IT-Sicherheit im Lichte des Strafrechts

Inhalt

Literatur- und Quellenverzeichnis

A. Einleitung

B. Straftatbestände und Vorgehensweisen
I. Prüfungsgegenständliche Tätigkeiten
II. Strafbarkeit des Ausspähens von Daten – § 202a StGB
1. Schutzbereich
2. Tatbestandsmerkmale
3. Tatbestandliche Handlungen
III. Strafbarkeit des Abfangens von Daten
1. Systematik der Regelungen
2. § 201 II 1 Nr. 1 StGB – Verletzung der Vertraulichkeit des Wortes
3. § 206 StGB – Verletzung des Post- oder Fernmeldegeheimnisses
4. § 202 StGB – Verletzung der Briefgeheimnisses
5. § 202b StGB – Abfangen von Daten
IV. Strafbarkeit der Einflussnahme auf Daten und Informationssysteme
1. § 303a – Datenveränderung
2. § 303b – Computersabotage
V. Strafbarkeit von Vorbereitungshandlungen – § 202c StGB
VI. Nebenstrafrecht

C. Die Befugnis zu IT-Sicherheitsüberprüfungen
I. Die Befugnis aufgrund Einwilligung
1. Die Frage des Verfügungsberechtigten bei § 202a StGB
a) Unternehmensdaten
b) Private Daten
c) Daten rechtlich selbständiger Tochtergesellschaften
2. Besonderheiten bei einzelnen Straftatbeständen
II. Befugnis aufgrund Rechtfertigung
III. Strafbares Verhalten

D. Zulässigkeit von Hackertools nach § 202c
I. Entstehung der Norm aus der Cybercrime Convention
1. Artikel 6 Cybercrime Convention
2. Regelungsgegenstand
3. Bedeutung des Art. 6 Cybercrime Convention für die Auslegung des § 202c
II. Möglicherweise strafbare Verhaltensweisen
III. Rechtsdogmatische Einordnung des § 202c
1. Selbständiges Vorbereitungsdelikt
2. Abstraktes Gefährdungsdelikt
IV. Der objektive Tatbestand
1. Tathandlung
2. Tatobjekte
a) Computerprogramm
b) Objektivierte Zweckbestimmung
V. Der subjektive Tatbestand
1. Allgemeiner Vorsatz
2. Vorbereitung einer Computerstraftat
a) Überschießende Innentendenz
b) Erforderliche Vorsatzform
c) Konkretisierung des vorbereiteten Delikts
VI. Stellungnahme und Lösungsmöglichkeiten

E. Bedeutung für die Anwendung in der Praxis
I. Anforderung an eine Regelung der strafrechtlichen Befugnisse
a) Zeitpunkt und Form der Befugnis
b) Befugniserteilung und Delegation dieser Berechtigung
c) Befugniserteilung auf zwei Ebenen
d) Stufe I: Delegation des Rechts zur Befugniserteilung
e) Stufe II: Regelung der Befugnis zu IT-Sicherheitsüberprüfungen
f) IT-Sicherheitsüberprüfungen bei Dritten
g) Abweichendes ausländisches Strafrecht
h) Besonderheiten bei erlaubter Privatnutzung
II. Umgang mit Hackertools und Malware
1. Sorgfalt
2. Dokumentation
3. Einwilligung
III. Fazit

Literatur- und Quellenverzeichnis

Achter, Johannes

Zur Vereinbarkeit des Progressionsvorbehalts bei zeitweiser unbeschränkter Steuerpflicht und bei fiktiver unbeschränkter Steuerpflicht gemäß § 1 Abs.3 EStG mit Verfassungsrecht und Völkerrecht am Beispiel von Arbeitnehmer-Entsendungen,
IStR 2002, S. 73-80.

Barton, Dirk

E-Mail-Kontrolle durch Arbeitgeber, CR 2003, S. 839-844.

Beckschulze, Martin

Internet-, Intranet- und E-Mail-Einsatz am Arbeitsplatz,
DB 2007, S. 1526-1535.

Burgess, Vicky

Foresight of Consequences is not the same as intent, http://www.peterjepson.com/law/burgess%20A2-1.htm.

Cichon, Caroline

Urheberrechte an Webseiten, ZUM 1998, S. 897-902.

Ernst, Stefan

Der Arbeitgeber, die E-Mail und das Internet,
NZA 2002, S. 585-591.

Europarat, Vertragsbüro (Hrsg.)

Explanatory Report on the Convention on Cybercrime, Straßburg, http://conventions.coe.int/Treaty/en/Reports/Html/185.htm.

Gaster, Jens

Zum Schutz von Webseiten durch das Urheberrecht und durch das Wettbewerbsrecht, MMR 1999, S. 733-735.

Geppert, Martin / Piepenbrock, Hermann-Josef / Schütz, Raimund / Schuster, Fabian (Hrsg.)

Beck’scher TKG-Kommentar, 3. Aufl., München 2006
(zitiert BeckTKG – Bearbeiter).

Gola, Peter

Neuer Tele-Datenschutz für Arbeitnehmer?,
MMR 1999, S. 322-330.

de Gruyter (Verlag)

Strafgesetzbuch – Leipziger Kommentar, mehrere Bände,
Berlin bis 2007 (zitiert: LK – Bearbeiter).

Jescheck, Hans-Heinrich / Weigend, Thomas

Lehrbuch des Strafrechts – Allgemeiner Teil, 5. Aufl., Berlin 1996.

Joecks, Wolfgang / Miebach, Klaus (Hrsg.)

Münchener Kommentar zum Strafgesetzbuch, München 2003-2006 (zitiert MünchKomm – Bearbeiter).

Kindhäuser, Urs / Neumann, Ulfried / Paeffgen, Hans-Ullrich (Hrsg.)

Strafgesetzbuch – NomosKommentar, 2. Aufl., Baden-Baden 2005
(zitiert NK – Bearbeiter).

Koch, Frank

Grundlagen des Urheberrechtsschutzes im Internet und in Online-Diensten, GRUR 1997, S. 417-430.

Köhler, Markus

Der Schutz von Websites gemäß §§ 87a ff. UrhG,
ZUM 1999, S. 548-555.

Lackner, Karl / Kühl, Kristian / Dreher, Eduard / Maassen, Hermann

Strafgesetzbuch – Kommentar, 26. Aufl., München 2007
(zitiert Lackner/Kühl).

Lischka, Konrad

Gesetz kriminalisiert Programmierer,
Spiegel Online vom 06.07.2007, http://www.spiegel.de/netzwelt/web/0,1518,492932,00.html.

Martin, Jörg

Strafbarkeit grenzüberschreitender Umweltbeeinträchtigungen ‑ Zugleich ein Beitrag zur Gefährdungsdogmatik und zum Umweltvölkerrecht, Freiburg 1989.

Ostendorf, Heribert

Grundzüge des konkreten Gefährdungsdelikts,
JuS 1982, S. 426-433.

Pocar, Fausto

New Challenges for International Rules against Cyber-Crime,
European Journal on Criminal Policy and Research 2004,
S. 27-37.

Schönke, Adolf / Schröder, Horst (Hrsg.)

Strafgesetzbuch – Kommentar, 27. Aufl., München 2006
(zitiert Sch/Sch – Bearbeiter).

Spannbrucker, Christian

Convention on Cybercrime – Ein Vergleich mit dem deutschen Computerstrafrecht in materiell- und verfahrensrechtlicher Hinsicht, diss. iur., Regensburg 2004

Tiedemann, Klaus / Kindhäuser, Urs

Umweltstrafrecht – Bewährung oder Reform?,
NStZ 1988, S. 337-346.

Tröndle, Heribert / Fischer, Thomas / Schwarz, Otto

Strafgesetzbuch und Nebengesetze (Kommentar), 54. Aufl., München 2007 (zitiert Tröndle/Fischer).

Weißgerber, Michael

Das Einsehen kennwortgeschützter Privatdaten des Arbeitnehmers durch den Arbeitgeber, NZA 2003, S. 1005-1009.

Wessels, Johannes / Beulke, Werner

Strafrecht – Allgemeiner Teil, 36. Aufl., Heidelberg 2006.

A. Einleitung

Das Computerstrafrecht wurde in Deutschland 1986 mit dem 2. Gesetz zur Bekämpfung der Wirtschaftskriminalität ^[1] in das Strafgesetzbuch eingeführt. Die seinerzeit neu geschaffenen Normen bilden hierbei nicht etwa einen eigenen Abschnitt im StGB, sondern sind stattdessen jeweils dort eingefügt worden, wo bereits Delikte mit ähnlichem Schutzbereich und ähnlicher Struktur vorhanden waren. So wurde beispielsweise der Straftatbestand des Computerbetruges als § 263a StGB hinter dem des („allgemeinen“) Betruges in § 263 StGB eingefügt.

