Karriere | Presse | Kontakt | GULP in English
in

Hackerparagraf: "Das A und O ist eine gute Beweissicherung"

Interview mit dem Rechtsanwalt und Strafrechtler Dr. Kai Cornelius

(April 2008)
Dr. Kai Cornelius
Dr. Kai Cornelius
 
Rechtsanwalt Dr. Kai Cornelius beschäftigt sich ausgiebig mit dem Thema Computerstrafrecht. Erst kürzlich erschienen Beiträge von ihm in der Zeitschrift "Computer und Recht" (CR 2007, 682, 688) und in der iX zum heftig umstrittenen § 202c StGB, dem sogenannten "Hackerparagraf". Seine Quintessenz zum Hackerparagraf hat er im Gespräch mit dem Informatiker Michael Kubert zusammengefasst. Beide stellen das Interview nachfolgend für GULP Leser zur Verfügung.
Kubert Herr Dr. Cornelius, was halten Sie von diesem Paragrafen?
Cornelius Für Informatiker hätte der Paragraf sicher verständlicher formuliert sein können. Es ist aber nicht der einzige Paragraf, der weniger für die ggf. Betroffenen als für die Juristen formuliert wurde.
Kubert In einfachen Worten, machen sich nun Informatiker reihenweise strafbar, indem sie Sicherheitstools entwickeln oder verwenden?
Cornelius Nehmen wir einen einfachen Fall. A entwickelt und vertreibt eine Software zum befugten Sicherheitstesten von Systemen. Eine Strafbarkeit des A nach § 202c StGB kann mit Sicherheit ausgeschlossen werden.
Kubert Warum?
Cornelius Die Kernpunkte sind: Das Strafrecht soll nicht den technischen Fortschritt und Dual-use-Tools verbieten, sondern auf eine Verhinderung der Förderung krimineller Handlungen abzielen.
Kubert Eine solch klare Aussage ist sicher für viele überraschend. Wer macht sich denn überhaupt nach dem neuen Paragrafen strafbar?
Cornelius Damit kommen wir zur zweiten Fallgruppe. Angenommen, B hat im Auftrag des C eine Software zum heimlichen Einbruch in die Systeme des D entwickelt. C kann die Software zwar noch auf sein System installieren, kommt aber nicht mehr zur Ausführung des geplanten Angriffs. Hier haben sich B und C bereits nach § 202c StGB strafbar gemacht, da sie eine Straftat im Sinne des § 202c StGB vorbereitet haben.
Kubert Das entspricht aber wohl auch dem normalen Rechtsempfinden, oder?
Cornelius Das denke ich auch, da hier B und C eindeutig Straftaten begehen wollen.
Kubert Was passiert denn, wenn jemand ein Sicherheitstool entwickelt, aber ein anderer dies nun als Grundlage für einen Angriff benutzt?
Cornelius Nehmen wir mal an, E hätte im Auftrag des F die Software des A derart angepasst, dass F diese unmittelbar für einen Angriff auf die Systeme des D nutzen kann. Auch hier kommt es nicht mehr zu dem Angriff auf das System des D. Während sich E und F nach § 202c StGB strafbar gemacht haben, bleibt A straflos. A wusste nichts
>> Sicherheitstester grundsätzlich
nicht strafbar. <<
von einer Anpassung seiner Software für den Angriff auf D. Ferner hat er keine irgendwie gearteten Hinweise für einen kriminellen Einsatz seiner Software gegeben. Am Beispiel des A wird deutlich, dass sich der Informatiker in der IT-Sicherheitsindustrie grundsätzlich nicht strafbar macht.
Kubert Was sollte denn ein Informatiker keinesfalls tun, um nicht mit dem § 202c StGB in Konflikt zu geraten?
Cornelius Wenn jemand Sicherheitstools entwickelt, so sollte er in seiner Werbung die legalen Nutzungsmöglichkeiten hervorheben. In jedem Fall sollte er die – auch verklausulierte – Bewerbung illegaler Einsatzmöglichkeiten vermeiden.
Kubert Was meinen Sie mit "verklausuliert"?
