27. Oktober 2009 - Unbegründete Ängste

Penetrationstests sind nicht strafbar. Vorsicht ist dennoch geboten!

Tests durch Simulation von unzulässigen Zugriffsversuchen gehören zu den Pflichten jedes Sicherheitsverantwortlichen. Umso größer war die Aufregung, als im August 2007 eine neue Strafvorschrift in Kraft trat, die schon das „Vorbereiten des Ausspähens und Abfangens von Daten“ unter Strafe stellt (§ 202c StGB). Von ihrem Wortlaut her kann man nämlich durchaus den Eindruck haben, dass sie genau solche Tests verbietet und bestraft…

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Das Bundesverfassungsgericht sieht dies in der vorliegenden Entscheidung anders. Doch ist Vorsicht geboten. Denn nur unter ganz bestimmten Voraussetzungen droht keine Bestrafung!

Der ominöse § 202c Abs. 1 Nr. 2 StGB

Wer das Ausspähen oder Abfangen von Daten vorbereitet, „indem er … Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.“

Diese Regelung des § 202c Abs. 1 Nr. 2 StGB, neu eingeführt im August 2007, machte manchen Sicherheitsverantwortlichen nervös. Denn, so der durchaus naheliegende Eindruck, genau das geschieht ja, wenn ein Penetrationstest vorbereitet wird: Der dafür Zuständige verschafft sich Programme, mit denen er dann Daten ausspähen will.

Verunsicherung greift um sich

Freilich: Dabei geht es um die „eigenen“ Daten oder um die des Unternehmens, das derartige Tests in Auftrag gegeben hat. Aber ob das vor Bestrafung schützt? Da waren sich viele nicht sicher.

Es gehen mehrere Verfassungsbeschwerden ein

Deshalb kam es zu Verfassungsbeschwerden gegen die oben zitierte gesetzliche Vorschrift:

  • Eine Beschwerde stammt vom Geschäftsführer eines Unternehmens, das sein Geld zum Teil mit der Durchführung solcher Tests verdient. Er meinte, ihm werde die Ausübung seines Berufs künftig teilweise unmöglich gemacht.
  • Eine zweite Beschwerde ging von einem Hochschullehrer ein, der die dienstliche Verpflichtung hat, Vorlesungen zu „Sicherheitsanalysewerkzeugen“ anzubieten. Er meinte, dazu künftig keine praktischen Übungen mehr anbieten zu können.

Die Beschwerdeführer haben gute Argumente

Ganz von der Hand zu weisen scheint die Argumentation zunächst nicht:

  • Immerhin konnte der Geschäftsführer darauf verweisen, dass sein Unternehmen sich rein äußerlich gesehen wie andere Angreifer verhält und versucht, in die Netzwerke seiner Kunden einzudringen.
  • Und der Professor stellt auf seiner Homepage Programme zur Verfügung, die seine Studenten in Übungen an der Hochschule benutzen sollen. Von besonderer Bedeutung ist dabei das Tool „nmap“, ein bekanntes Hacker-Tool. Auch andere Personen als Studenten können diese Programme herunterladen und eventuell missbrauchen. Damit besteht das Problem der „Dual-Use-Tools“: Programme sind geeignet, in rechtswidriger Weise benutzt zu werden, können aber auch völlig legitimen Zwecken dienen, etwa der Wartung von Programmen. Gedacht sind sie für eine rechtswidrige Verwendung zumindest von den Beschwerdeführern nicht.

Die Beschwerden werden zurückgewiesen, weil kein Strafbarkeitsrisiko besteht

Dennoch hat das Bundesverfassungsgericht die Verfassungsbeschwerden gegen § 202 StGB abgewiesen.

Formal geschah das deshalb, weil die Beschwerdeführer von dieser Norm nicht unmittelbar betroffen seien. Ein Strafbarkeitsrisiko bestehe in den Fällen, die die Beschwerdeführer schildern, nämlich überhaupt nicht. Um das zu belegen, holt das Gericht weit aus und interpretiert § 202c StGB recht detailliert.

Dual-Use-Tools fallen nicht unter den Tatbestand der Vorschrift

Insbesondere führt es aus:

  • Die Programme, welche die Beschwerdeführer verwenden, werden überwiegend überhaupt nicht von der Vorschrift erfasst. Die Regelung erfasst ein Programm nicht schon deshalb, weil es lediglich dazu geeignet ist, mit ihm Straftaten zu begehen. Erfasst sind vielmehr nur solche Programme, deren „Zweck“ in rechtswidrigen Angriffen besteht.
  • Der allgemeine Sprachgebrauch versteht unter „Zweck“ etwas, was jemand mit einer Handlung beabsichtigt, zu bewirken, zu erreichen sucht. Einen derartigen rechtswidrigen Zweck verfolgen die Beschwerdeführer aber nach ihrer eigenen Darstellung nicht. Sie wollen lediglich Aufträge betroffener Unternehmen erledigen bzw. zu Ausbildungszwecken tätig werden.
  • Was der „Zweck“ sein soll, bestimmt sich nach den Absichten dessen, der ein Programm entwickelt oder benutzt und nicht danach, wozu es (auch) benutzt werden könnte.

Bei Malware kommt es auf den subjektiven Vorsatz an

Der Geschäftsführer des Unternehmens trägt allerdings vor, dass er nicht nur Dual-Use-Tools verwendet, sondern auch reine „Schadsoftware“ (Malware) aus zweifelhaften Quellen im Internet, die ausschließlich zum Anrichten von Schäden geeignet sind, also anders als Dual-Use-Tools nicht auch für legitime Zwecke.

Hierzu sagt das Gericht:

  • Solche Programme werden vom Tatbestand der Vorschrift erfasst. Sie sind nur für rechtswidrige Aktivitäten entwickelt und weisen entsprechende Eigenschaften auf.
  • Dennoch besteht kein Strafbarkeitsrisiko für den Geschäftsführer. Denn er will die Programme erklärtermaßen nicht „unbefugt“ verwenden, sondern nur mit Einverständnis des jeweiligen Netzbetreibers. Damit fehlt es aber am Vorsatz, etwas Rechtswidriges zu tun. Ohne Vorsatz scheidet eine Bestrafung aus.

Vorsicht ist weiterhin in mehrfacher Hinsicht geboten

Die Entscheidung ist kein Freibrief zum beliebigen Umgang mit Dual-Use-Tools und Malware. Vor allem ist zu beachten:

  • Penetrationsversuche ohne Einverständnis des Netzbetreibers sind strafbar. Das Argument, man habe nur Sicherheitslücken aufzeigen wollen, hilft dabei nichts. Das war vor Einführung der neuen Vorschrift anders.
  • Zwar kann jeder Malware aus dem Netz herunterladen, um sie dann mit Einverständnis des Netzbetreibers gegen ein Netz einzusetzen. Strafbar wäre es jedoch, solche Software zur beliebigen Verwendung durch andere Personen in ein großes, nicht überschaubares Forum oder gar frei zugänglich ins Internet zu stellen.
  • Schließlich tut jeder gut daran, objektive Belege dafür zu schaffen, dass er keine unrechten Ziele verfolgt. Jede Weitergabe von Dual-Use-Tools und Malware sollte nur unter der – per Unterschrift akzeptierten – Bedingung erfolgen, dass die Vorgaben des § 202c StGB bekannt sind und beachtet werden.

Der Beschluss vom 18.5.2009 – 2 BvR 2233/07 u.a. ist abrufbar unter http://www.bundesverfassungsgericht.de/.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit über 20 Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln