Erst der Bundestrojaner und dann das: Der bundestag hat am Donnerstag die verschärften Gesetzentwürfe zur Bekämpfung der Computerkriminalität unverändert verabschiedet. Es geht um die Änderungen an den Paragrafen 202 und 303 StGB. Im jetzt angepassten sogenannten "Hackerparagrafen" wird nun neu geregelt, was strafbar ist. Damit ist es raus: wer Sicherheits(analyse)tools einsetzt, macht sich strafbar. Es dreht sich dabei um den unbefugten Zugang zu besonders geschützten Daten. Darunter fällt z.B. das Knacken von Passwörter und Sicherheitscodes. Der ergänzte Paragraf 202c "Vorbereiten des Ausspähens von Daten" stellt jetzt im Absatz 2 den unter Strafe, der Computerprogramme azu "Herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht".

Die Diskussion ist schon seit dem bekannt werden des Entwurfs in vollem Gange.
Gerade der CCC hat sich sehr kritisch geäußert.
Hauptvorwurf ist, dass damit dem Kriminellen Zugriff auf Daten Tür und Tor geöffnet wir, denn es wird nicht mehr möglich sein, Sicherheitslücken zu erkennen (z.B. er gestellte Einbruch in ein System). Vielleicht ist dann ja sogar das Knacken gehärteter Schadprogramme strafbar, denn die Daten waren ja nicht für mich bestimmt....

Der Gesetzesentwurf
Protokoll der 100. Sitzung des Bundestags



(...)
§ 202a Abs. 1 wird wie folgt gefasst:
"(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt
und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung
der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren
oder mit Geldstrafe bestraft."
3. Nach § 202a werden folgende §§ 202b und 202c eingefügt:
"§ 202b
Abfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht
für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung
oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft,
wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn
die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

§ 202c
Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a
Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet
oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit
Geldstrafe bestraft.
(..)

Hier der Entwurf als pdf: http://www.bmj.bund.de/media/archive/1317.pdf

Und so liest sicht das im Protokoll der 100. Sitzung des Bundestags:

(...)
Ich rufe Tagesordnungspunkt 23 auf:

Zweite und dritte Beratung des von der Bundesregierung Verabschiedung eingebrachten Entwurfs eines ... Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität (... StrÄndG)
- Drucksache 16/3656 -
Beschlussempfehlung und Bericht des Rechtsausschusses (6. Ausschuss)
- Drucksache 16/5449 -
Berichterstattung:
Abgeordnete Siegfried Kauder (Villingen-Schwenningen)
Dirk Manzewski
Sabine Leutheusser-Schnarrenberger
Wolfgang Neškovic
Jerzy Montag
Hierzu liegt ein Änderungsantrag der Fraktion Die Linke vor.
Zu Protokoll gegebene Reden liegen von den Kollegen Siegfried Kauder (Villingen-Schwenningen), Dirk Manzewski, Sabine Leutheusser-Schnarrenberger, Jan Korte, Jerzy Montag und Alfred Hartenbach vor.8
Erklärungen zur Abstimmung nach § 31 unserer Geschäftsordnung haben abgegeben die Kolleginnen und Kollegen Angelika Graf (Rosenheim), Monika Griefahn, Christoph Pries, Jörg Tauss, Siegmund Ehrmann und Renate Schmidt (Nürnberg).9
Wir kommen zur Abstimmung über den von der Bundesregierung eingebrachten Entwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität. Der Rechtsausschuss empfiehlt in seiner Beschlussempfehlung auf Drucksache 16/5449, den Gesetzentwurf der Bundesregierung auf der Druck-sache 16/3656 anzunehmen. Hierzu liegt ein Änderungsantrag der Fraktion Die Linke vor, über den wir zuerst abstimmen. Wer stimmt für den Änderungsantrag auf Drucksache 16/5486? - Wer stimmt dagegen? - Enthaltungen? - Damit ist der Änderungsantrag bei Zustimmung durch die Linke und Gegenstimmen der übrigen Abgeordneten abgelehnt.
Ich bitte jetzt diejenigen, die dem Gesetzentwurf zustimmen wollen, um das Handzeichen. - Gegenstimmen? - Enthaltungen? - Damit ist der Gesetzentwurf in zweiter Beratung bei Ablehnung durch Die Linke und einen Abgeordneten der SPD-Fraktion und Zustimmung des übrigen Hauses angenommen.
Dritte Beratung
und Schlussabstimmung. Ich bitte diejenigen, die zustimmen wollen, sich zu erheben. - Gegenstimmen? - Enthaltungen? - Damit ist der Gesetzentwurf in dritter Beratung mit dem gleichen Stimmenverhältnis wie zuvor angenommen.
(Beifall auf der Besuchertribüne)

Anlage 5
Erklärung nach § 31 GO-BT
der Abgeordneten Monika Griefahn, Christoph Pries und Angelika Graf (Rosenheim) (alle SPD) zur Abstimmung über den Entwurf eines ... Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität (... StrÄndG) (Tagesordnungspunkt 23)
Zur Abstimmung des Gesetzentwurfes der Bundesregierung für ein Strafrechtsänderungsgesetz (Drucksa-che 16/3656) bei der Beratung in zweiter und dritter Lesung gebe ich folgende Bedenken zu Protokoll:
Der Gesetzentwurf der Bundesregierung dient der Umsetzung des Übereinkommens des Europarats über Computerkriminalität und der Umsetzung des Rahmenbeschlusses 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme. Ziel des Übereinkommens ist die Schaffung eines strafrechtlichen Mindeststandards, um so Computersysteme und -daten zu schützen und gleichzeitig ihrem Missbrauch entgegenzuwirken. Sie sehen mit der Umsetzung der Vorgaben aus dem Europarat-Übereinkommen in nationales Recht eine Änderung und Ergänzung des § 202 a und eine Einfügung der §§ 202 b und 202 c StGB vor.
Das mit dem Gesetzentwurf verfolgte Ziel ist grundsätzlich richtig und zu begrüßen. Angesichts der technischen Entwicklungen in den vergangenen Jahren ist eine Verbesserung des geltenden Computerstrafrechts dringend geboten. Mit dem heute zu beschließenden Gesetzentwurf kann allerdings eine solche Verbesserung nur bedingt erreicht werden, und es steht vielmehr zu befürchten, dass das Gesetz massive Probleme und weitreichende und negative Auswirkungen für die IT-Sicherheit und die Informations- und Kommunikationsbranche in Deutschland sowie für die IT-Sicherheitsforschung und den Forschungsstandort Deutschland zur Folge haben wird.
