Die bisherige Erfahrung mit der Verbreitung von Computerviren spricht dafür, daß die für einen Wettbewerb, wie den der Firma Ikarus, entwickelten Viren nicht nur an den Auslobenden übergeben werden, sondern bewußt oder unbewußt auch anderweitig Verbreitung finden. Bisher ist die Anzahl der bekannten Computerviren noch überschaubar. Durch solche Wettbewerbe wird diese Zahl vermutlich drastisch erhöht, so daß auch die zugehörigen Bekämpfungsmaßnahmen, die ja immer auf das individuelle Virus ausgerichtet sein müssen, zunehmend schwieriger werden.
Rechtliche Einordnung
1. ° 303a StGB (rechtswidrige Datenveränderung)
Der Tatbestand des ° 303a StGB ist nicht erfüllt, da Daten, die im Rahmen eines Tests bei der Firma Ikarus verändert werden, nicht rechtswidrig verändert werden. Vielmehr erfolgt die Veränderung absichtlich durch Ikarus, um über eine genaue Beobachtung der Datenveränderung Abwehrmöglichkeiten entwickeln zu können.
Ein Versuch einer rechtswidrigen Datenveränderung bei einem Dritten oder eine Anstiftung hierzu ist der Auslobung nicht zu entnehmen.
Selbst wenn die Gefahr besteht, daß der Programmierer sein Virus auch bei Dritten anwendet oder daß Ikarus ein Virus entkommt, reicht diese abstrakte Möglichkeit zur Begründung einer Strafbarkeit nicht aus. Ganz ähnlich besteht beispielsweise bei den in der Bundesrepublik "für den Export" erworbenen Telefonen ohne FTZ oder bei den Radar-Warngeräten eine "abstrakte Möglichkeit", daß diese Geräte im Inland entgegen den gesetzlichen Bestimmungen benutzt werden.
2. ° 303b StGB (Computersabotage)
Der Tatbestand des ° 303 b StGB ist ebenfalls nicht erfüllt. Vielmehr erfolgt die Beeinträchtigung absichtlich durch Ikarus auf deren Rechnern, da hier eben die Beeinträchtigung beobachtet werden soll, um Abwehrmöglichkeiten zu entwickeln.
Ein Versuch einer Computersabotage bei einem Dritten oder eine Anstiftung hierzu ist der Auslobung nicht zu entnehmen.
3. ° 140 StGB (Belohnung und Billigung von Straftaten)
° 140 StGB gilt nur für bestimmte schwere Delikte (Mord, Landesverrat, gemeingefährliche Straftaten), nicht aber für EDV-Delikte. Ferner muß die Tat bereits begangen oder in strafbarer Weise versucht worden sein. ° 140 StGB ist somit hier auch nicht einschlägig.
Ist der Gesetzgeber gefordert?
Aufgrund dieser Rechtslage stellt sich die Frage, ob die gegenwärtigen gesetzlichen Regelungen, die sich am Schadenseintritt orientieren, ausreichend sind oder ob nicht
vielmehr vorbeugende Regelungen nötig wären.
Bezüglich aggressiver Computerviren lassen sich ähnliche Regelungen denken, wie sie hinsichtlich anderer gefahrenträchtiger Technologien (etwa Gentechnik) oder Gegenstände (etwa Minispione) bereits vorhanden sind.
Hier bedarf es einer Interessensabwägung. Zum einen dürfen seriöse Institutionen (zum Beispiel das Virenzentrum im Fachbereich Informatik der Universität Hamburg, die Zentralstelle für Sicherheit in der Informationstechnik - ZSI) und seriöse Unternehmen im Sicherheitsbereich nicht daran gehindert werden, vorhandene Computerviren zu erkennen, Abwehrmaßnahmen zu entwickeln - was beides notwendig den Besitz der entsprechenden Viren voraussetzt - und auch im Sinne der Virenbekämpfung vorausschauend erkennbare technische Entwicklungen selbst auszuprobieren. Der letztgenannte Punkt beinhaltet zum Beispiel die Verbindung von Routinen aus bekannten Viren zu einem neuen Virus, die Beseitigung von Programmfehlern in bekannten Viren etc.
Sinnvoll wäre daher eine gesetzliche Regelung, die eine Genehmigungspflicht für die Entwicklung und den Besitz von aggressiven Computerviren beinhaltet. Hierunter sollten auch die Veröffentlichung von funktionsfähigen oder leicht funktionsfähig zu machenden aggressiven Viren im Quellcode in Büchern oder Zeitschriften fallen. Verstöße dagegen könnten als Vergehen oder als Ordnungswidrigkeit geahndet werden.