computerwoche.de

Archiv

Internet-Sicherheit

Richter kennen keine Gnade für Hacker

29.09.2000
20 Jahre Gefängnis forderte jüngst ein US-Staatsanwalt als Strafe für einen Hacker. Auch deutsche Richter ahnden Rechtsbrüche im Internet nicht selten mit empfindlichen Strafen. Der Wiesbadener Rechtanswalt Hajo Rauschhofer analysiert die "New Economy" für Kriminelle , stuft exemplarische Fälle in Strafrechtbestimmungen ein und erläutert die Konsequenzen der Taten.

Bei Straftaten im Internet sind im Wesentlichen drei Kernbereiche von Bedeutung. Zunächst gibt es die "klassischen" Hacker- und Cracker-Delikte wie Datenveränderung, Computersabotage und das Ausspähen von Daten. Ein weiterer wichtiger "Geschäftszweig" dürfte sich mit dem Feld des Computerbetrugs herausbilden. Wirtschaftlich von größter Bedeutung ist schließlich das Gebiet der Verletzung von Urheberrechten durch private oder gewerbsmäßige Software- und Musikpiraterie, letztere mit zunehmender Tendenz.

Der erste Bereich, die Datenveränderung und das Ausspähen von Informationen, ist so alt wie die Datenverarbeitung selbst. Zum Ausspähen von Daten findet sich schon beim Zauberspruch "Sesam öffne dich" ein Beispiel.

Die größte Aufmerksamkeit erregen Angriffe von Hackern auf Computersysteme von staatlichen Einrichtungen, teilweise mit dem Motiv, Schwachstellen behördlicher Systeme zu dokumentieren. Hier hat sich insbesondere der Chaos Computer Club hervorgetan. In der Regel jedoch dient das Vorgehen der Täter eigenen Interessen - seien sie materieller oder ideeller Natur.

Dieses häufig als Kavaliersdelikt eingestufte Eindringen in fremde Rechnersysteme erfüllt den Tatbestand des Ausspähens von Daten nach § 202a StGB, der sich als eine Strafbestimmung gegen eine Art "elektronischen Hausfriedensbruch" einordnen lässt. Bei dem Ausspähen von Daten muss es sich nicht zwingend um geheime Informationen handeln. Der Schutz des Verfügungsrechts über Daten erfasst bereits solche Informationen, die nicht für den Täter bestimmt und gegen unberechtigten Zugang besonders gesichert sind. An eine solche Sicherung stellen Juristen keine allzu hohen Anforderungen. Es reichen Vorkehrungen aus, die speziell dem Zweck dienen, den Zugang Unbefugter zu verhindern oder zu erschweren.

Hier findet sich neben dem klassischen Angriff auf Computersysteme durch Überwindung von Login-Sperren auch die Spielart des Ausspähens von Daten mittels "trojanischer Pferde" oder durch den Einsatz von Active-X oder Java-Applets. Umstritten ist dabei, ob das Port-Scannen bereits strafrechtliche Relevanz entfaltet. Das Scannen selbst dürfte noch keinen unmittelbaren Ansatz darstellen, einen Straftatbestand zu verwirklichen. Bezogen auf die reale Welt ist es etwa mit dem Ausspähen einer Wohnungsadresse vergleichbar und stellt damit nur eine Vorbereitungshandlung dar.

Ein Eindringen in fremde Computer, das ein Ausspähen von Daten im Sinne des § 202a StGB erfüllt, wird mit einer Freiheitsstrafe von bis zu drei Jahren oder mit Geldstrafe bestraft. Herauszustellen ist hier, dass die Strafverfolgung einen Strafantrag des Geschädigten voraussetzt (§ 205 Abs. 1 StGB). Die Staatsanwaltschaft darf also von sich aus keine Anklage erheben. Der Strafantrag ist innerhalb von drei Monaten nach Kenntnis der Tat und der Person des Täters zu stellen.

Computersabotage und DatenveränderungEin weiteres, breites Betätigungsfeld oft jugendlicher Täter stellen die Computersabotage und Datenveränderung nach den § 303a und 303b StGB dar. Beide Tatbestände sind dann gegeben, wenn beim Eindringen in fremde Rechner oder bei der Kommunikation in Computernetzen Daten vorsätzlich und rechtswidrig gelöscht, unterdrückt, unbrauchbar gemacht oder verändert werden. Bekannte Beispiele sind der Einsatz von Computerviren oder "Würmern". Hierfür droht bei Datenveränderung eine Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe. Für Computersabotage hat der Gesetzgeber angesichts ihrer Bedeutung für Behörden oder Unternehmen eine Freiheitsstrafe von bis zu fünf Jahren vorgesehen.

