7
Der umstrittene Hackerpararaph gilt nun auch für die EU Länder
Der EU Richtlinienentwurf des bei uns bekannten und sehr ähnlichen Hackerpararaphen gegen Angriffe auf Informationssysteme, wurde nun auch vom letzten Gesetzgebungsorgan, dem EU-Ministerrat, abgesegnet.
Damit gilt auch in Zukunft für die EU, dass das unerlaubte Eindringen in fremde Computersysteme und die Verbreitung von sogenannten “Hackertools” mit mindestens zwei bis maximal fünf Jahren bestraft wird. Die einzelnen Länder haben nun maximal zwei Jahre Zeit diese Richtlinie in die jeweilige nationale Gesetzgebung einzubringen.
Damit werden leider auch die Hacker mit friedlichem Hintergrund, die einfach nur auf Schwachstellen aufmerksam machen wollen, weiter kriminalisiert.
Also liebe Administrator Kollegen, ab jetzt gilt der Hackerpararaph auch für alle EU-Ländern. Wer also nicht unbedingt bestraft werden will, sollte sich im Idealfall immer eine Erlaubnis des jeweiligen Betreibers, Hersteller, Dienstleister, etc. holen, bevor er ein System auf Sicherheit und Co. überprüft.
Der Hackerpararaph gilt übrigens auch für Webseiten und deren Inhalte!
Gruß
Frank
http://www.computerbase.de/news/2013-07/eu-rat-beschliesst-haertere-str ...
Damit gilt auch in Zukunft für die EU, dass das unerlaubte Eindringen in fremde Computersysteme und die Verbreitung von sogenannten “Hackertools” mit mindestens zwei bis maximal fünf Jahren bestraft wird. Die einzelnen Länder haben nun maximal zwei Jahre Zeit diese Richtlinie in die jeweilige nationale Gesetzgebung einzubringen.
Damit werden leider auch die Hacker mit friedlichem Hintergrund, die einfach nur auf Schwachstellen aufmerksam machen wollen, weiter kriminalisiert.
Also liebe Administrator Kollegen, ab jetzt gilt der Hackerpararaph auch für alle EU-Ländern. Wer also nicht unbedingt bestraft werden will, sollte sich im Idealfall immer eine Erlaubnis des jeweiligen Betreibers, Hersteller, Dienstleister, etc. holen, bevor er ein System auf Sicherheit und Co. überprüft.
Der Hackerpararaph gilt übrigens auch für Webseiten und deren Inhalte!
Gruß
Frank
http://www.computerbase.de/news/2013-07/eu-rat-beschliesst-haertere-str ...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 212440
Url: https://administrator.de/contentid/212440
Printed on: April 26, 2024 at 02:04 o'clock
7 Comments
Latest comment
Der deutsche "Hackerparagraph" (§ 202c StGB) geht als Vorbereitungsstrafbarkeit über die Anregungen der Richtlinie deutlich hinaus. Er hat andererseits keine wesentliche eigenständige praktische Bedeutung.
Dass man sich nach einem vollendeten Einbruch in ein System nicht auf gute Absichten berufen kann, sollte klar sein, und betrifft schon §§ 202a, 202b.
Problematisch ist für die IT-Praxis insofern nicht der Hackerparagraph bzw. die Vorbereitungsstrafbarkeit, sondern dass einzelne Juristen mit fragwürdigen Wertungen technischer Gegebenheiten selbst bei wenig "offensiven" Handlungen bereits zur Vollendung der §§ 202a, 202b kommen, wie hier Frau Hagemeier für das Wardriving: http://www.hrr-strafrecht.de/hrr/archiv/11-02/index.php?sz=7
Grüße
Richard
Dass man sich nach einem vollendeten Einbruch in ein System nicht auf gute Absichten berufen kann, sollte klar sein, und betrifft schon §§ 202a, 202b.
Problematisch ist für die IT-Praxis insofern nicht der Hackerparagraph bzw. die Vorbereitungsstrafbarkeit, sondern dass einzelne Juristen mit fragwürdigen Wertungen technischer Gegebenheiten selbst bei wenig "offensiven" Handlungen bereits zur Vollendung der §§ 202a, 202b kommen, wie hier Frau Hagemeier für das Wardriving: http://www.hrr-strafrecht.de/hrr/archiv/11-02/index.php?sz=7
Grüße
Richard
Hallo Richard, Hallo Frank,
der Link zum hrr archiv ist klasse da gibt viel zu entdecken, meine nicht nur den Beitrag von Frau Hagemeier.
