|
Die aktuellen Tarife für's HackenJede Freizeitbeschäftigung hat ihren Preis. Zu den exclusiven, superteuren Hobbies würde ich das Hacken zählen. Nicht wegen der wucherähnlichen Gebühren der Post. So ärgerlich die auch sein mögen, das allein wäre noch erträglich. Gemeint sind die aktuellen "Tarife", die ein Hacker zu "bezahlen" hat, wenn er sich erwischen läßt. Der NASA-Hack, der wieder viele unbedarfte Nachahmer motivieren dürfte, sowie die jüngsten Hausdurchsuchungen beim CCC - Steffen und Wau - wegen angeblicher Hacks bei CERN (Schweiz) und Philips (Frankreich) sind ein guter Anlaß, die Tarifstruktur durchschaubar zu machen. Mit Wirkung vom 1.8.1986 sind die in der Presse sogenannten Anti-Hacker-Gesetze in Kraft getreten. Korrekt geht es um das zweite Gesetz zur Bekämpfung von Wirtschaftskriminalität (2. WiKG). Nachfolgend wollen wir einmal betrachten, was diese Gesetze dem Hacker so zu bieten haben. Für den preiswerten Einstieg (bis zu 2 Jahren Freiheitsstrafe oder Geldstrafe) wäre zunächst der neue § 202a StGB zu nennen. Besonderer Vorteil: Jederzeit problemlos zu buchen! In § 202a StGB wird das "Ausspähen von Daten" unter Strafe gestellt. Strafbar macht sich, "wer unbefugt Daten, die nicht für ihn bestimmt und gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft". Es müssen also Daten sein, die nicht für einen bestimmt sind und für die man keine Zugangsberechtigung hat. Soweit, so gut. Es muß sich also um Daten handeln, die "besonders gesichert" sind, welche man sich oder einen anderen "verschafft". Was aber ist unter "besonders gesichert" und "verschaffen" i.S.d. § 202a StGB zu verstehen? Fraglich ist vor allem, ob schon ein einfacher und normaler Paßwortschutz die Daten besonders sichert. Da es kaum einen simpleren und primitiveren Schutz von Daten gibt als eine Paßwortabfrage, kann man also wohl kaum von einer besonderen Sicherung sprechen. Andererseits ist ein Paßwort die derzeit technisch unkomplizierteste, wirtschaftlich vertretbarste und zugleich auch praktisch sinnvollste Schutzmaßnahme. Außerdem hat der Besitzer der Daten durch einen Paßwortschutz hinreichend deutlich gemacht, daß diese Daten nur befugten Personen zur Verfügung stehen sollen, und daß er sich um die Abwehr von Unbefugten ernsthaft bemüht. Damit sind die Voraussetzungen erfüllt, die der Gesetzgeber erfüllt wissen wollte, um einen strafrechtlichen Schutz von Daten zu gewähren. Gerichtsentscheidungen sind, soweit mir bekannt, hierzu noch nicht ergangen. Die soeben ausgeführte Argumentation halte ich für richtig, und sie ist im juristischen Schriftum inzwischen vorherrschend. Von daher ist davon auszugehen, daß eine Strafbarkeit wegen Ausspähens von Daten schon dann in Betracht kommt, wenn die Daten nur durch eine Paßwortabfrage gesichert sind. Damit sind wir bei dem Problem: Wann hat man sich (oder einem anderen) Daten "verschafft"? Zum einen, wenn man selbst von den Daten Kenntnis erlangt (also wenn man sie liest) bzw. einem anderen die Kenntnisnahme ermöglicht. Auch ohne Kenntnisnahme sind die Daten "verschafft", wenn man sie in Besitz nimmt. Das wäre der Fall, wenn die fremden Daten auf einem Datenträger mitgespeichert oder auf Papier ausgedruckt werden. Wer also den Paßwortschutz eines Systems knackt und sich dann in dem System