Fraglich erscheint in diesem Zusammenhang, ob so genannte Denial-of-Service-Attack (DoS) diese Straftatbestände erfüllen. Dabei wird vereinfacht dargestellt mittels Programmen wie "TRIN00", "TFN" oder "Stacheldraht" eine Client-Server-Vernetzung aufgebaut und durch das Zusammenschalten möglichst vieler Rechner ein einzelner Server angegriffen.

Der Angreifer macht sich Schwächen im TCP/IP-Protokoll zu Nutze und richtet eine "schlafende Armee" von Maschinen ein, die im nächsten Schritt - dem Broadcast - aktiviert werden und Unmengen von Datenpaketen auf die vordefinierte Zielmaschine senden (so genanntes UDP-Flooding). Durch die Beantwortung den Versuch, die riesige Anzahl einzelner UDP-Pakete von beispielsweise 1000 zusammengeschalteten Rechnern zu beantworten, kommt es beim angegriffenen Server zu einer Überlastung des Speichers, die zum Absturz des Systems führt und es teilweise lahm legt. Zweifelhaft und noch nicht gerichtlich entschieden ist hierbei die Strafbarkeit einer solchen Aktion, da weder eine unmittelbare Datenveränderung noch eine Sachbeschädigung vorliegt.

Fraglich ist auch, inwieweit dies den Tatbestand der Computersabotage erfüllt. Hierfür müsste der Server durch die konkrete Angriffshandlung den Server nicht nur stören, sondern die Datenverarbeitungsanlage beispielsweise zerstören, beschädigen, verändern, Daten beseitigen oder unbrauchbar machen. Der Rechnerabsturz durch die Überlastung des Speichers folgt jedoch nur mittelbar aus dem UDP-Flooding. Damit ist zumindest ungewiss, ob im Hinblick auf das strafrechtliche Bestimmtheitsgebot ein Gericht hier eine Computersabotage annehmen würde. Unabhängig von der strafrechtlichen Komponente kann man allerdings annehmen, dass sich ein Täter einer solchen DoS-Attacke ganz erheblichen zivilrechtlichen Schadensersatzforderungen ausgesetzt sehen dürfte.

Der zweite wichtige Komplex der Computerkriminalität ist der Computerbetrug nach § 263a StGB, bei der ein Täter in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, einen anderen durch eine Computermanipulation schädigt. Hierunter fallen beispielsweise die Veranlassung unrichtiger Überweisungen, unberechtigte Auslieferung von Waren durch Computermanipulation oder Missbrauch gebührenpflichtiger Telefonnummern. Tathandlung ist hier die "Täuschung" des Computers, dessen "Irrtum" insoweit den menschlichen Irrtum ersetzt. Die Strafandrohung für Computerbetrug liegt bei einer Freiheitsstrafe von bis zu fünf Jahren.

Erwähnt sei in diesem Zusammenhang auch der Verbraucherbetrug im Internet. Hierbei handelt es sich nicht um ein Computerdelikt im engeren Sinne. Das Opfer wird lediglich unter Nutzung des Mediums Internet getäuscht. Dieser Deliktsvorwurf ist also lediglich insoweit Computer- oder Internet-spezifisch, als zur Verbreitung der Information das Internet dient. Beispielhaft hierfür ist der Verkauf von nicht existierender Ware über Online-Auktionen oder Chat-Rooms. Indes dürften solche Betrugsformen zunehmen, da sich Täter leicht zunutze machen können, dass sie aus ihrer Sicht weitgehend unbehelligt von Rechts- oder Vollstreckungsoasen operieren.

Der Vollständigkeit halber sei im Rahmen der Darstellung von unseriösen Anbietern auch der Tatbestand des unerlaubten Veranstaltens von Glücksspielen nach den §§ 284, 285 oder 287 StGB genannt. Gegen diese Vorschriften verstößt das Anbieten von ungenehmigten Glücksspielen auf deutschen Servern. Ebenfalls dürfte das Anbieten einer Vermittlung von Glücksspielen über ein deutsches Portal, das auf einen im Ausland stehenden Server zeigt, unter das deutsche Strafrecht fallen und unerlaubtes Glücksspiel darstellen. Urteile hierzu fehlen jedoch.