Cornelius Nehmen Sie an, G schreibt: "Sie können mit diesem Programm in Sekundenschnelle auch beliebige fremde Accounts beim Provider H kapern, obwohl das selbstverständlich strafbar ist." Das kann so ausgelegt werden, dass G sein Programm wissentlich für den illegalen Markt entwickelt und entsprechend bewirbt.
Kubert Wie kann G denn sein Tool dann bewerben?
Cornelius Beispielsweise so "Mit diesem Programm können Sie testen, ob ihre Accounts beim Provider H vor Hackern sicher sind."
Kubert Was geschieht denn, wenn jemand so ein Testprogramm auf den Provider H loslässt, um seinen eigenen Account zu prüfen?
Cornelius Ungeachtet der strafrechtlichen Folgen sind natürlich auch zivilrechtliche Ansprüche denkbar. Beispielsweise weil H, sofern er nichts von dem Test weiß und dies für einen echten Angriff hält, Zeit und Geld in die Abwehr investiert. Vielleicht macht sein Personal deshalb Überstunden, oder es entsteht kostenpflichtiger IP-Traffic. Auch denkbar ist, dass Accounts anderer Kunden auf dem gleichen Server liegen und gestört werden. Unter Umständen können die zivilrechtlichen Folgen erheblich sein.
Kubert Wie sollte sich denn ein Sicherheitstester absichern?
Cornelius Es ist zumindest erforderlich, den Test vorher ausführlich mit Schilderung der möglichen Folgen zu planen. Dieser Plan wird dem Kunden zur Unterschrift vorlegt. Im eigenen Interesse sollte der Tester darauf achten, alles peinlich genau zu dokumentieren und ggf. Zeugen (Kollegen) sowie den Kunden das Protokoll gleich nach Abschluss des Tests unterschreiben zu lassen, damit er nachher nicht in
>> Genaue Dokumentation und Verträge wichtig. <<
Beweisschwierigkeiten gerät. Es kann durchaus passieren, dass später Streitigkeiten entstehen, ob der Auftrag zu genau diesem Testszenario gegeben wurde und ob ausreichend über mögliche Folgen beraten wurde – insbesondere wenn wider Erwarten ein Schaden entstanden ist.
Kubert Ist soviel Bürokratie wirklich erforderlich?
Cornelius Das A und O ist eine gute Beweissicherung, wozu eine peinlich genaue Dokumentation und klar formulierte, insbesondere schriftliche, Verträge gehören. Hier bietet sich ein Beispiel aus der Medizin an: Die Rechtsprechung sieht in ärztlichen Eingriffen den Tatbestand der Körperverletzung als erfüllt an. Um nicht mit ihrer Freiheit zu spielen, sind Ärzte es also gewohnt, sich vor derartigen Tätigkeiten – von Notfällen abgesehen – sorgfältig dokumentiert die Einwilligung des Patienten zu holen, wozu auch gehört, dass sie umfassend über die
>> Nehmen Sie sich an Ärzten
ein Beispiel. <<
Risiken aufklären, auch wenn diese noch so weit her geholt erscheinen oder gering sind. Die Einwilligung des Patienten schließt dann regelmäßig eine Strafbarkeit aus. Informatiker können sich daran ein Beispiel nehmen und rechtlichen Ärger vermeiden.
Kubert Vielen Dank für das Gespräch!
Mehr Informationen zum Thema erhalten Sie bei Rechtsanwalt Dr. Kai Cornelius, LL.M externer Link. Er betreut vor allem mittelständische Unternehmen aus der Informationstechnologiebranche und übt mehrere Lehrtätigkeiten aus. So ist er an der Universität Hannover als Lehrbeauftragter für Computerstrafrecht und an der Universität Lüneburg als Lehrbeauftragter für IT-Recht tätig.
Der Diplom-Informatiker Michael Kubert externer Link hatte im September 2007 bei der Staatsanwaltschaft Mannheim eine Selbstanzeige wegen möglichen Verstoßes gegen § 202c StGB durch seine Website www.javaexploits.de eingereicht. Das Verfahren wurde im Februar 2008 eingestellt.

