Computerstrafrecht wird erweitert

in Technik September 21, 2006 0

Zunaechst einmal die Kernpunkte dieses Regierungsentwurfs, die sich wie folgt lesen:

  • Der unbefugte Zugang zu besonders gesicherten Daten unter Ueberwindung von Sicherheitsvorkehrungen wird unter Strafe gestellt (§ 202a StGB). Das 'sich Verschaffen von Daten' selbst wird nicht mehr erforderlich sein, um den Straftatbestand zu erfuellen.
  • Computersabotage ist bisher nur bei Angriffen gegen Betriebe, Unternehmen und Behoerden strafbar (§ 303b StGB). Kuenftig sollen auch private Datenverarbeitungen geschuetzt werden. Ferner werden Stoerungen durch unbefugtes Eingeben und Uebermitteln von Computerdaten unter Strafe gestellt ("DoS-Attacken" = Denial of Service). Besonders schwere Faelle der Computersabotage koennen kuenftig mit Freiheitsstrafe bis zu zehn Jahren bestraft werden.
  • Das Sichverschaffen von Daten aus einer nichtoeffentlichen Datenuebermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage soll unter Strafe gestellt werden (§ 202b StGB neu).
  • Besonders gefaehrliche Vorbereitungshandlungen zu Computerstraftaten werden kuenftig strafbar sein. Sanktioniert wird insbesondere das Herstellen, Ueberlassen, Verbreiten oder Verschaffen von sog. 'Hacker-Tools', die bereits nach Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen (§ 202c StGB neu).

    Klingt zunaechst mal alles recht vernuenftig. Immerhin ist es mit der Neuregelung des §202 klar, dass sich schon derjenige auf duennes Eis begibt, der Sicherheitsvorkehrungen ueberwindet und somit die Grenze zur strafbaren Handlung klar erkennbar sein sollten.
    Des weiteren ist erwaehnenswert, dass nun auch privatgenutzte Computersysteme grundsaetzlich den gleichen Schutz geniessen, wie diejenigen von Behoerden und Unternehmen.

    Andererseits ist es beinahe laecherlich, wenn hier pauschal das Herstellen und Ueberlassen von sogenannten Hacker-Tools unter Strafe gestellt wird.

    Wer als Administrator eines Netzwerkes fuer die Sicherheit desselben Sorge zu tragen hat, ist in nicht wenigen Faellen darauf angewiesen, die Datenintegritaet des Netzwerkes selbst zu ueberpruefen. Soll heissen, jedes Konglomerat an Computern, Routern oder Software und Hardwre im Allgemeinen stellt einen Spezialfall dar, bei dem sich der zustaendige Administrator nicht darauf verlassen kann, dass einer oder mehrere Hersteller beteuern, ihre Systeme seien sicher. Der Admin muss selbst in der Lage sein, nachzuweisen dass die eingesetzten Systeme im Verbund die geforderten Sicherheitskriterien erfuellen.

    Somit ist er gezwungen sich bestimmter Werkzeuge zu bedienen oder diese ggf. selbst herzustellen.

    Steht also mit Inkrafttreten dieses Gesetzesentwurfs der Admin mit einem Bein im Knast?

    Nein, zumindest nicht direkt. Denn der Gesetzgeber hat in einer redaktionellen Folgeaenderung bestimmte Taetigkeiten von der Strafbarkeit ausgenommen:

    Auch nach der Neufassung des Tatbestandes ist die Verschaffung des Zugangs zu Daten unter Verletzung von Sicherheitsmassnahmen nur strafbewehrt, wenn der Taeter unbefugt handelt. Nicht strafbar ist daher z. B. das Aufspüren von Sicherheitslücken im EDV-System eines Unternehmens, soweit der &laquot;Hacker&raquot; vom Inhaber des Unternehmens mit dieser Aufgabe betraut wurde.

    Nichtsdestotrotz bleiben Fragen offen. Denn nicht jeder Netzwerkadmin programmiert all seine Werkzeuge selbst. Von wem aber bekommt er nun diese Werkzeuge nun bereitgestellt, wenn dies bereits eine strafbare Handlung darstellt?

    Des weiteren bieten einige Internetportale Dienste an, bei denen Otto-Normaluser die Verwundbarkeit seines Browsers oder seiner Firewall auf bestimmte Schwachstellen ueberpruefen kann. Diese muessen (wenn auch ohne ueberhaupt einen Schaden anzurichten) zwangsweise Code enthalten, der bekannte Luecken in den zu pruefenden Systemen ausnutzt. Werden sich die Anbieter solcher Seiten nun strafbar machen? Immerhin haben diese Seiten gerade den unbedarften Nutzern in der Welt der Informationstechnologie eine kleine Hilfestellng gegeben. Kuenftig koennte diese Hilfestellung aber (da strafbar) wegfallen und somit dazu fuehren, dass Millionen von Privatrechnern noch unsicherer werden als sie es ohnehin schon sind.

