Problemfälle

a) Datenverschlüsselung

Der Gesetzgeber wollte nicht nur gespeicherte Daten, sondern auch solche in den Schutzbereich des § 202a Abs. 1 einbeziehen, die sich im Übermittlungszustand befin-den.³⁵¹ Der Anteil der im Übermittlungszustand befindlichen Daten nimmt im Zuge der

351 BT-Drs. 10/5058, S. 28.

Expansion des Internet immer mehr zu. Hier gibt es für Hacker viele Möglichkeiten, diese Daten aufzufangen. Nun stellt sich zunächst auf der tatsächlichen Seite die Frage, wie solche Daten vor „Ausspähung“ gesichert werden können.

(1) Sicherungsverfahren

Besondere Angriffsziele bei der Datenfernübertragung sind frei zugängliche Leitungs-punkte wie Erdverkabelungsanschlüsse, Verteilerkästen oder die Telefonanschlüsse in offenen Netzen. Physische Schutzmaßnahmen zur Sicherung gibt es nur eingeschränkt und die möglichen Maßnahmen sind sehr aufwendig.³⁵² So können Daten, die über me-tallische Kabel übertragen werden, leicht mit Hilfe einer direkten Kabelanbindung oder indirekt über induktive Abkopplung des Signals abgerufen werden.³⁵³ Hier können sehr aufwendige Maßnahmen, wie Bleiabschirmung gegen das Austreten abhörbarer elek-tromagnetischer Strahlung oder bessere Kabelummantelungen, die das direkte Anzapfen effektiv verhindern können, eingesetzt werden. Diese sind als besondere Sicherungen i.S.d. § 202a Abs. 1 anzusehen, da sie zumindest auch den Zweck verfolgen, Daten vor unbefugtem Zugang zu sichern. Der datensichernde Effekt bei einer unterirdischen Verlegeweise ist jedoch bloßer Nebeneffekt und damit liegt hier keine besondere Siche-rung i.S.d. § 202a vor.³⁵⁴

Es bleibt als wohl einzig ökonomisch vertretbare Möglichkeit, die sonst ohne weiteres abzweigbaren Daten auf eine solche Weise zu schützen, daß der Täter mit den erlangten Daten nichts anfangen kann.³⁵⁵ Der Täter hat im allgemeinen Interesse am Bedeutungs-gehalt oder der Funktion der Daten. Werden Daten dahingehend verändert, daß der Be-deutungsgehalt nur dem Absender der Daten und dem Empfänger zugänglich ist, so kann tatsächlich das Datum auf seiner semantischen (d.h. Bedeutungs-) Ebene geschützt werden. Eine solche Veränderung der Daten wird über Datenverschlüsselung erreicht (auch Kryptographie, Chiffrierung).³⁵⁶ Durch dieses Vorgehen werden die Ursprungs-daten (sog. Klartext) mit Hilfe mathematischer Transformation in andere Daten

352 So auch Weck, Datensicherheit, S. 282 f.

353 Ausführlich dazu Leicht, iur 1987, 45 (51).

354 Schulze-Heiming, Der strafrechtliche Schutz der Computerdaten, S. 73.

355 So auch Tröndle/Fischer-Tröndle, § 202a Rn. 7a. Auch nach Hilgendorf, JuS 1996, 702 (702) Fn.

7 sind Datenverschlüsselungen derzeit offenbar die einzige Möglichkeit, um Daten im Übermitt-lungszustand wirksam zu schützen.

356 Die Lehre von der Informationsver- und entschlüsselung heißt Kryptologie und ist Oberbegriff der Kryptographie (Verschlüsselungsverfahren) und der sog. Kryptoanalyse. Bei der Kryptoanalyse geht es um die Feststellung der Sicherheit der Verschlüsselung (Entschlüsselungsverfahren).

wandelt, d.h. in Daten mit einem anderen, oder meist keinem Informationsgehalt (sog.

Schlüsseltext).³⁵⁷

Eine einfache Möglichkeit der Verschlüsselung ist die Festlegung eines Alphabets, bei dem die Zeichen in einer bestimmten Reihenfolge stehen. So kann mit einer Verschie-bung des Originalzeichens um eine dem Adressaten bekannten Anzahl der Zeichen ein neuer, dem Nichteingeweihten unverständlicher Text erzeugt und übermittelt werden.

