Phishing umfassend unter Strafe gestellt
Die Experten begrüßten, dass durch das neue Gesetz Phishing umfassend unter Strafe gestellt wird, da die aktuelle Rechtslage insoweit nicht eindeutig ist. Der neue § 202c Abs. 1 Nr. 1 des Gesetzenwurfs stellt nun ausdrücklich das Sichverschaffen von Passwörtern oder anderen Sicherungscodes unter Strafe. Damit sind sämtliche Varianten des Phishing, bei denen sich der Täter Passwörter, bzw. PIN und TAN, verschafft, strafbar. Dies gilt insbesondere für klassisches Phishing, bei dem der Täter dem Internet-Nutzer eine E-Mail sendet, um ihn mit einem Link auf eine gefälschte Website zu lenken, auf der er seine Kontodaten preisgeben soll. Aber auch die ausgefeilteren Methoden, die Daten der Nutzer mit Trojanern oder Pharming-Angriffen auszuspähen, sind davon erfasst.
Schutz von Softwareentwicklung vor Überkriminalisierung gefordert
Kontrovers diskutiert wurde Nr. 2 des neuen § 202c Abs. 1 StGB, der Vorbereitungshandlungen durch das Herstellen, Verschaffen, Verkaufen, Überlassen, Verbreiten oder Zugänglichmachen von bestimmten Computerprogrammen unter Strafe stellt. Laut der Regierungsbegründung sollen davon zwar nur sog. „Hacker-Tools“ erfasst werden. Die Experten wiesen darauf hin, dass aufgrund der weiten Formulierung eine ungewollte Kriminalisierung von Tools zur Netzwerk- und sonstiger Sicherheitsanalyse eintreten könnte. Computerstraftaten könnten auch mit Programmen verwirklicht werden, die sowohl zu legalen als auch zu illegalen Zwecken verwendet werden können (dual use tools). Derartige dual use tools gehörten zu den typischen Arbeitsmitteln von Netzwerkadministratoren und IT-Sicherheitsbeauftragten, etwa zu Testzwecken. Solche Unsicherheiten und Risiken, die die Anbieter und Verwender präventiver Programme treffen, müssten beseitigt werden. Prof. Borges und PD Dr. Stuckenberg forderten, diese Norm objektiv und subjetiv einzuschränken. „Es sollte klargestellt werden, dass nur die Verbreitung von Software, deren Zweck vorrangig die Begehung von Straftaten ist, unter Strafe gestellt wird, und auch nur dann, wenn der Verwender weiss oder beabsichtigt, dass die Software zur Begehung von Straftaten verwendet werden soll“, so Borges.
Die schriftlichen Stellungnahmen der Sachverständigen sind hier abrufbar.
Im Mitgliederbereich finden Sie die Stellungnahme der a-i3 (Borges/Stuckenberg/Wegener, Bekämpfung der Computerkriminalität), mit einem Formulierungsvorschlag für einen verbesserten § 202c StGB.
Arbeitsgruppe Identitätsschutz im Internet e.V.