    Die Problematik liegt weiterhin darin, wo die Grenze zum Straftatbestand gezogen werden soll!
    Meines Erachtechns ist dieser Gesetzesentwurf mit der Lebenswirklichkeit (eines EDV-Verantwortlichen) nicht vereinbar, da schlussendlich jeder Programmierer Werkzeuge benutzt, die per se unter Strafe gestellt werden koennten und jeder Netzwerkadmin Tools wie Ethereal schlicht und einfach braucht um seinen Job anstaendig zu machen.

    Um der echten Computerkriminalitaet (naemlich Datendiebstahl und -Sabotage) und Herr zu werden muss sich ein Admin wie ein Hacker verhalten koennen und duerfen. Sonst kann er die ihm anvertrauten Daten nicht schuetzen.Punkt.

    Wenn Administratoren sich an diese Gesetze halten wuerden, wuerden Cracker (so heissen naemlich die boesen Jungs!), die sich sowieso nicht an Gesetze halten wollen, Tuer und Tor geoeffnet und man hat genau das Gegenteil von dem erreicht, was man urspruenglich bezweckt hatte.
    Da hilft es auch nicht viel, dass sich der Gesetzgeber in o.g. redaktioneller Folgeaenderung zumindest ueber einige dieser Punkte weitergehende Gedanken gemacht hat:

    Das subjektive Korrektiv 'in der Absicht, einem anderen Nachteil zuzufügen' stellt dabei sicher, dass beispielsweise in der Netzwerkgestaltung begruendete gaengige Aktivitaeten oder andere zulaessige Massnahmen der Betreiber oder Unternehmen nur dann unter Strafe gestellt werden, wenn diese missbraeuchlich, das heisst in Schaedigungsabsicht erfolgen.

    Das entschaerft zwar meine o.g. Kritikpunkte ein wenig, stellt mich aber trotzdem vor das Problem, dass ich bspw. selbstentwickelte Sicherheitswerkzeuge nicht mehr weitergeben darf. Denn woher soll ich wissen, ob nicht irgend jemand damit einem anderen Schaden zufuegen will.

    Das klingt zwar nett, laesst aber doch einen nicht unerheblichen Ermessensspielraum offen.

    Auch der Hinweis, dass zwischen Programmiersprachen und Hackertools unterschieden werden muesse belibt in diesem Kontext doch recht schwammig:


    Eine Einschraenkung des Absatzes 1 Nr. 2 soll – in Anlehnung an § 263a Abs. 3 StGB – dadurch erreicht werden, dass bereits im objektiven Tatbestand auf die Bestimmung des Computerprogramms als Mittel zur Begehung einer Straftat nach §§ 202a und 202b StGB abgestellt wird, um eine Ueberkriminalisierung zu verhindern. Es kommt insoweit auf die (objektivierte) Zweckbestimmung des Programms an. Somit ist sichergestellt, dass nur Hacker-Tools erfasst werden und die allgemeinen Programmier-Tools, -Sprachen oder
    sonstigen Anwendungsprogramme bereits nicht unter den objektiven Tatbestand der Strafvorschrift fallen. Das Programm muss aber nicht ausschliesslich für die Begehung einer Computerstraftat bestimmt sein. Es reicht, wenn die objektive Zweckbestimmung des
    Tools auch die Begehung einer solchen Straftat ist.

    Stellt sich die Frage, was die objektive Zweckbestimmung eines Programms ist. Wenn ich als Systementwickler mit anderen Menschen ueber IT spreche, stellt sich fuer mich immer sehr schnell heraus, dass wir in unterschiedlichen Welten leben. Gerade die Flexibilitaet, Computer in vielen Bereichen einzusetzen hat dieses Werkzeug zu dem gemacht, was es heute ist. Eine objektive Zweckbestimmung ist praktisch nirgends mehr erkennbar.

    Gaebe es diese objektive Zweckbestimmung braeuchte die Diskussion ueber GEZ-Gebuehr fuer internetfaehige PCs nicht gefuehrt werden.


    hit any key 2 continue
    -m*sh-

    •  Werbung

    Schreiben Sie Ihre Meinung

    Ihre Email-Adresse wird Mehrere Felder wurden markiert *

    *

    Startseite | Impressum | Datenschutz