Google hat sich ja strafbar gemacht , aber warum wird da nicht gehandelt ?
Warum werden wie der CCC bereits anmerkte "das man ja auch keine Crashtest verbieten wuerde" uns diese Moeglichkeit genommen ?
Denn den Russen, Chinesen, Koreaner und Ami interessiert unsere Gesetzgebung einen ###dreck, sehe ich jedes mal wenn ich auf die Logs
schaue.
Gruss
der Link zum hrr archiv ist klasse da gibt viel zu entdecken, meine nicht nur den Beitrag von Frau Hagemeier.
Google hat sich ja strafbar gemacht , aber warum wird da nicht gehandelt ?
Warum werden wie der CCC bereits anmerkte "das man ja auch keine Crashtest verbieten wuerde" uns diese Moeglichkeit genommen ?
Denn den Russen, Chinesen, Koreaner und Ami interessiert unsere Gesetzgebung einen ###dreck, sehe ich jedes mal wenn ich auf die Logs
schaue.
Gruss
1
Hi Richard.
E gibt schon einige Fälle, die ganz interessant verhandelt wurden. Ich fasse es mal aus meiner Sicht zusammen:
(gilt nicht als Rechtsberatung und ohne Gewähr)
Was ist der Hackerparagraph überhaupt?
Der Hackerparagraph § 202c des deutschen Strafgesetzbuches (StGB) stellt die Beschaffung und Verbreitung von Zugangscodes zu zugangsgeschützten Daten sowie auch die Herstellung und Gebrauch von Werkzeugen, die diesem Zweck dienlich sind, als Vorbereitung einer Straftat unter Strafe (maximal ein Jahr Freiheitsstrafe). http://www.gesetze-im-internet.de/stgb/__202c.html
Aus strafrechtliche Sicht sie es so aus:
§ 202a StGB -> bis drei Jahre oder Geldstrafe
§ 202b StGB -> bis zwei Jahre oder Geldstrafe
§ 202c StGB -> Vorbereitungsstrafbarkeit, dem Versuch vorgelagert!
Nach meinem aktuellen Stand gibt es aber in Deutschland keine Vorbereitungsstrafbarkeit sondern nur eine Versuchsstrafbarkeit! (ihr dürft mich aber gerne korrigieren oder aktualisieren)
§ 202c StGB funktioniert also nicht alleine, sondern nur in Verbindung mit
mindestens einer weiteren Norm, die vom Täter versucht wird.
§ 202a und § 202b StGB enthalten dagegen im Tatbestand ganz klar das Wort „unbefugt“.
Das Bundesverfassungsgericht (BVerfG) hat zum § 202c StGB bereits eine zentrale Aussage getätigt (hier ging es um nmap):
Tatobjekt des § 202c Abs. 1 Nr. 2 StGB kann nur ein Programm sein,
dessen Zweck die Begehung einer Straftat nach § 202a StGB (Ausspähen
von Daten) oder § 202b StGB (Abfangen von Daten) ist. Danach muss das
Programm mit der Absicht entwickelt oder modifiziert worden sein, es zur
Begehung der genannten Straftaten einzusetzen. Diese Absicht muss sich
ferner objektiv manifestiert haben.
„Es reicht nicht aus, dass ein Programm für die Begehung der genannten
Computerstraftaten lediglich geeignet oder auch besonders geeignet ist
(„dual-use-tools“).“
Da heißt aber im Umkehrschluss, wir ein Programm gezielt entwickelt und eingesetzt um eine Straftat nach § 202a oder § 202b StGB zu begehen, greift auch der § 202c und hat somit auch eine praktische Bedeutung.
Aber im Prinzip hast du natürlich Recht, § 202c ist eine Ergänzung und so lange da "nur" die Vorbereitungsstrafbarkeit gilt, hat er deutliche seinen Schrecken verloren.
Update zur Vorbereitungsstrafbarkeit in Deutschland: Besonders gefährliche Vorbereitungen kann der Gesetzgeber als strafbar erklären (z.B. Trunkenheit am Steuer). Juristisch nennt man das ein abstrakter Gefährdungsdelikt. Allein der betrunkene Zustand des Autofahrers reicht, um ihn zu bestrafen. Daneben stellen konkrete Gefährdungsdelikte das momentane Verhalten des Täters unter Strafe, weil er eine Gefährdung schafft, die andere nur durch Zufall oder durch ihre Geistesgegenwart abwenden können. Schließlich gibt es noch die abstrakt-konkreten Gefährdungsdelikte (z.B. strafbare Bombenbauanleitungen). Ich denke aber das für § 202c keine besonders gefährliche Vorbereitungen existieren.
