Hacking und Computerspionage

Gliederung

A. Hacken und Computerspionage.
I. Begriffserläuterung und Unterschied
II. Strafrechtliche Einordnung.

B. Die Tatbestände
I. Das Ausspähen von Daten, § 202a StGB.
1. Geschütztes Rechtsgut.
2. Tatbestand.
a) Tatobjekt.
aa) Unmittelbare Wahrnehmbarkeit.
bb) Gespeichert oder übermittelt.
b) Tathandlung.
aa) Nicht für den Täter bestimmt.
bb) Die besondere Sicherung.
cc) Das Merkmal des Verschaffens.
3. Subjektiver Tatbestand.
4. Rechtswidrigkeit.
II. Fälschung beweiserheblicher Daten im Rechtsverkehr, § 269 StGB.
1. Tatobjekt Daten.
2. Beweiserheblichkeit.
3. Tathandlung.
a) Alternative des Speicherns.
b) Alternative des Veränderns.
c) Alternative des Gebrauchens.
4. Subjektiver Tatbestand.
III. Ausspähen von Geschäfts- oder Betriebsgeheimnissen nach § 17 UWG.
1. Tatgegenstand.
2. Tätergruppen und Tathandlung.

C. Die Möglichkeiten in eine EDV-Anlage einzudringen.
I. Portscanning.
II. Trojanische Pferde.
1. Funktionsweise eines trojanischen Pferdes.
2. Strafbarkeit eines Trojaners.
III. Sniffing
1. Funktionsweise.
2. Strafbarkeit.
IV. Blind IP-Spoofing.
1. Funktionsweise.
2. Strafbarkeit des blind IP-Spoofings.
IV. Non blind IP-Spoofing.
1. Funktionsweise.
2. Strafbarkeit des non blind IP-Spoofings.

Seminararbeit zum Thema Hacken und Computerspionage

A. Hacken und Computerspionage.

I. Begriffserläuterung und Unterschied

Die Computerkriminalität ist eine Folge der zunehmenden und nicht mehr wegzudenkenden Nutzung der neuen Medien. Die Komplexität der EDV und der Verkehr in Datennetzen, ermöglicht es anonym und ohne großes Risiko entdeckt zu werden, sich unbefugten Zugang zu EDV-Anlagen zu verschaffen und Betriebsgeheimnisse oder andere Informationen die nicht jedem zugänglich sein sollen zu erbeuten oder die Systeme der Betreiber in ihrem Ablauf zu stören.

Im allgemeinen Sprachgebrauch hat sich für solch eine Vorgehensweise, die mittels eines Computers durchgeführt wird, der Begriff „Hacken“ herausgebildet.^[1]

Hacken ist jedoch weder ein juristischer Begriff, der einen Tatbestand oder Tathandlung umschreibt, noch lässt er sich aufgrund seiner zahlreichen Beschreibungen genau definieren. Er reicht von einem sehr weiten Begriff, der jede schädigende Handlung mittels EDV umfasst, bis hin zum sehr engen Begriff, der lediglich das unbefugte Eindringen in eine EDV-Anlage beschreibt.^[2] Der zuerst genannte, kann jedoch als bloßes Medienereignis verworfen werden. Hierbei kam es lediglich darauf an, viele verschiedene Begehungsformen, die mit einem Computer möglich sind, zusammenfassend einem breiten Publikum zu präsentieren. Die jedoch von Hackern selbst gegebene Definition, weist eine hochgesteckte Moral auf, die sich von strafbaren Handlungen abgrenzen will. Eher im Gegenteil gebietet die Hacker-Ethik Rücksichtnahme, Toleranz, die freie Verfügbarkeit von Informationen und respektiert die Privatsphäre des einzelnen.^[3] Im Mittelpunkt des Hackens steht tatsächlich das unbefugte Eindringen in EDV-Anlagen jeglicher Art. Der Reiz für den Hacker ist die Überwindung einer Zugangssperre und in diesem System soweit es möglich ist vorzudringen. Ob die Intention des Hackers in dem Aufzeigen von Sicherheitslücken in dem besagten System liegt, hängt von der Gutmütigkeit des Hackers ab. In der Tat hinterlassen einige Hacker dem Administrator des gehackten Systems eine Nachricht mit dem Hinweis auf die vorhandene Sicherheitslücke.^[4]

Dieser Ansicht schloss sich auch der Gesetzgeber an, der eine Überkriminalisierung wissbegieriger Jugendlicher vermeiden wollte und den Straftatbestand des unbefugten Eindringens in eine EDV-Anlage nicht mit dem 2. Gesetz zur Bekämpfung der Wirtschafts- und Computerkriminalität aufnahm.^[5]

Tatsächlich ist jedoch der Schritt vom straflosen Hacken bis zur Verwirklichung eines Straftatbestandes ein sehr geringer.

In Wirklichkeit besteht die Handlung eines Datenspions dem Grunde nach im Hacken, wie der KGB-Hacker Fall deutlich macht. Im Jahre 1989 hatten drei Hacker durch einen Mittelsmann Verbindung zum sowjetischen Geheimdienst aufgenommen und boten diesen Informationen an, die sie durch das Eindringen und Ausspionieren von wissenschaftlichen und militärischen Einrichtungen in der BRD und im westlichen Ausland erworben hatten.^[6] Dies gelang ihnen durch das Ausnutzen von Sicherheitslücken auf den besagten Systemen. Grund für diese war jedoch der noch damals sorglose Umgang mit Passwörtern, sowie die fehlende Erfahrung mit solchen Übergriffen auf Seiten der Betreiber dieser Systeme.^[7]

Auch wenn die Hacker selbst, dies für eine Ausnahmeerscheinung ihres elitären Kreises halten,^[8] ist die Vorgehensweise eines Datenspions der von Außen spioniert, in technischer Hinsicht dieselbe.

Lediglich die Motivation ist unterschiedlich, denn dem Hacker kommt es nicht darauf an, welche Informationen sich ihm offenbaren, wogegen der Datenspion nach bestimmten Informationen sucht, die sich wirtschaftlich verwerten lassen,^[9] für diesen also einen Vermögensvorteil darstellen.^[10] In der Regel sind dies entweder Betriebsgeheimnisse oder Software. Im Rahmen der Betriebsgeheimnisse sind die erstrebten Informationen im kaufmännischen Bereich Bilanzen, Kalkulationen oder Kundenadressen und im technischen Software-Bereich sind dies meist Entwicklungs- und Forschungsdaten wie beispielsweise Quellcodes also das Know-How.^[11]

Aktuell ist momentan der spektakuläre und bisher noch nicht aufgeklärte Diebstahl des Quellcodes für das Spiel Half-Life 2. Hacker haben Keystroker (Programme die Tastatureinschläge aufzeichnen) auf verschiedenen Valve Rechnern angebracht. Diese ermöglichten den Hackern Zugang zu den Firmen Computern. Wie genau der Code entwendet wurde ist jedoch unklar.^[12]

Die Einbrüche, welche durch eine Hack-Methode bewerkstelligt wurden, sind in der Regel nur möglich gewesen, wie auch in dem KGB-Hack, weil die Opfer ihre Systeme nicht ausreichend geschützt haben. Beispielsweise wurden leicht zu erratende und gängige Passwörter gewählt, die für einen Hacker ein solches Hindernis darstellen, wie für den Einbrecher der Schlüssel unter der Fußmatte.^[13] Auch findet diese Sorglosigkeit ihren Ausdruck im sogenannten Social Engineering. Der Hacker ruft in dem Unternehmen an, welches er ausspionieren will, gibt sich als Berechtigter aus und erkundigt sich nach dem neuen Passwort. Selbst Schuld ist derjenige dessen Antwort wie folgt lautet: „Neues Passwort? Wir benutzen doch immer noch XXX!“

