Frage an Ditmar Staffelt von Jan B. bezüglich Innere Sicherheit

Sehr geehrter Herr Bischoff,

das in Ihrer Frage genannte Gesetz zur Bekämpfung der Computerkriminalität („Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität“) geht auf eine Übereinkunft des Europarates zurück. Der von Ihnen beschriebene Teil zu dem Verbot von „Hackertools“ ist aufgrund der rasant angestiegenen Zahl von "Computereinbrüchen" durch Nicht-Profis, auch bekannt unter dem Szenenamen „Script Kiddies“, vorgeschlagen worden. Ob es dadurch tatsächlich zu einer Beeinträchtigung von Sicherheitsunternehmenund Systemadministratoren kommt, wird unterschiedlich beurteilt.

Das Bundesministerium für Justiz und die Bundestagsfraktionen von SPD, CDU, Grüne und FDP gehen von keiner Beeinträchtigung aus, da zwei Merkmale erfüllt werden müssen, die einen objektiven Tatbestand rechtfertigen. Erstens muss es sich objektiv um ein Schadprogramm handeln und zweitens muss sich die Tathandlung – also das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonst Zugänglichmachen – auf eine Computerstraftat beziehen.

Weiter schreibt das Bundesjustizministerium: „Durch die Beschränkung auf Computerprogramme, deren Zweck die Begehung einer Computerstraftat ist, wird bereits auf Tatbestände sichergestellt, dass keine Computerprogramme erfasst werden, die der Überprüfung der Sicherheit dienen. Unter Strafe gestellt werden lediglich solche Programme, denen die illegale Verwendung immanent ist, die also nach Art und Weise des Aufbaus oder Ihrer Beschaffenheit auf die Begehung von Computerstraftaten angelegt sind. Hierunter fallen nicht solche Programme, die lediglich zur Begehung von Computerstraftaten missbraucht werden können.

Zudem muss die Tathandlung zur Vorbereitung einer Computerstraftat (§§ 202a, 202b, 303a, 303b StGB) erfolgen. Das ist nicht der Fall, wenn das Computerprogramm – mag es auch den sonstigen Kriterien des § 202c StGB unterfallen – zum Zwecke der Sicherheitsüberprüfung oder zur Entwicklung von Sicherheitssoftware erworben oder einem anderen überlassen wurde. Wenn also in den Fällen des Testens der Sicherheit eines Systems oder des Entwickelns von Sicherheitssoftware auch Schadprogramme erworben werden, dann erfolgt dies nicht zur Vorbereitung einer Computerstraftat. Durch diese Handlung wird gerade nicht eine eigene oder fremde Computerstraftat (also § 202a, 202b, 303a, 303b StGB) ermöglicht, da die Anwendung der Schadprogramme selbst keine Computerstraftat darstellt.“

Das heißt, Programme wie cracklib, nessus, kismet, snort etc. können weiterhin völlig legal eingesetzt werden, um Sicherheitstests auf eigenen Rechnersystemen durchzuführen.

Behauptungen, man dürfe zukünftig die Sicherheit seiner Passwörter nicht mehr testen, treffen aus unserer Sicht nicht zu.

Mit freundlichen Grüßen
Dr. Ditmar Staffelt