Dünnes Eis für White Hats : Unkalkulierbare Strafbarkeitsrisiken in der IT-Sicherheitsforschung?
Gute Absichten schützen nicht (immer) vor Strafe – etliche Handlungen von White-Hat-Hackern* sowie Sicherheitsforschern sind im deutschen Recht möglicherweise strafbar. Der vorliegende Beitrag beleuchtet anhand eines Fallbeispiels, zu dem gerade ein Urteil ergangen ist, einzelne Aspekte und mögliche Lösungsansätze solcher Risiken.
Die IT-Sicherheitsforschung ist seit Jahren Strafrechtsrisiken ausgesetzt. Der deutsche Gesetzgeber hat 1986 die ersten Straftatbestände gegen bestimmte Formen der Computerkriminalität eingeführt – 2007 folgten die sogenannten Hackerparagrafen (vgl. etwa [1]). Auf die strafrechtlichen Risiken für Forscher wurde von Anfang an hingewiesen – und daran hat sich bis heute nichts geändert. Es gibt eine Vielzahl von Strafvorschriften, die beim Hacken – und damit auch beim Testen – einschlägig sein können.
Dazu gehören zum Beispiel im Strafgesetzbuch (StGB) die §§ 202a „Ausspähen von Daten“, 202b „Abfangen von Daten“, 202c „Vorbereiten des Ausspähens und Abfangens von Daten“, der § 23 „Verletzung von Geschäftsgeheimnissen“ in Verbindung mit den §§ 3 „Erlaubte Handlungen“ und 4 „Handlungsverbote“ des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG, vgl. [2] und www.gesetze-im-internet.de/geschgehg/) oder auch die §§ 106 „Unerlaubte Verwertung urheberrechtlich geschützter Werke“ sowie 69c „Zustimmungsbedürftige Handlungen [bzgl. Computerprogrammen]“ des Gesetzes über Urheberrecht und verwandte Schutzrechte (UrhG). Ausnahmen gibt es nicht.
Der Fall des AG Jülich
2021 titelte Spiegel-Online: „IT-Experte entdeckt Informationen von 700 000 Käufern“ [3]. Zweieinhalb Monate später beschlagnahmte die Staatsanwaltschaft bei einer Hausdurchsuchung dessen PC, Laptop und Handy. Mit Urteil vom 17. Januar 2024 (17 Cs-230 Js 99/21-55/23) verurteilte das Amtsgericht (AG) Jülich den IT-Experten wegen Ausspähens von Daten nach § 202a StGB.
Was war passiert? M., ein E-Commerce-Dienstleister, bietet seinen Kunden eine Software an, die deren Warenwirtschaftssystem mit dem von großen Online-Marktplätzen verbindet. M. verfügt damit auf ihrem Server über die personenbezogenen Daten von circa 600 000 bis 700 000 Endkunden. Laut Spiegel-Online beauftragte ein Händler einen IT-Experten mit der Behebung eines technischen Problems mit dieser Software.
Der Experte fand dabei das Passwort für die Datenbank mit den Endkundendaten, das unverschlüsselt im Quellcode der Software abgelegt war. Nach dem Urteil des AG Jülich verschaffte sich der Experte mit dem Passwort Zugang zu der Datenbank und fertigte Screenshots der auf dem Datenbankserver gespeicherten Kundendaten an. Die Sicherheitslücke meldete er der M. – ein Blogger machte sie schließlich öffentlich [4] und M. zeigte den IT-Experten an. Die Staatsanwaltschaft beantragte den Erlass eines Strafbefehls – das AG Jülich lehnte den Antrag zunächst ab. Das Landgericht (LG) Aachen verwies die Sache zur erneuten Entscheidung zurück und das AG Jülich verurteilte den Experten nun wegen Ausspähens von Daten nach § 202a StGB.
Der Fall illustriert deutlich, wie schwer sich Staatsanwaltschaften und Gerichte mit den „Hacking“-Straftatbeständen tun, wie komplex die Diskussion ist und warum klare Richtlinien für die Nichtverfolgung von Forschenden und Penetrationstestern im Bereich der Informationssicherheit dringend erforderlich sind. Im Folgenden werden die relevanten Straftatbestände unter Berücksichtigung der Sachlage des Ausgangsfalls dargestellt.
