Entwurf zu neuem Straftatbestand im Bundesrat: "Digi­taler Haus­frie­dens­bruch": IT-Straf­recht auf Abwegen

von RiLG Dr. Ulf Buermeyer, LL.M. (Columbia)

06.10.2016

Unnötig, ungeeignet, unbestimmt - der Entwurf eines neuen Straftatbestandes zur Bekämpfung von Botnetzen verkörpert so ziemlich alles, was falsch läuft in der Strafgesetzgebung, findet Ulf Buermeyer.

 

Computer-Viren haben sich zu einem Massen-Phänomen entwickelt. Dabei sind die Schädlinge, die sich bemerkbar machen, nur die Spitze des Eisbergs: Die meisten Infektionen laufen im Verborgenen ab. Denn sie verfolgen allein den Zweck, das befallene System zum Teil eines sogenannten Bot-Netzes zu machen: einer Schattenarmee ferngesteuerter Rechner, die sich für Straftaten einsetzen lassen.

Als besonders sozialschädlich erweist sich dabei, dass solche Botnetze längst nicht mehr nur von denjenigen für kriminelle Zwecke eingesetzt werden, die die Infektion der Rechner verursacht haben. Überwiegend missbrauchen inzwischen Dritte sie für ihre Straftaten, indem sie die Netze gleichsam "mieten": Botnet as a Service.

Die Problematik hat auch das Land Hessen erkannt und einen Entwurf zu ihrer Bekämpfung in den Bundesrat eingebracht. Doch der darin vorgesehene neue § 202e Strafgesetzbuch (StGB) ("Unbefugte Benutzung informationstechnischer Systeme") ist missraten: Er schließt virtuelle Lücken des IT-Strafrechts, ist dabei aber so vage formuliert, dass er eine unkalkulierbare Kriminalisierung alltäglichen Verhaltens mit sich bringen würde. Außerdem lenkt die Fixierung auf das Strafrecht ab von naheliegenden Maßnahmen, die tatsächlich etwas zur Verbesserung der IT-Sicherheit beitragen könnten.

Programmieren, infizieren, kontrollieren: Alles schon strafbar

Um das zu verstehen, muss man zunächst wissen, wie Botnetze zustande kommen: Zunächst wird eine spezialisierte Schad-Software ("Trojaner") geschrieben. Mit dieser Software werden möglichst viele Zielsysteme infiziert. Dann nehmen die aktiven Trojaner über das Internet Kontakt zu Kontroll-Systemen auf (sog. Command-and-Control-Server oder kurz CC-Server). Schließlich erhalten die "Bots", also die infizierten Rechner, über die CC-Server Befehle, bestimmte Aufgaben auszuführen. Eine Differenzierung dieser einzelnen Arbeitsschritte nehmen die Verfasser des Entwurfs nicht vor; dementsprechend entgeht ihnen auch, dass viele davon schon heute strafbar sind:

- Soweit ein Trojaner in ein Zielsystem eindringt, werden zumindest Daten im Hauptspeicher des Systems, in aller Regel aber auch auf den dauerhaften Speichern (etwa auf den Festplatten) verändert (entgegen der Einschätzung des Entwurfs beides strafbar gemäß § 303a Abs. 1 StGB), weil der Trojaner sonst nicht ausgeführt werden kann bzw. einen Neustart des Systems nicht überstehen würde.

  • Durch die Infektion mit einem Trojaner verschaffen sich die Täter Zugang zu nicht für sie bestimmten Daten (nämlich allen Daten des Wirtssystems), was jedenfalls typischerweise auch unter Überwindung von Zugangssicherungen erfolgen wird (strafbar gem. § 202a Abs. 1 StGB), nämlich unter Ausnutzung von Sicherheitslücken der eingesetzten Software.
  • Angesichts der Strafbarkeit der Infektion gem. §§ 202a, 303a StGB stellt sich bereits die Software-Entwicklung von Trojanern als eigenständige Straftat gem. § 202c Abs. 1 StGB (Vorbereiten des Ausspähens und Abfangens von Daten) dar, jedenfalls soweit die Entwickler sich des Einsatzzwecks der Software bewusst waren.
  • Schließlich werden die Botnetze selbst regelmäßig zu Zwecken eingesetzt, die ihrerseits strafbar sind, etwa gemäß §§ 303a, 303b StGB bei sogenannten DDoS (distributed denial of service) Attacken. In jüngster Zeit erlangen außerdem Erpressungen (§ 253 Abs. 1 StGB) durch Einsatz sogenannter Crypto-Trojaner an Bedeutung, die Daten auf der Festplatte verschlüsseln (§ 303a Abs. 1 StGB) und den Schlüssel nur gegen Zahlung eines "Lösegeldes" herausgeben.

Die dem Gesetzentwurf zugrundeliegende Einschätzung, das Betreiben und Nutzen von Botnetzen sei zur Zeit oft nicht strafbar, ist daher kaum nachzuvollziehen.

Strafverfolgung scheitert an der Praxis, nicht am Recht

Zur mangelnden Notwendigkeit des neuen Tatbestandes tritt seine absehbare Wirkungslosigkeit. Denn ebenso wie bei den bereits bestehenden IT-Strafvorschriften wird eine Verfolgung oft an praktischen Hindernissen scheitern: Trojaner werden meist per eMail-Anhang oder durch präparierte Internet-Seiten verbreitet, deren Aufruf schon zur Infektion führt. Täter und Geschädigte treten nie in unmittelbaren Kontakt, sodass es keine Ermittlungsansätze gibt. Sowohl die Absender der eMails als auch die Betreiber der infektiösen Internet-Seiten sind kaum zu ermitteln, weil sie ausgefeilte Methoden zur Anonymisierung nutzen. Botnetze werden außerdem typischerweise in internationaler Arbeitsteilung betrieben, d.h. wenn ausnahmsweise doch einmal Ermittlungsansätze vorliegen, so führen diese ins Ausland und machen komplexe Rechtshilfeverfahren notwendig. Die Strafverfolgung scheitert daher meist schon am Fehlen jedes Anhalts zur Ermittlung eines möglichen Tatverdächtigen. Spätestens aber die Komplexität der transnationalen Strafverfolgung führt dazu, dass die allermeisten Verfahren im Sande verlaufen.

Angesichts dessen verblassen etwaige Defizite der materiellen Rechtslage gegenüber den praktischen Problemen der Strafverfolgung: Änderungen des Strafrechts werden an den Schwächen der praktischen Rechtsdurchsetzung kaum etwas ändern können.

Software-Sicherheit als eigentliches Problem

Die formelhafte Angabe "Alternativen: keine" im Gesetzentwurf kann daher nur als zynisch bezeichnet werden: Wer sich tatsächlich der Aufgabe stellen möchte, Botnetze zu bekämpfen, muss gerade Alternativen zum Strafrecht in den Blick nehmen.

Dabei könnte die technische Unsicherheit vieler Programme und Geräte einen Ansatzpunkt bilden: Ohne "Wirts-Systeme" mit Programmierfehlern gäbe es keine Botnetze. Nun ist Software-Sicherheit nicht vom Gesetzgeber zu dekretieren. Er kann aber die richtigen Anreize setzen. Zu denken wäre an Preisgelder für gefundene Sicherheitslücken (sog. "bug bounty"-Programme), die einige Software-Hersteller bereits mit Erfolg einsetzen.

