hacker-1446193_1920

Lizenz: CC0 Public Domain

Wann immer Unbefugte Zugang zu einem Computer-Netzwerk und damit Zugriff auf sensible Daten erhalten, reden die Betroffenen und auch die Medien regelmäßig und vorschnell von einem Hacker-Angriff oder einer Hacking-Attacke.
In der Öffentlichkeit wird dabei wird ein Hacker-Angriff oft mit einem Einbruch in der realen Welt gleichgesetzt; Hacker gelten dabei als digitale Einbrecher und werden deshalb gern als Panzerknacker mit Ski-Masken vor einer Bildschirm sitzend visualisiert.
server_error

Screenshot Internal Server Error

Nun gab es vor einiger Zeit einen Sicherheitsvorfall bei einem großen deutschen Verlagshaus, welches seine Nachrichten-Portale über mehrere Stunden offline geschaltet und dies mit einem „Hacker-Angriff“ begründet hat.
Im Zuge dessen sind einige Gerüchte und Informationen zu dem Vorfall in der Öffentlichkeit bekannt geworden, die nicht den Eindruck erwecken, dass hier ein Einbruch im klassischen Sinne stattgefunden hat – wie übrigens bei vielen anderen Vorfällen auch, bei denen vorschnell von einem Hacker-Angriff gesprochen wird.
Wir haben deshalb den Vorfall anhand der in der Öffentlichkeit bekannt gewordenen Informationen einfach einmal juristisch geprüft, ob der unerlaubte Zugriff auf ein Computer-Netzwerk strafrechtlich überhaupt immer einem Einbruch gleichzusetzen ist.

Straftatbestand “Einbruch”
stgb

Strafgesetzbuch

Dazu haben wir die Geschehnisse in die reale Welt übertragen und möchten damit vereinfacht zeigen, was sich anscheinend dabei zugetragen hat. Zuerst gibt es jedoch einen Exkurs in das deutsche Strafrecht.
Zunächst einmal gibt es im deutschen Strafrecht überhaupt keinen Tatbestand des „Einbruchs“.
Wenn man in Deutschland von einem Einbruch spricht, dann ist strafrechtlich ein Einbruchsdiebstahl gemeint; ein besonders schwerer Fall des Diebstahls (§ 243 Abs. 1 Nr. 1 StGB). Dafür muss der Dieb z.B. in ein Gebäude oder einen Geschäftsraum einbrechen oder einsteigen, also irgendwie gewaltsam ein Hindernis überwinden (etwa eine Tür eintreten oder einen Bolzenschneider benutzen) oder einen nicht dafür vorgesehenen Weg nutzen (etwa Überklettern einer höheren Mauer oder durch die Kanalisation robben).
Nebenbei bemerkt: Wenn der Raum, in den eingebrochen wird, eine Wohnung ist, dann ist die Strafandrohung noch einmal höher (§ 244 Abs. 1 Nr. 3 StGB).
paragraphen-zeichenAlle Diebstahlsvarianten haben gemeinsam, dass der Dieb die Tat begehen muss, um sich oder einem Dritten eine fremde Sache anzueignen und damit auch den ursprünglichen Eigentümer zu enteignen. Das nennt der Jurist „Zueignungsabsicht“.
Bei einem Einbruch ist regelmäßig zusätzlich auch der Straftatbestand des Hausfriedensbruchs nach § 123 StGB erfüllt, da der Einbrecher in eine Wohnung bzw. einen Geschäftsraum „widerrechtlich eindringt“ oder „ohne Befugnis darin verweilt“.
Wer sich also unbefugt in ein Gebäude begibt, ohne dort etwas stehlen zu wollen, begeht „nur“ einen Hausfriedensbruch, keinen (Einbruchs-)Diebstahl. Nicht zu verwechseln ist dieser Fall natürlich damit, dass jemand in ein solches Gebäude eindringt, um etwas zu stehlen, dann aber nichts findet. Ein solcher Versuch wird unter Umständen trotz des Misslingens bestraft!
Aber zurück zum eigentlichen Thema dieses Beitrages. Sehen wir uns nun, um eine Parallele zu ziehen, den im Volksmund so bezeichneten Hacker-Paragraphen des deutschen Strafrechts an:
[su_box title=”„§ 202c StGB: Vorbereiten des Ausspähens und Abfangens von Daten” box_color=”#f1892a” radius=”0″]„§ 202c StGB: Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1.Passwörter oder sonstige Sicherungscodes […] oder
2.Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht,
wird […] bestraft. […]“ [/su_box] Hier ist die Handlung, welche die Strafbarkeit begründet, grob gesagt das Herstellen der genannten Software oder Passwörter bzw. das Sich-Verschaffen dieser Dinge oder die Abgabe an Dritte. Wie bei einem Diebstahl kann sich also strafbar machen, wer etwas „entwendet“. Das bloße Eindringen in einen ungeschützten (Daten-)Raum wird von diesem Paragraphen nicht umfasst.
night-499986_1920

