Telemedicus

, von ,
Drucken

Russen-Hacker und Zombie-Rechner: Gesetzesentwurf zu digitalem Hausfriedensbruch

„Hessen will Russen-Hacker per Gesetz stoppen”, lautete im Mai dieses Jahres die Schlagzeile einer großen deutschen Tageszeitung. Hessen hatte die Einführung eines Tatbestandes des „Digitalen Hausfriedensbruchs“ vorgeschlagen – das gleiche Bundesland, das auch die fragwürdige Erweiterung des Strafgesetzbuches um einen Tatbestand der „Datenhehlerei“ (§ 202d StGB) initiiert hatte.

Nun liegt ein entsprechender Gesetzentwurf dem Rechtsausschuss des Bundesrates vor (BR-Drs. 338/16). Das Vorhaben erweist sich als fragwürdig.

Strafrechtlicher Schutz von IT-Systemen

Der vorgeschlagene neue § 202e StGB soll die „Unbefugte Benutzung informationstechnischer Systeme“ unter Strafe stellen. Damit zielt der Straftatbestand auf einen erweiterten strafrechtlichen Schutz des Rechtes auf die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, das das Bundesverfassungsgericht 2007 in seiner Entscheidung zur Online-Durchsuchung als Grundrecht aus dem allgemeinen Persönlichkeitsrecht herleitete.

Explizit will der Entwurf vor Gefahren schützen, die von Botnetzen ausgehen, für die nach derzeitiger Rechtslage Strafbarkeitslücken bestünden. Die Begründung beruft sich zudem auf die Rechtsgedanken der § 123 StGB (Hausfriedensbruch) und § 248b StGB (Unbefugter Gebrauch eines Fahrzeugs), die auf die digitale Welt übertragen werden sollen.

Der Kern der geplanten Strafbarkeit ergibt sich aus § 202e Abs. 1 StGB-E, der wie folgt lautet:

„(1) Wer unbefugt

1. sich oder einem Dritten den Zugang zu einem informationstechnischen System verschafft,
2. ein informationstechnisches System in Gebrauch nimmt oder
3. einen Datenverarbeitungsvorgang oder einen informationstechnischen Ablauf auf einem informationstechnischen System beeinflusst oder in Gang setzt,

wird mit Geldstrafe oder Freiheitsstrafe bis zu einem Jahr bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. Die Tat nach Satz 1 ist nur strafbar, wenn sie geeignet ist, berechtigte Interessen eines anderen zu beeinträchtigen.“

Absatz 2 der Regelung sieht eine Qualifikation der Strafbarkeit bei Handeln gegen Entgelt, mit Schädigungs- oder Bereicherungsabsicht vor. Absatz 3 bestimmt etwa für die gewerbsmäßige und bandenmäßige Begehung besonders schwere Fälle der Strafbarkeit. Absatz 4 sieht eine Verbrechensqualifikation für den Fall vor, dass der Täter in der Absicht handelt, einen Ausfall oder eine Beeinträchtigung der Funktionsfähigkeit kritischer Infrastrukturen zu bewirken. Absatz 5 stellt den Versuch unter Strafe. Absatz 6 definiert die Begriffe des informationstechnischen Systems und der kritischen Infrastruktur. Absatz 7 regelt ein Antragserfordernis für die Begehung der Tat im Haus- und Familienumfeld.

Weite Strafbarkeit: Von Knopfdrückern bis Tracking-Tools

§ 202e Abs. 1 StGB-E begründet eine im Ausgangspunkt sehr weite Strafbarkeit. Daraus macht die Begründung des Entwurfes keinen Hehl („Es wird nicht verkannt, dass die Regelung des Absatzes 1 einen weiten Anwendungsbereich hat.“). So kann von der Strafbarkeit beispielsweise folgender Fall umfasst sein:

A fährt mit einem durch ein Computersystem gesteuerten Lift in den 10. Stock einer Unternehmensrepräsentanz. Als er aussteigt, drückt er sämtliche Knöpfe auf der Armatur des Lifts, um die nachfolgenden Fahrgäste zu verärgern. In der Nutzungsordnung des Gebäudes, die A gelesen hat, steht indes, dass ein solches Verhalten untersagt ist.

