Sehr geehrter Herr Dissars,

für Ihr Schreiben danke ich Ihnen. Der Bundestag hat am 24. Mai 2007 und zwar mit den Stimmen von SPD, CDU/CSU, FDP und Bü90/Die Grünen in 2./3. Lesung das Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität beschlossen. Die vom Chaoscomputerclub auf dessen Internetseite unter anderem aufgestellte Behauptung, Industrie und Bürgern werde mit dem Gesetz die Möglichkeit genommen, ihre Systeme auf Sicherheit zu überprüfen, halte ich nach dem Ergebnis der umfassenden Beratungen schlicht für unzutreffend.

Zunächst einmal sei daran erinnert, dass mit dem Gesetz Vorgaben des Europarates (Übereinkommen des Europarates über Computerkriminalität 2001) und der Europäischen Union (EU Rahmenbeschluss über Angriffe auf Informationssysteme) umgesetzt werden. Hierzu werden vor allem im Strafgesetzbuch (StGB) Ergänzungen bzw. Änderungen vorgenommen. Die Strafrechtsbestimmungen dienen dem Schutze eines hohen Gutes, nämlich dem Schutz von Informationstechnologiesystemen: Komplexe Attacken auf Computersysteme können erhebliche Schäden verursachen, das Vertrauen der Bürger in die Sicherheit des Internets untergraben und sensible öffentliche Informationsstrukturen gefährden.

Der bereits bestehende Tatbestand des Ausspähens von Daten - § 202 a StGB - erfasst nach seinem Wortlaut das "Verschaffen von Daten, die gegen unberechtigten Zugang besonders gesichert sind". Er wird jetzt als "Verschaffen des Zugangs zu Daten, die gegen unberechtigten Zugang besonders gesichert sind", sprachlich erweitert. Damit ist jedoch keine Ausweitung der Strafbarkeit verbunden, weil schon bisher von der Rechtsprechung der Zugang zu Daten mit dem Verschaffen von solchen gleichgesetzt wurde..

Neu geschaffen wird der Tatbestand des Abfangens von Daten in § 202 b StGB. Wer also unbefugt nichtöffentliche - auch elektronische - Kommunikationsdaten abfängt, indem er sich für ihn nicht bestimmte E-Mails aus WLAN-Netzen verschafft, macht sich künftig strafbar.

Die zentrale und von vielen kritisierte Neuerung betrifft den neuen § 202 c StGB - das Vorbereiten der Straftaten nach § 202 a oder § 202 b StGB. Künftig macht sich strafbar, wer vorsätzlich darauf hinarbeitet, dass unbefugt gesicherte Daten ausgespäht oder abgefangen werden können, indem er Passwörter oder Computerprogramme, deren Zweck in der Begehung einer der oben genannten Taten besteht, herstellt, verkauft, sich verschafft oder verbreitet. Damit zielt die Norm auf die zu unterbindende Verbreitung von Computerprogrammen, die aufgrund ihrer Bauart darauf ausgelegt sind, illegalen Zwecken zu dienen.

Kritisiert wurde, die Strafnorm gehe zu weit: Sie erfasse angeblich auch sogenannte dual use tools, also Computerprogramme, die gleichermaßen für legale wie für illegale Aktivitäten genutzt werden können. Insbesondere aus dem Bereich der IT-Sicherheitsbranche wurde die Befürchtung geäußert, der neue § 202 c StGB //könnte //Sicherheitschecks unmöglich machen.

Diese Befürchtung sind sehr ernst genommen worden, denn es liegt in unser aller Interesse, dass die IT-Sicherheitsbranche ihre Arbeit zu unser aller Schutz fortführen kann. Deshalb wurde den auch in der Anhörung des Rechtsausschusses geäußerten Bedenken mit großer Sorgfalt nachgegangen. Nach eingehenden Beratungen sind wir gemeinsam mit unserem Koalitionspartner sowie den Fraktionen FDP und Bündnis90/Die Grünen zum Ergebnis gelangt, dass eine Änderung des Gesetzeswortlautes an dieser Stelle nicht erforderlich ist, denn klar ist, dass der branchenübliche befugte und gewollte Einsatz von Computerprogrammen durch Netzwerkadministratoren, mit denen diese z. B. die Sicherheit von eigenen oder Kundendatennetzen prüfen wollen, von der Strafnorm nicht erfasst_wird. Es geht also nicht darum, die IT-Sicherheitsbranche zu kriminalisieren. Diese kann sich weiterhin zu Zwecken des genehmigten Testens Hacker-Tools verschaffen. Auch Computerprogramme, die der Sicherheitsüberprüfung, der Entwicklung von Sicherheitssoftware oder der Ausbildung in der IT-Sicherheitsbranche dienen, werden nicht erfasst. Diesem Anliegen wird mit einer engen Formulierung des Tatbestandes Rechnung getragen. Erfasst werden nur Schadprogramme, denen die illegale Verwendung immanent ist, die also nach Art und Weise des Aufbaus oder ihrer Beschaffenheit auf die Begehung von Computerstraftaten angelegt sind. Dass solche Programme - hierzu gehören Viren, Würmer, Trojaner und entsprechende Bausätze sowie auch sogenannte Hacker-Tools - im Netz nichts verloren haben, ist eine Selbstverständlichkeit.

Nicht zuletzt ist darauf hinzuweisen, dass es sich um sog. Antragsdelikte handelt, das heißt, es bedarf des Antrags eines Verletzten, damit die Staatsanwaltschaft überhaupt die Verfolgung der Tat aufnimmt. Ohne "Kläger" wird es also gar nicht zu Strafverfahren kommen.

An der Ankündigung, ´vertrauenswürdige´ Sicherheitsdienstleister einsetzen zu wollen, kann ich persönlich nichts Verwerfliches erkennen. Ich empfehle Ihnen, Ihre Frage direkt an das Bundesministerium des Innern (BMI) zu richten.

Mit freundlichen Grüßen

Ingrid Arndt-Brauer