Hackerparagraf: "Nicht im falschen Forum posten"
Das Verhältnis von Justiz und Politik zu Technik ist nicht immer einfach. Das zeige sich nicht nur daran, dass es im juristischen Bereich immer noch üblich sei, sich Faxe zu schicken, sondern auch an der Gesetzgebung: Die schieße häufig über das Ziel hinaus, sagte der Rechtsanwalt Ulrich Kerner auf dem Hackerkongress 36C3. Besonders gut lasse sich das anhand StGB 202c zeigen, dem sogenannten Hackerparagrafen. Auf dem Kongress berichtete er von einem Ermittlungsverfahren gegen seinen Mandanten, der schwierigen Auslegung des Hackerparagrafen und gibt Tipps für den richtigen Umgang.
Paragraf 202c des Strafgesetzbuches stellt die Vorbereitung zum Ausspähen (§ 202a) oder Abfangen (§ 202b) von Daten unter Strafe. Zu solchen Vorbereitungshandlungen gehören auch die Herstellung, Verbreitung und Nutzung von Software, mit der man Daten ausspähen oder abfangen kann. Kurz: Jeglicher Umgang mit solcher Software ist strafbar.
Alle Tools strafbar?
Das Strafrecht kenne drei Stufen eines Tatablaufes: die Vorbereitung, den Versuch und die Vollendung, so Kerner. Die reine Vorbereitung sei üblicherweise nicht strafbar, und selbst der Versuch falle nicht bei allen Straftaten darunter. Überlege sich eine Person, kräftig zu treten, sei dies beispielsweise nicht strafbar. "Auch wenn er sich Bergsteigerstiefel anzieht, damit es auch ordentlich wehtut, ist die Vorbereitung nicht strafbar", erklärte Kerner. Anders sehe es aus, wenn die Person zutrete, aber nicht treffe – das sei strafbar. Das gelte aber nicht für einen Versuch, ein Auto zu treten – der sei wiederum nicht strafbar.
"Im Falle des Hackerparagrafen ist es allerdings das explizite Interesse des Gesetzgebers, bereits die Vorbereitungshandlungen unter Strafe zu stellen", sagte Kerner auf dem 36C3. Allerdings seien Dual-Use-Tools ausgenommen. Es sei also nicht strafbar, eine Software wie Nmap auf der Festplatte zu haben, erklärte Kerner. Das habe das Bundesverfassungsgericht bei einer Klage festgestellt, an der Kerner beteiligt war.
Geklagt hatte neben Kerner, der Nmap auf seinem Linux installiert hatte, ein Hochschullehrer, der seinen Studierenden Tools zugänglich machte und diese auch über seine Webseite verteilte, sowie ein Penetration-Tester. Das Bundesverfassungsgericht nahm die Klage nicht an, da die Klagenden selbst nicht unmittelbar betroffen gewesen seien. Denn für eine strafbewährte Software müsse die Absicht des Entwicklers sich äußerlich feststellbar manifestieren, beispielsweise in der Gestalt des Programmes selbst oder in einer eindeutig auf die illegale Verwendung abzielende Werbung oder Vertriebsweise.
In der Praxis kann das aber ganz anders aussehen: Wenn das LKA ein Dual-Use-Tool für illegal hält, kann dies erhebliche Auswirkungen auf das Leben des Entwicklers haben, wie der Rechtsanwalt an einem Fall illustriert.
Wenn das LKA wegen eines "illegalen Tools" klingelt
Komme das LKA allerdings zu der Einschätzung, dass es sich bei einem Tool um ein illegales Hackertool handle, könne es ungemütlich werden. So sei es seinem Mandaten ergangen, dem Entwickler des Remote Administration Tools (RAT) Revcode Webmonitor, so Kerner. Solche Tools können zur Administration von Computern oder Servern genutzt werden, aber auch, um Geräte auszuspähen. Das LKA begründete seine Einschätzung mit einem Thread in dem Forum Hackforums.net, in dem die Software beworben wurde. Dieses ist laut der Begründung des LKA nicht öffentlich zugänglich. Das stimme aber nicht, erklärte Kerner. Jeder könne sich bei dem Forum registrieren und die Seite einsehen.
