Branche hält das Gesetz für realitätsfern

Kritik: Neuer Hackerparagraf kriminalisiert Informatiker

05.07.2007 von Christiane Pütter und Werner Kurzlechner
Scheu vor Provokationen ist Robert Chapmans Sache nicht: "Haben die Abgeordneten des Deutschen Bundestages keine Ahnung von IT?", fragt der Geschäftsführer des Kursanbieters Training Camp. Hintergrund ist der neue sogenannte Hackerparagraf. Chapmans These: Das Gesetz gefährdet die Sicherheit, weil es die Security-Maßnahmen von Unternehmen konterkariere. Auch der Informatiker-Verband und Juristen kritisieren die geplante Regelung. Immerhin besteht noch Hoffnung: Am 6. Juli wird im Bundestag über das Gesetz diskutiert.

Chapman treibt der Gedanke um, dass die Bundestagsabgeordneten die positiven Möglichkeiten von Hackertools, beispielsweise zur IT-Sicherheitsprüfung in Unternehmen, nicht berücksichtigen.

Ein weiterer Aspekt ist die geografische Begrenzung: "Was passiert, wenn ein Hacker außerhalb der Europäischen Union eine deutsche Website angreift? In dem Fall ist das Gesetz ein zahnloser Tiger, da es nur von Mitgliedern der EU umgesetzt werden soll", erklärt der Experte.

Auch Abgeordnete des Bundesrats haben bereits im Vorfeld Kritik geübt. Sie äußern offen die Befürchtung, dass die aktuelle Ausgestaltung des § 202c StGB-E beim gutwilligen Umgang mit allgemeinen Programmier-Tools oder "Hacker-Tools" zur Sicherheitsüberprüfung von IT-Systemen die Unternehmen nicht ausreichend vor einer ungewollten Kriminalisierung schützt.

Ins selbe Horn bläst die Gesellschaft für Informatik (GI). Kern des Problems: Programme und Tools werden im verschärften Paragrafen nicht nach ihrer Einsatzart, sondern nach ihrem Aufbau definiert. Bestraft werden könnten somit auch Anwendungen zur Aufdeckung von Sicherheitslücken in Organisationen oder wissenschaftlicher Gedankenaustausch.

Die GI münzt ihre Hilflosigkeit in einen Appell an den Bundesrat: Der möge die weite Entwurfsfassung des § 202c StGB verhindern. Dabei handelt es sich um ein Gesetz, das der Zustimmung des Länder-Gremiums nicht bedarf und das der Bundestag bereits am 24. Mai verabschiedet hat - mit allen Stimmen mit Ausnahme der PDS und eines SPD-Abgeordneten. Der Bundesrat kann also lediglich Einspruch einlegen, den der Bundestag wiederum zurückweisen kann.

Zweifel an der jetzigen Gestaltung des Paragrafen meldet indes auch Alexander Rossnagel an, Jura-Professor an der Universität Kassel. Er vergleicht sie mit dem Verbot eines Dietrichs, weil Einbrecher damit Zugänge knacken können. Allerdings brauche man dieses Werkzeug eben auch, um zu überprüfen, ob ein Schloss sicher ist.

Nach Rossnagels Ansicht mildert auch das im Entwurf enthaltene Tatbestandsmerkmal der "Zweckbestimmung für eine Straftat" nichts. Computer-Programme hätten nicht den einen Zweck, sie könnten immer missbraucht werden. Das alles verschlimmert sich nach Meinung des Juristen noch dadurch, dass bereits bedingter Vorsatz vom neuen Paragrafen erfasst sein wird. Diese Regelung beraube Industrie und Bürger wichtiger Selbstanalyse-Möglichkeiten und gefährde so die IT-Sicherheit.

Weitere Kritik-Punkte des Experten für Öffentliches Recht: Falls die Formulierung "Vorbereitung einer Straftat" auch für abstrakte Gefährdungs-Delikte gelte, wäre womöglich der bloße Besitz entsprechender Tools strafbar. Desweiteren mache sich eines "Zugangs zu Daten" auch ein Jugendlicher schuldig, der sich das Premiere-Passwort seiner Eltern verschafft. Und grundsätzlich bleibe in unserem Rechts-System die Vorbereitung von Straftaten ungeahndet - der Paragraf wäre hier eine von ganz wenigen Ausnahmen.

Rossnagel schlägt zwei Änderungen vor: Die Regelung sollte sich explizit nur auf konkrete Taten beziehen und der Eventualvorsatz müsse gestrichen werden. Damit könnten zumindest keine wissenschaftlichen Tätigkeiten mehr bestraft werden. Auf alle diese Punkte wiesen die Kritiker aber auch schon in der Expertenanhörung des Parlaments hin - ohne Erfolg.

Aber weil Jammern nichts nützt, haben Robert Chapman und sein Team von Training Camp die Damen und Herren aus dem Parlament nun eingeladen, einen Certified Ethical Hacking-Kurs zu besuchen. Bisher leider ohne Erfolg. Es habe sich noch keiner angemeldet, heißt es aus dem Unternehmen.

Doch noch ist nicht alle Hoffnung verloren: Am 6. Juli steht das Gesetz noch einmal auf der Tagesordnung der Politiker.