Software-Analyse von Sicherheitslücken soll erlaubt bleiben
Mit ihren Plänen zur Bekämpfung von Computerkriminalität ist die Bundesregierung auf heftige Kritik gestoßen. In einer Gegenäußerung zur Stellungnahme des Bundesrats weist die Bundesregierung die Kritik in weiten Teilen zurück. Befürchtungen, Software-Analyse von Sicherheitslücken werde kriminalisiert, seien nicht zutreffend.
Der Bundesrat hatte in seiner Stellungnahme vom 3. November 2006 auf die Gefahr hingewiesen, dass durch eine weite Tatbestandsfassung auch Handlungen unter Strafe gestellt werden könnten, bei denen dies gar nicht beabsichtigt ist. So sei beispielsweise mit der Neufassung des § 202a StGB das vorgesehene "Hacking", also das unbefugte Eindringen in fremde Computersysteme durch Missbrauch der modernen Kommunikationsmöglichkeiten, besser zu erfassen, jedoch reiche die vorgesehene Strafbarkeit weit über solche Konstellationen hinaus. Dies sei vor allem darauf zurückzuführen, dass der Entwurf auf den Zugang zu Daten abstellt, kaum aber noch elektronische Geräte existieren, die ohne Datenspeicherung und -verarbeitung auskommen.
Beispielsweise würde sich nach dem Entwurf wohl strafbar machen, wer sich Zugang zu dem von seinem Kind verschlossenen MP3-Player verschafft, um die darauf gespeicherten Musikstücke anzuhören, so der Bundesrat. Gleiches gelte für Jugendliche, die sich das von ihren Eltern an einem "vermeintlich" sicheren Ort verwahrte Passwort für nicht jugendfreie Sendungen im Pay-TV verschaffen und sich verbotener Weise eine solche Sendung ansehen.
Die Bundesregierung sieht dies anders: Die vom Bundesrat angesprochenen Fälle der bloßen Ingebrauchnahme von gesicherten elektronischen Geräten gegen den Willen des Berechtigten würden durch das Tatbestandsmerkmal der "besonderen Zugangssicherung" aus dem Anwendungsbereich des § 202a StGB herausgefiltert, die nicht geändert werde. Geändert werden solle lediglich das Merkmal der "Datenverschaffung": So soll künftig die Verschaffung des Zugangs zu Daten ausreichend sein, was auf die vom Bundesrat angeführten Fälle aber keine Auswirkungen habe.
Auch Vorbereitungshandlungen (§ 202c StGB-E) sollen nach dem Gesetzentwurf der Bundesregierung unter Strafe gestellt werden, wobei der Bundesrat auch hier den Tatbestand als "sehr weit geraten" bezeichnet. Es wird auf Seiten des Bundesrats befürchtet, dass die Weitergabe des eigenen Passworts z.B. zum Abruf einer E-Mail durch Dritte unter Strafe gestellt werden könnte, da diese das Passwort auch über den konkreten Fall hinaus einsetzen könnten. Ähnliches gelte, wenn ein Arbeitnehmer sein Passwort in der Nähe des Computers notiere.
Auf Seiten der Bundesregierung hält man eine solche Gefahr für nicht gegeben: "Die Herausgabe des Passwortes durch den Berechtigten führt nicht dazu, dass dieser sich wegen des Vorbereitens des Ausspähens und Abfangens von Daten strafbar machen kann, wenn er damit rechnet oder es in Kauf nimmt, dass der Empfänger des Passworts dieses missbräuchlich nutzt, um auf Daten des Berechtigten zuzugreifen. Der Verschaffung des Zugangs zu Daten mit Hilfe des freiwillig durch den Berechtigten herausgegebenen Passwortes stellt bereits keine Computerstraftat im Sinne des § 202a StGB dar", heißt es in der Gegenäußerung der Bundesregierung. Es fehle daher an dem objektiven Tatbestandsmerkmal der Überwindung der besonderen Zugangssicherung.
Auch die Befürchtung des Bundesrats, dass auch der gutwillige Umgang mit Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen von § 202c StGB-E erfasst werden und damit strafbar sein könnte, sei nicht begründet, so die Bundesregierung weiter. Dieser Punkt hatte unter anderem den CCC auf den Plan gerufen, der vor einer Gefährdung der Computersicherheit durch den Gesetzentwurf warnt.
Die Bundesregierung ist der Meinung, solch gutwilliger Umgang mit Softwareprogrammen zur Sicherheitsüberprüfung von IT-Systemen sei nicht erfasst und dies "bereits auf Tatbestandsebene durch zwei gesetzliche Tatbestandsmerkmale abgesichert". So müsse es sich im jeweiligen Fall um ein Computerprogramm handeln, dessen Zweck die Begehung einer Computerstraftat ist. Zudem müsse die "Tathandlung - also das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonst Zugänglichmachen - zur Vorbereitung einer Computerstraftat erfolgen.".
Damit sei ausgeschlossen, dass Computerprogramme erfasst werden, die beispielsweise der Überprüfung der Sicherheit oder Forschung in diesem Bereich dienen. Vielmehr werden lediglich das Herstellen, Verschaffen und Verbreiten von Programme unter Strafe gestellt, "denen die illegale Verwendung immanent ist, die also nach Art und Weise des Aufbaus oder ihrer Beschaffenheit auf die Begehung von Computerstraftaten angelegt sind". Bei Programmen, deren funktionaler Zweck nicht eindeutig ein krimineller sei und die erst durch ihre Anwendung zu einem Tatwerkzeug eines Kriminellen oder zu einem legitimen Werkzeug werden, sei der "objektive Tatbestand des § 202c StGB-E nicht erfüllt".
Die bloße Eignung von Software zur Begehung von Computerstraftaten sei vor diesem Hintergrund nicht ausreichend, so dass auch solche Programme aus dem Tatbestand herausfallen, die lediglich zur Begehung von Computerstraftaten missbraucht werden können, heißt es von Seiten der Bundesregierung. Zudem müsse die Tathandlung zur Vorbereitung einer Computerstraftat erfolgen.
Auch Computerprogramme, die ursprünglich nur zu kriminellen Zwecken hergestellt worden seien, sollen verbreitet werden dürfen, wenn dies ausschließlich zu nicht-kriminellen Zwecken erfolgt und keine Anhaltspunkte für eine eigene oder fremde Computerstraftat bestehen.
In Bezug auf Phishing hält die Bundesregierung die bestehenden Gesetze für ausreichend, dies habe eine Befragung der Landesjustizverwaltungen ergeben. Es gebe derzeit keine Notwendigkeit für ergänzende strafrechtliche Regelungen zu diesem Thema.
quelle: golem