Da der Webseite des Herstellers ein Impressum fehlte und sie bei einem russischen Hoster lag, sah das LKA eine Verschleierung der wahren Identität des Herstellers gegeben. Die Webseite sei jedoch unter einer .eu-Domain betrieben worden, die mit den Daten des Herstellers registriert worden sei. Zwar sei die Impressumspflicht verletzt worden, daraus könne jedoch keine Verschleierung der Identität abgeleitet werden, sagte der Rechtsanwalt.
Mit der Begründung sei ein Durchsuchungsbeschluss beantragt worden, der von einem Richter abgezeichnet wurde. Dass ein Richter einem solchen Antrag zustimmt, sei jedoch nicht unüblich. Der Richter bekomme den Antrag und eine Akte; klinge der Antrag schlüssig, zeichne er ihn ab. Finde der Richter den Antrag merkwürdig, prüfe er die Akte und lehne je nachdem den Antrag ab oder lasse ihn zu, so Kerner. Eine solche Prüfung bedeute viel Aufwand und könne bei den Antragsstapeln schlicht nicht geleistet werden. "Eine richterliche Kontrolle ist eine sehr niederschwellige Kontrolle und absolut kein ernstzunehmender Schutz für die Rechte der Bürger", betonte der Rechtsanwalt auch im Hinblick auf die Pläne zur Herausgabe von Passwörtern bei Internetdiensten, die einen Richtervorbehalt enthalten sollen.
Gepfändet und beschlagnahmt
Mit dem Durchsuchungsbeschluss durchsuchte das LKA die Räumlichkeiten des Entwicklers und beschlagnahmte alle Computer und Speichermedien, alle Mobiltelefone sowie etliche Schriftstücke und zwölf Server. Damit wurden dem Entwickler all seine Arbeitsmaterialen genommen. Zudem wurden E-Mail-Adressen und sein Paypal-Konto beschlagnahmt. Mit einem Vermögensarrest wurden seine Bankkonten gepfändet und alles Bargeld beschlagnahmt. Das bedeute auch, dass der Betroffene seine Krankenversicherung nicht mehr bezahlen, Miete oder Raten für das Haus nicht begleichen könne. "Wir befinden uns in einem Ermittlungsverfahren – es gilt die Unschuldsvermutung,"sagte der Rechtsanwalt.
Auch den Zweck der Software könne man nur über die Kommunikation mit Kunden nachgewiesen werden, auf diese habe man aber keinen Zugriff mehr. Der Auswertungsbericht des LKA habe die legalen Verkaufsabsichten des Entwicklers betont, allerdings erklärte der Bericht auch, dass diese noch nicht zeigen würden, dass es sich um ein "reines Dual-Use-Tool" handle, so der Rechtsanwalt. Nach sieben Monaten wurde das Verfahren eingestellt und sein Mandat habe die beschlagnahmten Gegenstände zurückerhalten. Allerdings nicht immer in ihrem ursprünglichen Zustand, so sei ein Smartphone zerlegt und Chips ausgelötet worden oder Festplatten aus Rechnern ausgebaut worden. Nun laufe ein Entschädigungsverfahren.
Ratschläge vom Rechtsanwalt
Kerner rät allgemein, nicht im falschen Forum zu posten – das meine er ernst. Alles, was ein LKA-Beamter für illegal halten könnte, solle man meiden. Auf einer Webseite sollten nur die legalen Nutzungsmöglichkeiten dargestellt werden, keinesfalls solle auf mögliche illegale Nutzungsmöglichkeiten eingegangen werden. Das gelte auch für Warnhinweise auf Strafbarkeit bei falscher Verwendung. Insgesamt spiele der Hackerparagraf in der deutschen Rechtsprechung bisher jedoch keine große Rolle. Es habe bisher nur den dargestellten Strafrechtsfall gegeben.
- Anzeige Hier geht es zu den aktuellen Blitzangeboten bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.