Wesentlichen Einfluss dürfte eine verschärfte IT-Produkthaftung haben. Bisher bleibt es für Hersteller meist ohne spürbare Konsequenzen, wenn ihre Produkte Sicherheitslücken aufweisen. Daher gibt es nur einen schwachen Anreiz, bei der Entwicklung ein Augenmerk auf die Sicherheit zu legen. Umso weniger lohnt es sich bisher, Sicherheitslücken in bereits verkauften Systemen zu schließen. Hier könnte eine zivilrechtliche Haftung nach dem Vorbild des Produkthaftungsgesetzes segensreich wirken: Wäre Sicherheit auch ökonomisch geboten, so würden sich die Prioritäten bei der Software-Entwicklung deutlich verschieben. Eine Pleitewelle wäre gleichwohl nicht zu befürchten, denn Hersteller (bzw. Importeure) würden sich gegen drohende Risiken versichern. Dies wiederum würde einen Markt schaffen, der über die Höhe der Prämien für IT-Haftpflicht-Versicherungen best practices für IT-Sicherheit herausbilden und durchsetzen würde. Beweisprobleme einzelner Geschädigter könnten durch Vermutungen für pauschalierte Mindest-Schadenshöhen gemindert werden.

Zitiervorschlag

RiLG Dr. Ulf Buermeyer, LL.M. (Columbia), Entwurf zu neuem Straftatbestand im Bundesrat: "Digitaler Hausfriedensbruch": IT-Strafrecht auf Abwegen. In: Legal Tribune Online, 06.10.2016, http://www.lto.de/persistent/a_id/20779/ (abgerufen am: 24.02.2017)

Infos zum Zitiervorschlag
Kommentare
  • 06.10.2016 18:17, Reibert

    Ein wirklich guter Artikel, dem man anmerkt, dass der Autor sich gut mit der Materie auseinander gesetzt hat.

    Leider finde ich die Überschrift ganz unglücklich gewählt, denn Begriff eines digitalen Hausfriedensbruches steht für mich in ziemlicher Nähe zu virtuellen Hausrecht (vgl. OLG Köln AZ 19 U 2/00). Und damit einer rechtlich voöllig anders gearteten Problemstellung.

    Auf diesen Kommentar antworten
  • 07.10.2016 00:13, Ulf Buermeyer

    Vielen Dank für Ihr Feedback!

    Die Bezeichnung "Digitaler Hausfriedensbruch" ist in der Tat einigermaßen absurd, aber das ist der offizielle Name des Tatbestandes, den die Verfasser des Entwurfs sich ausgedacht haben. Wir haben das aus gutem Grund in Anführungszeichen gesetzt ;)

    Auf diesen Kommentar antworten
  • 07.10.2016 09:30, InfiniteLoop

    Ein hervorragender Kommentar, den ich als Software-Entwickler aus fachlicher Sicht nur ausdrücklich unterstützen kann. Angesichts des IoT ist der Gesetzentwurf extrem unbestimmt und pönalisiert mannigfaltiges Alltagsverhalten.

    Auf diesen Kommentar antworten
  • 07.10.2016 16:25, Denis Basak

    Der Artikel ist ebenso richtig wie wichtig, an einer Stelle aber (leider) zu optimistisch: Der Gesetzgeber lässt sich von der Unbestimmtheit zu weit geratener Normen schon lange nicht mehr davon abhalten, diese erst einmal zu erlassen, und es dann eben der Justiz zu überlassen, die klar nicht strafwürdigen Fälle auszuscheiden, so schon seit Jahren in § 238 Abs. 1 Nr. 5 StGB nachzulesen (meiner Erinnerung nach stand sogar in der Entwurfsbegründung für den Stalking-Paragraph ausdrücklich drin, dass etwa das beharrliche Recherchieren von Journalisten zwar wegen der Pressefreiheit schon in Ordnung sei, die Gerichtsbarkeit - nicht etwa der Entwurfsverfasser (!) - dieses aber ja dann eben nicht berücksichtigen solle). 2010 hat das Bundesverfassungsgericht in der Untreue-Entscheidung BVerfGE 126, 170 dies leider auch noch abgesegnet und es den Fachgerichten übertragen, zu weit geratene Normen so zu präzisieren, dass sie noch hinreichend bestimmt angewendet werden können. Daher: Wegen Unbestimmtheit ist nicht zu erwarten, dass das BVerfG einen solchen Unsinn einkassieren würde...