Aus dieser Vorgehensweise resultiert insgesamt eine Zersplitterung des Computerstrafrechts und insbesondere derjenigen Normen, die das sog. „Hacking“ und die verwandten Handlungen betreffen. So finden sich zum einen im 15. Abschnitt „Verletzung des persönlichen Lebens- und Geheimbereiches“ diejenigen Straftatbestände, die, zusammenfassend formuliert, den unberechtigten Zugang zu Informationen unter Strafe stellen – bis zur Novellierung des Computerstrafrechts war dies lediglich § 202a StGB (Ausspähen von Daten). Zum anderen sind diejenigen Handlungen, die die Manipulation von Daten und EDV-Systemen betreffen, im siebenundzwanzigsten Abschnitt „Sachbeschädigung“ durch Einfügung der Straftatbestände der Datenveränderung (§ 303a StGB) und der Computersabotage (§ 303b StGB) geregelt worden.

Die Einführung des des 41. Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität^[2] (41. StrÄndG) – insb. des § 202c StGB ‑ ist in den Medien und von betroffenen Fachkreisen scharf kritisiert worden; auch die IT-Sicherheit werde kriminalisiert und auch nach allgemeiner Anschauung gutartige Anwender von Hackertools seien „von der Gnade des Richters“ abhängig.^[3] Für die Unternehmen und Mitarbeiter im Bereich der IT-Sicherheit ist die Frage, ob ihr Tun strafbar ist, existenziell. Dies gilt aber nicht weniger für die Kunden, denn professionelle IT-Sicherheitschecks und Audits sind wichtige Bestandteile des betrieblichen Informationsschutzes und nicht zuletzt des unternehmerischen Risikomanagements, das spätestens seit Einführung des § 91 Abs. 2 AktG durch das KonTraG^[4] für Aktiengesellschaften auch rechtlich geboten ist.

Das 41. StrÄndG ist im Juni 2007 im Deutschen Bundestag verabschiedet worden. Es ist am 10. August 2007 verkündet worden und am darauffolgenden Tag in Kraft getreten. Das Gesetz hat völker- und unionsrechtliche Hintergründe: Es dient zum einen der Umsetzung des Übereinkommens über Computerkriminalität des Europarates vom 23.11.2001 („Cybercrime Convention“) und zum anderen der Umsetzung des EU-Rahmenbeschlusses 2005/222/JI über Angriffe auf Informationssysteme vom 24.02.2005.

Das Gesetz ändert und ergänzt die Strafrechtsbestimmungen über Computerkriminalität: Beim Ausspähen von Daten (§ 202a StGB) ist es nunmehr unerheblich, ob der Täter tatsächlich Daten erlangt, es genügt die Möglichkeit des Zugriffs, also der Zugang. Der Tatbestand des Abfangens von Daten (§ 202b StGB) ist neu geschaffen und der der Computersabotage (§ 303b StGB) ausgeweitet.

Hinsichtlich des Ausspähens von Daten (§ 202a StGB) kommt es künftig nicht mehr darauf an, ob der Täter tatsächlich Daten erlangt, sondern reicht bereits die Erlangung des Zugangs zu diesen Daten aus. Desweiteren wurden in Bezug auf die Verletzung des persönlichen Lebens- und Geheimbereiches zusätzlich die Straftatbestände § 202b StGB (Abfangen von Daten) und § 202c StGB (Vorbereitung des Ausspähens und Abfangens von Daten) geschaffen. Zudem wurde der Straftatbestand der Computersabotage erheblich ausgeweitet und sind unter anderem nun DOS-Attacken ebenfalls von diesem erfasst. Schließlich sind neuerdings auch Vorbereitungshandlungen im Sinne des § 202c StGB durch die entsprechenden Verweise in den Normen auch hinsichtlich der Datenveränderung und der Computersabotage strafbar. Für Besorgnis und Kritik hat aber vor allem die Einführung des § 202c StGB Anlass gegeben.