umsieht, das heißt Daten liest oder downloaded, hat den § 202a StGB fest gebucht. Wer erwischt wird, könnte sich allerdings darauf berufen, er habe nur das Paßwort geknackt, sich dann aber sofort wieder ausgeloggt, ohne sich im System weiter umgesehen zu haben. Das ist zwar kaum wahrscheinlich, das Gegenteil dürfte aber nur schwer zu beweisen sein. Fraglich ist, ob diese Argumentation geeignet ist, einer Strafe wegen Ausspähens von Daten zu entgehen. Immerhin ist das erhackte Paßwort auch ein Datum, was man sich verschafft hat. Und zwar eins, das besonders geschützt ist: Quasi durch das Paßwort selbst! Warten wir ab, wie die Gerichte entscheiden werden, Festzuhalten bleibt, daß wer in eine durch Paßwortabfrage gesicherte Mailbox, Datenbank oder ein sonstiges Rechnersystem (vorsätzlich) unbefugt eindringt, mit einer Strafe wegen Ausspähens von Daten zu rechnen hat. Als kleines Bonbon für gefrustete Hacker: Der Versuch ist nicht unter Strafe gestellt. Außerdem wird die Straftat nur auf Antrag des Verletzten verfolgt. D.h., daß die Staatsanwaltschaft von sich aus die Tat nicht verfolgen kann. Soweit der Billigtarif für Einsteiger. Aber das Gesetz hat für extravagante Kunden auch noch teurere Angebote auf Lager. Z.B. für solche, die Daten zerstören oder verändern. Dazu zählen auch der Einsatz von Viren oder (die wohl auch beim NASA-Hack eingestzten) Trojanischen Pferde. Damit sind wir beim Thema Datenveränderung (§ 303a StGB) und Computersabotage (§ 303b StGB). Der Tarif für die schlichte Datenveränderung ist noch relativ moderat: Es wird Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe geboten. Computersabotage kommt schon teurer: Freiheitsstrafe bis zu 5 Jahren oder Geldstrafe. Manche Hacker werden sich jetzt vielleicht in die Brust werfen, bekannte Phrasen über "Hacker-Ethos" ablassen und kategorisch feststellen: "Hacker sabotieren nicht." - Doch! So zum Beispiel die NASA-Hacker! (Oder waren das gar keine "Hacker" ???) Zunächst zur Datenveränderung. Bestraft wird, wer Daten "löscht, unterdrückt, unbrauchbar macht oder verändert". Da ist das Gesetz einmal so erfreulich deutlich, daß es auch dem Laien kaum noch kommentiert zu werden braucht. Praktisch jede Manipulation von gespeicherten Daten wird von der Norm erfaßt. Dazu gehört natürlich auch das Ergänzen von Daten, zum Beispiel das Einfügen eines neuen Paßworts in die Passwort-Datei. Fast überflüssig zu erwähnen, daß Programme selbstverständlich auch Daten sind. Werden Programme durch Viren oder Trojanische Pferde verändert, so liegt eine strafbare Datenveränderung vor. Dies kommt ebenso in Betracht, wenn Daten an einen anderen Empfänger umgeleitet oder sonst abgefangen werden. Im Gegensatz zum Ausspähen von Daten ist hier auch schon der Versuch strafbar. Stümperei schützt also vor Strafe nicht! Verfolgt wird die Datenveränderung - wie auch die im Anschluß vorgestellte Computersabotage - nur auf Antrag. Bei besonderem öffentlichen Interesse kann die Staatsanwaltschaft aber auch von Amtswegen, also ohne Strafantrag des Verletzten, einschreiten, Die Computersabotage (§ 303b StGB) soll uns hier nur in ihrer ersten Fallgestalt (§ 303b I Nr. 1 StGB; Nr.2 bezieht sich nur auf Beschädigung von Hardware) interessieren. Dort baut sie auf der Datenveränderung auf. Computersabotage