Bereits kurz nach Bekanntwerden des Gesetzentwurfes wurde dieser vonseiten der betroffenen Verbände, Unternehmen und Organisationen zu Recht massiv kritisiert. Stellvertretend seien hier der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien - BITKOM - und die SAP AG genannt. Ähnlich kritisch äußert sich im Übrigen auch der Bundesrat in seiner Stellungnahme vom 3. November 2006 und attestiert dem Gesetzentwurf der Bundesregierung Präzisierungsbedarf. Eindringlich wurde die Kritik dann sowohl im Expertengespräch im Unterausschuss Neue Medien des Deutschen Bundestages am 1. März 2007 als auch in der Sachverständigenanhörung des Rechtsausschusses des Deutschen Bundestages am 21. März 2007 dargelegt und bestätigt.
Als problematisch ist vor allem die Einfügung des § 202 c StGB zu sehen, mit dem typische Vorbereitungshandlungen unter Strafe gestellt werden, wie es dem Strafrecht - bis auf wenige Ausnahmen, zum Beispiel Vorbereitung von Geldfälschung - sonst fremd ist. Dieser Regelungsvorschlag ist vor allem deshalb problematisch, weil entsprechende Programme und Tools nicht nach ihrer Einsatzart, sondern vielmehr nach ihrem Aufbau definiert werden und so eine Unterscheidung in Programme, die zur Begehung von Straftaten hergestellt werden und solche, die ausschließlich für legale Zwecke hergestellt werden, schlichtweg nicht möglich ist. Lediglich in der Verwendung lassen sie sich unterscheiden. Überdies führt der in § 202 c gewählte Wortlaut zu einer Kriminalisierung der heute millionenfach verwendeten Programme, welche auch für das Entdecken von Sicherheitslücken in IT-Systemen notwendig sind. In der Sache kann der Gesetzentwurf in seiner jetzigen Form die IT-Sicherheit und die IT-Sicherheitsforschung in Deutschland konterkarieren.
Offenbar ist dem federführenden Rechtsausschuss diese Tatsache auch bekannt, denn in der Beschlussempfehlung des Gesetzentwurfes vom 23. Mai 2007 heißt es wörtlich: "Der Gesetzgeber wird die Auswirkungen der neuen Strafvorschriften genau zu beobachten haben. Sollten doch Programmentwickler und Firmen, die nicht aus krimineller Energie heraus handeln, durch diese neuen Strafvorschriften in Ermittlungsverfahren einbezogen werden, wird auf solche Entwicklungen zeitnah reagiert werden müssen."
Anlage 6
Erklärung nach § 31 GO
der Abgeordneten Jörg Tauss, Renate Schmidt (Nürnberg) und Siegmund Ehrmann (alle SPD) zur Abstimmung über den Entwurf eines ... Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität (... StrÄndG) (Tagesordnungspunkt 23)
Ich verweigere dem Gesetzentwurf der Bundesregierung für ein Strafrechtsänderungsgesetz (Drucksache 16/3656) bei der Beratung in zweiter und dritter Lesung meine Zustimmung.
Der Gesetzentwurf der Bundesregierung dient der Umsetzung des Übereinkommens des Europarats über Computerkriminalität und der Umsetzung des Rahmenbeschlusses 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme. Ziel des Übereinkommens ist die Schaffung eines strafrechtlichen Mindeststandards, um so Computersysteme und -daten zu schützen und gleichzeitig ihrem Missbrauch entgegenzuwirken. Sie sehen mit der Umsetzung der Vorgaben aus dem Europarat-Übereinkommen in nationales Recht eine Änderung und Ergänzung des § 202 a und eine Einfügung der §§ 202 b und 202 c StGB vor.
Das mit dem Gesetzentwurf verfolgte Ziel ist grundsätzlich richtig und zu begrüßen. Angesichts der technischen Entwicklungen in den vergangenen Jahren ist eine Verbesserung des geltenden Computerstrafrechts dringend geboten. Mit dem heute zu beschließenden Gesetzentwurf kann allerdings eine solche Verbesserung nur bedingt erreicht werden und es steht vielmehr zu befürchten, dass das Gesetz massive Probleme und weitreichende und negative Auswirkungen für die IT-Sicherheit und die Informations- und Kommunikationsbranche in Deutschland sowie für die IT-Sicherheitsforschung und den Forschungsstandort Deutschland zur Folge haben wird.
Bereits kurz nach Bekanntwerden des Gesetzentwurfes wurde dieser vonseiten der betroffenen Verbände, Unternehmen und Organisationen zu Recht massiv kritisiert. Stellvertretend seien hier der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) und die SAP AG genannt. Ähnlich kritisch äußerte sich im Übrigen auch der Bundesrat in seiner Stellungnahme vom 3. November 2006 und attestierte dem Gesetzentwurf der Bundesregierung Präzisierungsbedarf. Eindringlich wurde die Kritik dann sowohl im Expertengespräch im Unterausschuss Neue Medien des Deutschen Bundestages am 1. März 2007 als auch in der Sachverständigenanhörung des Rechtsausschusses des Deutschen Bundestages am 21. März 2007 dargelegt und bestätigt.
Als problematisch ist vor allem die Einfügung des § 202 c StGB zu sehen, mit dem typische Vorbereitungshandlungen unter Strafe gestellt werden, wie es dem Strafrecht - bis auf wenige Ausnahmen, zum Beispiel Vorbereitung von Geldfälschung - sonst fremd ist. Dieser Regelungsvorschlag ist vor allem deshalb problematisch, weil entsprechende Programme und Tools nicht nach ihrer Einsatzart, sondern vielmehr nach ihrem Aufbau definiert werden und so eine Unterscheidung in Programme, die zur Begehung von Straftaten hergestellt werden und solche, die ausschließlich für legale Zwecke hergestellt werden, schlichtweg nicht möglich ist. Lediglich in der Verwendung lassen sie sich unterscheiden. Überdies führt der in § 202 c gewählte Wortlaut zu einer Kriminalisierung der heute millionenfach verwendeten Programme, welche auch für das Entdecken von Sicherheitslücken in IT-Systemen notwendig sind. In der Sache konterkariert und gefährdet der Gesetzentwurf in seiner jetzigen Form massiv die lT-Sicherheit und die IT-Sicherheitsforschung in Deutschland.
Offenbar ist dem federführenden Rechtsausschuss diese Tatsache auch bekannt, denn in der Beschlussempfehlung des Gesetzentwurfes vom 23. Mai 2007 heißt es wörtlich: "Der Gesetzgeber wird die Auswirkungen der neuen Strafvorschriften genau zu beobachten haben. Sollten doch Programmentwickler und Firmen, die nicht aus krimineller Energie heraus handeln, durch diese neuen Strafvorschriften in Ermittlungsverfahren einbezogen werden, wird auf solche Entwicklungen zeitnah reagiert werden müssen."
