Frage an Axel Schäfer von Simon H. bezüglich Recht
Sehr geehrter Herr Schäfer,
mit Besorgnis habe ich die Verabschiedung der Novelle des Strafgesetzbuches zur Bekämpfung der Computerkriminalität und den damit verbundenen ´Hackerparagraphen´ verfolgt. (http://www.heise.de/newsticker/meldung/90223 )
Dieses Gesetz kann die Kriminalität im Internet nicht wirksam einschränken, da das Internet bekanntlich nicht an Deutschlands oder Europas Grenzen endet.
Das Gesetz versucht bereits die Vorbereitung der eigentlichen Straftat unter Strafe zu stellen. Ein ausreichend motivierter Krimineller wird sich nicht durch das Gesetz von der eigentlichen Straftat abhalten lassen. Eine Vielzahl der notwendigen Programme ist auch für Laien über Server außerhalb Deutschlands frei zugänglich. Die Ansprüche an die notwendigen Kenntnisse sind nicht besonders hoch und viele der Informationen sind ebenfalls über ausländische Webserver zugänglich.
Das Gesetz richtet sich gegen all jene, die in Deutschland entweder beruflich oder ehrenamtlich für IT-Infrastrukturen und deren Sicherheit verantwortlich sind. Etliche wichtige Dienste, die Administratoren und Entwickler vor Schwachstellen warnen sollen, laufen nun in Gefahr kriminalisiert zu werden. (http://www.heise.de/newsticker/meldung/94357) Aktive Sicherheitstests, die eine weit verbreitete Analyse- und Schulungsmethode für IT-Administratoren darstellen, werden ebenfalls kriminalisiert. Sogar elementare Techniken der Netzanalyse werden kriminalisiert, da sie auch von Straftätern genutzt werden. Das ist, als ob man den Betreiber eines Kernkraftwerks auffordern würde, sämtliche Leitwarten abzubauen, weil diese Terroristen wichtige Informationen liefern könnten.
Wann dürfen wir mit einer Korrektur dieses Gesetzes rechnen? Sinnvoller wäre es, klarzustellen, dass jeder für die Schäden haftet, wenn er die von ihm betriebenen Computer nicht ausreichend gegen Viren und Trojaner absichert. Bei Autos haftet der Besitzer auch, wenn er Schäden an der Bremse nicht behebt.
Mit freundlichen Grüßen,
Simon Hoerder
Lieber Simon,
vielen Dank für Deine Anfrage.
Durch das Gesetz zur Bekämpfung der Computerkriminalität sollen grundsätzlich einmal Unternehmen und Privatleute wirksamer gegen Angriffe aus dem Internet geschützt werden. So soll das sogenannte „Hacking“ strafrechtlich stärker erfasst werden und auch die Verfolgung von teilweise gravierenden Straftaten, gerade im Zusammenhang mit dem Internet, soll erleichtert werden. Andererseits jedoch soll auch eine übermäßige Kriminalisierung, insbesondere von sog. Bagatellfällen, künftig vermieden werden.
Das angesprochene Gesetz basiert auf einem EU-Rahmenbeschluss, wobei im Strafgesetzbuch sowie im Gesetz über Ordnungswidrigkeiten Ergänzungen und Änderungen vorgenommen werden. Verschärft wurden zum Beispiel die Straftatbestände des so genannten „Hackings“ oder der Computersabotage. Ziel des Gesetzes ist insgesamt auch, die Zusammenarbeit zwischen den Justiz- und Strafverfolgungsbehörden innerhalb der Europäischen Union zu verbessern.
Es ist mir durchaus klar, dass dieses Problem ein weltweites ist, und nicht mit einer innerstaatlichen oder europäischen Lösung behoben werden kann. Ich sehe das jedoch ähnlich wie bei den Verhandlungen um die Verringerung der CO2-Emissionen: Wir müssen bei bestimmten Problemen vorangehen. Erweist sich unser Vorgehen als erfolgreich, werden andere Staaten es uns gleichtun und ebenfalls Maßnahmen ergreifen. Würden wir jedoch bei allen länderübergreifenden und weltweiten Problemen auf eine gemeinsame Lösung aller Staaten warten, würde nie etwas passieren. Problematisiert wurde während des Gesetzgebungsverfahrens in Deutschland auch die Frage, ob künftig Dienstleistungen strafbar sein könnten, die das Aufspüren von Sicherheitslücken in IT-Systemen von Unternehmen zum Gegenstand haben. Auch Du hattest in Deiner Anfrage moniert, das Gesetz richte sich gegen Leute, die in Deutschland beruflich oder ehrenamtlich für IT-Infrastrukturen und deren Sicherheit verantwortlich sind. Das Gesetz hat hiergegen jedoch Vorsorge getroffen. Voraussetzung für eine Strafbarkeit nach den geplanten neuen Vorschriften des Strafgesetzbuches ist nämlich ein unbefugtes Handeln. Dadurch sind Personen, die mit der Überprüfung von Sicherheitsmängeln in IT-Systemen beauftragt wurden, natürlich nicht betroffen.
