, so hätte man auf jeden Fall die Möglichkeit, den Anwender nach §
202c StGB zu belangen.
Somit bleibt gespannt abzuwarten wie sich die Selbstanzeige des Mannheimer
Security Experten, sowie die Anzeige gegen das BSI entwickeln und zu hoffen,
dass der § 202c um die Absicht zur Begehung einer Straftat erweitert wird.
44

6. Literaturverzeichnis
[BGBl07] Bundesgesetzblatt Jahrgang 2007,Teil 1, Nr. 38 ausgegeben zu Bonn
10.08.2007
[BKA06] Elektronische Version der Polizeilichen Kriminalstatistik www.bka.de
(Stand 17.10.2007)
[blogs.zdnet.com07] Hacking tools don’t hack, hackers do 14.08.2007
http://blogs.zdnet.com/threatchaos/?p=467 (Stand 17.10.2007)
[BR07] Bundesrat, Gesetzesbeschluss des Deutschen Bundestages, Drucksache
389/07, 15.06.2007
[Brand07] BRAND EINS 01/07
[BVerf01] BVerfGE 71,115; 73,235)
[BVerf02] BVerfGE 79,106; BGHSt 29,198
[CC01] Cybercrime Convention , ETS No.185 23.11.2001 Budapest
[CCC98]Hackerethik des Chaos Computer Clubs www.ccc.de/hackerethics
(Stand 17.10.2007)
[computerwoche07] GI gegen verschärften Hackerparagraph, 04.07.2007 S.10
[Die Welt07] Hacker schlichten Tarifstreit bei der Bahn 10.10.2007,
http://www.welt.de/webwelt/article1250295/Hacker_schlichten_Tarifstreit_bei_
der_Bahn.html (Stand 26.10.2007)
[DB06] Gesetzentwurf der Bundesregierung, Drucksache 16/3656, 30.11.2007
[Deutschlandfunk07] Radiosendung vom 8.9.2008 16.30 online als mp3 vorhanden
[dpa05] Meldung dpa aus Macwelt
http://www.macwelt.de/news/szene_wirtschaft/331422 (Stand 17.10.2007)
45

6. Literaturverzeichnis
[Dornseif03] Dr. Dornseif, Maximilian aus Computerkriminalität,
http://md.hudora.de/presentations/2003-toepelcompkrim/computerkriminalitaet-sommer.pdf
(Stand 17.10.2007)
[Dornseif97] Dr. Dornseif, Maximilian, Projekt Rechtstatsachenforschung im Bereich
der Computerkriminalität
http://md.hudora.de/jura/rechtstatsachen/rechtstatsachen.html
(Stand 17.10.2007)
[Drucksache06] BT-Drucksache 16/3656 Gesetzentwurf der Bundesregierung
30.11.2006
[DuD07] Datenschutz und Datensicherheit Nr31 2007 Heft 4 Aufsatz von Borges,
Stuckenberg, Wegener S.275-278
[Ernst07] Bruns, Stellungnahme, S. 5; vgl. Kudlich, Stellungnahme, S. 7f.; Hilgendorf,
Stellungnahme S. 6; Stefan Ernst,NJW 2007,S.2661, 2663
[EU05]Rahmenbeschluss des Rates der Europäischen Union, Abl. EU Nr. L 69 S. 67,
vom 24.02.2005 in Brüssel
[Freiling07] Prof. Dr.-Ing. Freiling, Felix, Vorlesung Computerforensik 07.03.2007
S.10-11
[Frießem07] Frießem, Paul aus BRAND EINS 01/07 S121-122
[Gocsi07] Computer Security Institute http://www.gocsi.com (Stand 17.10.2007)
[gulli07] Security Experte zeigt sich selbst an, 13.07.2007
http://www.gulli.com/news/hackertools-securityexperte-2007-09-13
(17.10.2007)
[Hauptmann89] Hauptmann, Peter-Helge, Zur Strafbarkeit des sog.
Computerhackens, 1989, S.215-218
[Heintschel97]Prof. Heintschel von Heinegg, Professor für Öffentliches Recht, 1997;
46
Computerkriminalität