ist demnach eine Datenveränderung (wie oben dargestellt), wenn dadurch "eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist", gestört wird. "Von wesentlicher Bedeutung" ist eine DVA, wenn von ihrem störungsfreien Ablauf die Funktionstüchtigkeit des Betriebes im Ganzen abhängt. Dies betrifft heute, rasch zunehmend, die meisten Betriebe, Unternehmen oder Behörden, die eine elektronische Datenverarbeitung einsetzen. Keineswegs falsch dürfe die Annahme sein, daß die EDV-Anlagen der NASA und der ihr angeschlossenen Forschungsinstitute für ihre Betreiber eine wesentliche Bedeutung haben. In diesen Anlagen der NASA (und anderer Institute) sind bei dem NASA-Hack Daten durch Einsatz von Trojanischen Pferden verändert worden. Damit haben die NASA-Hacker ein schönes Beispiel für eine Computersabotage geliefert. Auch bei der Computersabotage ist schon der Versuch strafbar. Zur Erforderlichkeit eines Strafantrags siehe oben. Im folgenden zweiten Teil dieses Artikels werden die etwas teureren Normen vorgestellt und Überlegungen angestellt, ob und wie unter bestimmten Umständen straffreies Hacken möglich sein könnte. Hackern, denen selbst bei Androhung von bis zu fünf Jahren Freiheitsstrafe noch der rechte Nervenkitzel fehlt, kann geholfen werden. So sind im Rahmen der "Anti-Hacker-Gesetze" Normen eingeführt worden, nach denen in besonderen Fällen bis zu 10 und sogar bis zu 15 Jahren Freiheitsstrafe verhängt werden kann. Mehr hat unser Strafrecht selbst einem Totschläger nicht zu bieten. Die Normen, bei denen die angesprochenen hohen Strafen (in besonders schweren Fällen) ve.rhängt werden können, sind der Computerbetrug (§ 263a StGB) und die Fälschung beweiserheblicher Daten (§ 269 StGB). Hier sind wir wieder an einem Punkt, wo "ehrliche" und "ehrenhafte" Hacker aufbegehren werden: "Betrügen tun wir wirklich nicht!" - Nein, wirklich nicht? Da wäre ich mir gar nicht so sicher. Der Computerbetrug nach § 263a StGB baut auf dem "normalen" Betrug auf. Er soll Strafbarkeitslücken schließen, wenn statt eines Menschen ein Computer "betrogen" wird. Daher sei hier zunächst der schlichte Betrug nach § 263 StGB erklärt. Der Betrug nach § 263 StGB setzt in Kurzform folgendes voraus: Der Täter nimmt einem anderen gegenüber eine Täuschungshandlung vor. Diese bewirkt bei dem Getäuschten einen Irrtum. Aufgrund dieses Irrtums nimmt der Getäuschte eine vermögensschädigende Verfügung über eigenes oder fremdes Vermögen vor. Beim Computerbetrug nach § 263a StGB ist die Vermögensschädigung eines Dritten nun auch strafbar, wenn nicht eine Person, sondern ein Computer durch Eingriffe ins Programm oder durch Manipulation von Daten etc. "getäuscht" wird. Ein einfaches Beispiel für einen Computerbetrug: Bankangestellter A manipuliert die im Computer seiner Bank gespeicherten Daten so, daß sein Minuskonto wieder einen schönen Guthabenbetrag ausweist. Fälle dieser Art mögen dem Gesetzgeber in erster Linie vorgeschwebt sein, als er den § 263a einführte. Aber die Anwendbarkeit des Computerbetrugs geht erheblich weiter. So ist der Gebrauch von "Leih-NUI's" unproblematisch als Computerbetrug zu bewerten. Denn das Vermögen des NUI-Inhabers wird dadurch geschädigt, daß durch unbefugte Benutzung von Daten (NUI Teil A und B) der Ablauf eines Datenverabeitungsvorgangangs (beim PAD durch Leistungsgewährung an den Unberechtigten) beeinflußt wird. Dieser Vermögensschaden ist "stoffgleich" mit dem Vermögensvorteil, den der Täter anstrebt und auch erwirbt. Damit liegen die Voraussetzungen des Computerbetrugs vor. Entsprechend dürften, abhängig vom Einzelfall, die Voraussetzungen eines Computerbetruges auch dann vorliegen, wenn mit einem fremden oder falschen Paßwort ein anderes Netzwerk für eine preiswerte Datenreise geöffnet wird. Von daher könnte auch unter diesem Gesichtspunkt beim NASA-Hack ein Computerbetrug begangen worden sein. Allgemein ist zu den Voraussetzungen des Computerbetrugs noch anzumerken, daß strafbar nur die vorsätzliche Handlung ist. Wie schon angedeutet, muß zusätzlich, wie bei § 263 auch, der Täter die Absicht haben, sich durch seine Handlung einen rechtswidrigen Vermögensvorteil zu verschaffen. Auch beim Computerbetrug ist schon der Versuch strafbar. Abschließend kommen wir zur Fälschung beweiserheblicher Daten (§ 269 StGB). Bestraft wird nach dieser Norm, wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, daß bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde entstehen würde. Ebenso bestraft wird, wer derart gespeicherte oder veränderte Daten gebraucht. Aufgrund des doch recht beträchtlichen Strafrahmens - es können bis zu fünf, und wie bereits dargelegt, in besonders schweren Fällen bis zu 15 Jahren Freiheitsstrafe verhängt werden - soll hier etwas näher erläutert werden, wann eine Strafbarkeit nach § 269 StGB vorliegen könnte. § 269 StGB knüpft an den § 267 StGB (Urkundenfälschung) an. Im Unterschied zu Urkunden sind Daten nicht unmittelbar wahrnehmbar. Die Daten sind im Hauptspeicher des Computers oder auf Datenträger gespeichert. Dort sind sie für den Menschen nicht ohne Hilfsmittel sichtbar. Erst wenn die Daten auf einem Bildschirm angezeigt oder von einem Drucker ausgedruckt werden, sind sie wahrnehmbar. Frühestens dann könnten die Daten eine Urkunde sein. Der Gesetzgeber wollte die Strafbarkeit aber vorverlegen auf den Zeitpunkt der Manipulation der Daten. Das hat den Vorteil, daß die Strafbarkeit nicht zufällig davon abhängt, ob bzw. wann die Daten sichtbar gemacht werden. Deswegen ist in § 269 StGB unter Strafe gestellt worden, beweiserhebliche Daten so zu manipulieren, daß diese Daten - wären sie unmittelbar wahrnehmbar - eine unechte oder verfälschte Urkunde darstellen würden Entscheidend ist, was unter einer unechten oder verfälschten Urkunde zu verstehen ist. Eine unechte Urkunde würden die Daten bei ihrer Wahrnehbarkeit sein, wenn über den Aussteller der Urkunde getäuscht wird. Also wenn die Daten nicht von demjenigen stammen, von dem sie zu stammen scheinen. Verfälscht wird eine Urkunde, wenn eine zunächst echte Urkunde so verändert wird, daß ihr Inhalt dem Erklärenden (Austeller) nicht mehr zuzurechnen ist. Ebenfalls bestraft wird das Gebrauchen der in oben beschriebener Weise manipulierten Daten. Ein Gebrauchen liegt z.B. vor, wenn dem zu Täuschenden die Daten auf einem Datenträger überlassen oder am Bildschirm sichtbar gemacht werden. Dazu ein Beispiel: Banklehrling L "spielt" an dem Rechner seines Kreditinstituts herum. Dabei manipuliert er die im Rechner gespeicherten Daten so, daß sein Girokonto endlich mal wieder schwarze