Im Übrigen wird die Strafbarkeit auf Computerprogramme beschränkt, deren Zweck die Begehung einer Computerstraftat ist. Dadurch wird gewährleistet, dass keine Computerprogramme erfasst werden, die z. B. speziell der Überprüfung der Sicherheit dienen. Außerdem muss die Tathandlung zur Vorbereitung einer Computerstraftat erfolgen. Wer also die Sicherheit eines Systems testet oder Sicherheitssoftware entwickelt, tut dies nicht zur Vorbereitung einer Computerstraftat und macht sich nicht strafbar. Gerade in Zeiten, in denen wir darüber diskutieren, inwieweit staatliche Institutionen bei Verdacht von Straftaten Onlinedurchsuchungen vornehmen dürfen, kann es nicht akzeptiert werden, dass das Eindringen in die Privatsphäre von Menschen oder in das Innerste von Unternehmen und Institutionen nicht strafrechtlich wird. Es ist meiner Ansicht nach nicht nur legitim, sondern auch unsere Pflicht, dass die eindeutige Vorbereitung einer Straftat bereits strafrechtlich geahndet wird. Hierdurch sollen immerhin Bürgerinnen und Bürger vor virtueller Spionage und Virenangriffen auf ihr Eigentum geschützt werden. Es ist unsere Pflicht als Gesetzgeber, dafür zu sorgen. Dies ist ja nicht nur im Bereich der Computerkriminalität so, sondern in vielen anderen Bereichen auch. Es wäre fatal, wenn Straftäter immer erst nach Begehen der Tat verfolgt werden dürften und die Behörden keine gesetzliche Grundlage hätten, Straftaten zu verhindern. Mir ist bekannt, dass viele IT-Spezialisten ihre Arbeit in Gefahr sehen, da ihrer Meinung nach die selben Computerprogramme verwendet werden, um Sicherheitslücken aufzuspüren und auch um sich illegal in fremde Computernetzwerke einzuhacken. Auch die Grenze zwischen der Bereitstellung von Wissen über Sicherheitslücken in IT-Programmen und der gleichzeitigen Verbreitung von möglichen Schwachstellen in Computersystemen für Hacker - was nach dem Gesetz die Vorbereitung einer Straftat darstellt - ist nicht umfassend definiert. Hier besteht meines Erachtens Nachjustierungsbedarf.
Ich teile die Einschätzung meines Kollegen Jörg Tauss, dass im Vorhinein nicht genügend Zeit für die parlamentarische Befassung mit diesem Gesetz gegeben war. Dennoch bin ich der Meinung, dass der Weg, der mit diesem Gesetz beschritten wurde, richtig ist, wenn auch an manchen Stellen noch nachgebessert werden muss. Wo dies in der Praxis notwendig ist, wird sich in der nächsten Zeit herausstellen. Wir sind deshalb auch darauf angewiesen, dass wir von den Bürgerinnen und Bürgern, die in ihrer Berufsausübung von diesem Gesetz betroffen sind, Rückmeldung erhalten. Natürlich ist sich auch jeder Computernutzer dessen bewusst, dass er z.B. seine Anti-Viren-Programme regelmäßig aktualisieren sollte. Man kann jedoch von normalen Bürgern nicht verlangen, dass sie sich auf demselben Wissensniveau wie Hacker befinden, die absichtlich und mit zerstörerischer Absicht deren Computersysteme infizieren.
Der Vergleich am Ende Deines Schreibens hinkt meines Erachtens nach: Ein aktives Stehlen oder Zerstören von fremden Daten kann nicht mit dem Verschleiß von Bremsen an einem Auto verglichen werden. Es kann lediglich mit dem aktiven Zerstören von Bremsen am Auto gleichgesetzt werden – und das steht ebenso unter Strafe.
Mit freundlichen Grüßen
Axel Schäfer