Kommentare zu diesem Artikel:

"Der Artikel macht es sich sehr einfach: Er beschreibt aus Sicht eines Rechts- oder Staatsanwalts die Sache so einfach, damit es sogar ein technisch ahnungsloser Rechts- oder Staatsanwalt die Sache klar sehen kann. Diese machen es sich sowohl mit der Beurteilung als auch mit dem Gesetz sehr einfach: Es scheint nur 'gute' und 'böse' Software zu geben, für ausschließlich 'gute' oder 'böse' Gründe. Das zeigt sich in Besonderen in der Beantwortung der Frage nach dem Nicht-im-Konflikt-Kommen mit dem Paragraphen! Da wird von Werbung von Sicherheitstoolentwicklern gesprochen!!! Darf es noch etwas weltfremder sein???   Auf einem schlecht gesicherten Host ist dann wohl ein ftp ein 'Hackertool' (und damit jeder Rechner mit Internetzgriff!), von fortgeschritteneren Programmen zur Analyse des Datenverkehrs zwischen host und client ganz abgesehen, die sicher nicht nur bei 'Sicherheitstoolschreibern' in Einsatz sondern bei vielen, die C/S-Programme schreiben. (Mai 2009)"

"Leider ist die Meinung von Herrn Dr. Cornelius wenig hilfreich, da mit diesem Gesetz ein breiter Ermessensspielraum geschaffen, also massive Rechtsunsicherheit geschaffen wird. Die im Artikel geschilderten Fälle sind natürlich klar, dürften aber in der Praxis extrem exotisch sein, da wohl kaum jemand (vielleicht abgesehen von Industrie- oder staatlicher Spionage, ..., die sowieso verboten sind) ein spezielles Tool für einen speziellen Angriff auf ein spezielles Ziel schreiben wird. Ich bin Softwareentwickler. Was mache ich, wenn ich mir derartige Tools für Weiterbildungszwecke oder zum Testen der von mir erstellten Software erstelle oder beschaffe und mir dann irgendein böswilliger Mensch unterstellt, ich hätte ihn damit angegriffen? Dann haben wir plötzlich eine Umkehr der Beweislast, etwas, was rechtsstaatlichen Mindeststandards diametral widerspricht! Da ist auch die von Herrn Dr. Cornelius angesprochene Beweissicherung nicht hilfreich, da es in der Praxis vollkommen unrealistisch ist, jeden Schritt erst schriftlich zu dokumentieren und man damit auch bestenfalls beweisen kann, was man getan hat, aber nicht, was man nicht getan hat.  Ein noch viel größeres Problem ist, daß bei jedem Betriebssystem Werkzeuge wie tcpdump mitgeliefert werden, die zum Debugging von Netzwerkproblemen und zur Fehlersuche unentbehrlich sind, aber natürlich zum Ausspähen von Paßwörtern geeignet sind (bei der Fehlersuche ist das manchmal sogar Sinn der Sache!) und damit als Hackertools interpretiert werden könnten. (Januar 2009)"

"Sehr aufschluss- und hilfreich. Vielen Dank. (April 2008)"

"Eine ganz wesentliche Fragestellung vermisse ich in diesem Interview. Der Fall: Als IT-Dienstleister habe ich zahlreiche Software auf meinem PC die üblicherweise Bestandteil von Viren/Würmern etc. ist und grundsätzlich nur Bestandteil von 'bösartiger Software' ist. Im Bedarfsfall kann ich somit Tests sofort durchführen oder Sicherheitslücken vorführen. Ebenso ist es möglich damit Sicherheitssoftware zu prüfen. Mache ich mich nun strafbar oder nicht? Bisher war das erlaubt, aber jetzt? Wie kann ich diese 'rein bösartige Software' weiter verwenden und auf meinem Laptop vorhalten ohne mich strafbar zu machen? (April 2008)"

Seite drucken Seiten drucken Zum Seitenanfang nach oben