Hier wird jedes Zeichen durch ein anderes ersetzt, so daß die absolute Länge der Wörter und des Textes gleich bleibt. Ein solches sog. monoalphabetische Chiffre kann (beson-ders mit Hilfe von Computern) leicht dechiffriert werden.³⁵⁸

Modernere Verschlüsselungsprogramme setzen sich zusammen aus einem komplexen Tauschalgorithmus³⁵⁹ und einem Schlüssel-Codewort.³⁶⁰ Das Programm vertauscht oder verschiebt nicht nur die ursprünglichen Symbole innerhalb der Zeichenfolge, sondern verknüpft jedes Zeichen zusätzlich mit der Vorgabe des Codeworts.³⁶¹ Damit können derart verschlüsselte Daten nur bei Kenntnis des Tauschalgorithmus, sowie des Code-worts entschlüsselt werden.³⁶² Hier kann weiter zwischen sogenannten symmetri-schen³⁶³ und asymmetrischen³⁶⁴ Verfahren unterschieden werden.³⁶⁵

Das Charakteristikum des symmetrischen Verfahrens ist, daß der Verschlüsselungscode derselbe ist wie der Entschlüsselungscode. Hier stellt sich die Problematik, daß beide Kommunikationspartner beim Nachrichtenaustausch über denselben Schlüssel verfügen müssen. Der Schlüssel muß daher ebenfalls vom Absender oder Dritten dem Adressaten zugesandt werden. Hier ist ebenso für den Schlüssel eine sichere Übertragung

357 Weck, Datensicherheit, S. 283; Leicht, iur 1987, 45 (51).

358 Schönleber, Verschlüsselungsverfahren, S. 71 f.

359 Ein Algorithmus wird in der Informatik eine Anleitung zur Lösung einer Aufgabe (auch nichtma-thematischer Art) mit Hilfe eines Computers genannt (aus Grieser/Irlbeck, Computerlexikon, S.

50).

360 Weck, Datensicherheit, S. 163 und 286 ff.

361 Jessen, Zugangsberechtigung und besondere Sicherung im Sinne des § 202a StGB, S. 158.

362 Mehr (und durchaus auch für Nicht-Experten verständlich) zu Verschlüsselungsverfahren bei Schönleber, Verschlüsselungsverfahren.

363 Solche symetrischen Verfahren sind z.B. DES (Data encryption standard), IDEA (heute in dem vielfach verbreiteten PGP (Pretty Good Privacy) verwendet. Das IDEA-Verfahren gilt als sicher (Schönleber, Verschlüsselungsverfahren, S. 95f.).

364 Z.B. das sog. RSA-Verfahren, näher dazu Schönleber, Verschlüsselungsverfahren, S. 97 f.; Weck, Datensicherheit, S. 297.

365 Anschaulich dazu Müller-Berg, DuD 1993, 87 (88 f.).

dig. Dies kann sogar bedeuten, daß der Schlüssel durch einen Kurier überbracht werden muß.³⁶⁶

Ein solcher Sicherheits- und Zeitverlust kann bei den asymmetrischen Verfahren ver-mieden werden, da hier der Verschlüsselungscode für einen bestimmten Adressaten öffentlich ist³⁶⁷, und dieser allein über den ihm zugeordneten, geheimen Entschlüsse-lungscode verfügt. Es kann hier somit über ein öffentliches Register der Verschlüsse-lungscode für den konkreten Adressaten gesucht und eine verschlüsselte Nachricht an diesen ohne vorherige Kontaktaufnahme und Übertragung eines Schlüssels verschickt werden.³⁶⁸

(2) Strafrechtliche Behandlung

Ob die Datenverschlüsselung als besondere Zugangssicherung i.S.d. § 202a Abs. 1 an-gesehen werden kann, erscheint problematisch. Die verschlüsselten Daten sind als sol-che frei zugänglich. Nur die semantissol-che Ebene der Urinformation, der Bedeutungsge-halt, wird vor Kenntnisnahme geschützt.

