Vortrag gehalten auf der nrwconf 2009 am 28.08.2009 in Wuppertal

1. Neues im Computerstrafrecht RA und FA für IT-Recht Stephan Schmidt schmidt@teclegal-rheinmain.de

2. Agenda Grundlagen des Computerstrafrechts Ausspähen von Daten Abfangen von Daten Datenmanipulation/Computersabotage „Hackerparagraph“ Q & A

3. Grundlagen des Computerstrafrechts Straftaten bei denen der Computer als Tatmittel oder als Gegenstand der Handlung verwendet wird. Computerbetrug, Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung, Datenveränderung, Computersabotage, Ausspähen von Daten Neuregelungen basieren im wesentlichen auf der „CybercrimeConvention“ (Europarecht)

4. Ausspähen von Daten § 202a StGB „elektronischer Hausfriedensbruch“ Freiheitsstrafe bis zu 3 Jahren oder Geldstrafe Bereits der unbefugte Zugang zu Daten ist strafbar Daten müssen nicht „verschafft“ oder genutzt werden

5. Abfangen von Daten § 202b StGB Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe Auch ungeschützt und unverschlüsselt übermittelte Daten sind erfasst (Abhören von WLANs) Ausdehnung des Schutzes, da Überwindung einer Verschlüsselung nicht mehr nötig ist

6. Datenmanipulation/Computersabotage § 303a StGB „virtuelle Sachbeschädigung“ Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe Auch Privatcomputer erfasst  „wesentliche Bedeutung der Datenverarbeitungsanlage“ Verschärfung des Strafrahmens bei Unternehmen und Behörden (bis zu 10 Jahre) Auch Vorbereitungshandlungen erfasst

7. „Hackerparagraph“ I § 202c StGB Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

8. „Hackerparagraph“ II Soll besonders gefährliche Vorbereitungshandlungen bestrafen Mögliche Tathandlungen: Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten, Zugänglichmachen Keine Ausnahmeregelung vorgesehen Problem: Dual-Use-Software – Wer bestimmt den Zweck?

9. „Hackerparagraph“ III Abstellen auf Vertriebskonzept Positive Kenntnis von der rechtswidrigen Verwendung Hersteller von Dual-Use-Software durch Unschuldsvermutung geschützt Nutzer muss Software „zur Vorbereitung“ einer Straftat einsetzen

10. „Hackerparagraph“ IV Klärung der Fragen in der Praxis? Strafanzeigen ohne Ergebnis Verweis auf „Jack the Ripper“ von BSI-Website  „keinerlei hinreichende Vorstellung“ bezüglich einer Straftat Bundesverfassungsgericht (2 BvR 2233/07 - Beschluss vom 18.5.2009) „Tatobjekt in diesem Sinn kann nur ein Programm sein, dessen Zweck auf die Begehung einer Straftat nach § 202a StGB (Ausspähen von Daten) oder § 202b StGB (Abfangen von Daten) gerichtet ist. Das Programm muss mit der Absicht entwickelt oder modifiziert worden sein, es zur Ausspähung oder zum Abfangen von Daten einzusetzen. Außerdem muss sich diese Absicht objektiv manifestiert haben.“

11. „Hackerparagraph“ V Praxistipps Vorsatz hinsichtlich einer Verwendung zur Vorbereitung verneinen In der Werbung sollte der Zweck des Programms zur Prüfung der IT-Sicherheit herausgestellt werden. Systemadministratoren sollten Prüfung streng protokollieren (inklusive schriftlichem Auftrag) Unternehmen können Risiko durch Vergabe von Sicherheitstest an externe Dritte minimieren

12. Q&A Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht teclegal Rhein-Main Rechtsanwälte schmidt@teclegal-rheinmain.de