Einleitung
Mit der zunehmenden Digitalisierung ist in Deutschland in den letzten Jahren auch der Bereich der Cyberkriminalität stärker in den Fokus des Strafrechts gerückt.
Das Internet stellt ohnehin keinen rechtsfreien Raum dar. Handlungen sind nicht bloß deshalb straffrei sind, weil sie im Internet geschehen. Es gibt jedoch bestimmte Situationen und Handlungen, die sich nicht unter bereits bestehende Normen fassen lassen. Dies hat der Gesetzgeber bereits vor längerer Zeit erkannt, und mit Wirkung zum 11.08.2007 § 202c ins StGB (Strafgesetzbuch) eingefügt. Ziel war es hierbei, auch Vorbereitungshandlungen zu den Straftaten gemäß § 202a StGB (Ausspähen von Daten) sowie § 202b StGB (Abfangen von Daten) unter Strafe zu stellen.
Allerdings wurde bereits im Vorfeld des Erlasses der Vorschrift diskutiert, ob der Gesetzgeber die berechtigten Interessen der IT-Sicherheitsbranche hinreichend berücksichtigt hat. Es wurden in diesem Zusammenhang erhebliche Strafbarkeitsrisiken im Zusammenhang mit legitimen und notwendigen IT-Sicherheitsprüfungen und sonstigen zu Unrecht kriminalisierten Einsatzzwecken befürchtet.
Etwas mehr Rechtssicherheit sollte einige Jahre später ein Urteil des Bundesverfassungsgerichts bringen. Allerdings stellte sich schnell heraus, dass dies allenfalls für einige Aspekte der befürchteten Strafbarkeit gelten kann.
Die gesetzliche Regelung
§ 202c StGB lautet (in der am 26.11.2015 in Kraft getretenen Fassung) wie folgt:
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
- Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
- Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.(2) § 149 Abs. 2 und 3 gilt entsprechend.
Es wird also nicht jegliches Handeln unter Strafe gestellt, jedoch relativ umfassend das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen. Tatobjekte sind zum einen Passwörter und sonstige Sicherungscodes (Nr. 1), die den Zugang zu Daten ermöglichen und zum anderen Computerprogramme (Nr. 2), deren Zweck die Begehung einer Straftat nach § 202a oder § 202b StGB ist. Weiterhin muss durch die Tathandlungen eine Straftat nach § 202a oder § 202b StGB vorbereitet werden. Darüber hinaus gibt es Verweise auf die Norm in § 303a Abs. 3 StGB (Datenveränderung) sowie § 303b Abs. 5 StGB (Computersabotage).
Da sich der vorliegende Beitrag mit Hackertools beschäftigt, soll im Folgenden ausschließlich die zweite Tatbestandsalternative betrachtet werden.
Kritik und Urteil des Bundesverfassungsgerichts
Wie bereits angedeutet ist bereits vor Erlass an der Norm viel Kritik geäußert worden. Diese Kritik führte zu drei Verfassungsbeschwerden, welche aus unterschiedlichen Aspekten des Strafbarkeitsrisikos erhoben wurden. Alle drei Verfassungsbeschwerden wurden mit Beschluss vom 18.05.2009 (Az. 2 BvR 2233/07, 2 BvR 1151/08, 2 BvR 1524/08) durch das Bundesverfassungsgericht nicht zur Entscheidung angenommen.
Im Folgenden werden die beiden wesentlichen Merkmale untersucht, anhand welcher das Bundesverfassungsgericht die Grenze der Strafbarkeit gezogen hat.
Zweckbestimmung der Software
Eine erste Beschränkung der Strafbarkeit besteht darin, dass es sich um Computerprogramme handeln muss, welche zur Begehung einer der in Bezug genommenen Taten bestimmt sind. Hieran hat auch das Bundesverfassungsgericht schwerpunktmäßig angeknüpft, als es für zwei der drei Beschwerdeführer keine Strafbarkeitsrisiken erkennen konnte.
Für die IT-Sicherheit relevante Computerprogramme werden von verschiedenen Akteueren zu verschiedenen Zwecken eingesetzt. Es können kriminelle Zwecke (durch sog. Black-Hat-Hacker) als auch legitimie Interessen verfolgt werden (durch sog. White-Hat-Hacker). Letzteres z.B. zur Prüfung der IT-Sicherheit von Unternehmen im Rahmen von Penetrationstests .
Das Bundesverfassungsgericht hat in seiner Entscheidung maßgeblich darauf abgestellt, dass es um den „Zweck“ und nicht um die „Eignung“ der Computerprogramme gehe. Es genügt danach also nicht bereits, dass ein Computerprogramm für eine der genannten Straftaten eingesetzt werden kann. Vielmehr müsse die Zweckbestimmung eine Eigenschaft des Computerprogramms in dem Sinne darstellen, dass es sich um „Schadsoftware“ handele. Das Bundesverfassungsgericht grenzt Schadsoftware
unter Verweis auf die Äußerungen der Bundesregierung im Gesetzgebungsverfahren von sog. Dual-Use-Tools ab, deren funktionaler Zweck nicht eindeutig kriminell sei, und bei welchen erst die Anwendung über ihren Bestimmungszweck entscheide.
