Brauchen wir einen digitalen Waffenschein?
Mittwoch, 7. November 2007, von Simon Möller
Gegen den neu eingeführten § 202c StGB läuft bereits wenige Wochen nach seiner Einführung die erste Verfassungsbeschwerde.
Viele Vertreter aus der IT-Sicherheitsbranche halten das Gesetz für wenig sinnvoll, weil es ihre eigentlich notwendige Tätigkeit kriminalisiert: Nicht nur Computerkriminellen wird der Umgang mit Hacking-Software verboten, sondern auch denjenigen, die sich mit der Hacking-Abwehr beschäftigen.
Weil sich, dem Wortlaut nach, selbst Mitarbeiter von Bundesbehörden strafbar machen würden, reagiert auch die Strafrechtspflege mit einer extrem restriktiven Auslegung.
Viele Vertreter aus der IT-Sicherheitsbranche halten das Gesetz für wenig sinnvoll, weil es ihre eigentlich notwendige Tätigkeit kriminalisiert: Nicht nur Computerkriminellen wird der Umgang mit Hacking-Software verboten, sondern auch denjenigen, die sich mit der Hacking-Abwehr beschäftigen.
Weil sich, dem Wortlaut nach, selbst Mitarbeiter von Bundesbehörden strafbar machen würden, reagiert auch die Strafrechtspflege mit einer extrem restriktiven Auslegung.
Ein IT-Dienstleister hat nun Verfassungsbeschwerde gegen das Gesetz erboben. In einer Pressemeldung beruft sich RA Thomas Feil, Anwalt des Beschwerdeführers, auf die Berufsfreiheit seines Mandanten:
Das Anbieten von Dienstleistungen im Bereich ITK-Security, zum Beispiel das Überprüfen der IT- und Tk-Infrastruktur auf Sicherheitsrisiken sowie das Aufspüren von Schwachstellen und deren Beseitigung, ist eine erlaubte Tätigkeit, die der IT-Sicherheit dient. Die Strafbarkeit der in § 202 c StGB beschriebenen Handlungen verbietet dem Beschwerdeführer (...) allerdings das Anbieten seiner bisherigen Dienstleistungen und stellt damit seine wirtschaftliche Existenz in Frage. Auch zahlreiche andere Anbieter von Produkten und Services in diesem Umfeld sind von dem Hackerparagrafen betroffen.
Das mag für die Klagebefugnis ausreichen; den Kern des Rechtsproblems bildet aber eine andere Frage. Hier dreht es sich grundsätzlich darum, wie weit der Staat den Umgang mit gefährlichen Gegenständen einschränken darf. Hacker-Software ist, wie jedes gefährliche Werkzeug, immer nur so gefährlich wie derjenige, der es anwendet. In vielen anderen Fällen hat der Gesetzgeber das anerkannt: Waffen dürfen getragen werden, wenn der Waffenführer einen Waffenschein besitzt; Sprengstoff darf verwendet werden, wenn der Verwender eine entsprechende Ausbildung absolviert hat; Betäubungsmittel darf verkaufen, wer die dazugehörige Erlaubnis bekommen hat.
Nur bei Hacking-Software hat der Gesetzgeber anders entschieden. Die Wertung des § 202 StGB ist folgende: „Hackerprogramme sind per se gefährlich, egal in wessen Händen.“ Das Bundesverfassungsgericht wird zu überprüfen haben, ob diese Wertung verhältnismäßig ist, also folgenden Kriterien enspricht:
• sie dient einem legitimen Zweck;
• sie ist geeignet, diesem Zweck zu dienen;
• es liegt kein milderes (gleich effektives) Mittel vor;
• das Gesetz ist in Abwägung mit den Rechten, die es beschränkt, angemessen.
Beim Hacker-Paragraphen drängen sich in mehrerlei Hinsicht Zweifel auf. Bereits bei der Geeignetheit wird es eng: Ein Gesetz, das auch den legitimen Umgang mit Schadsoftware kriminalisiert, kann seinem eigentlichen Ziel nicht mehr dienen. Genauso wie es keinen Sinn macht, wenn man Waffen für Polizeibeamte verbietet, macht es auch das Internet nicht sicherer - sondern unsicherer - wenn man den Umgang mit Hackerprogrammen ohne Ausnahme strafbar macht. Denn so nimmt man auch den „Good Guys“ ihre Werkzeuge aus der Hand.