Zahlen zeigt. Außerdem richtet er sich ein neues Sparbuch mit einem Guthaben von 100.000,- DM ein. - Im ersten Fall würde bei Wahrnehmbarkeit der Daten eine verfälschte, im zweiten eine unechte Urkunde vorliegen. Gut, so etwas tut ein Hacker nicht. Aber eine NUI "leiht" er sich doch schon einmal aus. Dabei ist die Rechtslage nicht so zweifelsfrei wie bei dem obigen Beispiel, aber eine Fälschung beweiserheblicher Daten kommt auch dort in Betracht. Denn durch Eingabe der NUI Teil A und B scheint doch der NUI-Inhaber zu erklären, daß er die Verbindung zum PAD hergestellt hat und für die anfallenden Gebühren (notgedrungen) aufkommen will. Wären diese beweiserheblichen Daten unmittelbar wahrnehmbar, würden sie wohl als Urkunde einzustufen sein. In der Literatur ist dieses Beispiel noch nicht erörtert worden, aber mir scheint, daß man hier das Vorliegen eines Delikts der Fälschung beweiserheblicher Daten bejahen müßte. Damit sind die wichtigsten Tariffragen für Hacker geklärt. Klar dürfte jetzt sein, daß es kaum möglich ist, zu hacken, ohne sich strafbar zu machen. Damit stellt sich für Einzelpersonen und Vereine, die die Unsicherheit der Netze erforschen und aufdecken wollen (und nur um die soll es hier gehen - Hackern die aus Purer Neugier, Geltungssucht oder sogar Gewinnsucht handeln, kann und will ich nicht helfen) die Frage, ob und wie sie noch hacken können, ohne ein großes Strafrisiko auf sich zu nehmen. Denn eins steht fest: Der legendäre HASPA-Coup des CCC ließe sich bei der heutigen Gesetzeslage nicht wiederholen, ohne daß die Akteure mit Freiheits- und/oder Geldstrafen rechnen müßten! Theoretisch bieten sich zwei Möglichkeiten an. Die erste Möglichkeit wäre, sich um die Gesetze nicht viel zu scheren, aber dafür zu sorgen, daß einem nichts nachgewiesen werden kann. Die zweite Möglichkeit wäre so vorzugehen, daß man sich trotz raffinierter Hacks nicht strafbar macht. Wenden wir uns zunächst der ersten Möglichkeit zu, Sie hat den Vorteil, daß man sich kaum Einschränkungen beim Hacken auferlegen müßte. Der große Nachteil ist der gewaltige Risikofaktor dabei. Da ja Zweck der ganzen Übung sein soll, sich nach einem erfolgreichen Hack an die Öffentlichkeit zu wenden, um die Sicherheitslücken publik zu machen, muß man zwangsläufig den Kopf aus der Deckung nehmen und damit auch den Strafverfolgungsbehörden eine Angriffsfläche bieten. Es scheint sich nur eine halbwegs erfolgversprechende Lösung anzubieten, wie man dennoch einer Bestrafung entgehen könnte. Dies wäre ein Vorgehen, ähnlich wie es der CCC beim NASA-Hack praktiziert hat. Man bekennt nicht, die Tat selbst verübt zu haben. Stattdessen schiebt man den großen Unbekannten vor, der die Tat begangen habe, die man selbst nun für ihn publik mache. Solange sich nicht beweisen läßt, daß der Unbekannte eine Erfindung ist und der wahre Täter der den Hack Publizierende ist, kann letzterer auch nicht bestraft werden. Da derjenige, der den Hack publiziert, angeblich nicht Täter ist, ist er grundsätzlich als Zeuge zur Aussage verpflichtet. Wird die Aussage verweigert, kann ein Ordnungsgeld verhängt und Erzwingungshaft bis zu 180 Tagen angeordnet werden. Also auch keine rechte Perspektive. Hiergegen hilft nur, sich darauf zu berufen, daß man keine sachdienlichen Angaben