Dritter und letzter Komplex der wirtschaftlich bedeutsamen Straftaten im Internet ist die Verletzung von geistigem Eigentum. Allen voran ist hierbei die Software- und Musikpiraterie zu nennen. So macht sich jemand gemäß § 106 UrhG strafbar, wenn er ohne Einwilligung des Berechtigten ein Werk vervielfältigt, verbreitet oder öffentlich wiedergibt. Hier drohen als strafrechtliche Sanktionen Freiheitsstrafe von bis zu drei Jahren, wobei wiederum grundsätzlich ein Strafantrag nach § 109 UrhG erforderlich ist. Allerdings ist hier bei öffentlichem Interesse auch eine Verfolgung von Amts wegen möglich.

Das Kopieren von Software oder Musikstücken ohne Einwilligung des Rechteinhabers ist verboten. Allerdings gibt es Ausnahmen: zum Beispiel nach § 69d Abs. 2 UrhG. Hiernach ist das Anfertigen von Sicherheitskopien zulässig. Ehe es im Internet adäquate Übertragungskapazitäten gab, musste insbesondere der gewerbsmäßige Softwarepirat die Software noch auf körperlichen Trägermedien wie Diskette oder CD-ROMs zum Abnehmer verschicken.

Durch die heute vorhandenen Übertragungsgeschwindigkeiten öffnet sich ein weiterer logistischer Kanal, über den Software ohne großen Aufwand räumlich ungebunden verbreitet werden kann.

Bei der Verfolgung von Urheberrechtsverletzungen liegt die Problematik weniger im Bereich des materiellen Strafrechtes als vielmehr darin, dem Anbieter von Raubkopien habhaft zu werden. Auch hier gilt, dass Anbieter regelmäßig anonym sowie von Rechts- oder Vollstreckungsoasen aus ihre Tätigkeit entfalten können. Im Vergleich zu der wohl großen Anzahl solcher Taten sind Strafverfahren selten. Sie enden jedoch oft mit ganz erheblichen Strafen, die nicht zuletzt auch Nachahmer abschrecken sollen. Ergänzt sei, dass Hard- und Software, die für die Urheberrechtsverletzung gedient haben, nach § 110 UrhG eingezogen werden können.

Für den Betroffenen sind auch noch die zivilrechtlichen Forderungen von erheblicher Bedeutung, die der geschädigte Rechtsinhaber gegen den Verletzer hat. Im Rahmen des Schadensersatzes und Unterlassungsanspruchs nach § 97 Abs. 1 UrhG, kann der Geschädigte Schadensersatz auf drei Arten erhalten. Er kann den Ersatz der erlittenen Vermögenseinbuße einschließlich des entgangenen Gewinns, die Zahlung einer angemessenen Lizenz oder die Herausgabe des Verletzergewinns verlangen.

Doch ein konkreter Nachweis des entgangenen Gewinns ist trotz Beweiserleichterungen in der Regel schwierig.

Statistisch gesehen

Delikte wie Computerbetrug und -sabotage, Datenmanipulation, das Ausspähen von Daten sowie Delikte im Immaterialgüterrecht, wie die Verletzung von Urheberrechten im Rahmen der Softwarepiraterie, haben auch wirtschaftlich erhebliche Bedeutung. Gemeinhin fasst man solche Tatbestände unter dem Begriff der Computerkriminalität zusammen.

Verlässliche Zahlen über Computerkriminalität im Bereich des Internet sind rar. Nach einer Statistik des Bundeskriminalamts, die man auf der Website der Behörde findet, wurden 1999 genau 45 359 Fälle von Computerkriminalität erfasst, wovon es sich jedoch in 36 613 Fällen um EC- und Kreditkartenbetrugstatbestände handelt. Die dargestellten Fälle von Datenveränderung, Computersabotage (302), Ausspähen von Daten (210) sowie Softwarepiraterie (privat 972/gewerblich 1252) dokumentieren nur einen geringen Teil der Kriminalität, die im Internet stattfindet. Zu unterstellen ist hierbei eine ganz erhebliche Dunkelziffer sowohl im Bereich der Softwarepiraterie als auch im Bereich des Ausspähens von Daten. Daneben bleiben auch Hacker-Angriffe häufig unentdeckt und zählen insoweit nicht zu den erfassten Fällen.

Ausgeklammert

Ausgeklammert werden in diesem Beitrag die bereits ausgiebig beschriebenen Tatbestände von Kinderpornografie oder Verbreitung nationalsozialistischen Gedankenguts. Diesbezüglich liegen die Probleme mehr im tatsächlichen Bereich, nämlich dem Auffinden der Angebote selbst und der Identifikation und Überführung der Täter.