Spätestens beim milderen Mittel ist endgültig Schluss: Das Gesetz verliert kein Quentchen Effektivität, wenn der Gesetzgeber einen Ausnahmetatbestand für registrierte Anwender und Entwickler von Schadsoftware aufnimmt. Diese Regelungstechnik ist bekannt und erprobt, und allein die Tatsache, dass eine Aufsicht über den Bereich die Staatskassen belasten würde, kann hier nicht den Ausschlag geben. Ein Staat, der selbst Atomreaktoren und biologische Kampfstoffe in private Hände gibt, kann auch IT-Sicherheitsunternehmen regulieren.
Daraus folgt: Wenn die Verfassungsbeschwerde zulässig ist, hat sie nach der hier vertretenen Ansicht gute Aussicht auf Erfolg. Und möglicherweise gibt es dann bald den „digitalen Waffenschein“.
Kommentare
> "Spätestens beim milderen Mittel ist
> endgültig Schluss"
Uuhh, Vorsicht. Das BVerfG erkennt bei der Erforderlichkeitsprüfung einen gewissen gesetzgeberischen Beurteilungsspielraum an (z.B. BVerfGE 90, 145ff., 173), dessen Reichweite unterschiedlich groß ist. Wie groß, das richtet sich u.a. nach der "Bedeutung der auf dem Spiele stehenden Rechtsgüter" (BVerfGE 50, 290ff., 332f.).
Die Berufsfreiheit ist kein besonders starkes Grundrecht, insbesondere wenn - wie m.E. hier - nur die Freiheit der Berufsausübung, nicht der Berufswahl betroffen ist (weiter Berufsbegriff des BVerfG). Es ist daher anzunehmen, dass das BVerfG den gesetzgeberischen Prognosespielraum hier eher großzügig bemisst. Und es nicht beanstanden wird, wenn der Gesetzgeber zu dem Schluss kommt, auch "in guten Händen" sei Software potenziell gefährlich, z.B. weil sie sich - anders als eine Waffe - leicht vervielfältigen lässt. --
> Erforderlichkeit (+)
Bei der eigentlichen Abwägung im Rahmen der Angemessenheitsprüfung sieht es dann erst recht düster aus (Berufsausübung = Beschränkung durch "vernünftige Erwägungen des Allgemeinwohls" zulässig, BVerfGE 23, 50ff., 56).
Wahrscheinlicher scheint mir, dass sich die "restriktive Auslegung" der StA Bonn durchsetzt - sie wird dem Wortlaut am besten gerecht. Eine zu weite Auslegung, die auch die IT-Sicherheitsbranche beträfe, verstieße m.E. gegen das strafrechtliche Bestimmtheitsgebot (Art. 103 Abs. 2 GG), da sie keine Stütze im Wortlaut findet (die Tat muss zur "Vorbereitung" "einer Straftat" begangen werden). Da könnte es aber für den Beschwerdeführer derzeit schwierig sein, die notwendige "unmittelbare Betroffenheit" nachzuweisen.
Davon abgesehen wäre der "digitale Waffenschein" eine prima Idee.
Danke für die Ergänzungen!
Es mag möglich sein, dass das BVerfG zu dem Ergebnis kommt, dass § 212c StGB - verfassungsgemäß interpretiert - nicht verfassungswidrig ist.
Letztlich kommt es auf zwei Punkte an: Gelingt es den Beschwerdeführern, den Nachweis zu erbringen, dass das Gesetz das Internet nicht sicherer macht, dann haben sie gute Chancen. Die leichte Kopierbarkeit von Schadsoftware mag in diesem Punkt ein gutes Gegenargument sein - ob es auch durchschlägt?
Immerhin steht es dem Gesetzgeber offen, die Verbreitung von Schadsoftware auch anders einzuschränken als durch ein generelles Verbot.
Wenn das nicht gelingt, bleibt immer noch die Möglichkeit, nachzuweisen, dass ein anderes Gesetz diesen Zweck besser erfüllen würde. Wie groß der Beurteilungsspielraum sein wird, den das BVerfG anerkennt?