Vor diesem Hintergrund ist es dann allerdings vollkommen unverständlich, warum ebendiese vorgetragenen Bedenken bei der Beratung des Gesetzentwurfes in der Fraktion und in den Ausschüssen des Deutschen Bundestages - welche insgesamt als völlig unzureichend zu beschreiben ist - völlig ignoriert worden sind. Auch wurden Vereinbarungen, für alle Seiten vertretbare Kompromisse zu suchen, schlichtweg nicht eingehalten. So verwundert es auch nicht, dass bei der abschließenden Beratung des Gesetzentwurfes der mitberatende Ausschuss für Bildung und Forschung einstimmig auf den noch immer bestehenden immensen Beratungsbedarf verwiesen, den federführenden Rechtsausschuss um Absetzung von der Tagesordnung und Verschiebung gebeten und die Abgabe eines mitberatenden Votums verweigert hat.
Aus den genannten inhaltlichen Gründen und angesichts dieses völlig unzureichenden Beratungsverfahrens in den Gremien des Deutschen Bundestages ist eine Zustimmung zu dem Gesetzentwurf in seiner jetzigen Form nicht möglich.

Anlage 13
Zu Protokoll gegebene Reden
zur Beratung des Entwurfs eines ... Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität (... StrÄndG) (Tagesordnungspunkt 23)
Siegfried Kauder (Villingen-Schwenningen) (CDU/ CSU): Wir befassen uns heute mit einem Gesetzentwurf, der deutsches materielles Computerstrafrecht in Teilbereichen an europarechtliche Vorgaben anpasst. Sowohl das Europarat-Übereinkommen über Computerkriminalität aus dem Jahr 2001 als auch der EU-Rahmenbeschluss über Angriffe auf Informationssysteme aus 2005 haben zum Ziel, gemeinsame strafrechtliche Mindeststandards zu schaffen. Durch den rasanten technischen Fortschritt auf dem Gebiet der modernen Kommunikationsformen ergaben sich im Bereich der Computerkriminalität Strafbarkeitslücken, die neue Tatbestände sowie Präzisierungen der geltenden Rechtslage erforderlich machen. Dies geschieht mit dem vorliegenden Gesetzentwurf der Bundesregierung in verantwortungsvoller Weise.
Es geht um ein hohes Schutzgut, nämlich um den Schutz von Informationstechnologiesystemen. Komplexe Attacken auf Computersysteme können erhebliche Schäden verursachen, das Vertrauen der Bürger in die Sicherheit des Internets untergraben und sensible öffentliche Informationsstrukturen gefährden. Daher werden zum Beispiel "Hacking", die Verbreitung von "Hacker-Tools" oder Angriffe auf Rechnersysteme durch sogenannte "Denial-of-Service-Attacken" mit dem Ziel, Internetseiten durch einen organisierten massenhaften Zugriff zu blockieren oder total ausfallen zu lassen, künftig unter Strafe gestellt.
Die Beratungen im Rechtsausschuss waren erkenntnisreich und über die Fraktionsgrenzen hinweg sehr konstruktiv. Kritik, die geäußert wurde, haben wir ernsthaft geprüft. Im Mittelpunkt der Diskussionen stand die vor allem aus der IT-Sicherheitsbranche vorgetragene Befürchtung, der neue § 202 c des Strafgesetzbuches, mit dem die Vorbereitung des Ausspähens und Abfangens von Daten unter Strafe gestellt wird, könnte zu weit gefasst sein. Befürchtet wird, dass auch das Testen von IT-Systemen mittels Computerprogrammen zur Überprüfung auf Sicherheitslücken strafbar sein könnte.
Dies ist aber nicht die Intention des Gesetzentwurfs. Ziel ist es, diejenigen strafrechtlich zur Verantwortung zu ziehen, die vorsätzlich Computerprogramme herstellen, sich verschaffen oder vertreiben, die in erster Linie dafür ausgelegt sind, Daten auszuspähen oder abzufangen. Dass es für solche Produkte einen Markt gibt, wissen wir.
Wer aber den Wortlaut des § 202 c genau liest, dem wird schnell klar, dass das Testen von IT-Systemen zum Zwecke der Sicherheitsüberprüfung nicht tatbestandsmäßig ist. Der objektive Tatbestand erfasst nur solche Programme, deren Zweck die Begehung einer Tat nach § 202 a oder § 202 b des Strafgesetzbuches ist. Maßgebend ist die objektive Zweckbestimmung des Programms.
Zugegebenermaßen hat mir die Formulierung des § 202 c das größte Kopfzerbrechen bereitet. Mein Vorschlag, das Wort "Zweck" durch den Begriff "Zweckbestimmung", zu ersetzen, um so auch sprachlich deutlich zu machen, dass nur die mit krimineller Absicht Handelnden erfasst sein sollen, hätte bedingt, auch andere Vorschriften zu ändern. Denn die vorgesehene Formulierung in § 202 c Abs. 1 Nr. 2 des Gesetzentwurfs, nach der es sich um "Computerprogramme, deren Zweck die Begehung einer solchen Tat ist", handeln muss, findet sich auch in § 263 a des Strafgesetzbuches und in § 22 b Straßenverkehrsgesetz wieder. Vor dem Hintergrund der Rechtsprechung des Bundesverfassungsgerichts, das mit Beschluss vom 9. Mai 2006 die Auslegung zu § 22 b Abs. 1 Nr. 3 StVG bestätigt hat, wonach die in Bezug genommene Straftat objektiver Zweck des Computerprogramms sein muss, bin ich zu dem Ergebnis gekommen, dass wir die Formulierung in § 202 c so wie im Gesetzentwurf vorgeschlagen beibehalten können. Ich begrüße es daher sehr, dass in der Beschlussempfehlung ausdrücklich darauf hingewiesen wird, dass es sich um so genannte "Schadsoftware" handeln muss, hingegen der branchenübliche Einsatz von Hacker-Tools durch Netzwerkadministratoren, die damit die Sicherheit des eigenen Datennetzes überprüfen wollen, nicht kriminalisiert wird.
Unter Strafe gestellt wird hingegen in Zukunft das bisher - zumindest nach dem Willen des Gesetzgebers - straflose "Hacking", also sich unbefugt Zugang zu einem Computer- oder Informationssystem zu verschaffen. Mit der neuen Fassung des § 202 a Strafgesetzbuch wird diese Form der Computerkriminalität unter Strafe gestellt. Es kommt künftig nicht mehr darauf an, dass sich der Täter unbefugt Daten verschafft, sondern der eigentliche Unwertcharakter der Tat - sich unberechtigterweise Zugang zu einem fremden Computersystem zu verschaffen - wird strafbar. Schließlich gefährdet das unbefugte Eindringen in einen Computer bereits das Geheimhaltungsinteresse des Berechtigten; denn wer einmal "drinnen" ist, der wird sich auch für den Inhalt der geschützten Daten interessieren. Insofern schafft der Gesetzentwurf in diesem Punkt - in Umsetzung von Art. 2 des Europarat-Übereinkommens - die erforderliche Klarheit.