(a) Ansichten in der Literatur

Lenckner/Winkelbauer³⁶⁹ sehen trotz Kenntnis von der Problematik in der Datenver-schlüsselung eine Sicherung i.S.d. § 202a. Sie argumentieren damit, daß in den Fällen, in denen die Information verschlüsselt transportiert wird, sich die Kenntnisnahme der verschlüsselten Daten nicht mehr als Zugang zu den Originaldaten darstelle. Der Schlüssel sei eine den einzelnen Daten unmittelbar anhaftende Zugangssicherung. Sie nehmen damit an, daß sog. „Originaldaten“ durch die Verschlüsselung geschützt wer-den. Unterstützt wird dieses Ergebnis mit einer teleologischen Auslegung der Norm.

366 Weck, Datensicherheit, S. 297.

367 Sog. „public keys“. Asymetrische Verfahren werden auch public key-Systeme genannt

368 Ein Verfahren, die Identität des Absenders sicherzustellen, um die Rechssicherheit von Geschäften zu stärken, die über Datennetze abgewickelt werden und entsprechenden Formerfordernissen zu genügen, ist die sog. Digitale Signatur (Siehe auch SigG –Signaturgesetz, weiterführend dazu Roßnagel, NJW 1999, 1591 ff.). Hier ist der Verschlüsselungscode der digitalen Unterschrift ge-heim, der Entschlüsselungscode jedoch öffentlich. Der Empfänger der Nachricht kann die dig.

Unterschrift entschlüsseln und weiß, daß diese Nachricht nur von dem Absender verschlüsselt werden konnte. Folglich kann mit diesem Verfahren die Authentizität der Nachricht wie bei der konventionellen Unterschrift oder einem Daumenabdruck sichergestellt und beweisbar gemacht werden. Die eigentliche Nachricht muß jedoch, falls erforderlich, für sich verschlüsselt werden, da bei der digitalen Signatur der Entschlüsselungscode jedermann zugänglich ist. (Näher dazu Kuner, NJW-CoR 1996, 108 ff.).

369 Lenckner/Winkelbauer, CR 1986, 483 (487).

Wenn einerseits das Tatbestandsmerkmal der Zugangssicherung dem Zweck diene, nur den Daten strafrechtlichen Schutz angedeihen zu lassen, „bei denen der Verfügungsbe-rechtigte sein Interesse an der Geheimhaltung dokumentiert hat“ und andererseits im Falle der Datenübertragung nur die Verschlüsselung als Sicherung zu Verfügung stehe, so wäre die Einführung einer Strafvorschrift gegen Computerspionage in einem wichti-gen Teilbereich von vornherein ein Schlag ins Wasser, wenn diese Fälle vom Gesetz nicht erfaßt wären.

In dieselbe Richtung geht auch Leicht.³⁷⁰ Er problematisiert, ob eine Zugangssicherung i.S.d. § 202a Abs. 1 auch eine Sicherung vor Kenntnisnahme einschließe, da § 202a gerade nicht die Kenntnisnahme der Daten voraussetze.³⁷¹ Dies wird von ihm dahinge-hend bejaht, daß der weite Schutzbereich der Zugangssicherung auch die Sicherung vor Kenntnisnahme einschließe. So kommt Leicht dazu, daß das Verschlüsseln eines Da-tums nur mit dem Überstülpen eines anderen Gegenstandes über den zu Schützenden verglichen werden könne. Es ist folglich festzustellen, daß nach herrschender Ansicht, teilweise mit unterschiedlichen Ansätzen, die Datenverschlüsselung eine Sicherung i.S.d. § 202a Abs. 1 darstellt.³⁷²

(b) Stellungnahme

Die obigen Ansichten sind abzulehnen. Die Datenverschlüsselung stellt keine Zugangs-sicherung i.S.d. § 202a Abs.1 dar.

Rechtsgut des § 202a Abs. 1 ist das formelle Geheimhaltungsinteresse des Berechtigten.