Unabhängig von den im StGB geregelten Computerstraftaten, existieren schließlich spezialgesetzliche Normen im Nebenstrafrecht ^[5], die in Zusammenhang mit Handlungen an EDV-Systemen Relevanz erlangen können. Hierzu zählen insbesondere das Abhörverbot des Telekommunikationsgesetzes (§ 89 S. 1 und 2 i. V. m. § 148 TKG) und die Sanktionierung des Erhebens, Verarbeitens und Nutzens personenbezogener Daten unter bestimmten Umständen nach §§ 43, 44 BDSG.

Diese Untersuchung soll die rechtsdogmatischen Aspekte der neuen und der geänderten Vorschriften – im Kontext mit den unveränderten Normen – klären und daraus Hinweise für den praktischen Umgang für die betroffenen Fachkreise, also insbesondere IT-Sicherheitsunternehmen und deren Mitarbeiter, geben.

B. Straftatbestände und Vorgehensweisen

I. Prüfungsgegenständliche Tätigkeiten

Die Tätigkeiten von IT-Sicherheitsunternehmen, ‑abteilungen und –personal, die Gegenstand der vorliegenden Betrachtung sind, stellen sich wie folgt dar:

- Beschaffung, Erstellung, Anpassung und Verwendung von kommerzieller sowie kostenloser (auch Open Source) Scannersoftware zur Schwachstellenanalyse (z. B. AppScan, GFI Languard, Nessus): Erkennen offener Ports, Erkennen von Schwachstellen, Erfassung von verwendeter Software über Signaturen (Reaktionsmuster), z. T. Ausnutzen der Schwachstellen auf Test- und Produktivsystemen (Server und Clients).
- Beschaffung und Verwendung von Software für das Erkennen von WLANs (z. B. Kissmet, Netstumbler): WLAN Access Points erkennen und Verschlüsselung (WEP) knacken, um festzustellen, ob und ggf. wo Access Points im Netzwerk unzulässig betrieben werden.
- Erstellung, Beschaffung, Anpassung und Verwendung von Exploits zur Demonstration von Verwundbarkeiten auf Test- und Produktivsystemen.
- Erstellung und Beschaffung (z. B. mithilfe von Virus Construction Toolkits) von Viren sowie von Spyware zum Testen von Schutz- und Abwehrsoftware auf Test- und Produktivsystemen.
- Einfangen von Angriffen auf „Honeypots“, also Bereitstellen von Computersystemen, die allein dem Zweck dienen, Ziel von Angriffen zu sein, um Angreifer und Angriffsmethoden auszumachen.
- Überprüfen von Passwörtern durch Ausprobieren (Wörterbuch, Brute Force, Rainbow Tables), um festzustellen, ob das Auslieferungspasswort geändert wurde oder ob ein leicht zu erratendes Passwort eingestellt wurde.
- Informationsbeschaffung über „Hacker-Foren“ und sonstige einschlägige Kanäle.
- Beschaffung und Verwendung von Sniffer-Software zum Abhören des Netzwerkverkehrs auf IP- oder höherer (Anwendungs-) Ebene zum Zweck des Netzwerksupports oder der Analyse von Angriffen.
- Austausch auch von angepassten Exploits und Scannersoftware im Rahmen mit befreundeten Unternehmen und in unternehmensübergreifenden Arbeitsgruppen^[6].

Alle Maßnahmen können Computersysteme des tätigen Unternehmens selbst ebenso treffen wie die Dritter, und zwar – im Fall von unabhängigen IT-Sicherheitsunternehmen – fremde Dritte ebenso wie – im Fall von Konzernabteilungen – die von konzernmäßig verbundenen Dritten.

II. Strafbarkeit des Ausspähens von Daten – § 202a StGB

§ 202a StGB – Ausspähen von Daten

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

§ 202a StGB stellt das „Ausspähen von Daten“ unter Strafe. Strafbar hierbei ist das sich (oder einem Dritten) unbefugte Verschaffen eines Zugangs zu Daten, die nicht für den Täter bestimmt und gegen unberechtigten Zugang besonders gesichert sind. Mit dieser Vorschrift sollte seinerzeit die Strafbarkeitslücke hinsichtlich des Hackens von EDV-Systemen geschlossen werden,^[7] die durch das Aufkommen elektronischer Informations- und Kommunikationssysteme entstanden war, weshalb der Straftatbestand in der Umgangssprache gelegentlich als „Hacker-Paragraph“ bezeichnet wird. Die Norm ist durch das 41. Strafrechtsänderungsgesetz dahingehend novelliert worden, dass es nicht mehr – wie ursprünglich ausdrücklich durch den Gesetzgeber intendiert^[8] – auf den konkreten Abruf der Daten ankommt, sondern nunmehr für die Strafbarkeit bereits die Erlangung des Zugangs unter Überwindung der Zugangssicherung^[9] zu den Daten ausreicht.