Gruß
Frank
Er hat andererseits keine wesentliche eigenständige praktische Bedeutung.
E gibt schon einige Fälle, die ganz interessant verhandelt wurden. Ich fasse es mal aus meiner Sicht zusammen:
(gilt nicht als Rechtsberatung und ohne Gewähr)
Was ist der Hackerparagraph überhaupt?
Der Hackerparagraph § 202c des deutschen Strafgesetzbuches (StGB) stellt die Beschaffung und Verbreitung von Zugangscodes zu zugangsgeschützten Daten sowie auch die Herstellung und Gebrauch von Werkzeugen, die diesem Zweck dienlich sind, als Vorbereitung einer Straftat unter Strafe (maximal ein Jahr Freiheitsstrafe). http://www.gesetze-im-internet.de/stgb/__202c.html
Aus strafrechtliche Sicht sie es so aus:
§ 202a StGB -> bis drei Jahre oder Geldstrafe
§ 202b StGB -> bis zwei Jahre oder Geldstrafe
§ 202c StGB -> Vorbereitungsstrafbarkeit, dem Versuch vorgelagert!
Nach meinem aktuellen Stand gibt es aber in Deutschland keine Vorbereitungsstrafbarkeit sondern nur eine Versuchsstrafbarkeit! (ihr dürft mich aber gerne korrigieren oder aktualisieren)
Der Versuch eines Verbrechens ist stets strafbar, der eines Vergehens nur, wenn das Gesetz dies ausdrücklich anordnet (§§ 22, 23 iVm 12 StGB).
§ 202c StGB funktioniert also nicht alleine, sondern nur in Verbindung mit
mindestens einer weiteren Norm, die vom Täter versucht wird.
§ 202a und § 202b StGB enthalten dagegen im Tatbestand ganz klar das Wort „unbefugt“.
Das Bundesverfassungsgericht (BVerfG) hat zum § 202c StGB bereits eine zentrale Aussage getätigt (hier ging es um nmap):
Tatobjekt des § 202c Abs. 1 Nr. 2 StGB kann nur ein Programm sein,
dessen Zweck die Begehung einer Straftat nach § 202a StGB (Ausspähen
von Daten) oder § 202b StGB (Abfangen von Daten) ist. Danach muss das
Programm mit der Absicht entwickelt oder modifiziert worden sein, es zur
Begehung der genannten Straftaten einzusetzen. Diese Absicht muss sich
ferner objektiv manifestiert haben.
„Es reicht nicht aus, dass ein Programm für die Begehung der genannten
Computerstraftaten lediglich geeignet oder auch besonders geeignet ist
(„dual-use-tools“).“
Da heißt aber im Umkehrschluss, wir ein Programm gezielt entwickelt und eingesetzt um eine Straftat nach § 202a oder § 202b StGB zu begehen, greift auch der § 202c und hat somit auch eine praktische Bedeutung.
Aber im Prinzip hast du natürlich Recht, § 202c ist eine Ergänzung und so lange da "nur" die Vorbereitungsstrafbarkeit gilt, hat er deutliche seinen Schrecken verloren.
Update zur Vorbereitungsstrafbarkeit in Deutschland: Besonders gefährliche Vorbereitungen kann der Gesetzgeber als strafbar erklären (z.B. Trunkenheit am Steuer). Juristisch nennt man das ein abstrakter Gefährdungsdelikt. Allein der betrunkene Zustand des Autofahrers reicht, um ihn zu bestrafen. Daneben stellen konkrete Gefährdungsdelikte das momentane Verhalten des Täters unter Strafe, weil er eine Gefährdung schafft, die andere nur durch Zufall oder durch ihre Geistesgegenwart abwenden können. Schließlich gibt es noch die abstrakt-konkreten Gefährdungsdelikte (z.B. strafbare Bombenbauanleitungen). Ich denke aber das für § 202c keine besonders gefährliche Vorbereitungen existieren.
Gruß
Frank
Hallo,
ich denke der kriminelle Hintergrund oder die kriminelle Absicht sind immer der ausschlaggebende Punkt bei der ganzen Sache.