6. Literaturverzeichnis
[Heise07] Keine PHP-Exploits wegen Hackerparagraphen 14.08.2007
http://www.heise.de/newsticker/meldung/94357 (Stand 17.10.2007)
[Heise02] Computerkriminalität in Deutschland wieder kräftig gestiegen 2.5.2002
http://www.heise.de/newsticker/meldung/27078 (Stand 17.10.2007)
[Hilgendorf07a] Prof. Dr. Dr. Eric Hilgendorf, Universität Würzburg, Stellungnahme
zum Entwurf eines Strafrechtänderungsgesetz zur Bekämpfung der
Computerkriminalität
[Hilgendorf07b] Überblick bei E. Hilgendorf, Tendenzen und Probleme einer
Harmonisierung des Internetstrafrechts auf Europäischer Ebene, in Ch.
Schwarzenegger, O. Arter und F.S. Jörg, Internet-Recht und Strafrecht,
4.Tagungsbestand 2004,2005, S2257ff; Hilgendorf Stellungnahme zum
Entwurf eines Strafrechtsänderungsgesetz zur Bekämpfung der
Computerkriminalität
[HGF05] Hilgendorf, Frank, Valerius Computer und Internetstrafrecht, Springer
Verlag2005,S. 57
[Jaeger98] Jaeger, Stefan Computerkriminalität, 1998
[Kes02] Kommunikations- und EDV Sicherheit
http://www.kes.info/archiv/material/studie2002/index.html (Stand 17.10.2007)
[Sabre07] Stellungnahme SABRE Labs GmbH zum Entwurf eines
Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität
[Sieber96] Sieber, Ulrich, Missbrauch der Informationstechnik und
Informationsstrafrecht, 1996, S.611
[Schmidt-Bleibtreu04] Kommentar zum Grundgesetz Art. 1Rn 59 10.Auflage 2004
[Schmitz90] Schmitz, Herbert Computerkriminalität 1990
[Schönke06a] Schönke / Schröder / Lenckner Vorbemerkungen zu§§201ff.StGB
Rn.2 Kommentar zum StGB 27.Auflage 2006
47

6. Literaturverzeichnis
[Schönke06b] Schönke / Schröder / Eser §1StGB Rn.1 Kommentar zum STGB 27.
Auflage 2006
[Schönke06c] Schönke/ Schröder /Eser §1 StGB Rn124 unter Hinweis auf BVerfGE
25, S.269 ff, NJW 1986, S.1672 Kommentar zum STGB 27.Auflage 2006
[Spiegel07] Der Spiegel, 31/2007 S. 74, Angriff der Cyber Söldner, Benjamin Bidder
[Spiegelon07a] Datensicherung verboten, Peter Zschunke, 13.09.2007,Spiegel
Online http://www.spiegel.de/netzwelt/tech/0,1518,505130,00.html
(Stand 17.10.2007)
[Spiegelon07b] Gesetz kriminalisiert Programmierer, Konrad Lischka,
http://www.spiegel.de/netzwelt/web/0,1518,492932,00.html
06.07.2007,Spiegel Online (Stand 17.10.2007)
[Spiegelon07c] Chinesische Trojaner auf PCs im Kanzleramt, 25.08.2007, Spiegel
Online, http://www.spiegel.de/netzwelt/tech/0,1518,501954,00.html
(Stand 17.10.2007)
[Stern07] Hackerparagraf, Auch die Aufpasser müssen aufpassen vom 23.09.2007
http://www.stern.de/computer-technik/computer/:Hackerparagraph-Auch-
Aufpasser/598457.html (Stand 17.10.2007)
[Tecchannel07a] Der Hackerparagraph und das Bundesamt vom 17.09.2007
http://www.tecchannel.de/sicherheit/grundlagen/1729025/ (Stand 17.10.2007)
[Tecchannel07b] Administratoren und Programmierer werden kriminalisiert vom
17.09.2007 http://www.tecchannel.de/sicherheit/grundlagen/1728239/
(Stand 17.10.2007)
[Tröndle06a] Tröndle/Fischer , §1StGB, 54. Auflage Stand 01.09.2006
[Tröndle06b] Tröndle/Fischer, §1 StGB, Rn5c mit Verweis auf BVerfGE
4,357;71,115;78,382 54. Auflage, Stand 01.09.2006
48

6. Literaturverzeichnis
[Tröndle06c] Tröndle Fischer, §1 StGB, Rn.10, u.a. mit Hinweis auf BGHSt 7,103;
BGHSt 8,70 54. Auflage, Stand 01.09.2006
[Tröndle06d] Tröndle/Fischer §1 StGB, Rn.9 mit Hinweis auf BGHSt 5,23 54. Auflage
Stand 01.09.2006
[Wessels05] Wessels/Beulke, Strafrecht AT, 35.Auflage 2005
[Winkelbauer98] Winkelbauer, Wolfgang Computerkriminalität und Strafrecht, 1998,
S.40-44
[Wistra05] wistra 5/2007 S.167-170, Strafbarkeit des „Phishing“ von Bankkontodaten
und ihrer Verwertung, Prof. Dr. Michael Heghmanns, Universität Münster
49