Eine mit dem Siegeszug des Internets neu entstandene Kriminalitätsform ist die Computersabotage in der Form des organisierten massenhaften Zugriffs auf eine Internetseite mit dem Ziel der Blockade. Vor diesem kriminellen Phänomen stehen die Gerichte bisher machtlos, da die bestehenden Straftatbestände wie zum Beispiel der der Nötigung nicht greifen, illustrativ ist in diesem Zusammenhang der Beschluss des OLG Frankfurt am Main vom 22. Mai 2006, abgedruckt in der Zeitschrift "Strafverteidiger" 2007, Seite 244 ff. Das Gericht kam in dem Fall eines gezielten Angriffs auf die Homepage der Lufthansa am Tag ihrer Hauptversammlung im Jahr 2001 mangels einschlägiger Strafvorschriften zur Straflosigkeit des Angeklagten. Daher wird mit der Neufassung von § 303 b Abs. 1 Nr. 2 des Strafgesetzbuches eine solche Tathandlung, die in Schädigungsabsicht unternommen wird, künftig zu Recht unter Strafe gestellt. Es handelt sich hierbei nämlich nicht um eine zu billigende, womöglich sogar noch grundrechtlich geschützte "Internet-Demonstration", sondern um strafwürdiges Unrecht, das nicht unerhebliche wirtschaftliche Schäden verursachen kann.
Sie sehen also: Der Gesetzentwurf trägt den Bedürfnissen der Praxis Rechnung. Er schließt Strafbarkeitslücken, die schon länger als regelungsbedürftig angesehen wurden oder durch neuere technische Entwicklungen entstanden sind. Ich bitte daher um Ihre Zustimmung.
Dirk Manzewski (SPD): Mit dem hier abschließend debattierten Gesetzentwurf wollen wir den entsprechenden EU-Rahmenbeschluss zur Bekämpfung der Computerkriminalität umsetzen.
Leider bereitet die Computerkriminalität mit ihren internationalen Verflechtungen im In- und Ausland immer größere Probleme. Die stärkere Nutzung und Abhängigkeit unserer Gesellschaft von den neuen Informations- und Kommunikationstechnologien lädt verstärkt zum Missbrauch ein. Insbesondere komplexe Attacken gegen moderne Informationsstrukturen durch Viren, Würmer oder Trojaner verursachen dabei oft hohe Schäden.
Daher ist es aufgrund der Intention des EU-Rahmenbeschlusses nur folgerichtig, dass zukünftig bereits der unbefugte Zugang zu einem Computer- und Informationssystem als Ganzem oder zu einem Teil davon strafbar sein soll. Ferner soll das Sichverschaffen von Daten aus einer nichtöffentlichen Computerdatenübermittlung und aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage unter Anwendung technischer Hilfsmittel unter Strafe gestellt werden. Zudem soll bereits die Vorbereitung zu einer dieser beiden Taten durch Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder sonst Zugänglichmachen von Passwörtern oder sonstigen Sicherungscodes sowie von Computerprogrammen, deren Zweck die Begehung einer solchen Tat ist, unter Strafe gestellt werden.
Da der EU-Rahmenbeschluss relativ wenig Spielraum gelassen hat, ist der Gesetzentwurf auf überwiegende Zustimmung gestoßen. Kritik gibt es vor allem aus dem Bereich der IT-Sicherheitsbranche. Diese hat die Befürchtung, dass ihre Arbeit insbesondere durch den neuen § 202 c StGB quasi unmöglich gemacht wird. Wir haben diese Befürchtung sehr ernst genommen; denn es liegt auch in unser aller Interesse, dass die IT-Sicherheitsbranche ihre Arbeit zu unserem Schutz fortführen kann.
Ich meine jedoch, dass die angemeldeten Bedenken - soweit sie legale berechtigte Interessen vertreten - nicht zutreffen. Für eine Strafbarkeit im vorgenannten Sinne müssen nämlich zwei zwingende Voraussetzungen vorliegen. Zum einen müsste ein Computerprogramm benutzt werden, dessen Zweck gerade die Begehung einer Computerstraftat ist, und zum anderen muss die Tathandlung zwingend zur Vorbereitung einer Computerstraftat erfolgen. Möchte also zum Beispiel eine Bank ihr Sicherheitssystem überprüfen lassen und stellt dem IT-Sicherheitsunternehmen einen Geldautomaten hin, ist weder das Eindringen in das Sicherheitssystem noch die vorherige Herstellung der entsprechenden Software hierfür strafbar, da dieses jeweils nicht zum Zwecke einer Computerstraftat, sondern eben zur Überprüfung des Sicherheitssystems diente.
Gleiches würde gelten, wenn zum Beispiel Microsoft das Sicherheitssystem einer Firma überprüfen lassen möchte, welches mit ihrem Betriebssystem arbeitet. Auch dies wäre aus den gleichen Gründen nicht strafbar. Natürlich nur, wenn diese Überprüfung zuvor entweder individuell oder über den Lizenzvertrag vereinbart worden ist.
Die Besorgnis der IT-Sicherheitsbranche ist - soweit es ihre legale Arbeit und den gutwilligen Umgang mit Softwareprogrammen zur Sicherheitsüberprüfung betrifft - also nicht berechtigt. Nun wissen wir aber, dass sich die IT-Sicherheitsbranche gerne der Hinweise von Hackern bedient, deren Kick es eben ist, illegal in Netze einzudringen und dann die aufgedeckten Sicherheitslücken publik zu machen. Auch wenn diese kostenlose Information der Computercracks der Sicherheitsbranche zugegebenermaßen weiterhilft, ist dieses Interesse natürlich nicht schutzwürdig.
In Zeiten, in denen wir darüber debattieren, inwieweit staatliche Institutionen bei Verdacht von Straftaten Onlinedurchsuchungen vornehmen dürfen, kann es nicht akzeptiert werden, dass das Just-for-Fun-Eindringen in die Privatsphäre von Menschen oder in das Innerste von Unternehmen und Institutionen legalisiert wird.
Wir sind gleichwohl noch am überlegen gewesen, ob wir nicht durch eine Klarstellung im Gesetz, zumindest soweit es § 202 c StGB betrifft, noch einmal deutlicher machen, was der IT-Sicherheitsbranche erlaubt ist und was nicht. Wir sind dann aber davon abgekommen, da wir der Auffassung sind, dass das Gesetz insoweit deutlich genug ist und unsere Aufgabe nicht darin besteht - wie es ein Sachverständiger so trefflich ausdrückte -, hier juristisches Feuilleton zu betreiben.