Weiterhin muss sich lauf Bundesverfassungsgericht der Zweck auch objektiv manifestiert haben. Für eine solche Manifestation wird im Urteil auf eine Interpretation der Verwendungsabsicht aufgrund der Programmgestaltung abgestellt sowie auf eine auf illegale Verwendungen abzielende Vertriebspolitik und Werbung des Herstellers.
Vorsatz im Hinblick auf die Vorbereitung von Straftaten
Neben der Zweckbestimmung ergibt sich eine weitere wesentliche Einschränkungen aus dem für die Strafbarkeit notwendigen Vorsatz, der auch auf die Vorbereitung der in Bezug genommenen Straftaten gerichtet sein muss. Das Bundesverfassungsgericht geht mit der herrschenden Meinung davon aus, dass ein sogenannter Eventualvorsatz ausreicht. Dies setzt voraus, dass der Täter damit rechnet, dass das Computerprogramm zur Begehung von Straftaten gebraucht wird und dies zumindest billigend in Kauf nimmt.
Aufgrund des erforderlichen Eventualvorsatzes ist die Strafbarkeit immer dann ausgeschlossen, wenn der Einsatz im Zusammenhang mit einer Tätigkeit erfolgt, für die ein Einverständnis des Inhabers der Zielsysteme vorliegt. Im Falle eines Penetrationstests liegt etwa ein Einverständnis des Auftraggebers mit dem Einsatz der fraglichen Computerprogramm vor, so dass das Handeln nicht strafbar ist.
Bewertung und praktische Auswirkungen
Dem Bundesverfassungsgericht ist es leider nur teilweise gelungen, Klarheit in die offensichtlich misslungene gesetzliche Grundlage zu bringen.
Teilweise Rechtssicherheit
Von Rechtssicherheit lässt sich aufgrund des Urteils des Bundesverfassungsgerichts dort sprechen, wo entweder eindeutig eine Dual-Use-Software genutzt wird oder das Einverständnis des Inhabers der Zielsysteme vorliegt.
Tools, die ein relativ breites Einsatzgebiet haben, fallen unschwer unter den Dual-Use-Begriff. So kann beispielsweise ein Portscanner wie nmap zwar auch im Rahmen eines Angriffs eingesetzt werden, es gibt jedoch auch viele andere Einsatzzwecke. In solchen Fällen scheidet eine Strafbarkeit aus, weil die für die Strafbarkeit erforderliche Zweckbestimmung nicht gegeben ist. Einzelheiten hierzu werden in diesem Beitrag sehr überzeugend dargestellt.
Auch in Fällen, in welchen ein Einverständnis vorliegt, ist eine Strafbarkeit eindeutig nicht gegeben. Dies gilt etwa für Penetrationstests, wobei es hier sehr wichtig ist, Art und Mittel des Einsatzes zusammen mit dem Kunden genau zu definieren und zu dokumentieren. Auch ein Einsatz von Hackertools im Ramen von Capture the Flag-Wettbewerben ist nicht strafbar, da auch in diesem Fall die Zielsysteme gerade für die Angriffe zur Verfügung gestellt werden.
Wichtig ist auch die Erkenntnis, dass bei einem vorliegenden Einverständnis auch Computerprogramme beschafft und verwendet werden dürfen, welche eindeutig als Schadsoftware betrachtet werden können. Denn in diesem Fall ist zwar die Zweckbestimmung erfüllt, die Strafbarkeit scheitert dennoch am mangelnden Vorsatz. Selbstverständlich ist die Strafbarkeit mit jeder neuen Handlung neu zu bewerten, so dass auch eine unkontrollierte Weitergabe nach legaler Beschaffung zu einer Strafbarkeit führen kann.
Erhebliche Unsicherheit in Teilbereichen
Es gibt bedeutende Aspekte, bei denen auch nach dem Beschluss des Bundesverfassungsgerichts eine erhebliche Rechtsunsicherheit herrscht. Dies ist dort der Fall, wo sich im Hinblick auf die vom Gesetzgeber vorgegebenen und vom Bundesverfassungsgericht betonten Aspekte, Zweckbestimmung und Vorsatz, keine eindeutigen Ergebnisse finden lassen.
Der Bereich mangelnder Rechtssicherheit ist relativ groß. Die klare Abgrenzung, die sich das Bundesverfassungsgericht in seiner Entscheidung zwischen Dual-Use-Software und Schadsoftware ausgemalt hat, gibt es in der Praxis nicht. Dies wird schon klar, wenn man sich den Unterschied zwischen einem erfolgreichen Hackerangriff und einem erfolgreichen Penetrationstest vor Augen führt. Beide setzen ein erfolgreiches Eindringen in die Zielsysteme voraus. Bei beiden Angriffen kommen Tools zum Einsatz, die Schwachstellen ausnutzen und hierdurch den Zugang ermöglichen. Im Rahmen eines Hackerangriffs werden ggf. riskantere Tools eingesetzt, also solche Tools, die erheblichen Schaden am Zielsystem anrichten können. Aber im Allgemeinen unterscheidet sich das Vorgehen der beiden Gruppen kaum voneinander.