Recht groß, wenn es auf Seiten des Beschwerdeführers allein dessen Berufsfreiheit in die Wagschale wirft (ich sehe hier übrigens auch Tendenzen in Richtung objektiver Zugangsbeschränkung, das kommt auf die Definition des Berufsbilds an). Ich meine aber, dass hier nicht die Berufsfreiheit das Grundrecht ist, das den Ausschlag gibt, sondern der eigentliche Schutzzweck des § 212c StGB selbst: die Sicherheit des Geschäftsverkehrs im Internet. Dieses Rechtsgut kann vom Kläger im Rahmen der VB nicht geltend gemacht werden (da kein subjektives Abwehrrecht, § 90 Abs. 1 BVerfGG), wird aber im Rahmen der Begründetheit in die Abwägung mit einfließen. Und dann möglicherweise den Ausschlag geben.
Es mag möglich sein, dass das BVerfG zu dem Ergebnis kommt, dass § 212c StGB - verfassungsgemäß interpretiert - nicht verfassungswidrig ist.
Letztlich kommt es auf zwei Punkte an: Gelingt es den Beschwerdeführern, den Nachweis zu erbringen, dass das Gesetz das Internet nicht sicherer macht, dann haben sie gute Chancen. Die leichte Kopierbarkeit von Schadsoftware mag in diesem Punkt ein gutes Gegenargument sein - ob es auch durchschlägt?
Immerhin steht es dem Gesetzgeber offen, die Verbreitung von Schadsoftware auch anders einzuschränken als durch ein generelles Verbot.
Wenn das nicht gelingt, bleibt immer noch die Möglichkeit, nachzuweisen, dass ein anderes Gesetz diesen Zweck besser erfüllen würde. Wie groß der Beurteilungsspielraum sein wird, den das BVerfG anerkennt?
Recht groß, wenn es auf Seiten des Beschwerdeführers allein dessen Berufsfreiheit in die Wagschale wirft (ich sehe hier übrigens auch Tendenzen in Richtung objektiver Zugangsbeschränkung, das kommt auf die Definition des Berufsbilds an). Ich meine aber, dass hier nicht die Berufsfreiheit das Grundrecht ist, das den Ausschlag gibt, sondern der eigentliche Schutzzweck des § 212c StGB selbst: die Sicherheit des Geschäftsverkehrs im Internet. Dieses Rechtsgut kann vom Kläger im Rahmen der VB nicht geltend gemacht werden (da kein subjektives Abwehrrecht, § 90 Abs. 1 BVerfGG), wird aber im Rahmen der Begründetheit in die Abwägung mit einfließen. Und dann möglicherweise den Ausschlag geben.
uii, Feeler?
Entwickler der Schadsoftware dürfen? Ich fände eine Ausnahme für "IT-Experten deren Tätigkeit die Abwehr ... ist und für Entwickler von Abwehrsoftware" deutlich sinnvoller...
> [...] Ausnahmetatbestand für registrierte Anwender und Entwickler
> von Schadsoftware aufnimmt [...]
Entwickler der Schadsoftware dürfen? Ich fände eine Ausnahme für "IT-Experten deren Tätigkeit die Abwehr ... ist und für Entwickler von Abwehrsoftware" deutlich sinnvoller...
Ich bin kein Experte für Hacking-Software - aber ich meinte damit eigentlich Programme, die im "guten" wie im "bösen" eingesetzt werden können. Ein Programm zum Passwörterknacken (wie das von Adrian erwähnte "John the Ripper") kann ausgenutzt werden, um illegal Sicherheitslücken auszunutzen, oder es kann legal verwendet werden, um diese überhaupt aufzuspüren.
Ich meine, auch das Entwickeln oder Weiterentwickeln von Software dieser Art sollte straflos stehen, wenn es von einem "digitalen Waffenschein" abgedeckt wird. Also kein Fehler. Oder habe ich was falsch verstanden?
Ich meine, auch das Entwickeln oder Weiterentwickeln von Software dieser Art sollte straflos stehen, wenn es von einem "digitalen Waffenschein" abgedeckt wird. Also kein Fehler. Oder habe ich was falsch verstanden?
Ich denke es kommt immer darauf an wer was macht und was damit bewirkt werden soll. Grundsätzlich sollte eine böswillige Nutzung mit entsprechender Kenntnis der Anwendung mit dem Vorsatz eine Straftat zu begehen auch bestraft werden.
Die Staatsanwaltschaft Bonn sieht es beim Hackerparagraphen offenbar genauso wie ich und vertritt die gleichen Argumente. Das heisst: Wiedermal recht gehabt. Vorsichtigt sollte man dennoch bleiben, aber etwas entspannter kann man als Admin nun erstmal s
Aufgenommen: 07.11.2007, 11:11h