Im Übrigen hätten dann auch Parallelvorschriften - namentlich § 263 a Abs. 3 StGB und § 22 b StVG - in anderen Gesetzen entsprechend geändert werden müssen. Dieses verbietet sich aber bereits deshalb, weil sich diese Vorschriften in der Praxis trefflich bewährt haben und schon deshalb kein Korrekturbedarf besteht. Deshalb können wir auch dem Änderungsantrag der Linkspartei nicht folgen.
Das vermeintliche Dual-Use-Tools-Problem sehen wir nämlich nicht. Man muss sich nur einmal genau den Straftatbestand anschauen, um festzustellen, unter welchen engen und eindeutigen Voraussetzungen eigentlich nur eine Strafbarkeit vorliegt. Gerade die §§ 263 a StGB und § 22 b StVG zeigen, dass insoweit eben kein Abgrenzungsproblem besteht.
Anders als der Linkspartei liegt uns auch daran, insbesondere den mittlerweile schamlosen offenen Verkauf von zum offensichtlichen Zwecke der Computerkriminalität hergestellten Computerprogrammen zu sanktionieren. Dies würde, folgte man dem Änderungsantrag, jedoch herausfallen. Gemeinsam mit der FDP und dem Bündnis 90/Die Grünen hat die Koalition für die Beschlussempfehlung im Übrigen noch eine Formulierungshilfe erarbeitet, die die Intention des § 202 c StGB unter Berücksichtigung von Art. 6 des Europaratsübereinkommens noch einmal deutlich machen soll.
Sabine Leutheusser-Schnarrenberger (FDP): Die rasante technische Entwicklung der vergangenen Jahre stellt das Strafrecht vor neue Herausforderungen. "Phishing" und "Hacking" sind zwei neue Phänomene der Computerkriminalität. In der Bevölkerung herrscht zu Recht eine große Besorgnis davor, dass sich Kriminelle mit immer neuen technischen Mitteln Zugang zu Passwörtern und ID-Kennungen verschaffen und so Zugang haben zu Finanztransaktionen, die heute online abgewickelt werden. Bereits das geltende Strafrecht bietet Möglichkeiten, um diesem kriminellen Verhalten zu begegnen.
Die Straftatbestände des Ausspähens von Daten, des Computerbetrugs, der Fälschung beweiserheblicher Daten und der unbefugten Datenerhebung und -verarbeitung bieten schon heute einen großen Schutz vor dem Ausspionieren persönlicher Daten im Internet. Das Übereinkommen des Europarats über Computerkriminalität vom 23. November 2001 und der Rahmenbeschluss des Rates der Europäischen Union vom 24. Februar 2005 über Angriffe auf Informationssysteme verpflichten den nationalen Gesetzgeber, darüber hinaus weitergehende Straftatbestände im Bereich der Computerkriminalität zu schaffen. Viele der geforderten Regelungen sind bereits im deutschen Recht umgesetzt. Der Gesetzentwurf beschränkt sich daher auf die Schließung von wenigen Lücken im Strafrecht. Eine europaweite Harmonisierung dieser Straftaten zur Bekämpfung der Computerkriminalität ist grundsätzlich zu begrüßen. Das nationale Strafrecht kommt bei der Bekämpfung der Computerkriminalität oft an seine Grenzen. Nur grenzüberschreitend, basierend auf gemeinsamen Normen, wird es möglich sein, diesen neuen Phänomenen der Kriminalität wirksam zu begegnen. Mit dem heutigen Beschluss reagiert der Deutsche Bundestag angemessen auf die berechtigten Sorgen der Bürgerinnen und Bürger vor einer Zunahme der Computerkriminalität, indem er wichtige Maßnahmen zur Sicherheit von modernen Informationssystemen ergreift.
Bei den Beratungen im Ausschuss haben wir uns mit besonderer Sorgfalt dem § 202 c StGB gewidmet. Danach wird bestraft, wer Passworte, sonstige Zugangscodes oder Programme, deren Zweck die Begehung einer Computerstraftat ist, herstellt. Dasselbe gilt, wenn jemand sie sich oder anderen verschafft, verkauft, überlässt, verbreitet oder sonst zugänglich macht.
Frühzeitig haben Vertreter der IT-Sicherheitsbranche darauf aufmerksam gemacht, dass durch die vorgeschlagene Formulierung die Gefahr besteht, dass ihr branchenübliches Verhalten dadurch möglicherweise kriminalisiert werden kann. Diese Bedenken haben wir sehr ernst genommen und sorgfältig diskutiert. Wir haben über verschiedene Textvarianten gesprochen, mit denen das Anliegen des Gesetzgebers deutlicher zum Ausdruck gebracht werden kann, so beispielsweise durch die Aufnahme von subjektiven Tatbestandsvoraussetzungen oder durch eine stärkere Ausrichtung auf die Zweckbestimmung. Im Ergebnis und nach intensiven Beratungen mit dem Bundesjustizministerium sind wir jedoch übereinstimmend der Auffassung, dass die vorgeschlagene Formulierung in § 202 c StGB sachgerecht ist und eine Überkriminalisierung nicht zu erwarten ist.
In letzter Zeit hat sich eine Branche etabliert, die Software anbietet, die allein den Zweck hat, bestimmte Sicherheits- und Zugangssperren zu knacken. Dafür wird auch in entsprechenden Publikationen offen geworben. Ziel der vorgeschlagenen Regelung ist es, dieses Verhalten ausdrücklich unter Strafe zu stellen. Die berechtigten Interessen der IT-Sicherheitsbranche, die ihre Software einsetzen zur Überprüfung der Sicherheit von Datennetzen, wird hiervon nicht erfasst. Dies ergibt sich auch klar aus den europarechtlichen Vorgaben, die mit dem Gesetzentwurf umgesetzt werden sollen.
Art. 6 des Europarats-Übereinkommens sieht eine objektive Beschränkung auf vorwiegend zu kriminellen Zwecken hergestellte oder angepasste Programme sowie eine subjektive Beschränkung dahingehend vor, dass der Umgang mit dem direkten Vorsatz geschehen muss, dass mit dem Programm eine der genannten Straftaten begangen wird.
Art. 6 Abs. l betrifft darüber hinaus nur den "unberechtigten Erwerb".