1. Schutzbereich

Das Schutzgut des § 202a StGB ist die formelle Verfügungsbefugnis^[10] über die Daten, also das Recht am Zugang zum gedanklichen Inhalt, ohne Rücksicht auf die Eigentumsverhältnisse hinsichtlich des Datenträgers, der die Daten enthält.^[11] Nicht hingegen geschützt wird – obwohl dies die systematische Stellung der Norm im 15. Abschnitt nahe legen würde – der persönliche Geheimbereich.^[12] So genießt den Schutz der Norm nicht etwa derjenige, auf den sich die Daten beziehen^[13] – wie es im Datenschutzrecht der Fall ist –, sondern diejenige Person, die über die Daten verfügungsberechtigt ist.^[14] Sind also beispielsweise personenbezogene Daten der Mitarbeiter in den Informationssystemen des Arbeitgebers gespeichert, so ist hinsichtlich eines Hackings dieser Systeme nur der Arbeitgeber selbst geschützt, nicht aber der Arbeitnehmer, dessen Daten ausgelesen wurden. Letzterer wiederum erfährt strafrechtlichen Schutz durch die spezialgesetzlichen Sanktionsnormen in den §§ 43, 44 BDSG bezüglich des unbefugten Abrufs seiner personenbezogenen Daten.^[15]

Es bietet sich zur Beleuchtung des Schutzbereiches des § 202a StGB die Vorstellung eines Safes mit Dokumenten an, der nur unter Benutzung entsprechender Schlüssel zugänglich ist. Derjenige, der bestimmen darf, wer diese Schlüssel erhält, ist verfügungsberechtigt hinsichtlich des Zugangs zum Inhalt des Safes. Unerheblich hingegen ist in diesem Zusammenhang, welchen Inhalt die im Safe gelagerten Dokumente enthalten, auf wen sich die dort vorhandenen Informationen beziehen und wer sie hineingelegt hat.

Geschützt durch § 202a StGB ist also das Integritätsinteresse desjenigen, der durch die Einrichtung von Zugriffssicherungen hinsichtlich von Daten im Informationssystem, sein Geheimhaltungsinteresse an den dort enthaltenen Informationen dokumentiert. Dabei hat es allenfalls indizielle Wirkung, wer den Zugriffschutz tatsächlich installiert oder wer die Daten speichert. Relevant ist einzig, in wessen Auftrag dies geschieht und wer hinsichtlich des Zugangs zu den Informationen entscheidungsbefugt ist.^[16]

§ 202a StGB stellt damit solche Handlungen unter Strafe, bei denen entgegen dem Willen des Verfügungsberechtigten unter Überwindung einer besonderen Zugangssicherung, Zugang zu Daten erlangt wird. Die Norm ist damit Erfolgsdelikt, der Versuch ist straflos. In der weiteren Darstellung der Tatbestandsmerkmale und der hierunter fallenden Handlungen, wird unter Verweisung auf eventuelle Abweichungen zur bisherigen Rechtslage stets der aktuelle, novellierte Tatbestand des § 202a StGB zugrunde gelegt.

2. Tatbestandsmerkmale

Daten im Sinne dieser Norm sind alle elektronisch codierten Informationen in Informationssystemen.^[17] Daneben können unter bestimmten weiteren Voraussetzungen auch sonstige Informationen in nicht-elektronischer Form Daten im Sinne des § 202a StGB darstellen,^[18] auf die es im hier untersuchten Zusammenhang allerdings nicht weiter ankommt. Für die Strafbarkeit nach § 202a StGB irrelevant ist entsprechend obigen Ausführungen wiederum der Inhalt der Daten, es muss sich anders als bei den Sanktionsnormen des BDSG also insbesondere gerade nicht um personenbezogene Daten im Sinne des § 3 I BDSG handeln. Daher erfüllen auch Computerprogramme^[19] das Tatbestandsmerkmal ebenso wie alle sonstigen, ganz gleich wie marginalen Informationen, die aus Informationssystemen ausgelesen werden können, beispielsweise Verzeichnisinhalte und ähnliches.^[20] Ebenfalls unerheblich ist, ob die Daten gespeichert sind oder sie sich gerade in der Übertragung befinden, so dass unter den weiteren Tatbestandsvoraussetzungen – allen voran der Zugangssicherung hier in Form einer Verschlüsselung – der Norm auch das Abfangen von beispielsweise E-Mails erfasst ist.^[21]

