Machen sich Administratoren strafbar, wenn sie Programme benutzen, die der deutsche Paragraf 202c StGB zu den so genannten Hacker-Tools zählt? Ein Sicherheitsdienstleister möchte nun mit einer Verfassungsbeschwerde für Rechtssicherheit sorgen.
Der Paragraf 202 des Strafgesetzbuchs verbietet seit seiner Änderung und Verschärfung im August 2007 de facto all jene Werkzeuge, die Systemadministratoren für Absicherung ihrer Netzwerke und Rechner benötigen (wir berichteten). Zwar betonen Gerichte und Politik, dass das Gesetz nur in dem Falle zur Anwendung komme, wenn entsprechende Software im Rahmen einer strafbaren Handlung benutzt würde, doch beruhigen kann das die Betroffenen bisher nicht. Die Unsicherheit ist hoch, Präzedenzfälle liegen noch keine vor. Erste Strafanzeigen wurden fallengelassen.
Klarheit erhofft sich jetzt der Sicherheitsdienstleister Visukom aus Stegaurach bei Bamberg. Dessen Geschäftsführer Marco Di Filippo hat eine Verfassungsbeschwerde beim Bundesverfassungsgericht in Karlsruhe eingereicht (Aktenzeichen 2BVR223307). “Wir erwarten eine Änderung beziehungsweise Erweiterung des Gesetzes, um mehr Rechtssicherheit für unsere Arbeit zu bekommen,” erklärt Di Filippo im Gespräch mit dem Linux Magazin Online. Er sieht sein Unternehmen gefährdet, sollte die rechtliche Lage nicht bald zweifelsfrei geklärt werden. “Noch sind unsere Umsätze stabil, aber wenn sich die ersten Auswirkungen des Paragrafen 202c zeigen sollten, sind alleine bei uns 35 Arbeitsplätze gefährdet,” sagt der Unternehmer, der insgesamt 70 Mitarbeiter beschäftigt.
Die 1996 gegründete Firma Visukom bietet zahlreiche Dienstleistungen in verschiedenen Bereichen an. Mehr als die Hälfte des Umsatzes des Unternehmens macht ICT-Security (Information- and Communications Technology Security) aus. Dabei werden unter anderem auf ausdrücklichen Wunsch der Kunden so genannte Penetrationstests durchgeführt. Diese realitätsnahen simulierten Hacker-Angriffe ermöglichen, Sicherheitsschwachstellen in den Netzinfrastrukturen von Unternehmen zu finden. Dienstleistungen im Bereich ICT-Security waren bislang völlig legal, sie dienen schließlich der IT-Sicherheit. Die Firmen haben ICT-Netzinfrastrukturen Sicherheitsrisiken aufgespürt und die Schwachstellen beseitigt. Ob sie das jetzt immer noch dürfen, ist ungewiss. Der neue Gesetzestext des Paragrafen 202c verbietet dem Wortlaut nach allerdings, diese Art von Dienstleistungen anzubieten. Damit stellt er die wirtschaftliche Existenz zahlreicher Anbieter der Branche in Frage.
“In der gesamten IT-Sicherheitsbranche besteht derzeit große Unsicherheit über die durch die Einführung des Paragrafen 202c StGB geschaffene Möglichkeit der Strafverfolgung von grundlegenden Tätigkeiten ihres gesamten Gewerbezweigs,” erklärt Di Filippo. Genau aus diesem Grunde suchte er einen Anwalt, der die Verfassungsbeschwerde mit ihm zusammen durchkämpfen würde. Gefunden hat er ihn in Thomas Feil, Fachanwalt für Informationstechnologierecht. Dieser war wiederum auf der Suche nach einem Unternehmen, oder besser gesagt einer betroffenen, natürlichen Person, die eine entsprechende Beschwerde einzureichen bereit war. Denn nur diese können eine solche Beschwerde führen. Der Anwalt betont die Bedeutung des Falls: “Die hier geführte Verfassungsbeschwerde ist von allgemeiner Bedeutung, da sie grundsätzlich verfassungsrechtliche Fragen aufwirft und die zu erwartende Entscheidung über den Einzelfall hinaus Sicherheit über die Rechtslage in einer Vielzahl gleich gelagerter Fälle schafft. Mit dem Ergebnis dieses Verfahrens kann für diesen Berufszweig endgültig Klarheit über die Strafbarkeit seiner Tätigkeit erzielt werden.”
Ähnlich sehen das eine Reihe von Unternehmen, die nicht namentlich genannt werden wollen. Marco Di Filippo berichtet, seit seine Verfassungsbeschwerde bekannt geworden sei bekomme er täglich Dutzende Mails von ebenfalls betroffenen Firmen, die im gleichen Wirtschaftssektor tätig sind. Sie danken ihm für sein Engagement in der Sache und wünschen ihm Erfolg. Eine Entscheidung wird in etwa fünf Monaten erwartet. So lange soll das Verfahren höchstens dauern.
