§ 202c des StGB stellt Hackertools nicht generell unter Strafe Gestern hat das Bundesverfassungsgericht drei Beschwerden gegen den Paragrafen 202c des Strafgesetzbuches, den sogenannten Hackerparagrafen, zurückgewiesen. Damit wird der Besitz und Gebrauch von Software zum Auffinden von Sicherheitslücken in Computersystemen nicht generell unter Strafe gestellt, erklärte das Gericht.
IT-Sicherheitsfachleute dürfen seit gestern ein wenig aufatmen. Das Bundesverfassungsgericht hat entschieden, dass sich Fachleute bei der Benutzung von Hackersoftware wie beispielsweise WLAN-Sniffern nicht automatisch nach Paragraf 202c des StGB strafbar machen. Es kommt vielmehr auch den Nutzungszweck der Software und auf die konkreten Absichten bei ihrer Benutzung an.

Paragraf 202c des Strafgesetzbuches stellt Vorbereitungshandlung zum Ausspähen (§ 202a) oder Abfangen (§ 202b) von Daten unter Strafe. Zu solchen Vorbereitungshandlungen kann auch die Herstellung, Verbreitung und Nutzung von Software gehören, mit der man Daten ausspähen oder abfangen kann. Die Strafbarkeit der Vorbereitungshandlungen wurde auf der Grundlage der Europaratskonvention über Computerkriminalität (Cybercrime Convention) vom 23. November 2001 in das deutsche Strafrecht übernommen.

Mehrere Sicherheitsfachleute sahen sich durch die ihrer Meinung nach zu unbestimmte Formulierung des Paragrafen 202c StGB in ihren Grundrechten bei der Berufsausübung verletzt. Sie erhoben daher Verfassungsbeschwerde gegen die neue Strafbestimmung. Das Gericht wies die Beschwerden am Freitag zurück, "weil sie unzulässig sind. Die Beschwerdeführer werden von der Strafvorschrift nicht unmittelbar betroffen."

Der Gerichtsentscheidung zufolge sind die Beschwerdeführer von § 202c nicht unmittelbar betroffen. Ihre Nutzung von Sicherheitssoftware im Rahmen der beruflichen Tätigkeit ist nach Auffassung des Gerichts nicht strafbar. Zur Begründung führt das Gericht aus: "Tatobjekt in diesem Sinn kann nur ein Programm sein, dessen Zweck auf die Begehung einer Straftat [...] gerichtet ist. Das Programm muss mit der Absicht entwickelt oder modifiziert worden sein, es zur Ausspähung oder zum Abfangen von Daten einzusetzen. Außerdem muss sich diese Absicht objektiv manifestiert haben. Es reicht schon nach dem Wortlaut der Vorschrift nicht aus, dass ein Programm - wie das für das so genannte dual use tools gilt - für die Begehung der genannten Computerstraftaten lediglich geeignet oder auch besonders geeignet ist."

Bei Dual-use-Software muss also nach Meinung des Gerichts ein Vorsatz zur strafbaren Handlung vorliegen, damit § 202c greifen kann. Erfolgt die Nutzung zu legalen Zwecken, beispielsweise "im Auftrag und somit im Einverständnis mit den über die überprüften Computersysteme Verfügungsberechtigten", bestehe kein Risiko der Strafverfolgung.

So weit, so gut. Einen großen Haken hat das Urteil allerdings trotzdem. Und dieser könnte der Entwicklung von Open-Source-Sicherheitssoftware in Deutschland den Garaus machen. Am Ende der Entscheidung sagt das Gericht: "Ein Strafbarkeitsrisiko entsteht hier erst, sobald die betreffenden Programme durch Verkauf, Überlassung, Verbreitung oder anderweitig auch Personen zugänglich gemacht werden, von deren Vertrauenswürdigkeit nicht ausgegangen werden kann."

Open-Source-Softwareentwicklung erfolgt im öffentlichen Internet. Die entstehenden Programme werden für jeden, das heißt auch für "Personen [...], von deren Vertrauenswürdigkeit nicht ausgegangen werden kann", zur Verfügung gestellt. Über Open-Source-Entwicklern von Dual-use-Software, die grundsätzlich auch zur Begehung von Straftaten nach den Paragrafen 202a oder 202b StGB geeignet ist, schwebt damit wohl weiterhin das Damoklesschwert der Strafverfolgung.


Quelle: golem.de