Wesentliches Merkmal des kriminellen Unrechts des Ausspähens von Daten nach § 202a StGB ist die Überwindung einer Zugangssicherung, welche gerade den Berechtigten vor dem unberechtigten Abruf der Daten schützen soll und sein Geheimhaltungsinteresse dokumentiert.^[22] Ohnehin allgemein zugängliche Daten – wie etwa Webseiteninhalte ohne Zugriffsschutz – können somit nicht tatbestandsverwirklichend ausgespäht werden. Klassische Zugangssicherungen sind dabei Zugriffssperren, die vom Zugangsberechtigten durch Login mittels Benutzernamen und Passwort, biometrischen Verfahren oder Magnet- respektive RFID-Karten aufgehoben werden. Ebenso stellt die Verschlüsselung ansonsten zugänglicher Daten eine Zugriffsicherung im Sinne des § 202a StGB dar, da es hier auf den informationellen Inhalt ankommt. Wird also eine offen zugängliche, jedoch verschlüsselte Datei von einem Server geladen und sodann die Verschlüsselung umgegangen oder sonst aufgehoben, ist folglich auch dies tatbestandlich erfasst.^[23]

War es bisher notwendig, dass sich der Täter die Daten aus dem System selbst oder einem Dritten verschafft, so kommt es nach künftiger Rechtslage nur noch darauf an, ob der Täter überhaupt Zugriff auf die Datenbestände erlangt. Damit soll zum einen dem Umstand Rechnung getragen werden, dass ein reiner Zugang ohne den Abruf irgendwelcher, bereits logisch hinter der Schutzvorrichtung liegender Daten aus dem System, wohl nur selten zu bewerkstelligen ist und in der Praxis nur zu Beweisschwierigkeiten und unerwünschten Strafbarkeitslücken führt.^[24] Daneben ist Grund für die Änderung die bereits mit dem erlangten Zugang eingetretene Gefahrenlage für die Rechtsgüter des Verfügungsberechtigten.^[25] Diese besteht nicht nur in der erhöhten Gefahr der Begehung weiterer Straftaten, sondern auch in einer Gefährdung der Funktion und Integrität des Informationssystems insgesamt. Außerdem erreicht die neue Regelung eine größere Nähe zum geschützten Rechtsgut – der formalen Verfügungsbefugnis über den Inhalt der Daten – als die frühere Rechtslage.

Praktisch von entscheidender Bedeutung ist, dass zur Verwirklichung des Tatbestandes die Daten erstens nicht für den Täter bestimmt sein dürfen und er sich diese zweitens unbefugt zugänglich machen muss. „Unbefugt“ handelt hierbei derjenige, dessen Handeln nicht durch einen Rechtfertigungsgrund – wie etwa durch Notstand gemäß § 34 StGB – gedeckt ist.^[26] Die Unbefugtheit ist insofern als allgemeines Deliktsmerkmal ein Verweis auf die Rechtswidrigkeit des Handelns. Demgegenüber wirkt das Einverständnis des Verfügungsbefugten bereits tatbestandsausschließend,^[27] so dass es auf eine Rechtfertigung nicht mehr ankommt. Ist nämlich der über die Daten Verfügungsberechtigte mit dem Zugang des Zugreifenden einverstanden, so sind diese Daten bereits nicht mehr „nicht für den Täter bestimmt“, so dass dieses Tatbestandsmerkmal entfällt. Damit bleibt eine IT-Sicherheitsüberprüfung im Auftrag des Verfügungsberechtigten, die die Resistenz des Systems gegen derartige Angriffe untersucht, trotz Anwendung der gleichen – ansonsten strafbaren – Methoden dennoch straflos nach § 202a StGB, da der Verfügungsberechtigte hier dem „Angreifer“ den Zugriff auf die Daten – wenn auch nicht auf dem konventionellen Weg – gestattet hat. Entscheidend ist daher die Frage, wer letztlich verfügungsbefugt an den Daten ist und folglich eine entsprechende Einwilligung geben kann. Dies ist im Rahmen der Erläuterung der besonderen rechtlichen Fragestellungen in Zusammenhang mit IT-Sicherheitsüberprüfungen noch eingehend zu untersuchen.

3. Tatbestandliche Handlungen

Klassischer Anwendungsfall der Norm ist das Eindringen über Netzwerke in fremde, eigens geschützte Subnetze – auch WLANs – oder Endgeräte (Hacking). Ebenfalls erfasst ist das Abfangen von Daten, die sich in der Übertragung befinden,^[28] beispielsweise also E-Mails. Hierbei ist zu beachten, dass die Strafbarkeit nach § 202a StGB die Überwindung einer Zugangssicherung voraussetzt, folglich also nur bei der Entschlüsselung von verschlüsselten, abgefangenen E-Mails und ähnlichen Daten eingreift.^[29] Das Abfangen unverschlüsselter E-Mails ist nunmehr mit Einführung des § 202b StGB jedoch ebenfalls unter Strafe gestellt worden.

Sniffing in Netzwerken erfüllt den Tatbestand, wenn dazu entweder die Installation des Sniffers die Umgehung von Sicherungen erfordert – beispielsweise indem durch einen Hack ein Root-Zugriff erlangt wird – oder aber verschlüsselte Daten ausgespäht werden, die später vom Angreifer entschlüsselt werden und somit darin eine Umgehung einer Sicherung liegt. Sofern vertreten wird, ein Sniffing in Netzwerken sei schon deshalb nicht vom Tatbestand erfasst, weil die Möglichkeit eine Sniffer-Software zu installieren, zeige, dass es an einer wirksamen Zugangssicherung fehle,^[30] kann dem nicht zugestimmt werden. Die Zugangssicherung muss nämlich zwar derart beschaffen sein, dass eine Umgehung nicht ohne jeglichen Aufwand für jede technisch noch so unerfahrene Person problemlos möglich ist, auf der anderen Seite wird aber eine unüberwindbare Zugangssicherung ebenso wenig tatbestandlich vorausgesetzt. Läge es anders, bedürfte es des Straftatbestandes an sich bereits gar nicht, weil dann ein Ausspähen von Daten schon technisch unmöglich wäre. Vielmehr sind an eine Zugangssicherung im Sinne des Tatbestandes durchschnittliche Anforderungen zu stellen, ausreichend ist, dass der Geheimhaltungswille des Verfügungsberechtigten durch diese ernstlich zum Ausdruck kommt. Insofern kann die bloße Möglichkeit, eine Sniffer-Software zu installieren, nicht dazu herangezogen werden, die Zugangssicherung, die dies verhindern soll, qualitativ in der Weise anzuzweifeln, dass der Tatbestand schon nicht erfüllt sei.

Werden zudem verschlüsselte Daten mit der Sniffer-Software abgefangen und anschließend entschlüsselt, so liegt die Überwindung der Zugangssicherung zudem gerade in dieser Entschlüsselung, so dass der Tatbestand schon deshalb erfüllt ist. Auf die Qualität der Zugangssicherung, die das Installieren einer Sniffer-Software unterbinden soll, kommt es in derart gelagerten Fällen folglich schon gar nicht an.

Fehlt es wiederum gänzlich an solchen Sicherungen, lässt sich also beispielsweise eine Sniffersoftware ohne weitere Hindernisse im Netzwerk installieren und werden nur unverschlüsselte Daten damit erlangt, so scheidet eine Strafbarkeit nach § 202a StGB aus. In Frage kommt dann lediglich die Strafbarkeit nach § 202b StGB.

Das Scannen von Ports zu Ermittlung offener Ports führt zwar zu einem Datenaustausch und damit auch zur Übermittlung von Daten seitens des gescannten Systems, hierbei handelt es sich aber ausschließlich um Informationen, die keiner besonderen Zugangssicherung unterliegen und damit nicht vom formellen Geheimhaltungsinteresse des Betroffenen umfasst sind. Gleiches gilt auch für Informationen, die sich aus der Reaktion des Systems auf bestimmte Anfragen ergeben und Rückschlüsse auf dort verwendete Betriebssysteme und Software erlauben. Sofern man derartige Informationen überhaupt unter den Begriff „Daten“ i. S. d. § 202a StGB fallen lassen will, so sind diese jedenfalls nicht derart gegen Abruf geschützt, dass eine entsprechende Erhebung ein strafbares Ausspähen darstellte. Gleiches gilt für passive Scans nach Sicherheitslücken: solange der Scan an sich nicht den Zugang zu hinter der Zugangssicherung gelagerten Daten erfordert, erfüllen derartige Tätigkeiten nicht den Tatbestand des § 202a StGB und sind damit straffrei.