Lizenz: CC0 Public Domain

Der einleitende Absatz 1 nennt noch eine zusätzliche Voraussetzung: die Tat muss begangen werden, um eine Tat nach § 202a oder § 202b StGB vorzubereiten. Das sind, grob gesprochen, der unbefugte Zugang zu besonders gesicherten Daten unter Überwindung dieser Sicherung einerseits (§ 202a StGB) und das unbefugte Abfangen von Daten aus einer nichtöffentlichen Datenübermittlung (§ 202b StGB) andererseits.

Analogie des Hacker-Angriffs zur realen Welt

Das erst einmal zum Juristischen und nun zur Veranschaulichung des vermeintlichen Hacker-Angriffs als Analogie in die reale Welt:

building-857918_1920

Lizenz: CC0 Public Domain

Angenommen, ich spaziere nachts durch ein Gewerbegebiet und sehe eine offene Tür in einem Bürogebäude. Aus Neugierde betrete ich das unverschlossene Gebäude, sehe mich ein wenig um und finde weitere unverschlossene Büroräume. Dort finde ich dann Akten und Unterlagen offen herumliegen, die sensible Kundeninformationen enthalten. Ich nehme einige der Akten, fotokopiere diese und schicke sie am nächsten Tag per Post an die Firma mit dem Hinweis, dass es ein Sicherheitsproblem in dem Unternehmen gibt.
Ist dies dann überhaupt ein “Einbruch”, der den Tatbestand des besonders schweren Diebstahls erfüllen würde? Nach dem soeben Gelernten nicht. Denn etwas entwendet habe ich nicht – vorausgesetzt, ich habe das Papier für die Kopien selbst mitgebracht. In einer papierlosen digitalen Welt fällt der Papierdiebstahl schon einmal weg.
Was ich wohl begangen habe ist einen Hausfriedensbruch, indem ich in Geschäftsräume widerrechtlich eingedrungen bin.

Unschuldig!?!
lawyer-28838_1280

Lizenz: CC0 Public Domain

Kommen wir also auf den oben gezogenen Vergleich zu dem „Hacker“-Paragraphen zurück, stellen wir fest, dass dort das einem Hausfriedensbruch vergleichbare Verhalten nicht unter Strafe gestellt wird.
Denn virtuell hat sich der Hacker auf einen Server begeben, der ungesichert vor sich hin summt und dort Dateien gesichtet, diese kopiert und sodann an den Serverbetreiber als Hinweis auf die nicht vorhandene Sicherung „zurück“ geschickt.
Dabei hat er keine Zugangssicherung überwunden, sich also nicht gemäß § 202a StGB strafbar gemacht. Von einem „Einbruch“ kann also ohnehin keine Rede sein. Die Daten befanden sich auch nicht in der Übermittlung, daher hat er sie auch nicht abgefangen und sich daher auch nicht nach § 202b StGB strafbar gemacht. Fraglich ist nur eine Strafbarkeit nach § 202c StGB.
Waren unter den Daten keine Dinge wie Passwörter oder sonstige Sicherungscodes, so hat der Hacker sich auch nach diesem Paragraphen nicht strafbar gemacht.
robber-303444_1280

