Erst wollte ich den Artikel "§ 202c StGB" nennen, aber das wäre dann schon wieder ein Titel mit juristischem Bezug, und das soll ja hier nicht ausarten. Schließlich bin ich kein Jurist, nicht mal im Ansatz.
Ok, der jetzige Titel ist auch nicht viel anders, aber – ach, egal.
Worum geht's?
Es geht um den vieldiskutierten und nun gültigen Zusatz zum Strafgesetzbuch:
§ 202c
Vorbereiten des Ausspähens und Abfangens von Daten(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
Darauf gekommen bin ich durch Carstens Artikel, der auf die Mitteilung auf heise.de hinweist, daß die sog. "Beispiel-Exploits"1 von der Seite php-security.org heruntergenommen wurden, da man sich dort offenbar Sorgen machte, ins Visier der Strafverfolger zu geraten.
Das "indem" ist der Stein des Anstoßes
Der Paragraph ist deshalb vieldiskutiert, weil er für den Laien mißverständlich formuliert ist.
Das Problem ist offenbar das "indem".
Jemand namens Michael Kubert, der unterhalb des Heise-Artikels kommentiert, sieht diesen Zusatz zum StGB jedenfalls sehr gelassen.
Er bietet an, solche "Hackertools" auf seinem eigenen Server zu hosten, weil er den Paragraphen weit weniger dramatisch interpretiert.
Wie gesagt, ich bin kein Jurist, deshalb habe ich mich darüber mit einem Jurastudenten unterhalten, der kurz vor dem Examen steht.
Security-Tools sind weiterhin nicht strafbar
Ich wollte mir mal seine Einschätzung anhören. Diese deckt sich mit der von Michael Kubert und sieht folgendermaßen aus:
Das Herstellen, Verbreiten oder Besitzen solcher Software ist nicht strafbar. Strafbar macht man sich erst, wenn man vorsätzlich eine der unter § 202a oder § 202b genannten Handlungen begeht und das mittels einer in § 202c beschriebenen Software.
Schwierig, ich weiß.
Das "indem" ist der Punkt, der offenbar das Mißverständnis auslöst.
Die Straftat liegt nicht in der Veröffentlichung, sondern muß ohnehin schon konkret vorliegen. § 202c beschreibt nur die Mittel zu deren Durchführung. Das "indem" schränkt also ein, wie die Straftat überhaupt begangen werden kann.
Und wenn einer die Software mißbraucht?
Was ist aber nun, wenn jemand einen Beispiel-Exploit veröffentlicht und mit Hilfe dieses Exploits ein anderer eine Straftat begeht?
Dann müßte dem Herausgeber des Exploits Vorsatz oder zumindest billigende Inkaufnahme nachgewiesen werden. (Wenn ich das richtig verstanden habe. Habe ich schon erwähnt, daß ich kein Jurist bin?)
Vorsatz dürfte schwierig werden, solange im Exploit nicht drinsteht, daß man sich so bitte ins Pentagon hacken soll.
Billigende Inkaufnahme würde bedeuten: "Ja, kann schon gut sein, daß jemand damit Blödsinn anstellt, macht mir aber nichts aus."
Wie kommt man aus der Nummer wieder raus?
Mein Vorschlag war relativ spontan und simpel: Durch eine Softwarelizenz.
Die Exploits sind ja nichts anderes als Stücke selbstgeschriebener Software. Diese kann man als Autor selbstverständlich unter eine Lizenz stellen, die es ausdrücklich verbietet, Systeme damit anzugreifen, die einem nicht gehören.
Damit dürfte auch im Falle einer Strafverfolgung ausgeschlossen sein, daß der Autor eine Straftat billigend in Kauf genommen hat, Vorsatz sowieso.
Daß man nun nicht anfangen sollte, eine Software zu schreiben, die ganze Adreßbereiche scannt, in die entsprechenden Rechner einbricht und dem Autor das root-Paßwort zumailt, sollte natürlich auch klar sein.
Fazit: Keine Kriminalisierung durch § 202c
Das Fazit daraus wäre, daß der Paragraph 202c StGB nicht so schlimme Auswirkungen hätte, wie zunächst angenommen. (Ich nehme mich da nicht aus.)
Somit wäre ein voreiliges Löschen von Security-Tools und auch von Exploits übertrieben. Ebenso die Einstellung der Entwicklung solcher Security-Scanner.
So sieht das auch Michael Kubert, der wiederum darauf hinweist, daß weder das BSI (das nach wie vor Tools wie Nessus zum Download anbietet) geschlossen wurde, noch die Teilnehmer des Chaos Computer Camps (bei denen der Besitz solcher Software vermutet werden kann) pauschal gefilzt wurden.
Die befürchtete Kriminalisierung träte also nicht ein.
Und das wäre ja ausnahmsweise mal eine gute Nachricht.
___- Anleitungen bzw. Softwareschnipsel, die zeigen, wie Sicherheitslücken ausgenutzt werden können, um die Korrektheit ihrer Entdeckung zu beweisen. Also in etwa eine "Machbarkeitsstudie".[ ↵]
[...] Der Hackertoolparagraph Security-Tools sind weiterhin nicht strafbar (tags: software internet sicherheit) [...]
Hackerparagraph 202c StGB…
Was ist §202c StGB ?
Es handelt sich hierbei um ein neu erlassenes Gesetz zur Bekämpfung der Computerkriminalität. Dieses Gesetz macht die Herstellung, Beschaffung, Verkauf, Ü…
Hallo Lars,
schon etwas älter hier, aber das BVerfG hat sich mit dem § 202c StGB auseinandergesetzt.
Falls es noch von Interesse ist:
http://www.bundesverfassungsgericht.de/pressemitteilungen/bvg09-067.html
@Jan: Ja, hab's neulich gelesen, trotzdem danke!