    Auf diesen Kommentar antworten
  • 11.10.2016 15:02, Tristan H.

    Das ist die Art Artikel, weswegen ich die Seiten der LTO besuche. Der Verfasser hat hoffentlich einen Weg, seinen Input auch im Gesetzgebungsverfahren irgendwie einfliessen zu lassen.

    Auf diesen Kommentar antworten
  • 11.10.2016 16:34, Ulf Buermeyer

    Ich denke doch, dass der Text auch im Bundestag gelesen wird. Leider scheint es gerade in der Strafgesetzgebung nicht notwendigerweise rational zuzugehen. Das letzte Negativ-Beispiel war die sog. Datenhehlerei (§202d StGB): ein Anti-Whistleblowing-Paragraph, der ursprünglich ebenfalls aus Hessen kam und ebenfalls mit Cybercrime-Bekämpfung begründet wurde, tatsächlich aber vor allem negative Auswirkungen auf die Pressefreiheit hat.

    Gleichwohl hoffe ich, dass der "digitale Hausfriedensbruch" angesichts der offenkundigen Schwächen des Vorschlags spätestens im Bundestag sein verdientes Ende finden oder wenigstens entschärft werden wird, beispielsweise mit dem o.g. Vorschlag für eine punktgenaue Norm gegen Botnetze.

    Auf diesen Kommentar antworten
    • 12.10.2016 12:11, Tristan H.

      Mag sein. Kann aber nichts schaden, zumindest den Mitgliedern des Rechtsausschusses direkt eine Abschrift zukommen zu lassen. Viel Erfolg und Danke für das Feedback.

Neuer Kommentar
TopJOBS
Voll­ju­ris­ten (m/w)

Hogan Lovells LLP, Mün­chen

Rechts­an­walt Steu­er­recht (m/w) oder Steu­er­be­ra­ter (m/w)

Luther Rechtsanwaltsgesellschaft mbH, Han­no­ver

Rechts­an­walt (m/w) im Be­reich Ban­king/Fi­nan­ce

GSK Stockmann, Mün­chen

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Ban­king & Fi­nan­ce

Bird & Bird LLP, Frank­furt/M. und 1 wei­te­re

Un­ter­neh­mens­ju­ris­ten mit Schwer­punkt Ver­trags­recht (m/w)

HYPE Softwaretechnik GmbH, Bonn

RECHTS­AN­WALT (w/m) für die Tä­tig­keits­be­rei­che Ar­beits­recht und Schiffs­re­gi­s­trie­rung und -fi­nan­zie­rung

Dr. Schackow & Partner, Bre­men

Rechts­an­walt (m/w) für den Be­reich Ven­tu­re Ca­pi­tal/Cor­po­ra­te

Bird & Bird LLP, Düs­sel­dorf

be­ruf­s­er­fah­re­nen Rechts­an­walt (m/w) für den Be­reich Ar­beits­recht

Bird & Bird LLP, Mün­chen

Rechts­an­walt (m/w) Li­fe Sci­en­ces / Re­gu­lato­ry & Com­p­li­an­ce

Covington, Brüs­sel

Neueste Stellenangebote
ei­ne Voll­ju­ris­tin oder ei­nen Voll­ju­ris­ten (ei­ne Re­fe­ren­tin oder ei­nen Re­fe­ren­ten für Be­ru­fungs­ver...
Hoch­schul­ab­sol­vent/in (Voll­ju­rist/in) für den Be­reich Ein­kauf
Com­p­li­an­ce Spe­zia­list (m/w)
Pro­jekt­mit­ar­bei­ter (m/w) im Be­reich Da­ten­schutz
Voll­ju­rist (m/w)
Rechts­an­wäl­te (w/m) Cor­po­ra­te / M & A / Stutt­gart
Voll­ju­rist (m/w)