§ 202a StGB: Ausspähen von Daten
Der Begriff „Daten“ ist weit zu verstehen; die betreffenden Daten dürfen jedoch nicht für den Täter bestimmt sein. § 202a StGB erfasst zudem nur solche Daten, die – etwa durch Passwörter – „besonders gesichert“ sind; strafbar macht sich, wer diese Zugangssicherung überwindet. Bis 2007 war für die Tatbestandsverwirklichung zusätzlich erforderlich, dass der Täter sich oder einem Dritten die zugangsgeschützten Daten tatsächlich verschafft – seit der Neufassung durch das 41. Strafrechtsänderungsgesetz vom 7. August 2007 (BGBl. I 1786) genügt bereits der bloße Zugang zu den Daten. § 202a StGB soll ausdrücklich auch das sogenannte Hacking, also das bloße Eindringen in ein Computersystem, erfassen.
Dreh- und Angelpunkt des geschilderten Falles ist die Auslegung des Tatbestandsmerkmals „gegen unberechtigten Zugang besonders gesichert“. Das LG Aachen hat das Tatbestandsmerkmal lehrbuchartig ausgelegt: „Das Erfordernis der besonderen Sicherung gegen unberechtigten Zugang zeigt die Schranke an, deren Überwindung kriminelles Unrecht begründet. Sie ist gerechtfertigt, weil der Verfügungsberechtigte mit der Sicherung sein Interesse an der ‚Geheimhaltung‘ […] dokumentiert und […] durch diese Wahrnehmung eines ohne Weiteres zumutbaren Selbstschutzes auch des zusätzlichen Strafrechtsschutzes würdig und bedürftig wird.“ Ein Passwort ist eine typische Sicherung, der Server von M. ist passwortgeschützt – M. hat ein Passwort gesetzt und damit ihren Geheimhaltungswillen dokumentiert.
Das Tatbestandsmerkmal „besonders gesichert“ enthält jedoch ein sogenanntes viktimodogmatisches Element, das darauf abzielt, Fälle auszuschließen, in denen der nachlässige Umgang des Verfügungsberechtigten mit Daten den Zugriff des Täters ermöglicht – auch Bagatellen sollen ausgeschlossen werden. Eine Strafbarkeit könnte beispielsweise dann ausscheiden, wenn das Opfer sein Passwort im Nahbereich seines PCs notiert und in Kauf nimmt, dass es von anderen benutzt wird.
Wenn der Experte tatsächlich einen Fehlerfall untersucht hat und dabei das Passwort als Standardpasswort im Klartext vorgefunden hat, ist es zumindest fachlich vertretbar, hier von (grober) Nachlässigkeit zu sprechen. Das AG Jülich sah das anders.
§ 202c StGB: Vorbereiten des Ausspähens und Abfangens von Daten
Nach § 202c StGB macht sich bereits strafbar, wer sich Passwörter oder Computerprogramme verschafft, die zur Begehung einer Tat nach § 202a StGB bestimmt sind. Diese viel zu weite Formulierung rief bereits das Bundesverfassungsgericht auf den Plan, da der „gutwillige Umgang“ mit Softwareprogrammen zur Sicherheitsüberprüfung nicht erfasst sein soll. Die Regelung wurde massiv kritisiert – ihre Auslegung ist bis heute umstritten. Sinn und Zweck eines Sicherheitstests ist es ja gerade, einen Angriff mit echten Werkzeugen möglichst realitätsnah nachzubilden. Angreifer verwenden zudem verstärkt legitime Tools, einschließlich Penetrationstestsoftware.
Art. 6 Abs. 2 der Cybercrime Convention [5], eines völkerrechtlichen Übereinkommens des Europarats, das Deutschland 2009 ratifiziert hat, schließt eine Strafbarkeit in Fällen aus, in denen „das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs […] zum genehmigten Testen oder zum Schutz eines Computersystems erfolgt“. Der deutsche Gesetzgeber hat diese Vorschrift nicht entsprechend umgesetzt. Das AG Jülich hat § 202c StGB allerdings auch nicht thematisiert.
Einverständnis des Berechtigten: Coordinated Vulnerability-Disclosure (CVD)
Das Einverständnis des Berechtigten schließt eine Strafbarkeit nach § 202a StGB regelmäßig aus. Die EU-Cybersicherheitsagentur ENISA und die EU-Kommission setzen in diesem Kontext auf Richtlinien zur koordinierten Offenlegung von Sicherheitslücken, bekannt als Coordinated-Vulnerability-Disclosure-(CVD)-Policy (vgl. [6,7,8,9]), sowie auf Bug-Bounty-Programme (s. a. [10]).