Bei dem Lift handelt es sich um ein IT-System im Sinne von § 202e Abs. 6 StGB. Er ist jedenfalls Teil einer Anlage, die wirtschaftlichen Zwecken dient und gehört dazu der Haustechnik an. Durch das wegen der Hausordnung unerlaubte Drücken der Knöpfe setzt A jedenfalls einen informationstechnischen Ablauf in Gang bzw. beeinflusst diesen. Es liegt eine Strafbarkeit nach § 202e Abs. 1 StGB-E vor. Die Bagatellklausel des § 202e Abs. 1 S. 2 StGB-E hilft hierüber nicht hinweg. Demnach ist eine Strafbarkeit nur auszuschließen, wenn eine Tat nicht geeignet ist, berechtigte Interessen eines anderen zu beeinträchtigen. Der Begriff der „berechtigten Interessen” ist aber denkbar weit. Selbstredend bestehen sowohl wirtschaftlich als auch ideell nachvollziehbare Interessen des Betreibers und der Nutzer von Fahrstühlen daran, dass diese nicht unnötig „auf Reisen geschickt“ werden. Da A mit Schädigungsabsicht handelt, wäre darüber hinaus sogar eine qualifizierte Tat nach Abs. 2 gegeben, der einen Strafrahmen von bis zu fünf Jahren Freiheitsstrafe vorsieht.

Es ließen sich zahlreiche weitere Fallbeispiele für Verhaltensweisen Privater bilden, in denen eine Strafbarkeit nach § 202e Abs. 1 StGB-E anzunehmen wäre (man denke nur an einen Klingelstreich bei einem Smart Home). Es lohnt sich jedoch auch ein Blick auf potentielle Strafbarkeitsrisiken im unternehmerischen Bereich. Ein solches Risiko besteht etwa für den Einsatz von Cookies oder Tracking-Tools auf Websites zu Werbezwecken, die Einfluss auf die Computer der Nutzer als IT-Systeme nehmen. Auch dies erkennt die Begründung des Entwurfes implizit, indem sie feststellt, dass die Verwendung von Cookies nicht nach § 202e StGB-E strafbar ist, wenn auf den Einsatz dieser nach den geltenden Anforderungen des Datenschutzrechts hingewiesen wird.

Im Umkehrschluss ergibt sich daraus, dass der Einsatz eines Cookies oder Tracking-Tools bei fehlerhaftem Hinweis als unbefugter Eingriff in ein IT-System strafbar werden könnte. Dies erweist sich auch deswegen als problematisch, weil bei dem Einsatz von modernen Technologien wie bestimmten Web Beacons und Skripten zur Erkennung von AdBlockern die Rechtslage dazu, wie deren Einsatz (datenschutz)rechtskonform zu gestalten ist, relativ unklar ist. Es entbehrt vor diesem Hintergrund nicht einer gewissen Ironie, dass der Gesetzesentwurf unter anderem damit begründet wird, dass durch die neue Strafnorm die Werbeindustrie geschützt werden soll, der durch den Einsatz von Botnetzen erhebliche Schäden entstünden.

Die Suche nach der Strafbarkeitslücke

Zu einer derartigen Ausweitung der Strafbarkeit bedarf es eines legitimen Regelungsinteresses. Die Gesetzesbegründung beruft sich hier vor allem auf bestehende Schutzlücken. Ohne sämtliche in Betracht kommende Schutzlücken hier im Detail untersuchen zu können, ist es höchst fraglich, ob im Einzelnen solche Lücken bestehen, die durch das Strafrecht geschlossen werden sollten. Dies zeigen schon die in der Gesetzesbegründung aufgeführten Fälle.

Bezeichnend ist, dass die Gesetzesbegründung zum Bestehen von Strafbarkeitslücken zunächst einen Fall anführt, der nichts mit Botnetzen oder Cyberattacken zu tun hat: Eine Person im öffentlichen Raum entsperrt ihr Smartphone mit einer PIN, die der Täter durch „Über die Schulter schauen“ mitliest. Später nimmt der Täter das Smartphone an sich, entsperrt es und betrachtet darauf Bilder und liest Informationen ab. Eine Strafbarkeitslücke kann hier überhaupt nur bestehen, wenn der Täter von Anfang an die Rückgabe des Telefons beabsichtigt und deswegen ein Diebstahl ausscheidet. In einem weiteren in der Begründung aufgeführten Fall verkauft ein Täter „den Zugriff auf ein infiltriertes informationstechnisches System“ an einen Dritten, der diesen daraufhin nutzt, um das System auszuspähen. Die Begründung geht dabei derzeit von einer Straflosigkeit des die Zugriffsdaten ankaufenden und diese nutzenden Dritten aus. Jedoch kommt bereits bezüglich des Verschaffens der Daten eine Strafbarkeit nach § 202c Abs. 1 Nr. 1 StGB und neuerdings auch § 202d StGB in Betracht.

Darüber hinaus ist zweifelhaft, warum hinsichtlich der anschließenden Nutzung der in den Beispielsfällen verschafften Zugangsdaten die Einführung eines weitreichenden neuen Delikts erforderlich sein soll. Die im Gesetzesentwurf angeführte pauschale Annahme der Straflosigkeit der Nutzung optisch (durch ein „Über die Schulter schauen“) oder technisch (durch den Einsatz von Spähsoftware) ausgespähter Zugangsdaten ist so nicht nachvollziehbar.

Auch in diesen Fällen wird eine Zugangssicherung i.S.d. § 202a Abs. 1 StGB überwunden, was ohne Kenntnis der entsprechenden Daten in der Regel nicht möglich wäre. Dass der Täter unter technischen Gesichtspunkten „bestimmungsgemäß den entsprechenden Zugangsschutz“ aufhebt, ändert nichts daran, dass der Gebrauch eines nicht freiwillig herausgegebenen Zugangsschlüssels grundsätzlich eine strafbare Überwindung eben dieser – potentiell noch vorhandenen – Zugangssicherung darstellt.

Ein großer Teil der Literatur sieht selbst die Nutzung von durch Täuschung erlangten Zugangsschlüsseln – wie etwa beim „Phishing“ – noch als von § 202a Abs. 1 StGB erfasst an (Fischer, StGB, 63. Aufl. 2016, § 202a Rn. 9a m. w. Nachw.). Jedenfalls ist es ein Zirkelschluss, einer Zugangssicherung pauschal die Wirksamkeit abzusprechen, da es einem Täter im Einzelfall gelungen ist, diese zu überwinden – unter dieser Annahme käme eine Begehung des § 202a StGB nie in Betracht.

Entgegen dem der hessischen Gesetzesinitiative offensichtlich zugrunde liegenden Gedanken ist der „digitale Hausfriedensbruch“ durch § 202a StGB bereits erfasst. Es kommt nicht von ungefähr, dass die Vorschrift in der Literatur eben als „elektronischer Hausfriedensbruch“ bezeichnet wird. Dies ist anhand der Gesetzgebungsgeschichte nachvollziehbar:

