| Kubert |
Herr Dr. Cornelius, was halten Sie von diesem Paragrafen? |
| Cornelius |
Für Informatiker hätte der Paragraf sicher verständlicher formuliert sein können. Es ist aber nicht der einzige Paragraf, der weniger für die ggf. Betroffenen als für die Juristen formuliert wurde. |
| Kubert |
In einfachen Worten, machen sich nun Informatiker reihenweise strafbar, indem sie Sicherheitstools entwickeln oder verwenden? |
| Cornelius |
Nehmen wir einen einfachen Fall. A entwickelt und vertreibt eine Software zum befugten Sicherheitstesten von Systemen. Eine Strafbarkeit des A nach § 202c StGB kann mit Sicherheit ausgeschlossen werden. |
| Kubert |
Warum? |
| Cornelius |
Die Kernpunkte sind: Das Strafrecht soll nicht den technischen Fortschritt und Dual-use-Tools verbieten, sondern auf eine Verhinderung der Förderung krimineller Handlungen abzielen. |
| Kubert |
Eine solch klare Aussage ist sicher für viele überraschend. Wer macht sich denn überhaupt nach dem neuen Paragrafen strafbar? |
| Cornelius |
Damit kommen wir zur zweiten Fallgruppe. Angenommen, B hat im Auftrag des C eine Software zum heimlichen Einbruch in die Systeme des D entwickelt. C kann die Software zwar noch auf sein System installieren, kommt aber nicht mehr zur Ausführung des geplanten Angriffs. Hier haben sich B und C bereits nach § 202c StGB strafbar gemacht, da sie eine Straftat im Sinne des § 202c StGB vorbereitet haben. |
| Kubert |
Das entspricht aber wohl auch dem normalen Rechtsempfinden, oder? |
| Cornelius |
Das denke ich auch, da hier B und C eindeutig Straftaten begehen wollen. |
| Kubert |
Was passiert denn, wenn jemand ein Sicherheitstool entwickelt, aber ein anderer dies nun als Grundlage für einen Angriff benutzt? |
| Cornelius |
Nehmen wir mal an, E hätte im Auftrag des F die Software des A derart angepasst, dass F diese unmittelbar für einen Angriff auf die Systeme des D nutzen kann. Auch hier kommt es nicht mehr zu dem Angriff auf das System des D. Während sich E und F nach § 202c StGB strafbar gemacht haben, bleibt A straflos. A wusste nichts von einer Anpassung seiner Software für den Angriff auf D. Ferner hat er keine irgendwie gearteten Hinweise für einen kriminellen Einsatz seiner Software gegeben. Am Beispiel des A wird deutlich, dass sich der Informatiker in der IT-Sicherheitsindustrie grundsätzlich nicht strafbar macht. |
| Kubert |
Was sollte denn ein Informatiker keinesfalls tun, um nicht mit dem § 202c StGB in Konflikt zu geraten? |
| Cornelius |
Wenn jemand Sicherheitstools entwickelt, so sollte er in seiner Werbung die legalen Nutzungsmöglichkeiten hervorheben. In jedem Fall sollte er die – auch verklausulierte – Bewerbung illegaler Einsatzmöglichkeiten vermeiden. |
| Kubert |
Was meinen Sie mit "verklausuliert"? |
| Cornelius |
Nehmen Sie an, G schreibt: "Sie können mit diesem Programm in Sekundenschnelle auch beliebige fremde Accounts beim Provider H kapern, obwohl das selbstverständlich strafbar ist." Das kann so ausgelegt werden, dass G sein Programm wissentlich für den illegalen Markt entwickelt und entsprechend bewirbt. |
| Kubert |
Wie kann G denn sein Tool dann bewerben? |
| Cornelius |
Beispielsweise so "Mit diesem Programm können Sie testen, ob ihre Accounts beim Provider H vor Hackern sicher sind." |
| Kubert |
Was geschieht denn, wenn jemand so ein Testprogramm auf den Provider H loslässt, um seinen eigenen Account zu prüfen? |
| Cornelius |
Ungeachtet der strafrechtlichen Folgen sind natürlich auch zivilrechtliche Ansprüche denkbar. Beispielsweise weil H, sofern er nichts von dem Test weiß und dies für einen echten Angriff hält, Zeit und Geld in die Abwehr investiert. Vielleicht macht sein Personal deshalb Überstunden, oder es entsteht kostenpflichtiger IP-Traffic. Auch denkbar ist, dass Accounts anderer Kunden auf dem gleichen Server liegen und gestört werden. Unter Umständen können die zivilrechtlichen Folgen erheblich sein. |
| Kubert |
Vielen Dank für das Gespräch! |
Mehr Informationen zum Thema erhalten Sie bei Rechtsanwalt
Dr. Kai Cornelius, LL.M . Er betreut vor allem mittelständische Unternehmen aus der Informationstechnologiebranche und übt mehrere Lehrtätigkeiten aus. So ist er an der Universität Hannover als Lehrbeauftragter für Computerstrafrecht und an der Universität Lüneburg als Lehrbeauftragter für IT-Recht tätig.
Der Diplom-Informatiker
Michael Kubert hatte im September 2007 bei der Staatsanwaltschaft Mannheim eine Selbstanzeige wegen möglichen Verstoßes gegen § 202c StGB durch seine Website www.javaexploits.de eingereicht. Das Verfahren wurde im Februar 2008 eingestellt.