Ich kann mir gut vorstellen das die Lobbyisten einiger Verbände da recht emsig auf die Verantwortlichen eingeredet haben,
bevor das Gesetzt verabschiedet wurde!
Denn warum auch nur muss jeder in seiner Zeitschrift schreiben das es Router Probleme gibt und vor allem was interessiert
es den normalen Bürger schon ob die Industrieanlagen aus der Gas- Wasser- und Elektrizitätsbrache ungeschützt über
das Internet erreichbar sind? Wir wollen doch alle Wachstum und die dicke Kohle machen und schnüffeln und was weiß ich nicht
noch alles, also ich kann mir das schon gut vorstellen wer davon richtig profitiert.
Gruß
Dobby
ich denke der kriminelle Hintergrund oder die kriminelle Absicht sind immer der ausschlaggebende Punkt bei der ganzen Sache.
Ich kann mir gut vorstellen das die Lobbyisten einiger Verbände da recht emsig auf die Verantwortlichen eingeredet haben,
bevor das Gesetzt verabschiedet wurde!
Denn warum auch nur muss jeder in seiner Zeitschrift schreiben das es Router Probleme gibt und vor allem was interessiert
es den normalen Bürger schon ob die Industrieanlagen aus der Gas- Wasser- und Elektrizitätsbrache ungeschützt über
das Internet erreichbar sind? Wir wollen doch alle Wachstum und die dicke Kohle machen und schnüffeln und was weiß ich nicht
noch alles, also ich kann mir das schon gut vorstellen wer davon richtig profitiert.
Gruß
Dobby
Hallo Frank,
die Schaffung von Vorbereitungsstrafbarkeiten ist eine Tendenz der jüngeren Gesetzgebung. Gefährdungsdelikte sind eine andere Kategorie; dort wird das Herbeiführen eines Gefährdungserfolgs vollendet, also nicht "vorbereitet".
Natürlich kann der § 202c eigenständig begangen werden. Wobei dann nach Abs. 2 mit Blick auf die Ausführung der vorbereiten Tat noch die Möglichkeit der Straflosigkeit besteht (tätige Reue). Geringe praktische Bedeutung hat das, weil die alleinige Begehung von § 202c jedenfalls im Vorbereitungsstadium der §§ 202a, 202b sozial kaum nach außen tritt und faktisch keinen Anlass der Strafverfolgung bietet (im Gegensatz z.B. zu § 89a als typische Vorbereitungsstraftat).
Der Anlass kann sich zwar durch einen (nicht strafbaren) Versuch des § 202a oder 202b ergeben und damit die eigenständige Auffangfunktion des § 202c aktivieren. Fälle, in denen ein Opfer gescheiterte Hacks, also straflos versuchte §§ 202a, 202b, hinter denen sich wohl vollendete § 202c verbergen, entdeckt und zur Anzeige bringt, lassen sich meiner Erfahrung nach aber mit der Lupe suchen. Der Tatvorwurf des § 202c wird in der Regel von einem vollendeten § 202a oder § 202b begleitet sein (die kriminologisch gesehen immer noch weitgehend im Dunkelfeld stehen). Dann tritt er allerdings auf Konkurrenzebene hinter der vorbereiteten Tat zurück, hat also wieder keine praktische Auswirkung.
Die Klarstellung des BVerfG zur Reichweite des Tatbestands geht gerade auf die Verfassungsbeschwerde u.a. eines Pentesters zurück, der den § 202c branchentypisch überschätzt hat (wahrscheinlicher: einfach nur in die Medien wollte); juristisch gesehen war das überflüssig, weil offenkundig.
Die eigentlichen Probleme, die teils juristische Beratung bzw. Fachkenntnis erfordern, stecken meines Erachtens in anderen Tatbeständen und werden durch solche Panikdiskussionen in der IT-Branche gern verdeckt. Sei es in der "überraschend" frühen Verwirklichung der §§ 202a/b (auch wenn es sich bei dem verlinkten Artikel um eine wissenschaftliche Einzelmeinung handelt), 303a/b, der Verletzung des Fernmeldegeheimnisses etc.
Grüße
Richard
die Schaffung von Vorbereitungsstrafbarkeiten ist eine Tendenz der jüngeren Gesetzgebung. Gefährdungsdelikte sind eine andere Kategorie; dort wird das Herbeiführen eines Gefährdungserfolgs vollendet, also nicht "vorbereitet".
