Nichts wird so heiß gegessen [Nachtrag]
… wie es gekocht wird, sagt der Volksmund und im Falle des so genannten „Hackerparagraphen“ §202c StGB könnte es sich wieder einmal bewahrheiten. In diesem Paragraphen heißt es nämlich u.a.:
(1) Wer eine Straftat nach §202a oder §202b vorbereitet, indem er
- Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§202a Abs. 2) ermöglichen, oder
- Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
In §202a und §202b ist allerdings ausschließlich von unbefugtem Zugriff auf Daten die Rede. Ein Administrator oder jemand, der einen Sicherheitsaudit durchführt hat, greift nun befugt auf die Daten zu, schließlich ist ja das Finden von Sicherheitslücken sein Auftrag, den er vom Besitzer oder Eigentümer der Daten bekommen hat. Somit stellt der Audit schon einmal keine Straftat dar.
Hackertools
Zu den „Hackertools“ heißt es in (1) 2., dass diese Computerprogramme schon dem Zweck der Begehung einer Straftat nach §202a oder §202b dienen müssten, damit der Tatbestand erfüllt ist. Wenn nun allerdings im Rahmen eines Audits oder der täglichen Wartungsarbeiten solche Programme eingesetzt würden, liegt wie gezeigt gar keine Straftat vor. Damit ist die weitere Folge der Herstellung und Verbreitung weiterhin zulässig – unter der Vorraussetzung, dass sie keinem kriminellen Zweck dienen. Genau hier kommt allerdings ein Unsicherheitsfaktor ins Spiel, da es in der Praxis wohl im Ermessen und an der Sachkenntnis des Richters liegen dürfte, wann ein Programm ein nützliches Dienstprogramm oder ein „böses Hackertool“ ist. Bisher ist meiner Meinung nach nur der Fall der Anwendung eindeutig, da ein solches Computerprogramm gemäß der anderen beiden Paragraphen sowie §303a und §303b StGB eingesetzt werden muss, um keine Straftat zu begehen.
Wie so häufig in Deutschland wird damit der schwarze Peter „eine Ebene nach oben gegeben“, in diesem Fall zu den Entwicklern und Distributeuren.
Zugriff über Passwörter und Zugangscodes
Interessant ist nun allerdings (1) 1.: Neben der Frage, ob mit Zugangscodes vielleicht auch veröffentlichte Exploits zählen, erschwert dieser Satz z.B. den Herstellern von W-LAN-Routern das Geschäft, schließlich findet sich das Standard-Passwort zur Konfiguration im Handbuch, welches häufig sogar im Internet erhältlich ist. Mit diesem Passwort ist allerdings prinzipiell der unbefugte Zugriff auf Daten möglich. Vielleicht sollte also ein Hersteller eine Selbstanzeige stellen, wie dies zur Klärung des Sachverhaltes der Hackertools vor Kurzem geschehen ist.
Nachtrag
Da will es aber jemand wissen: Die Computerseite TecChannel hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) wegen Verstoßes gegen §202c StGB angezeigt. Auf diese Weise soll nun, wie bereits oben angesprochen, geklärt werden, wie in Deutschland zukünftig mit Sicherheitssoftware umgegangen werden muss. Hoffentlich schafft es diese Meldung bis auf die Schreibtische derjenigen Abgeordneten, die vehement für den „Hackerparagraphen“ eingetreten sind.