machen könne. Dies ist bei einem detalierten Bericht über den Hack aber kaum glaubwürdig. Daher wäre die Gefahr einer Erzwingungshaft auf diese Weise nur schwerlich abzuwenden. Ein anderer Ausweg wäre noch, sich auf das Zeugnisverweigerungsrecht zu berufen. Ein solches steht einem zu, wenn man sich andernfalls selbst oder einen nahen Verwandten belasten müßte. Damit ist dann der große Unbekannte aber im Prinzip wieder gestorben. Die Staatsanwaltschaft wird schnell nachweisen können, daß das Zeugnisverweigerungsrecht nicht besteht, oder aber den Täterkreis sehr eng eingrenzen können. Damit stellt sich die Frage: Gibt es Beweise die sich finden ließen, Zeugen die bei bohrender Befragung "singen" könnten? Wenn ja, dann ist das Spiel verloren! Erheblich sicherer ist es da, jemanden einzuschalten, der aus beruflichen Gründen ein Zeugnisverweigerungsrecht hat: Einen Rechtsanwalt. Dieser wird damit betraut, im Namen seiner nicht zu benennenden Mandanten der Öffentlichkeit die entsprechenden Erklärungen und Belege für den Hack abzugeben. Aber auch diese Methode ist nicht ohne Nachteile. Auch wenn der Anwalt weder Aussagen braucht noch machen darf, so läßt sich doch möglicherweise über den Anwalt auf die in Betracht kommenden Täter schließen. Wenn das gelingt, stellt sich wieder die Frage: Läßt sich bei denen etwas finden, gibt es undichte Zeugen? Überzeugen können alle diese Varianten nicht. Daher sollte untersucht werden, wie man Aktionen starten kann, bei denen man sich erst gar nicht strafbar macht. Da, wie in den ersten Teilen dargestellt, praktisch keine Möglichkeit besteht, einen erfolgreichen Hack durchzuführen, ohne mit Strafgesetzen in Konflikt zu geraten, gibt es nur noch eine Möglichkeit: Bloß solche Hacks zu machen, bei denen man zuvor eine Einwilligung des Opfers einholt. Bei einer Wiederholung des HASPA-Coups etwa müßte man vorher zu HASPA gehen und sagen, was man vorhat, warum man es vorhat, und dafür um Erlaubnis bitten. Wenn man diese erhält und sich ausschließlich im Rahmen dieser Einwilligung bewegt, ist jedes Strafrisiko ausgeschlossen. Wenn man sein Vorhaben vorher genau ankündigen muß, mindert das natürlich die Erfolgsaussichten rapide, da der Betroffene sich auf den bevorstehenden Angriff einstellen und vorbeiten kann. Andererseits ist die Wirkung im Erfolgsfalle umso größer. Schließlich ist der Hack dann unter erschwerten Umständen geglückt. Fraglich ist natürlich, ob sich die erforderlichen Einwilligungen bekommen ließen. Das hängt ganz von dem jeweiligen Betroffenen ab, und wie man ihm das Projekt verkauft. Einerseits wird das potentielle Opfer eines Hacks kein Interesse daran haben, daß öffentlich vorgeführt wird, wie ungenügend seine Sicherheitsmaßnahmen sind. Andererseits würde er sich gewiß gerne damit brüsten können, daß sein System nicht geknackt werden konnte. Außerdem erhielte er praktisch eine kostenlose Sicherheitsüberprüfung, für die sich manche Unternehmen in den USA teure "Haus- und Hof-Hacker" halten. So gesehen ist es vielleicht gar nicht so unwahrscheinlich, legale Hacks machen zu können. Ich denke, daß diese Möglichkeit näher untersucht werden sollte. Unterm Strich ist sie wohl für alle Beteiligten die beste aller möglichen Lösungen. STOEPSEL |
[HaBi 2]
Die aktuellen Tarife für's Hacken