Machen sich Penetrationstester strafbar? Sind jetzt alle Forscher Hacker? Dies sind nur zwei der Fragen, die im Zuge der Verkündung des sog. "Hackerparagraf" zur Bekämpfung der Computerkriminalität (11.08.2007) in Medien und Fachkreisen diskutiert wurden. Die Folgen: Eine Branche in Unsicherheit, Selbstanzeigen und Gutachten. Auch Marco Di Filippo, Regional Director Germany der Compass Security AG, reichte am 22. Oktober 2007 eine Verfassungsbeschwerde gegen das stark umstrittene neue Strafrechtsänderungsgesetz ein. Das Urteil hierzu liegt seit 18. Mai 2009 vor: "Abgelehnt". Dennoch bringt es Klarheit und Handlungsspielraum. Im Interview bezieht Di Filippo jetzt Stellung.
Der § 202c StGB besagt: "Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft."
Herr Di Filippo, warum haben Sie die Verfassungsbeschwerde gegen den Hackerparagrafen beim Bundesverfassungsgericht (BVerfG) eingereicht?
Marco Di Filippo: Zahlreiche Unternehmen leben davon, dass sie auf ausdrücklichen Wunsch der Kunden so genannte Penetrationstests durchführen. Dabei werden realitätsnahe Hackerangriffe simuliert, die es ermöglichen, Sicherheitsschwachstellen in den Netzinfrastrukturen zu finden. Die Strafbarkeit der in § 202c StGB beschriebenen Handlungen verbietet allerdings das Anbieten derartiger Dienstleistungen und stellt damit die wirtschaftliche Existenz zahlreicher anderer Anbieter in diesem Umfeld in Frage. Seitdem waren die wohl meistgestellten Fragen: Sind in Zukunft alle Security-Analysten Verbrecher? Wandern jetzt deutsche Sicherheitsfirmen in das europäische Ausland ab? Muss ich meine Tools vernichten? Selbst in juristischen Kreisen war man sich nicht einig, wie der Paragraph interpretiert werden sollte und es herrschte große Unsicherheit. Die Motivation meiner Verfassungsbeschwerde war: Klarheit.
Diese Klarheit haben Sie nun. Seit dem 18. Mai 2009 liegt der Beschluss vor: "Verfassungsbeschwerden gegen § 202 Abs. 1 Nr. 2 StGB unzulässig". Was sagen Sie dazu?
Di Filippo: Zwar wurde die Beschwerde abgelehnt, jedoch hat das BVerfG in seiner Entscheidung einige Klarstellungen formuliert. Es begründet die Ablehnung damit, dass die/der Beschwerdeführer durch § 202c StGB nicht "selbst, gegenwärtig und unmittelbar" in seinen Grundrechten betroffen sei. Denn ein Risiko strafrechtlicher Verfolgung sei bei einer verfassungskonformen Auslegung des Gesetzestextes für die genannten Tätigkeiten im Umgang mit derartigen Programmen nicht gegeben. Ferner hat das Gericht einige Fallbeispiele aus der Praxis erläutert. So wurde z.B. die Nutzung so genannter Dual-Use-Software sowie "Schadsoftware" aus zweifelhaften Quellen im Internet, weitgehend als mögliche Strafbarkeit ausgeschlossen, wenn diese im Rahmen von Penetrationstests eingesetzt werden.
Ihr Resümee fällt also positiv aus?
Di Filippo: Das Urteil des BVerfG hat durch seine Begründung Licht ins Dunkel gebracht und für Gewissheit gesorgt. Ich denke, mit dieser Entscheidung, die unanfechtbar ist, wird künftig Ruhe um § 202c einkehren. Somit kann das Thema zu den Akten gelegt und das Kapitel endlich geschlossen werden.
Der § 202c StGB besagt: "Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft."
Herr Di Filippo, warum haben Sie die Verfassungsbeschwerde gegen den Hackerparagrafen beim Bundesverfassungsgericht (BVerfG) eingereicht?
Marco Di Filippo: Zahlreiche Unternehmen leben davon, dass sie auf ausdrücklichen Wunsch der Kunden so genannte Penetrationstests durchführen. Dabei werden realitätsnahe Hackerangriffe simuliert, die es ermöglichen, Sicherheitsschwachstellen in den Netzinfrastrukturen zu finden. Die Strafbarkeit der in § 202c StGB beschriebenen Handlungen verbietet allerdings das Anbieten derartiger Dienstleistungen und stellt damit die wirtschaftliche Existenz zahlreicher anderer Anbieter in diesem Umfeld in Frage. Seitdem waren die wohl meistgestellten Fragen: Sind in Zukunft alle Security-Analysten Verbrecher? Wandern jetzt deutsche Sicherheitsfirmen in das europäische Ausland ab? Muss ich meine Tools vernichten? Selbst in juristischen Kreisen war man sich nicht einig, wie der Paragraph interpretiert werden sollte und es herrschte große Unsicherheit. Die Motivation meiner Verfassungsbeschwerde war: Klarheit.
Diese Klarheit haben Sie nun. Seit dem 18. Mai 2009 liegt der Beschluss vor: "Verfassungsbeschwerden gegen § 202 Abs. 1 Nr. 2 StGB unzulässig". Was sagen Sie dazu?
Di Filippo: Zwar wurde die Beschwerde abgelehnt, jedoch hat das BVerfG in seiner Entscheidung einige Klarstellungen formuliert. Es begründet die Ablehnung damit, dass die/der Beschwerdeführer durch § 202c StGB nicht "selbst, gegenwärtig und unmittelbar" in seinen Grundrechten betroffen sei. Denn ein Risiko strafrechtlicher Verfolgung sei bei einer verfassungskonformen Auslegung des Gesetzestextes für die genannten Tätigkeiten im Umgang mit derartigen Programmen nicht gegeben. Ferner hat das Gericht einige Fallbeispiele aus der Praxis erläutert. So wurde z.B. die Nutzung so genannter Dual-Use-Software sowie "Schadsoftware" aus zweifelhaften Quellen im Internet, weitgehend als mögliche Strafbarkeit ausgeschlossen, wenn diese im Rahmen von Penetrationstests eingesetzt werden.
Ihr Resümee fällt also positiv aus?
Di Filippo: Das Urteil des BVerfG hat durch seine Begründung Licht ins Dunkel gebracht und für Gewissheit gesorgt. Ich denke, mit dieser Entscheidung, die unanfechtbar ist, wird künftig Ruhe um § 202c einkehren. Somit kann das Thema zu den Akten gelegt und das Kapitel endlich geschlossen werden.
