Kolumne : Die überfällige Reform des deutschen Cyberstrafrechts

Die dringende Notwendigkeit zur Schaffung klarer strafrechtlicher Regeln wurde im August dieses Jahres erneut im Falle eines IT-Experten deutlich, der eine gravierende Sicherheitslücke in den Systemen des Gladbecker Software-Dienstleisters Modern Solution entdeckte und gegen den infolgedessen ein Strafverfahren eröffnet wurde. Der nachfolgende Beitrag will den Fall einerseits juristisch aufbereiten, andererseits aber auch einen Ausblick auf die künftigen Anforderungen an ein praktikables und allen Interessen zugutekommendes nationales Cyberstrafrecht geben.

Sachverhalt und Tathergang

Die geschädigte Firma ist Webhosting-Anbieter unter anderem für Online-Handel mit JTL-Software, einem Warenwirtschaftssystem. Diese Software stellt das Unternehmen über eine hauseigene Schnittstelle zahlreichen Firmenkunden entgeltlich zur Verfügung. Bestandteil des Hostings ist die Zurverfügungstellung von Kundendatenbanken der Endkunden der jeweiligen Firmenkunden. Insgesamt sind die Datensätze von ca. 600.000-700.000 Endkunden gespeichert.

Der angeschuldigte IT-Experte nahm Zugriff auf den Datenbankserver des Anbieters. Dies tat er, indem er zunächst mittels eines sogenannten Decompilers – eines für jedermann zugänglichen Programms – aus der von der geschädigten Firma genutzten Software einen Quellcode erzeugte. Dem durch die Dekompilierung erlangten Quellcode entnahm er anschließend das dort im Klartext hinterlegte Passwort, mit dem er dann die Zugangsdaten zu den jeweiligen Kundendatenbanken auslas und diese auf seinen eigenen Computer kopierte.

Juristischer Dreh- und Angelpunkt des Falles ist der § 202a StGB, der vor einem unbefugten Ausspähen von Daten schützt. Nach dieser Vorschrift macht sich strafbar, wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft. Streitig dabei ist das Tatbestandsmerkmal „gegen unberechtigten Zugang besonders gesichert“. Denn § 202a StGB schützt nicht alle Daten, sondern eben nur solche, die „besonders gesichert“ sind. Ein Passwort beispielsweise ist eine solche typische Softwaresicherung und der Server des in Rede stehenden Unternehmens war passwortgeschützt.

Von dieser grundsätzlichen juristischen Annahme gibt es aber auch Ausnahmen. Vom Schutzbereich der strafrechtlichen Vorschrift ausgenommen sind Fälle, in denen das Opfer selbst nachlässig mit den eigenen Daten umgeht. Keine angemessenen technischen Vorkehrungen wären folglich standardisierte Logins und Passwörter. Es kommen aber auch Fälle in Betracht, wo das Opfer sein Passwort im Nahbereich seines PC notiert, und in Kauf nimmt, dass es andere benutzen.

Fehlerfall oder Sollzustand?

Will ein IT-Experte der Frage nachgehen, ob es sich bei der Übertragung der Daten auf den Server des Anbieters im Klartext um einen Fehlerfall oder den Sollzustand handelt und dekompiliert er dazu die Software an der Schnittstelle und findet dort das entsprechende Passwort als Standardpasswort für alle Zugriffe im Klartext vor, so ist es zumindest technisch vertretbar, hierbei von einer (groben) Nachlässigkeit zu sprechen.

Das ebenfalls mit dem Fall befasste LG Aachen allerdings versucht das Problem juristisch zu lösen und stellt im Kern auf den Aufwand des Dekompilierens ab. Worauf es seine Erkenntnisse konkret stützt, bleibt jedoch offen. Juristisch wäre es entgegen einer abstrakten technischen Bewertung zumindest noch vertretbar gewesen, festzustellen, dass eine Nachlässigkeit nicht schon dann angenommen werden kann, wenn das Passwort im Quellcode selbst nicht „besonders gesichert“ ist.

Wenn das Landgericht demgegenüber jedoch die juristische Auffassung vertritt, dass das Kompilieren des Quellcodes in den Objektcode eine „besondere Sicherung“ im Sinne des § 202a StGB darstellt, so ist dem entschieden entgegenzutreten. Denn das Kompilieren dient der Herstellung eines ausführbaren Programms, nicht dem Schutz des Quellcodes. Für eine Strafbarkeit nach § 202a StGB kann und darf es ausdrücklich nicht ausreichen, wenn die Sicherung, auch wenn sie objektiv zugleich als Zugangssicherung wirkt, ausschließlich anderen Zwecken dient oder der Zweck der Datensicherheit nur von ganz untergeordneter Bedeutung oder bloße Nebenfolge ist.