Erst im Anschluss, nämlich beim Handeln in den Zielsystemen, werden die Unterschiede deutlich. Während im Rahmen von Penetrationstests die gefundenen Sicherheitslücken dokumentiert werden, werden in der Folge eines Hackangriffs beispielsweise Daten exfiltriert.
Es bleibt somit völlig offen, wie in diesem Zusammenhang Dual-Use-Tools und Schadsoftware klar voneinander abgegrenzt werden können. Dies gilt etwa bei sog. Exploits, also Software, mit der gezielt bestimmte Sicherheitslücken des Zielsystems ausgenutzt werden können. Es ist zweifelhaft, ob diese deshalb nicht unter den Begriff der Schadsoftware fallen, weil ein legitimer Einsatz im Rahmen von Penetrationstests denkbar ist.
Ebenso unklar ist es, ob die in der Praxis relativ üblichen Hinweise, dass die Software nur mit Einverständnis eingesetzt werden darf, bei der Zweckbestimmung berücksichtigt werden. Stammt die Software von Dritten, stellt sich weiterhin die Frage, ob eine Recherchepflicht besteht, da das Bundesverfassungsgericht auf Vertriebspolitik und Werbung durch den Hersteller verweist. Insgesamt gibt es in diesem Bereich auch nach dem Urteil des Bundesverfassungsgerichts mehr Fragen als Antworten.
Eindeutig als Schadsoftware ist Software zu definieren, die nicht lediglich ein Eindringen in das Zielsystem ermöglicht, sondern deren Zweck vor allem im dort angerichteten Schaden besteht, beispielsweise Verschlüsselungstrojaner. Allerdings besteht auch bezüglich dieser Tools ein legitimes Interesse, diese aus Sicht der IT-Sicherheit zu analysieren. Hier kann eine Strafbarkeit jedoch lediglich aufgrund der subjektiven Ebene, also beim Vorsatz, ausgeschlossen.
Risiken im Bereich des Vorsatzes ergeben sich vor allem dann, wenn eine Weitergabe der Software an eine nicht genau eingrenzbare Personengruppe erfolgt. Denn dann ist der Weitergebende schnell in einem Bereich, in welchem er es auf die Begehung von Straftaten ankommen lässt. Das Bundesverfassungsgericht sieht dies “durch freies Einstellen ins Internet oder durch Zurverfügungstellen innerhalb von Foren mit entsprechendem Mitgliederkreis” als erfüllt an.
Leider hat das Bundesverfassungsgericht damit in seinem Beschluss eine klare Grenze nicht festgelegt. Im Ergebnis fängt der Graubereich bereits dort an, wo die Programme an einen größeren Personenkreis weitergegeben werden. Die in IT-Sicherheitskreisen durchaus nicht unübliche Praxis, Exploits oder auch Proof of Concepts zu Exploits auf öffentlichen Seiten wie Github zu veröffentlichen, führt jedenfalls in Deutschland zu nicht unerheblichen Strafbarkeitsrisiken.
Schlussfolgerung / Fazit
Im Ergebnis bestehen somit zumindest bei der Weitergabe von Computerprogrammen, die einen stark auf Angriffe ausgelegten Funktionsbereich haben, erhebliche Risiken. Das Risiko ist umso größer, je eindeutiger das Programm in Richtung Schadsoftware tendiert, ohne dass hierbei eine exakte Grenze gezogen werden kann. Weiterhin steigt auch das Risiko, je größer und bestimmter der Personenkreis ist, an den die Software weitergegeben wird.
Schaut man sich die Statistik der Strafverfahren an, fällt jedoch auf, dass das tatsächliche Risiko einer Strafverfolgung gering ist. So weist die Kriminalstatistik für das Jahr 2021 lediglich 4 Straftaten im Hinblick auf § 202c StGB auf (PKS Bundeskriminalamt, Berichtsjahr 2021, Straftatenkatalog Version 1.0, Link).
Dennoch ist das Ergebnis unbefriedigend. § 202c StGB hat ganz eindeutig handwerkliche Fehler, welche seit mehr als 15 Jahren bekannt sind. Statt eine Korrektur und Anpassung auf Gesetzesebene vorzunehmen, wird die Lösung an Gerichte und Strafverfolgungsbehörden delegiert, die dann im Rahmen ihrer Möglichkeiten versuchen müssen, den Schaden zu begrenzen. Dies führt nicht dazu, das Vertrauen der Bürger in die Gesetzesnormen zu stärken. Insbesondere bei Straftatbeständen erscheint dies sehr bedenklich.
Foto von Markus Spiske auf Unsplash