Natürlich kann der § 202c eigenständig begangen werden. Wobei dann nach Abs. 2 mit Blick auf die Ausführung der vorbereiten Tat noch die Möglichkeit der Straflosigkeit besteht (tätige Reue). Geringe praktische Bedeutung hat das, weil die alleinige Begehung von § 202c jedenfalls im Vorbereitungsstadium der §§ 202a, 202b sozial kaum nach außen tritt und faktisch keinen Anlass der Strafverfolgung bietet (im Gegensatz z.B. zu § 89a als typische Vorbereitungsstraftat).
Der Anlass kann sich zwar durch einen (nicht strafbaren) Versuch des § 202a oder 202b ergeben und damit die eigenständige Auffangfunktion des § 202c aktivieren. Fälle, in denen ein Opfer gescheiterte Hacks, also straflos versuchte §§ 202a, 202b, hinter denen sich wohl vollendete § 202c verbergen, entdeckt und zur Anzeige bringt, lassen sich meiner Erfahrung nach aber mit der Lupe suchen. Der Tatvorwurf des § 202c wird in der Regel von einem vollendeten § 202a oder § 202b begleitet sein (die kriminologisch gesehen immer noch weitgehend im Dunkelfeld stehen). Dann tritt er allerdings auf Konkurrenzebene hinter der vorbereiteten Tat zurück, hat also wieder keine praktische Auswirkung.
Die Klarstellung des BVerfG zur Reichweite des Tatbestands geht gerade auf die Verfassungsbeschwerde u.a. eines Pentesters zurück, der den § 202c branchentypisch überschätzt hat (wahrscheinlicher: einfach nur in die Medien wollte); juristisch gesehen war das überflüssig, weil offenkundig.
Die eigentlichen Probleme, die teils juristische Beratung bzw. Fachkenntnis erfordern, stecken meines Erachtens in anderen Tatbeständen und werden durch solche Panikdiskussionen in der IT-Branche gern verdeckt. Sei es in der "überraschend" frühen Verwirklichung der §§ 202a/b (auch wenn es sich bei dem verlinkten Artikel um eine wissenschaftliche Einzelmeinung handelt), 303a/b, der Verletzung des Fernmeldegeheimnisses etc.
Grüße
Richard
1
Hallo Richard,
ok, danke für die ausführliche und gute Erklärung. Das Update zum Thema Vorbereitungsstrafbarkeit und Gefährdungsdelikt entstand nur aus persönlicher Neugier (das es eine andere Kategorie ist, war mir schon klar). Eine Panikdiskussionen sollte das natürlich nicht werden, eher ein Info und Anregung für Alle, die es interessiert.
Gruß
Frank
ok, danke für die ausführliche und gute Erklärung. Das Update zum Thema Vorbereitungsstrafbarkeit und Gefährdungsdelikt entstand nur aus persönlicher Neugier (das es eine andere Kategorie ist, war mir schon klar). Eine Panikdiskussionen sollte das natürlich nicht werden, eher ein Info und Anregung für Alle, die es interessiert.
Gruß
Frank
----
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit
Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit
Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.
dh. wenn ich mir nun backtrack ziehe (bzw Kali) und mein Netzwerk auf, sagen wa mal, offene Ports scannen möchte mache ich mich alleine durch den Download der Software strafbar? Hab das ungute Gefühl, dass hier mal wieder nur Pfeiffen am Werk waren.
Möchte garnicht wissen wer auf die Idee gekommen ist. Ein Ami welcher seit Prism angst vor einem Vergeltungsschlag hat, die Atomlobby die sich keine Techniker leisten kann/will um Sicherheitslücken zu schließen? Wir werden es wstl. nie erfahren. Eins ist sicher, der EU werden langsam alle Zähne gezogen, bis wir nur mehr ein großer böser zahnloser Wolf sind. Sieht wer die Zusammenhänge? Es schert sich ja niemand außer uns um soetwas (wie D.o.b.b.y schon sagte) man braucht sich nur mal die Logs auf nem FTP Server ansehen!
Nicht mehr lange und ich sitz im Gefängnis weil sich mein Handy automatisch mit einem nicht gesichertem WLAN verbunden hat...
Ich bin wirklich kein Verschörungstheoretiker aber seit der Sache mit PRISM braucht man das auch wirklich nicht mehr sein.
fg
Hausens