Zudem verweist Art. 6 Abs. 2 des Übereinkommens darauf, dass die Vorschrift nicht so ausgelegt werden darf, als begründe er die strafrechtliche Verantwortlichkeit in Fällen, in denen das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitiges Verfügbarmachen nicht zum Zweck der Begehung einer Straftat, sondern beispielsweise zum genehmigten Testen oder zum Schutz eines Computersystems erfolgt. In diesem Punkt ist die Gesetzesbegründung widersprüchlich. Dort heißt es, dass das Programm nicht ausschließlich für die Begehung einer Computerstraftat bestimmt sein muss. Es reiche aus, wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat ist. Ich begrüße sehr, dass sich die Fraktionen im Rechtsausschuss daher darauf geeinigt haben, eine gemeinsame Erklärung in die Beschlussempfehlung einzufügen, die hier eine notwendige Klarstellung vornimmt. Der Rechtsausschuss stellt fest, dass es der Wille des Gesetzgebers ist, dass § 202 c StGB im Sinne des Europarats-Übereinkommens auszulegen ist. Eine Kriminalisierung von sicherheitsrelevanten Handlungen soll daher ausgeschlossen werden. Die bloße Geeignetheit zur Begehung solcher Straftaten begründet keine Strafbarkeit. Die geforderte Zweckbestimmung muss eine Eigenschaft des Computerprogramms in dem Sinne darstellen, dass es sich um sogenannte Schadsoftware handelt.
Des Weiteren hat der Rechtsausschuss festgestellt, dass die sogenannten Massen-E-Mail-Proteste nicht den Tatbestand des § 303p StGB erfüllen, da sie von der Meinungsfreiheit nach Art. 5 GG gedeckt sind. Der Rechtsausschuss hat mit dieser Erklärung die berechtigten Interessen der IT-Branche angemessen berücksichtigt.
Es ist erfreulich, dass der Gesetzentwurf heute mit der großen Mehrheit des Deutschen Bundestages verabschiedet wird. Es ist gut, dass die Vertraulichkeit und Integrität des privaten PC vor fremdem Zugriff besser geschützt werden soll. Dies ist ein wichtiges Signal und ein guter Tag für die Rechtspolitik.
Jan Korte (DIE LINKE): Das vorliegende Strafrechtsänderungsgesetz der Koalition ist sicher gut gemeint. Meine Fraktion teilt das Ziel der Koalition, den Missbrauch von Telekommunikations- und Informationssystemen wirkungsvoll zu bekämpfen und damit einen Beitrag zur Sicherheit des IT-Standortes Deutschland zu leisten.
Jedoch, so gut das Ansinnen ist, so problematisch stellt sich der Gesetzesentwurf dar. Ein wesentliches Problem des Entwurfes ist die Vorfeldkriminalisierung im Bereich von Straftaten nach den §§ 202 a oder 202 b. Durch den neuen § 202 c sollen Vorbereitungshandlungen wie das Herstellen von Programmen kriminalisiert werden, wenn diese Programme dem Zweck dienen, Daten auszuspähen oder abzufangen. Das Problem dabei ist, dass sich der Zweck einer Software, die zum Ausspähen oder Abfangen von Daten geeignet ist, nicht aus dem Funktionsumfang der Software heraus erklärt. Viel mehr ist es der Anwender, der den Zweck der Software setzt. Mit der beabsichtigten Regelung, die genau diese Differenzierung nicht leistet, stellen Sie Softwareentwickler und IT-Sicherheitsexperten vor unlösbare Probleme. Jene sind nämlich zwingend darauf angewiesen, auf Software zurückzugreifen, die dazu geeignet ist, in gesicherte Systeme einzudringen oder Passwörter zu cracken, um die Sicherheit von Telekommunikations- oder IT-Systemen unter realistischen Bedingungen zu prüfen.
Ein IT-Sicherheitsberater, der beispielsweise von einer großen Bank beauftragt wird, die Sicherheit der verwendeten Passworte mittels eines Passwort-Knackers auf Herz und Nieren zu testen, würde mit einem Fuß im Gefängnis stehen, wenn er zur Erfüllung seines Auftrages eine entsprechende Software herstellen und testen würde. Ich kann mir nicht vorstellen, dass Sie auch nur einen Experten finden werden, der gewillt ist, das Risiko auf sich zu nehmen, sich auf diese Art und Weise strafbar zu machen. Der Experte wird den Auftrag ablehnen und die Bank müsste darauf verzichten, ihre Systemsicherheit einer Prüfung zu unterziehen.
An diesem Beispiel wird das Risiko deutlich, das der Gesetzesentwurf in sich birgt. Weil Kriminelle, die die Absicht verfolgen, in ein System einzudringen, um sich dort illegal Daten zu beschaffen oder das System selbst zu beschädigen, sich durch das Gesetz nicht davon abhalten lassen werden, ihr kriminelles Ansinnen zu verfolgen, die Bank in diesem Fall aber keine Möglichkeit mehr hat, ausreichende Abwehrmaßnahmen gegen einen Angriff zu treffen und unter realistischen Bedingungen zu testen, wird die IT-Sicherheit durch den Gesetzesentwurf mehr gefährdet als geschützt. Der Geschäftsführer eines mittelständischen IT-Sicherheitsunternehmens sagte mir in einem Gespräch, dass es das Aus für sein Unternehmen bedeuten würde, sollte das Gesetz so beschlossen werden.
Die Linke hat einen Änderungsantrag vorgelegt, der sich mit klaren und verständlichen Maßnahmen dieses Problems annimmt, indem von einer expliziten Befugnis zur Straflosstellung des zugrunde liegenden Übereinkommens des Europarats Gebrauch macht. Wir beantragen, den Umgang mit Computerprogrammen, die zur Vorbereitung von Straftaten nach den §§ 202 a oder b geeignet sind, nicht mit einer Strafandrohung zu versehen, sondern die tatsächlichen Rechtsgutsverletzungen wie das widerrechtliche Ausspähen oder Abfangen von Daten zu bestrafen. Diese kleine Änderung ermöglicht einen differenzierten Umgang mit Software, die auch, aber nicht nur zu Straftaten gebraucht werden kann.
Ich finde es sehr befremdlich, dass die Linke die einzige Fraktion ist, die sich dieses Problems annimmt und sich damit auch noch als einzige Fraktion um die Interessen des IT-Standortes kümmert. Also, geben Sie sich einen Ruck und stimmen Sie unserem Änderungsantrag zu. Alles andere würde in logischer Konsequenz bedeuten, dass wir auch den Besitz und das Inverkehrbringen von Küchenmessern verbieten müssen. Diese sind nämlich, genau wie die beschriebene Software, dual use tools, die sowohl einem nützlichen Zweck - Zwiebeln schneiden - als auch kriminellen Zwecken - Erstechen von Personen - dienen können.
Ich möchte noch auf einen weiteren Punkt der Kritik zurückkommen, die wir in unserem Änderungsantrag aufgegriffen haben. Ich glaube, dass mit dem § 303 b (Computersabotage), so wie Sie ihn vorgelegt haben, ein illegitimer Zweck verfolgt werden soll. Auch hier schießt der Entwurf über das Ziel hinaus, wenn die schlichte Eingabe und Übermittlung von Daten unter Strafe gestellt werden soll. Die Formulierung erfasst beispielsweise auch sogenannte Onlinedemonstrationen, bei denen nach aktueller Rechtsprechung noch unklar ist, inwieweit sie vom Recht auf freie Meinungsäußerung und dem Recht auf Versammlungsfreiheit geschützt sind. Bei einer Onlinedemonstration werden massenhaft Anfragen an eine Website geschickt mit dem Ziel, diese zu blockieren. Sie können das auch gerne mit einer Sitzblockade vergleichen, die das BVerfG ausdrücklich als nicht strafbar angesehen hat.
