Standpunkte UN-Cybercrime-Konvention: Ein Schritt vor, zwei Schritte zurück?

Wieder einmal ging die Sitzung der Vereinten Nationen in New York ohne Konsens zu Ende – eine Wiederaufnahme der Verhandlungen noch in diesem Jahr ist wahrscheinlich. Die strittigen Punkte betreffen eine Vielzahl an Themen, die einerseits inhaltliche Fragen wie die Garantie von Menschenrechten umfassen, andererseits aber auch die Harmonisierung einer UN-Konvention mit bereits bestehenden Abkommen, wie die Budapest-Konvention des Europarates, berühren.

Eine Thematik, die in den Verhandlungen jedoch zu Unrecht weniger Aufmerksamkeit erlangte, ist der Einfluss von Cyberstrafrecht auf die IT-Sicherheitsforschung. IT-Sicherheitsforschende durchleuchten und testen IT-Infrastrukturen mit dem Ziel, unbekannte Schwachstellen zu identifizieren und zu beheben. Zudem simulieren sie Cyberangriffe, um verbesserte Methoden für ihre Abwehr zu entwickeln. Diese Maßnahmen können in einigen Fällen dem Vorgehen von Cyberkriminellen ähneln, obwohl sie die gegenteilige Motivation haben, nämlich eine verbesserte Cybersicherheit und den Schutz der Gesellschaft.

Da viele Vorschriften im aktuellen UN-Konventionsentwurf aufgrund ihrer Ähnlichkeit zur Budapest-Konvention bereits dem deutschen Strafrecht inhärent sind, lassen sich die Auswirkungen solcher Normen auf die IT-Sicherheitsforschung anhand der in Deutschland gemachten Erfahrungen beobachten. Das könnte exemplarische Bedeutung für den Einfluss der UN-Konvention in anderen Rechtsordnungen haben, sollte sie in ihrer Entwurfsfassung verabschiedet werden.

Insbesondere die Art. 6 bis 10 des UN-Konventionsentwurfs haben das Potenzial, die IT-Sicherheitsforschung zu tangieren. Diese Vorschriften bezwecken jeweils in einem ersten Schritt die Strafbarkeit von Handlungen, die die Vertraulichkeit, Integrität und Verfügbarkeit von informations- und kommunikationstechnischen Systemen (IuK-Systemen) verletzen. Sie räumen in einem zweiten Schritt den zukünftigen Vertragsstaaten teils die Möglichkeit ein, weitere Strafbarkeitsvoraussetzungen bei der Umsetzung der UN-Konventionsnormen in ihr nationales Strafrecht einzuführen und somit die Hürden für strafbares Verhalten freiwillig anzuheben.

So soll nach Art. 6 (1) des UN-Konventionsentwurfs jeder Vertragsstaat das Ausspähen von Daten – also den vorsätzlichen und unbefugten, ganzen oder teilweisen Zugriff auf ein IuK-System – unter Strafe stellen. Gemäß Art. 6 (2) kann vorausgesetzt werden, dass eine Tathandlung Sicherheitsmaßnahmen verletzt, mit der Intention, elektronische Daten zu erhalten oder anderen unlauteren oder kriminellen Absichten vorgenommen oder in Bezug auf ein IuK-System begangen wird, das mit einem anderen IuK-System verbunden ist.

In ähnlicher Weise regelt Art. 7 das Abfangen von Daten, Art. 8 die Datenveränderung sowie Art. 9 die Computersabotage. Nach Art. 10 (1) soll die Vorbereitung der vorhergehenden Straftaten strafbar sein, wobei Art. 10 (2) klarzustellen versucht, dass mit dieser Vorschrift keine Handlungen, die nicht unter Art. 6 bis 9 fallen, wie „das autorisierte Testen oder Beschützen eines IuK-Systems“, unter Strafe gestellt werden sollen.

Zu ausgewählten Vorschriften des UN-Konventionsentwurfs wurden von der Vorsitzenden des Ad-hoc-Komitees erläuternde Hinweise erlassen. In diesem Rahmen wird argumentiert, dass ethische Hacker und IT-Sicherheitsforschende im Wesentlichen aus zwei Gründen ein nur geringes strafrechtliches Risiko ausgesetzt seien. Erstens wird darauf hingewiesen, dass es den Vertragsstaaten ermöglicht wird, weitergehende Strafbarkeitsvoraussetzungen vorzusehen. Außerdem seien Tools der IT-Sicherheitsforschung aus dem Anwendungsbereich des Art. 10 ausgenommen. Zweitens würde die in Art. 6 bis 10 enthaltene Voraussetzung „unbefugten“ Handelns IT-Sicherheitsforschende schützen. Damit sollen sämtliche Rechtfertigungsmöglichkeiten der Strafrechtsordnungen der Vertragsstaaten greifen können, wie zum Beispiel die Einwilligung des Eigentümers eines IuK-Systems, Notwehr oder Notstand.

Allerdings könnten sich einzelne Vertragsstaaten gänzlich gegen die freiwillige Einführung solcher Voraussetzungen entscheiden, was angesichts der ausgeprägten grenzüberschreitenden Natur des Cyberraums wiederum nicht nur Folgen für inländische IT-Sicherheitsforschende haben könnte. Doch selbst in Jurisdiktionen, in denen solche Maßnahmen ergriffen werden, könnte es zu Schwierigkeiten für IT-Sicherheitsforschende kommen. So hat Deutschland bei der Gestaltung des Straftatbestands des Ausspähens von Daten in § 202a StGB von der in der Budapest-Konvention eingeräumten Möglichkeit Gebrauch gemacht, die Voraussetzung einzuführen, dass die Tat unter Überwindung einer Zugangssicherung vorgenommen wird (Schönke/Schröder/Eisele, 30. Aufl. 2019, StGB § 202a Rn. 20). Doch in der Praxis besteht weiterhin Unklarheit – wie etwa der Fall „Modern Solutions“ zeigt.

Auch die Voraussetzung „unbefugten“ Handelns ist nicht in allen Fällen ein belastbares Unterscheidungskriterium zwischen redlichem und kriminellem Handeln. Das Einholen von Einwilligungen der Datenverfügungsbefugten stellt für IT-Sicherheitsforschende, die oftmals Sicherheitsüberprüfungen nicht lediglich in Bezug auf einzelne Produkte, sondern vielmehr vergleichend zwischen einer Vielzahl an Produkten durchführen, vor die Herausforderung je nach Einzelfall mit zahlreichen Herstellern, Eigentümern oder Nutzern Kontakt aufzunehmen.

Das Spannungsverhältnis zwischen der Bekämpfung von Cyberkriminalität und der IT-Sicherheitsforschung kann nur dann aufgelöst werden, wenn es bereits im Rahmen von Gesetzgebungsprozessen auf internationaler Ebene wahrgenommen und auch adäquat berücksichtigt wird. Die Rechtsposition von IT-Sicherheitsforschenden sollte schon bei der Verhandlung von Abkommen wie dem UN-Konventionsentwurf explizitere Erwähnung finden und mittels konkreten und verpflichtend umzusetzenden Tatbestandsausnahmen oder Rechtfertigungsmöglichkeiten gestärkt werden. Hilfreich wäre es darüber hinaus, in solchen Fällen Lehren aus den bereits gemachten Erfahrungen von Rechtsordnungen wie der deutschen zu ziehen.

Die Juristin Tanya Gärtner ist wissenschaftliche Mitarbeiterin am Fraunhofer-Institut für Sichere Informationstechnologie SIT und am Nationalen Forschungszentrum für angewandte Cybersicherheit Athene. Der Beitrag gibt die persönliche Meinung der Autorin wieder.

Dieser Beitrag wurde vom Bundesministerium für Bildung und Forschung (BMBF) und vom Hessischen Ministerium für Wissenschaft und Kunst (HMWK) im Rahmen ihrer gemeinsamen Förderung für das Nationale Forschungszentrum für angewandte Cybersicherheit Athene unterstützt.