a Randstad company
Login

Hackerparagraf: "Das A und O ist eine gute Beweissicherung"

Interview mit dem Rechtsanwalt und Strafrechtler Dr. Kai Cornelius

01.04.2008
Dr. Kai Cornelius und Michael Kubert
Artikel teilen:

Rechtsanwalt Dr. Kai Cornelius beschäftigt sich ausgiebig mit dem Thema Computerstrafrecht. Erst kürzlich erschienen Beiträge von ihm in der Zeitschrift "Computer und Recht" (CR 2007, 682, 688) und in der iX zum heftig umstrittenen § 202c StGB, dem sogenannten "Hackerparagraf". Seine Quintessenz zum Hackerparagraf hat er im Gespräch mit dem Informatiker Michael Kubert zusammengefasst. Beide stellen das Interview nachfolgend für GULP Leser zur Verfügung.

Kubert Herr Dr. Cornelius, was halten Sie von diesem Paragrafen?
Cornelius Für Informatiker hätte der Paragraf sicher verständlicher formuliert sein können. Es ist aber nicht der einzige Paragraf, der weniger für die ggf. Betroffenen als für die Juristen formuliert wurde.
Kubert In einfachen Worten, machen sich nun Informatiker reihenweise strafbar, indem sie Sicherheitstools entwickeln oder verwenden?
Cornelius Nehmen wir einen einfachen Fall. A entwickelt und vertreibt eine Software zum befugten Sicherheitstesten von Systemen. Eine Strafbarkeit des A nach § 202c StGB kann mit Sicherheit ausgeschlossen werden.
Kubert Warum?
Cornelius Die Kernpunkte sind: Das Strafrecht soll nicht den technischen Fortschritt und Dual-use-Tools verbieten, sondern auf eine Verhinderung der Förderung krimineller Handlungen abzielen.
Kubert Eine solch klare Aussage ist sicher für viele überraschend. Wer macht sich denn überhaupt nach dem neuen Paragrafen strafbar?
Cornelius Damit kommen wir zur zweiten Fallgruppe. Angenommen, B hat im Auftrag des C eine Software zum heimlichen Einbruch in die Systeme des D entwickelt. C kann die Software zwar noch auf sein System installieren, kommt aber nicht mehr zur Ausführung des geplanten Angriffs. Hier haben sich B und C bereits nach § 202c StGB strafbar gemacht, da sie eine Straftat im Sinne des § 202c StGB vorbereitet haben.
Kubert Das entspricht aber wohl auch dem normalen Rechtsempfinden, oder?
Cornelius Das denke ich auch, da hier B und C eindeutig Straftaten begehen wollen.
Kubert Was passiert denn, wenn jemand ein Sicherheitstool entwickelt, aber ein anderer dies nun als Grundlage für einen Angriff benutzt?
Cornelius Nehmen wir mal an, E hätte im Auftrag des F die Software des A derart angepasst, dass F diese unmittelbar für einen Angriff auf die Systeme des D nutzen kann. Auch hier kommt es nicht mehr zu dem Angriff auf das System des D. Während sich E und F nach § 202c StGB strafbar gemacht haben, bleibt A straflos. A wusste nichts von einer Anpassung seiner Software für den Angriff auf D. Ferner hat er keine irgendwie gearteten Hinweise für einen kriminellen Einsatz seiner Software gegeben. Am Beispiel des A wird deutlich, dass sich der Informatiker in der IT-Sicherheitsindustrie grundsätzlich nicht strafbar macht.
Kubert Was sollte denn ein Informatiker keinesfalls tun, um nicht mit dem § 202c StGB in Konflikt zu geraten?
Cornelius Wenn jemand Sicherheitstools entwickelt, so sollte er in seiner Werbung die legalen Nutzungsmöglichkeiten hervorheben. In jedem Fall sollte er die – auch verklausulierte – Bewerbung illegaler Einsatzmöglichkeiten vermeiden.
Kubert Was meinen Sie mit "verklausuliert"?
Cornelius Nehmen Sie an, G schreibt: "Sie können mit diesem Programm in Sekundenschnelle auch beliebige fremde Accounts beim Provider H kapern, obwohl das selbstverständlich strafbar ist." Das kann so ausgelegt werden, dass G sein Programm wissentlich für den illegalen Markt entwickelt und entsprechend bewirbt.
Kubert Wie kann G denn sein Tool dann bewerben?
Cornelius Beispielsweise so "Mit diesem Programm können Sie testen, ob ihre Accounts beim Provider H vor Hackern sicher sind."
Kubert Was geschieht denn, wenn jemand so ein Testprogramm auf den Provider H loslässt, um seinen eigenen Account zu prüfen?
Cornelius Ungeachtet der strafrechtlichen Folgen sind natürlich auch zivilrechtliche Ansprüche denkbar. Beispielsweise weil H, sofern er nichts von dem Test weiß und dies für einen echten Angriff hält, Zeit und Geld in die Abwehr investiert. Vielleicht macht sein Personal deshalb Überstunden, oder es entsteht kostenpflichtiger IP-Traffic. Auch denkbar ist, dass Accounts anderer Kunden auf dem gleichen Server liegen und gestört werden. Unter Umständen können die zivilrechtlichen Folgen erheblich sein.
Kubert Vielen Dank für das Gespräch!

Mehr Informationen zum Thema erhalten Sie bei Rechtsanwalt Dr. Kai Cornelius, LL.M . Er betreut vor allem mittelständische Unternehmen aus der Informationstechnologiebranche und übt mehrere Lehrtätigkeiten aus. So ist er an der Universität Hannover als Lehrbeauftragter für Computerstrafrecht und an der Universität Lüneburg als Lehrbeauftragter für IT-Recht tätig.

Der Diplom-Informatiker Michael Kubert hatte im September 2007 bei der Staatsanwaltschaft Mannheim eine Selbstanzeige wegen möglichen Verstoßes gegen § 202c StGB durch seine Website www.javaexploits.de eingereicht. Das Verfahren wurde im Februar 2008 eingestellt.