CVD ist ein Prozess, bei dem der Entdecker einer Sicherheitslücke in einer koordinierten Art und Weise mit dem betroffenen Hersteller eines Produkts oder der betroffenen Institution kommuniziert. In Bug-Bounty-Programmen werden Entdeckern von Sicherheitslücken Sach- oder Geldpreise (Bounties) für das Melden von Problemen versprochen. Die ENISA argumentiert in ihrem Bericht „Coordinated Vulnerability Disclosure Policies in the EU“ vom April 2022 [8], dass eine veröffentlichte CVD-Richtlinie als Einverständniserklärung für einen Produkt- oder Systemtest angesehen werden kann. Der Zugang durch Forscher ist dann legitim, solange diese die in der CVD festgelegten Regeln befolgen.
CVDs und Bug-Bounty-Programme sind daher auch in der aktuellen Cybersicherheitsgesetzgebung der EU verankert. Gemäß Erwägungsgrund 60 der NIS-2-Richtlinie (EU 2022/2555) sollen die Mitgliedstaaten „in Zusammenarbeit mit der ENISA Maßnahmen ergreifen, um eine koordinierte Offenlegung von Schwachstellen zu erleichtern. Gemäß Erwägungsgrund 36 des Entwurfs des Cyber-Resilience-Act (COM(2022) 454 final) sollen „Hersteller […] Konzepte für die koordinierte Offenlegung von Schwachstellen einführen“. Sie sollen sogar „Anreize für das Melden von Schwachstellen geben, indem sie dafür sorgen, dass natürliche oder juristische Personen Anerkennung und Belohnung für ihre Bemühungen erhalten (sogenannte Bug-Bounty-Programme)“.
Dieser Ansatz weist jedoch Schwächen auf: Eine Zustimmung kommt nur dann in Betracht, wenn die betreffende Stelle selbst dazu berechtigt ist. Zudem ist fraglich, ob eine gesetzlich vorgeschriebene CVD-Richtlinie tatsächlich als strafrechtlich relevante Einwilligung angesehen werden kann. Auch die Interessen der Institutionen sind zu berücksichtigen: Nicht jeder beliebige Dritte sollte sich in der Hoffnung auf Straffreiheit dazu aufgefordert fühlen, ihre Systeme zu „testen“. Das Versprechen, keine Strafverfolgung einzuleiten, ist zudem irreführend, denn die §§ 202a ff. StGB sind relative Antragsdelikte – die Staatsanwaltschaft kann auch ohne Antrag ermitteln. Bei § 202c StGB hilft eine CVD-Richtlinie ebenfalls nicht weiter.
Die Mitgliedstaaten werden daher in Erwägungsgrund 60 der NIS 2-Richtlinie aufgefordert, „Leitlinien für die Nichtverfolgung von Forschern im Bereich der Informationssicherheit zu verabschieden und eine Ausnahme von der zivilrechtlichen Haftung für ihre Tätigkeiten zu erlassen“.
Dass der im konkreten Fall in Rede stehende IT-Experte die Sicherheitslücke gemeldet hatte, diskutierte das AG Jülich unter dem Aspekt der Strafmilderung. Dem Experten könne jedoch nicht zugutegehalten werden, dass er nach den ungeschriebenen Regeln des verantwortungsvollen Umgangs mit Sicherheitslücken (Responsible Disclosure) der M. vor der Veröffentlichung ausreichend Gelegenheit zur Behebung der Sicherheitslücke gegeben habe. Er habe zwar die Geschädigte informiert und zur Behebung aufgefordert, aber zuvor bereits den Blogger über Art und Umfang des Vorfalls informiert. Er habe dadurch mit veranlasst, dass die Sicherheitslücke unmittelbar – noch am Tag ihrer Entdeckung – öffentlich wurde und der M. somit kein angemessener Zeitraum für eine Reaktion zur Verfügung stand. Ob die M. über eine CVD-Policy verfügte, wurde nicht diskutiert.
Ausblicke
Internationale Situation
In den USA muss der zuständige Staatsanwalt „die Strafverfolgung ablehnen, wenn die verfügbaren Beweise zeigen, dass das Verhalten und die Absichten des Angeklagten auf einer in gutem Glauben durchgeführten Sicherheitsforschung beruhten“. Die Anklagerichtlinie des Justizministeriums ist jedoch nur auf Bundesebene bindend – sie hat keinen direkten Einfluss auf die Strafverfolgung auf Ebene der Bundesstaaten oder auf zivilrechtliche Streitigkeiten.