Die Datenspionage muss aber nicht zwangsläufig durch eine Hack-Methode bewerkstelligt werden. In der Regel handelt es sich hierbei um Personen die sich mit der EDV-Anlage im selben Raum befinden und durch Hilfsprogramme den Datenbestand auf einen mitgeführten Datenträger kopieren.^[14]

II. Strafrechtliche Einordnung.

Wie bereits erwähnt, fand ins StGB kein Tatbestand Einzug, der das unbefugte Eindringen in eine EDV-Anlage unter Strafe stellt. Der Gesetzgeber hat jedoch durch den § 202a StGB Übergriffe auf das Geheimhaltungsinteresse an besonders gesicherten Daten unter Schutz gestellt.^[15] Hier wird betont darauf hingewiesen, dass auch wenn ein Hacker sich unbefugten Zugang zu einem System verschafft, er zwar den Einblick in besonders gesicherte Daten hat, jedoch das Tatbestandsmerkmal des Verschaffens, wie später erläutert wird, nicht zwangsläufig vorliegt.^[16] Allerdings kann jemand, der in ein System eindringt und kein Interesse an den dort vorhandenen Daten hat oder auch sonst dem Betreiber der Anlage nicht Schaden will, andere Tatbestände des StGB erfüllen.^[17] Gerade weil das Eindringen in ein anderes System, ein komplizierter technischer Vorgang ist und durch verschiedene Möglichkeiten bewerkstelligt werden kann, können trotzdem die §§ 303a, 303b oder auch 269 StGB einschlägig sein.

Dies kann einfach darin liegen, dass der Täter, um seinen Angriff zu vertuschen, Loggdateien verändern oder bestimmte Teilnehmer an einer Verbindung durch eine DoS-Attacke unschädlich machen muss. Auch kommt er nicht daran vorbei unbefugt Passwörter auszuspähen, um durch einen fremden Account weiter an die höchsten Rechte eines Netzwerkadmins, die Root-Rechten, zu gelangen.^[18]

Eine Strafbarkeit nach § 43 BDSG kommt lediglich dann in Betracht, wenn der Täter personenbezogene Daten ausspäht. Ein Hacker hat in der Regel an solchen kein Interesse, so dass er sich hiernach nicht strafbar macht.

Genauso verhält es sich mit dem § 17 UWG, denn dieser schützt nur Betriebsgeheimnisse. Allerdings kommt hier eine Strafbarkeit in Betracht, wenn der Hacker Codewörter erlangt die gerade solche Betriebsgeheimnisse schützen.^[19] Generell schützen die Tatbestände vor Übergriffen durch Datenspione.

[...]

^[1] http://www.computec.ch/dokumente/kultur/einleitung_in_die_welt_des_hackens/node8.html.

^[2] Hauptmann, JurPC 1989, S. 215.

^[3] http://www.ccc.de/hackerethics.

^[4] http://www.hausarbeiten.de/rd/faecher/soa_10.html.

^[5] Binder, Strafbarkeit intelligenten Ausspähens, S. 42.

^[6] Fecht, Computerspionage, S.4.

^[7] http://www.computec.ch/dokumente/kultur/einleitung_in_die_welt_des_hackens/node8.html.

^[8] http://www.ccc.de/hackerethics.

^[9] Von Gravenreuth, NStZ 1989, S. 205; Dannecker, BB 1996, S. 1289.

^[10] Schmitz, Computerkriminalität, S. 28.

^[11] Schmitz, Computerkriminalität, S. 29.

^[12] http://www1.giga.de/storie_u4/0,3202,69371,00.html

^[13] Von Gravenreuth, NStZ 1989, S. 205.

^[14] Schmitz, Computerkriminalität, S. 29.

^[15] http://www.rz.uni-augsburg.de/connect/9701/compstrf.shtml.

^[16] Hilgendorf, JuS 1996, S. 704; Schmitz, JA 1995, S. 483.

^[17] http://www.hausarbeiten.de/rd/faecher/soa_10.html.

^[18] http://www.hausarbeiten.de/rd/faecher/vorschau/4335.html.

^[19] Binder, Strafbarkeit intelligente Ausspähens, S. 63-73.