Wir vertreten die Auffassung, dass diese Form der Meinungsäußerung und der Versammlungsfreiheit nicht - wie es der Gesetzesentwurf vorsieht - unter Strafe gestellt werden darf. Dieser Auffassung ist übrigens nicht nur die Linke, sondern auch der Kollege Jörg Tauss von der SPD oder der Richter Sierk Hamann, der auch Mitglied der FDP ist. Selbst der ehemalige Innenminister Otto Schily hat ein mit der Onlinedemonstration vergleichbares Vorgehen in Erwägung gezogen, um Nazi-Websites zu blockieren. Jetzt will die Bundesregierung mit dem Passus zur Computersabotage vollendete Tatsachen schaffen und Onlinedemonstrationen unter Strafe stellen, ohne dass die Debatte um freie Meinungsäußerung im Internet auch nur annähernd abschließend geführt werden konnte, wie es unter anderem das Ministerkomitee des Europarates empfohlen hat.
Die Linke will das Demonstrationsrecht auch virtuell und hat in ihrem Änderungsantrag vorgeschlagen, dass Computersabotage nur dann unter Strafe gestellt wird, wenn es sich dabei tatsächlich um einen Sabotageakt, nicht aber um eine Form virtuellen Protestes handelt. Onlinedemonstrationen sind ein neues und legitimes Mittel, sich demokratisch zu engagieren und für viele Bürger sicher auch ein gutes Mittel gegen den Politfrust, den die Große Koalition erzeugt. Diese Bürger gehören nicht bestraft.
Für die Zukunft wünsche ich mir, dass nicht solche Kollegen mit Rechtsfragen rund um Computer befasst werden, die wie Herr Glos das Internet von anderen Leuten bedienen lassen oder sich wie Herr Schäuble ihre E-Mails selbst ausdrucken. Womöglich bleiben uns dann derartige Patzer wie in dem Entwurf, den wir hier beraten, erspart.
Jerzy Montag (BÜNDNIS 90/DIE GRÜNEN): Die Informationstechnologie entwickelt sich rasant. Die virtuelle Welt schafft einen neuen Freiheitsraum für Menschen, in kürzester Zeit und ohne großen Aufwand bisher unerreichbare Informationen zu erhalten, sich mit Menschen und Institutionen auf der ganzen Welt zu vernetzen und Informationen auszutauschen. Mit diesen neuen Möglichkeiten der IT-Technologie sind jedoch auch Gefahren gewachsen und ist eine Kriminalität entstanden, auf die das Strafrecht eine sachgerechte und angemessene Antwort finden muss. Der vorliegende Gesetzentwurf tut dies.
Wir haben die in der Öffentlichkeit vielfach geäußerten Bedenken, der Entwurf führe zur Gefährdung und Verfolgung von Menschen und Firmen, die nichts Unrechtes tun oder gar zu einer Überkriminalisierung, sehr sorgfältig geprüft. Unseres Erachtens sind jedoch die tatbestandlichen Grenzen, wie in einigen schon bestehenden Strafvorschriften, in denen Computerprogramme angesprochen werden, ausreichend klar formuliert. Den Bedenken der Kritiker wurde durch Klarstellungen, die wir in der Beschlussempfehlung des Rechtsausschusses formuliert haben, Rechnung getragen.
Nun konkret zu den Änderungen. Der Tatbestand des Ausspähens von Daten - § 202 a StGB - erfasst bisher nach seinem Wortlaut das ,,Verschaffen von Daten, die gegen unberechtigten Zugang besonders gesichert sind". Er wird jetzt als "Verschaffen des Zugangs zu Daten, die gegen unberechtigten Zugang besonders gesichert sind", sprachlich erweitert. Damit ist jedoch keine Ausweitung der Strafbarkeit verbunden, weil schon bisher von der Rechtsprechung der Zugang zu Daten mit dem Verschaffen von solchen gleichgesetzt wurde und eine Abgrenzung auch technisch schwer möglich ist.
Neu geschaffen wird der Tatbestand des Abfangens von Daten in § 202 b StGB. Wer also unbefugt nichtöffentliche - auch elektronische - Kommunikationsdaten abfängt, indem er sich für ihn nicht bestimmte E-Mails aus WLAN-Netzen verschafft, macht sich künftig strafbar. Was als Abhörverbot beim Telefonieren schon bisher galt, wird nun also auf neue Kommunikationsformen übertragen.
Die zentrale und von vielen kritisierte Neuerung betrifft den neuen § 202 c StGB - das Vorbereiten der Straftaten nach § 202 a oder § 202 b StGB. Künftig macht sich strafbar, wer vorsätzlich darauf hinarbeitet, dass unbefugt gesicherte Daten ausgespäht oder abgefangen werden können, indem er nämlich Passwörter oder Computerprogramme, deren Zweck in der Begehung einer der oben genannten Taten besteht, herstellt, verkauft, sich verschafft oder verbreitet. Damit zielt die Norm auf die zu unterbindende Verbreitung von Computerprogrammen, die aufgrund ihrer Bauart darauf ausgelegt sind, illegalen Zwecken zu dienen.
Kritisiert wurde, die Strafnorm gehe zu weit: Sie erfasse angeblich auch sogenannte dual use tools, also Computerprogramme, die gleichermaßen für legale wie für illegale Aktivitäten genutzt werden können. Diese auch in der Anhörung des Rechtsausschusses geäußerten Bedenken sind gewichtig, wir sind dem mit großer Sorgfalt nachgegangen. Im Ergebnis sind wir aber überzeugt, dass eine Änderung des Gesetzeswortlautes an dieser Stelle nicht erforderlich ist. Klar ist: Der branchenübliche befugte und gewollte Einsatz von Computerprogrammen durch Netzwerkadministratoren, mit denen diese zum Beispiel die Sicherheit von eigenen oder Kundendatennetzen prüfen wollen, wird von der Strafnorm nicht erfasst. In Zweifelsfällen wird helfen, dass es sich um Antragsdelikte handelt, es also ohne einen Kläger gar nicht zu Strafverfahren kommen wird.