Die ursprüngliche Fassung des Tatbestandes sah vor, dass „unbefugt Daten […] verschafft“ werden mussten, es also zu einem tatsächlichen Zugriff auf Daten kam. Im Rahmen der der Umsetzung der Cybercrime Konvention des Europarates und des EU Rahmenbeschlusses über Angriffe auf Informationssysteme wurde die Regelung 2007 dahingehend geändert, dass das Verschaffen des bloßen Zugangs zu Daten (unter Überwindung einer Zugangssicherung) ausreicht. Dass § 202a StGB als Tatobjekt weiterhin „Daten“ und nicht „Systeme“ zum Gegenstand hat, dürfte dabei in der Praxis wenn überhaupt nur selten zu Strafbarkeitslücken führen. Konstellationen, in denen der Täter nur Zugriff auf ein System, nicht jedoch auf Daten erlangt, sind kaum vorstellbar. Aus diesem Grund sieht auch der Europarat Art. 2 Cybercrime Konvention durch die aktuelle Fassung des § 202a StGB als ausreichend umgesetzt an.

In dieser Form keine sinnvolle Ergänzung des IT-Strafrechts

Der Gesetzesentwurf des Landes Hessen erweist sich damit jedenfalls bei seiner jetzigen Weite nicht als sinnvolle Ergänzung des IT-Strafrechts. Er erregt den Verdacht, dass hier einem schwer fassbaren Risiko mit einer gewissen Symbolik begegnet werden soll. Auch wenn das Schicksal des Gesetzesentwurfes noch nicht absehbar ist, erscheint es angebracht, das Vorhaben im Auge zu behalten und bereits jetzt kritisch zu hinterfragen. Der Straftatbestand der Datenhehlerei dient als abschreckendes Beispiel:

Als „Kuckucksei“ in dem Gesetz zur Vorratsdatenspeicherung wurde hier ein überflüssiges Strafgesetz eingeführt, ohne dass es zuvor zu einer fundierten öffentlichen Diskussion gekommen wäre. Nun vorschnell eine Strafbarkeit des rechtswidrigen Zugangs zu Daten und Systemen ohne ein Erfordernis der Überwindung einer Zugangssicherung zu schaffen, wird zu Problemen führen, die sich bislang nur schwer absehen lassen. Dies zeigt unter anderem ein aktueller Fall in den USA, in dem ein Gericht den unbefugten Zugriff auf die Website von Facebook als Straftat nach US-Bundesrecht ansah.

Im Grundsatz ist es angebracht, zu der Ausgestaltung des Schutzes informationstechnischer Systeme auf rechtliche Ebene weitere Überlegungen anzustellen. Mit Blick auf das „Ultima Ratio“-Prinzip sollte hier aber in der Regel nicht das Strafrecht als Ausgangspunkt dienen. Dies ist auch mit Blick auf die limitierte Wirkungsmacht von Strafvorschriften im IT- und Datenschutzbereich zu beachten. Schon bei einem Blick auf die praktische Anwendung der Strafvorschriften zum Schutz von Daten und informationeller Selbstbestimmung wird klar, dass zwischen der theoretischen Reichweite dieser Regelungen und ihrer praktischen Anwendung Welten liegen. Hierfür gibt es viele Gründe, wobei die schwere Fassbarkeit von Tätern, die über das Internet agieren, sicherlich eine besondere Rolle spielt. Angesichts dessen ist Vorsicht geboten, wenn Strafbarkeitslücken im Informationsstrafrecht angeprangert werden.

In vielen Fällen ist „des Pudels Kern“ wohl eher ein Vollzugsdefizit bestehender Vorschriften, das sich insbesondere auch aus den internationalen Bezügen der Straftaten ergibt. Die Bemühungen sollten daher lieber auf eine Verbesserung der Zusammenarbeit im Rahmen der Rechtshilfe und weitere Maßnahmen zur Verbesserung der Durchsetzung bestehender Regelungen gelegt werden. Die Schaffung eines komplizierten Flickenteppichs sich überschneidender, viel zu weit ausgestalteter Strafnormen dürfte die internationale Kooperation langfristig eher erschweren.

, Telemedicus v. 18.07.2016, https://tlmd.in/a/3111

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Soko22

Newsletter

In Kooperation mit

Kommunikation & Recht

Hosting

Domainfactory