Hackertools: Kein Ermittlungsverfahren gegen das BSI
Hackerparagraph ein Tiger ohne Zähne?
Das IT-Magazin TechChannel hatte gegen das Bundesamt für Sicherheit in der Informationstechnik (BSI) Strafanzeige erstattet, weil dieses in einer Softwaresammlung u.a. auch sog. „Hackertools“ zum Download angeboten hatte. Die Staatsanwaltschaft Bonn hat daraufhin jedoch kein Ermittlungsverfahren gegen BSI eingeleitet.
Konkret ging es dabei um das Passwort-Cracking-Programm „John the Ripper“, mit dessen Hilfe verschlüsselte Passwörter geknackt werden können.
§ 202c StGB besagt:
Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
Doch durch die Veröffentlichung dieses Programmes habe sich der verantwortliche Mitarbeiter des BSI nicht strafbar gemacht, so die Staatsanwaltschaft. Denn in diesem Fall sei bereits der objektive Tatbestand des § 202c StGB nicht erfüllt:
„Der objektive Tatbestand des § 202c Abs. 1 Nr. 2 StGB wäre bereits erfüllt, sobald Computerprogramme […] überlassen werden. Dass dies nicht per se strafbar sein kann, liegt auf der Hand. Daher wird die erste Einschränkung des Tatbestands […] über die sogenannte objektivierte Zweckbestimmung vorgenommen. Nur Programme, die zum einen geeignet, zum anderen jedoch zumindest auch dazu bestimmt sind, ein Ausspähen […] von Daten zu begehen, kommen als taugliches Tatmittel in Betracht.“
Sicherheitssoftware werde demnach dann nicht vom Tatbestand des § 202c StGB erfasst, wenn ihr alleiniger Zweck nach dem Willen des Verbreiters „gutwillige Anwendungsgebiete“ seien – auch wenn die Software zu „böswilligen“ Zwecken eingesetzt werden kann. Maßstab sei dabei allerdings nicht der tatsächliche Wille, sondern eine „wertende Gesamtbetrachtung aus der Sicht eines objektiven Dritten“. Und angesichts der Aufgabe des BSI liege es auf der Hand, dass die Veröffentlichung der Software nur der Verhinderung von Straftaten, nicht jedoch der Begehung diene.
Nach Auffassung der Staatsanwaltschaft sei darüber hinaus auch der subjektive Tatbestand im vorliegenden Fall nicht erfüllt:
„Schließlich muss durch das Handeln jedoch eine andere Tat, nämlich ein […] Ausspähen oder Abfangen von Daten vorbereitet werden. Hier genügt grundsätzlich […] Eventualvorsatz. Allerdings muss der Täter auch beim sog. „dolus eventualis“ diese andere Tat zumindest in groben Zügen vor Augen haben. Es reicht […] daher nicht, damit zu rechnen (oder gar lediglich rechnen zu müssen), dass irgendeine andere Person das überlassene Tool zum Ausspähen irgendwelcher Daten benutzen könnte.“
Vielmehr müsse der Verbreiter eine „grobe Vorstellung“ darüber haben, welche „konkrete Tat“ verwirklicht werden könnte. Wie konkret die vorgestellte Tat genau sein muss, ließ die Staatsanwaltschaft offen.
Die Redaktion des TecChannel zeigte sich enttäuscht über die Reaktion der Staatsanwaltschaft und erwägt weitere rechtliche Schritte. Denn die Argumentation der Staatsanwaltschaft habe anstatt für Rechtssicherheit nur für noch mehr Verwirrung gesorgt.
Kommentar von Adrian Schneider:
Nichtsdestotrotz ist die Rechtsauffassung der Staatsanswaltschaft interessant, demonstriert sie doch die Absurdität der Vorschrift: Der „Hackerparagraph“ als Tiger ohne Zähne. Einerseits sollen bestimmte Computerprogramme „aus dem Verkehr“ gezogen werden, um die Vorbereitung von Straftaten zu verhindern. Das geht aber ein bisschen zu weit, deshalb sollen darunter nur „böswillig“ produzierte Programme fallen und diese müssen auch noch „böswillig“ verbreitet werden.
Obendrein müsste der Verbreiter der Software eine wenigstens in den Grundzügen definierte Tat vor Augen haben, die mit Hilfe der Software ermöglicht werden kann. Was das konkret bedeutet? Fest steht nach Ansicht der Staatsanwaltschaft nur: Das reine zum-Download-Stellen von Hacking-Software reicht nicht aus, selbst wenn der Täter damit rechnen muss, dass mit ihrer Hilfe irgendwelche Passwörter geknackt werden können.
Welche Fallkonstellationen bleiben denn dann übrig, die nach § 202c StGB strafbar sind? Im Auge hat man hier wohl die einschlägigen Underground-Seiten: Schwarze Websites mit grüner Schrift auf denen, gerne auch mittels Dialer-Verbindung, hochbrisante „Hackertools“ für den professionellen Pentagon-Hacker zur Verfügung gestellt werden. Dumm nur, dass wohl die meisten dieser Seiten sowieso außerhalb des Geltungsbereichs des deutschen Strafrechts liegen. Und Otto-Normal-Phisher ist es auch egal, ob er sich seine Software vom böswilligen FTP-Server oder vom gutwilligen BSI besorgt. In jedem Fall ist das Verbreitungsverbot des § 202c Abs. 1 Nr. 2 StGB spätestens angesichts dieser deutlichen Einschränkungen ungeeignet, die Sicherheit im Internet auch nur ansatzweise zu verbessern.
Sollte sich die Rechtsauffassung der Staatsanwaltschaft durchsetzen, können sich Anbieter von IT-Sicherheitstools jedenfalls entspannt zurücklehnen: Nur wer eine ordentliche Portion Böswilligkeit aufbringt erfüllt demnach den Tatbestand des „Hackerparagraphen“. Ob die Gerichte das auch so sehen wenn nicht gerade eine Bundesbehörde beschuldigt wird, bleibt jedoch abzuwarten.