Lizenz: CC0 Public Domain

Sollte er wirklich nur den späteren Hinweis an den Serverbetreiber im Sinn gehabt haben, hätte er sich nicht einmal strafbar gemacht, wenn es sich um Passwörter gehandelt hätte.
Denn dann müsste er dabei auch vorgehabt haben, eine Tat nach § 202a oder § 202b StGB vorzubereiten. Und dies ist – wenn er wirklich nichts Anderes mit den Daten im Sinn hatte – wahrscheinlich auch nicht der Fall.
Ein ungerechtes Ergebnis ist das nicht; immerhin wurde in dem benannten Fall des Verlages nichts entwendet oder zweckentfremdet. Das betroffene Unternehmen hat hier lediglich eine Lektion erteilt bekommen und steht nun in der Pflicht, seine Sicherheitsmaßnahmen zu verbessern.
Eine Versicherung gleicht übrigens auch nicht unbedingt einen Diebstahlschaden aus, wenn der Eigentümer grob fahrlässig gehandelt hat, indem er z.B. seine Türen oder Fenster offengelassen hat – dann ist es auch kein Wunder, wenn keine Einbruchsspuren vorliegen.
Generell heißen wir solche Aktionen dennoch nicht gut, denn an jedem Bürogebäude sollte die Nummer des Wachschutzes oder eine Notfall-Nummer der Geschäftsleitung hinterlegt sein; außerdem besteht immer noch die Option, die Polizei zu rufen. Es wäre also unserem Hacker-„Hausfriedensbrecher“ ein Leichtes gewesen, den Serverbetreiber über die fehlende Zugangssicherung aufzuklären, ohne auf die Daten zuzugreifen. Ich muss ja auch nicht in ein unverschlossenes Gebäude hineingehen, um dem Eigentümer die fehlende Sicherung mitzuteilen.
computer-1446131_1280

Lizenz: CC0 Public Domain

Dazu kommt, dass der Hacker sich natürlich der Gefahr aussetzt, die Feinheiten des deutschen Strafrechtes unwissend falsch zu deuten und sich aus einem der genannten oder einem sonstigen Grund dennoch strafbar zu machen; Unwissenheit schützt bekanntlich vor Strafe nicht (§ 17 StGB).
Unternehmen stehen auf der anderen Seite jedoch zweifellos auch in der Pflicht, ihre Kundendaten, Geschäftsräume, IT-Infrastruktur usw. bestmöglich abzusichern – sei es in der realen oder digitalen Welt.
Zusammenfassend lässt sich sagen, dass es sich hier eigentlich um keinen Hacker-Angriff handelt, sondern dass das Unternehmen grob fahrlässig gehandelt hat, seine Kundendaten ungeschützt Dritten zugänglich gemacht und sich dennoch in der Öffentlichkeit als Opfer präsentiert.
Vielleicht wäre es in diesem Fall angebrachter gewesen, sich bei dem vermeintlichen Hacker den Hinweis auf die massiven Sicherheitslücken zu bedanken und in Zukunft darauf zu verzichten, Hacker ständig pauschal als Kriminelle zu stigmatisieren.

White Hat vs. Black Hat
man-1187171_1280

Lizenz: CC0 Public Domain

Es wäre generell wünschenswert, die Begriffe Hacker und Hacking in der Öffentlichkeit und den Medien positiver darzustellen, denn die wenigstens Hacker sind tatsächlich die bösen Buben, die man sich klischeehaft mit Ski-Masken vorstellt, wie Sie rasend schnell Befehle in die Tatstatur hacken und dabei auf Monitore mit endlos ratternden Quelltext schauen. (Wer sich ein realistisches Bild von Hackern machen möchte, dem sei die Serie Mr. Robot empfohlen)
Was die wenigstens wissen oder einfach ignorieren – die überwiegende Zahl der selbsternannten Hacker sind sogenannte „White-Hat-Hacker“. Diese „White-Hats“ sind das Rückgrat eines sicheren Internets und bekommen leider viel zu selten Dank und Anerkennung dafür, dass Sie Sicherheitslücken z.B. in Apps, Software, Webservern, Netzwerken, Verschlüsselungsprogrammen usw. finden, aufdecken und an den jeweiligen Herstellern melden, damit er diese teils kritischen Fehler reparieren kann, bevor ein ernsthafter Schaden entsteht.
Und diese Arbeit lohnt sich oft sogar, denn viele Unternehmen haben sogenannte Bug-Bounty-Programme, bei denen White-Hat-Hacker Prämien von bis zu einer Million verdienen können, indem Sie Sicherheitslücken den Herstellern exklusiv benachrichtigen und damit nicht an die Öffentlichkeit gehen.
Zum Abschluss noch ein letzter Ausflug in die Offline/Online-Welt – Banken, Tresor- und Alarm-Anlagenhersteller, Konzerne engagieren in der Regel Sicherheitsexperten, die das installierte Sicherheitssystem auf Schwachstellen überprüfen und dabei z.B. einen Einbruch simulieren. Nichts anderes tun Hacker, die z.B. in Form eines Pen-Tests (Penetration Testing) gezielt jene Schwachstellen ermitteln und so das bereits entstehenden System weiter härten.
 

Über die Autoren:

Sebastian Fitting ist gelernter Jurist und als Referent bei der eco Beschwerdestelle tätig.
Peter Meyer ist Leiter der eco Cyber Security Services und kümmert sich dort u.a. um Botfrei und die Initiative-S.