Deshalb fürchten wir Grünen nicht, dass das Gesetz zu der befürchteten Überkriminalisierung führen wird. Jedoch haben wir uns - im Ergebnis erfolgreich - für Klarstellungen eingesetzt, die den vorgetragenen Bedenken Rechnung tragen. Der Bericht des Rechtsausschusses stellt nun klar, dass § 202 c StGB im Sinne des Art. 6 des Europarats-Übereinkommens auszulegen ist, also nur solche Computerprogramme erfasst werden sollen, die in erster Linie dafür hergestellt werden, um damit Straftaten nach § 202 a oder b StGB zu begehen. Ist das Computerprogramm dazu lediglich geeignet, wird es von der Strafnorm nicht erfasst. Es muss also Schadsoftware sein, vergleichbar der "Verfälschungssoftware" bei Tachometermanipulationen, wie es das Bundesverfassungsgericht in einer Entscheidung 2006 herausgearbeitet hat. Der Bericht des Rechtsausschusses weist zudem ausdrücklich darauf hin, dass § 202 c StGB in erster Linie auf professionelle Anbieter zielt, die - unter Gewinnerzielung - Computerprogramme bewerben und anbieten, die für die Begehung von Straftaten geschrieben werden.
Als dritten - uns Grünen nicht minder wichtigen - Punkt haben wir die Pflicht des Gesetzgebers betont, die Auswirkungen der neuen Strafvorschriften genau zu beobachten. Sollten also Programmentwickler und Firmen, die nicht aus krimineller Energie heraus handeln, durch die neue Strafnorm wider Erwarten doch in Ermittlungsverfahren verwickelt werden, muss der Gesetzgeber zeitnah reagieren und für Abhilfe sorgen.
Den neugefassten § 303 b StGB - Computersabotage - möchte ich nur kurz ansprechen Auch hier konnten wir eine Klarstellung durchsetzen. Der Bericht des Rechtsausschusses stellt klar, dass Massen-E-Mail-Proteste nicht unter § 303 b StGB fallen, weil es bei ihnen an der erforderlichen Nachteilszufügungsabsicht fehlt und sie von der Meinungsfreiheit nach Art. 5 GG geschützt sind.
Angesichts dieser richtigen und wichtigen Klarstellungen, die wir noch in den Beratungen des Rechtsausschusses zum Gesetzentwurf "Computerkriminalität" erwirken konnten, werden wir dem Gesetz heute unsere Zustimmung nicht versagen.
Alfred Hartenbach, Parl. Staatssekretär bei der Bundesministerin der Justiz: Die moderne Informationstechnologie und vor allem das Internet sind heute aus unserem Alltag nicht mehr wegzudenken. Das Internet macht es möglich, weltweit Verbindung zu halten und zu kommunizieren, es erlaubt große Transaktionen per Mausklick und stellt uns eine schier unerschöpfliche Fülle von Informationen zur Verfügung. Das Netz ist aber auch verletzbar. Von Cyber-Angriffen ist in der Presse immer wieder zu lesen. Zuletzt hat der "Spiegel" von anhaltenden sogenannten Denial-of-Service-Attacken auf die Websites der Regierung in Estland berichtet. Dabei handelt es sich um einen Angriff, bei dem ein Computer gezielt mit Tausenden E-Mails bombardiert wird, die seine Rechenkapazität überlasten und das System lahmlegen. Was das bedeutet, kann sich jeder lebhaft vorstellen.
Denken Sie nur an Angriffe gegen die Server von Staatseinrichtungen oder gegen sogenannte kritische Infrastrukturen wie Banken oder Kernkraftwerke. Wir müssen hier für Sicherheit sorgen, und dazu gehören auch klare technische Rahmenbedingungen nicht zuletzt im Strafrecht.
Dem dient der Ihnen heute vorliegende Gesetzentwurf. Die Denial-of-Service-Attacken sind dafür ein gutes Beispiel. Sie fallen künftig unter den Straftatbestand der Computersabotage. Außerdem wird der Schutzbereich der Computersabotage auf private Datenverarbeitungen ausgedehnt. Die besonders schweren Fälle der Computersabotage - wie der Angriff auf kritische Infrastrukturen - können künftig mit Freiheitsstrafe bis zu zehn Jahren bestraft werden. Das Gesetz dient dabei auch der Umsetzung des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme und der materiell-rechtlichen Vorgaben des Europaratübereinkommens über Computerkriminalität in unser nationales Recht. Diese internationalen Standards werden das Computerstrafrecht weiter verbessern. Neben der bereits genannten vorgesehenen Änderung möchte ich drei weitere Punkte herausgreifen. Erstens. Klargestellt werden soll, dass das "Hacking", das heißt das Knacken von Computersicherheitssystemen, strafbar ist. Es kann nicht hingenommen werden, dass ohne Einverständnis des Betroffenen in seinen Datenbestand eingedrungen werden darf. Künftig soll daher bereits der unbefugte Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen in § 202 a des Strafgesetzbuches unter Strafe gestellt werden.
Zweitens. Besonders gefährliche Vorbereitungshandlungen zu Computerstraftaten werden künftig strafbar sein. Sanktioniert wird die Vorbereitung einer Computerstraftat insbesondere durch das Herstellen, Überlassen, Verbreiten oder Verschaffen von Computerprogrammen, deren Zweck die Begehung einer Computerstraftat ist.
Weil es durch teilweise unsachliche Kritik einige Irritationen in der Öffentlichkeit gab und weil auch die Debatten in den Fraktionen davon nicht immer ganz frei waren, möchte ich an dieser Stelle noch einmal festhalten: Es geht nicht darum, die IT-Sicherheitsbranche zu kriminalisieren. Diese kann sich selbstverständlich auch weiterhin zu Zwecken des genehmigten Testens Hacker-Tools verschaffen. Auch Computerprogramme, die der Sicherheitsüberprüfung, der Entwicklung von Sicherheitssoftware oder der Ausbildung in der IT-Sicherheitsbranche dienen, werden nicht erfasst. Diesem Anliegen wird mit einer engen Formulierung des Tatbestandes Rechnung getragen. Erfasst werden nur Schadprogramme, denen die illegale Verwendung immanent ist, die also nach Art und Weise des Aufbaus oder ihrer Beschaffenheit auf die Begehung von Computerstraftaten angelegt sind. Dass solche Programme - hierzu gehören Viren, Würmer, Trojaner und entsprechende Bausätze sowie auch sogenannte Hacker-Tools - im Netz nichts verloren haben, ist eine Selbstverständlichkeit.
Drittens. Es gibt keinen Grund, die Vertraulichkeit des immer wichtiger gewordenen E-Mail-Verkehrs weniger zu schützen als den Briefverkehr oder Telefongespräche. In einem neuen § 202 b des Strafgesetzbuches soll daher das Verschaffen von Daten aus einer nicht öffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage unter Strafe gestellt werden.
Die Änderungen durch den Gesetzentwurf stellen eine sachgerechte Modernisierung unseres Computerstrafrechts dar. Sie ermöglichen Deutschland, seine internationalen Verpflichtungen zu erfüllen. Ich bitte Sie daher um Zustimmung zu dem Gesetz.