[...]

---

^[1] 2. Gesetz zur Bekämpfung der Wirtschaftskriminalität, BGBl. 1986 I S. 72.

^[2] BGBl I Nr. 38/2007, S. 1786 ff.

^[3] Lischka, Gesetz kriminalisiert Programmierer.

^[4] Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, BGBl I Nr. 24/1998, S. 786 ff.

^[5] Das Nebenstrafrecht bezeichnet die Summe aller Straftatbestände, die außerhalb des Strafgesetzbuches in einzelnen Normen in den jeweiligen Spezialgesetzen geregelt ist – beispielsweise § 44 BDSG als Strafvorschrift für bestimmte datenschutzrechtliche Verstöße.

^[6] Z. B. im CERT-Verbund, sh. http://www.cert-verbund.de.

^[7] 2. WiKG-E, Beschlussempfehlung des Rechtsausschusses, BT-Drucks. 10/5058 S. 28.

^[8] 2. WiKG-E, Beschlussempfehlung des Rechtsausschusses, BT-Drucks. 10/5058 S. 29.

^[9] Die Aufnahme des Merkmals „unter Überwindung der Zugangssicherung“ in den Tatbestand ist ebenfalls neu, hat aber nur klarstellende Bedeutung hinsichtlich des tatbestandlichen Handelns (41. StrÄndG-E, BT-Drucks. 16/3656 S. 10).

^[10] SK- Hoyer, § 202a Rn. 1, Sch/Sch- Lenckner, § 202a Rn. 1, Lackner / Kühl, § 202a Rn. 1, LK- Schünemann, § 202a Rn. 2.

^[11] MünchKomm- Graf, § 202a Rn. 17; Weißgerber, NZA 2003, 1005-1009 [1007].

^[12] 2. WiKG-E, BT-Drucks. 10/5058, S. 28.

^[13] Sch/Sch- Lenckner, § 202a Rn. 1.

^[14] SK- Hoyer, § 202a Rn. 1; LK- Schünemann, § 202a Rn. 2, Sch/Sch- Lenckner, § 202a Rn. 1.

^[15] Sch/Sch- Lenckner, § 202a Rn. 1.

^[16] BayObLG v. 24.06.1993 – 5 St RR 5/93; MünchKomm- Graf, § 202a StGB Rn. 17.

^[17] 2. WiKG-E, BT-Drucks. 10/5058, S. 29; MünchKomm- Graf, § 202a Rn. 7f.; Sch/Sch- Lenckner, § 202a Rn. 3.

^[18] 2. WiKG-E, BT-Drucks. 10/5058, S. 29; MünchKomm- Graf, § 202a Rn. 8ff.

^[19] 2. WiKG-E, BT-Drucks. 10/5058, S. 29.

^[20] MüchKomm- Graf, § 202a Rn. 8ff.

^[21] 2. WiKG-E, BT-Drucks. 10/5058, S. 29; MünchKomm- Graf, § 202a Rn. 10.

^[22] 2. WiKG-E, BT-Drucks. 10/5058, S. 29; MünchKomm- Graf, § 202a Rn. 28; Sch/Sch- Lenckner, § 202a Rn. 7.

^[23] Sch/Sch- Lenckner, § 202a Rn. 8.

^[24] 41. StrÄndG-E, BT-Drucks. 16/3656, S. 9.

^[25] 41. StrÄndG-E, BT-Drucks. 16/3656, S. 9.

^[26] MünchKomm- Graf, § 202a Rn. 52.

^[27] 41. StrÄndG-E, BT-Drucks. 16/3656, S. 9.

^[28] Vgl. Absatz II des § 202a StGB.

^[29] 2. WiKG-E, BT-Drucks. 10/5058, S. 29; Sch/Sch- Lenckner, § 202a Rn. 4.

^[30] MünchKomm- Graf, § 202a Rn. 71.