In Frankreich kann der Entdecker einer Sicherheitslücke zwar strafrechtlich verfolgt werden, jedoch wird von einer Strafverfolgung abgesehen, wenn der Entdecker „in gutem Glauben“ gehandelt hat und die Meldung ausschließlich an die Agence nationale de la sécurité des systèmes d’information (ANSSI) erfolgt (Art. L 2321-4 des Code de la défense).
Koalitionsvertrag
Die Bundesregierung hat im Koalitionsvertrag für die Legislaturperiode 2021–2025 vereinbart, dass „das Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren, zum Beispiel in der IT-Sicherheitsforschung, legal durchführbar sein [soll]“. Umgesetzt wurde hierzu bisher jedoch nichts.
Fazit
Es ist Aufgabe des Staates, die rechtlichen Rahmenbedingungen für strafrechtlich unbedenkliche IT-Sicherheitstests zu schaffen und gleichzeitig die Interessen der von Sicherheitstests Betroffenen zu wahren. CVD-Policies können dabei ein zentrales Element sein. Es bedarf aber auch klarer, rechtstransparenter und vor allem verständlicher Regelungen zu strafrechtlichen Sanktionen.
Dies wird deutlicher denn je, wenn es selbst der deutschen Gerichtsbarkeit nicht gelingt, das nationale Cyberstrafrecht sachgerecht, widerspruchsfrei und rechtsklar zu subsumieren. Deshalb sollte die Befugnis zur Durchführung von IT-Sicherheitstests von vornherein als Tatbestandsausschluss gesetzlich verankert und nicht wie in Frankreich oder den USA auf ein bloßes „Nichtverfolgen“ beschränkt werden. Dies würde nicht nur der Rechtssicherheit, sondern auch der IT-Sicherheit in erheblichem Maße zugutekommen.
Literatur
[1] Thomas Feil, Kollateralschäden, Direkte und indirekte Folgen des neuen Hacker-Paragraphen, <kes> 2007#6, S. 6, online frei verfügbar via http://2014.kes.info/archiv/heft/abonnent/07-6/07-6-006.htm
[2] Stefan Jaeger, Das Gesetz zum Schutz von Geschäftsgeheimnissen, <kes> 2019#3, S. 18
[3] Patrick Beuth, Kristina Gnirke, Problem bei Onlinemarktplätzen: IT-Experte entdeckt Informationen von 700 000 Käufern, Spiegel Netzwelt, Juli 2021, www.spiegel.de/netzwelt/web/online-marktplaetze-it-experteentdeckt-informationen-von-700-000-kaeufern-a-7626137c-1d68-4fa2-978e-5d3b60ea8389
[4] Mark Steier, Warnung: Datenleck beim JTL-Partner Modern Solution GmbH & Co. KG, Blogpost, Juni 2021, https://wortfilter.de/warnung-datenleck-beim-jtl-partner-modern-solution-gmbh-co-kg/
[5] Europarat, Übereinkommen über Computerkriminalität, SEV Nr. 185, November 2001, online verfügbar via www.coe.int/de/web/conventions/fulllist?module=treaty-detail&treatynum=185
[6] Bundesamt für Sicherheit in der Informationstechnik (BSI), CVD-Richtlinie des BSI, www.bsi.bund.de/dok/schwachstellenmeldung
[7] European Union Agency for Cybersecurity (ENISA), Coordinated Vulnerability Disclosure policies in the EU, News, April 2022, www.enisa.europa.eu/news/enisanews/coordinated-vulnerability-disclosure-policies-inthe-eu
[8] European Union Agency for Cybersecurity (ENISA), Coordinated Vulnerability Disclosure Policies in the EU, Report (inkl. Informationen zu CVDs in den EU-Mitgliedstaaten), April 2022, ISBN 978-92-9204-575-3, online verfügbar via www.enisa.europa.eu/publications/coordinated-vulnerability-disclosure-policies-in-the-eu
[9] European Union Agency for Cybersecurity (ENISA), Good Practice Guide on Vulnerability Disclosure, From challenges to recommendations, November 2015, ISBN 978-92-9204-148-9, online verfügbar via https://www.enisa.europa.eu/publications/vulnerability-disclosure
[10] Rayna Stamboliyska, Vulnerability-Disclosure-Policy, Basis für eine Zusammenarbeit zwischen Hackern und Unternehmen, <kes> 2020#2, S. 6
[11] Europäische Union, Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), in: Amtsblatt der Europäischen Union L 333, Dezember 2022, S. 80, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555
[12] Europäische Union, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU) 2019/1020 (COM/2022/454 final), September 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A52022PC0454