Dies würde den Straftatbestand inhaltlich grenzenlos überdehnen, denn vielmehr gibt es für Zwecke der Datensicherung besondere Schutzmaßnahmen, wie zum Beispiel die Verschleierung des Programmcodes (Obfuskation), die Ablage von Passwörtern/Schlüsseln in besonders gesicherten Hard- oder Softwarebereichen oder die Verschlüsselung von Passwörtern. Das Dekompilieren mag gegen das Urheberrecht verstoßen, nicht aber gegen § 202a StGB.

Wann handelt ein IT-Sicherheitsexperte „unbefugt“?

Die Verschaffung des Zugangs zu Daten unter Verletzung von IT-Sicherheitsvorkehrungen ist überdies nur dann strafbar, wenn der Täter unbefugt handelt. Wenn ein IT-Experte mit der Fehlerbehebung beauftragt ist und dieser Auftrag auch die Suche nach IT-Sicherheitslücken umfasst, so muss eine Strafbarkeit mangels unbefugten Handelns zwangsläufig ausscheiden. Nach Erwägungsgrund 17 der EU-Richtlinie zur Cyberkriminalität handeln Dienstleister, die mit Tests des Informationssystems eines Unternehmens beauftragt werden, nicht vorsätzlich.

Darüber hinaus kann ein unbefugtes Handeln dann ausscheiden, wenn eine Dauergefahr im Sinne eines juristischen „Notstands“ besteht. Eine solche Dauergefahr liegt zum Beispiel dann vor, wenn der IT-Experte bei der Fehlerbehebung die Übermittlung der Kundendaten im Klartext tatsächlich bemerkt und sodann auf diese IT-Sicherheitslücke hinweist. Auch hierzu äußert sich das LG Aachen jedoch leider nicht weiter.

Was können wir daraus lernen?

Der Fall zeigt sehr deutlich, wie schwer sich Staatsanwaltschaften und Gerichte mit den Hacking-Straftatbeständen tun, wie komplex die Diskussion ist und warum gerade deshalb klare Richtlinien für die strafrechtliche Nichtverfolgung von Forschern und Penetrationstestern im Bereich der Informationssicherheit dringend erforderlich sind.

In Frankreich beispielsweise wird die Tat nach Art. L 2321-4 Code de la défense nicht verfolgt, wenn der Entdecker „in gutem Glauben“ gehandelt hat und die Meldung ausschließlich an die französische Cybersicherheitsbehörde ANSSI erfolgt. In den USA muss der zuständige Staatsanwalt auf Bundesebene von der Strafverfolgung absehen, wenn die verfügbaren Beweise zeigen, dass das Verhalten des Angeklagten aus gutgläubiger Sicherheitsforschung bestand und der Angeklagte dies auch beabsichtigte. Laut Enisa soll der Zugang zu Systemen durch Forscher:innen rechtmäßig sein, solange die vorgegebenen Regeln der CVD-Policy eingehalten werden.

Der Staat ist in der Pflicht, die rechtlichen Rahmenbedingungen für IT-Sicherheitstests ohne strafrechtliche Risiken zu schaffen und gleichzeitig die Interessen der von Sicherheitstests Betroffenen zu schützen. CVD-Policies können hierzu ein zentraler Baustein sein. Es bedarf aber auch klarer Regelungen zu strafrechtlichen Sanktionen. Dies wird deutlicher denn je, wenn nicht einmal der deutschen Gerichtsbarkeit eine ordentliche und rechtsklare Subsumtion des nationalen Cyberstrafrechts gelingt.

Deshalb ist die Befugnis zur Durchführung von IT-Sicherheitstests von vornherein als Tatbestandsausschluss gesetzlich zu verankern und nicht wie in Frankreich oder den USA auf eine bloße „Nichtverfolgung“ zu beschränken.

Die Bundesregierung hat im Koalitionsvertrag 2021-2025 vereinbart, dass das Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren, zum Beispiel in der IT-Sicherheitsforschung, legal durchführbar sein soll. Umgesetzt wurde dieses begrüßenswerte Vorhaben bislang leider nicht. Das Bundesministerium der Justiz lädt am 4. Oktober 2023 zu einem Symposium zur Reform des Computerstrafrechts ein – es bleibt zu hoffen, dass genau hier diese drängenden Reformbedarfe adressiert werden.

Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.

Sebastian Rockstroh ist Rechtsanwalt in Nürnberg und Leiter der Arbeitsgruppe Cybersecurity innerhalb der Fachgruppe Digitalisierung des Bundesverbands der Unternehmensjuristen e.V.

In unserer Reihe Perspektiven ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Dennis-Kenji Kipker erschienen: Warum „Walled Gardens“ in der EU keine Zukunft haben sollten