Es sind daher jegliche Daten grs. geschützt, ohne daß es auf die Bedeutung der Daten oder deren Qualität ankäme. Damit sind auch unsinnige (oder nur auf den ersten Blick unsinnige) Datenansammlungen im Schutzbereich des § 202a Abs. 1. Werden nun Da-ten, die sich im Zustand der Übermittlung befinden von, jemandem abgerufen, so sind Tatobjekt dieser möglichen Straftat nach § 202a Abs. 1 exakt die abgerufenen Daten.

Diese Daten jedoch sind selbst nicht gegen Zugang geschützt, da sie grs. im Stadium der Übermittlung frei zugänglich sind, unabhängig davon, ob sie verschlüsselt oder un-verschlüsselt sind. Wird nun von der Verschlüsselung als einer Sicherung vor Zugang zu den „Originaldaten“ gesprochen, so wird hier verkannt, daß zum Zeitpunkt der

370 Leicht, iur 1987, 45 (51).

371 Dies ist Ergebnis der Auslegung der Tathandlung „Verschaffen“, siehe Seite 110.

372 So z.B.auch Schulze-Heiming, Der strafrechtliche Schutz der Computerdaten, S. 75 f.; Trönd-le/Fischer-Tröndle, § 202a Rn. 7a; ohne näher darauf einzugehen auch Lackner/Kühl-Kühl, § 202a Rn. 4.

lichen Tathandlung Angriffs- und Tatobjekt ausschließlich die verschlüsselten Daten sind und nicht die „Originaldaten“. Die Originaldaten im sog. Klartext werden nicht abgerufen und sind gewöhnlich auf der Festplatte des Absenders gespeichert. Damit ist das von der h.M. angenommene Tatobjekt zum Zeitpunkt der Tat nicht das angegriffene Objekt. Es ist entweder gar nicht existent oder ist am Tatort nicht zugegen. Die h.M.

verkennt damit das sog. Simultanitätsprinzip. Hiernach müssen zum Zeitpunkt der Tat alle Tatbestandsvoraussetzungen gegeben sein.

Der h.A. ist zuzugeben, daß der Gesetzgeber ausdrücklich³⁷³ auch die Datenübertragung per Funk und Kabel schützen und dabei nicht auf eine besondere Technologie abstellen wollte³⁷⁴, folglich es allein Sinn macht, auch solche verschlüsselten Daten strafrechtlich vor Ausspähung zu schützen. Dieses rechtspolitisch wünschenswerte Ergebnis ist je-doch nach dem jetzigen Wortlaut des § 202a nicht haltbar.³⁷⁵ Daher wird vorgeschlagen, den § 202a Abs. 1 wie folgt zu ergänzen:

Satz 1 unverändert. Satz 2: Ebenso wird bestraft, wer unbefugt verschlüsselte Daten, die nicht für ihn bestimmt sind, entschlüsselt oder sich oder einem Dritten den Schlüssel verschafft.

b) Geheimhaltung

Fraglich ist, ob auch die Geheimhaltung von Daten als besondere Zugangssperre ange-sehen werden kann. Hierzu hat sich bislang nur Hilgendorf³⁷⁶ geäußert. In seinem Fall-beispiel legt ein Berechtigter bestimmte wichtige Daten nicht bei seinen übrigen Ge-schäftsdateien ab, sondern versteckt sie in einem anderen Datenverzeichnis und paßt ihren Namen denjenigen der dort befindlichen Dateien an. Diese Daten werden dennoch gefunden und auf eine mitgebrachte Diskette kopiert.

Hilgendorf führt aus, daß eine solche Geheimhaltung u.U. durchaus ebenso effektiv sein könne wie ein Paßwort und ist daher der Ansicht, daß die Geheimhaltung bei dem Täter nicht bloß (wie ein Verbot) zu einer mentalen Schranke führe, die durch einen entspre-chenden Willensentschluß überwunden werden könne, sondern sich objektiv als Zu-gangshindernis auswirke. Deshalb könne auch Geheimhaltung als besondere

373 BT-Drs. 10/5058, S. 29.

374 Lackner/Kühl-Kühl, § 202a Rn. 7a.

375 Auch Schulze-Heiming, Der strafrechtliche Schutz der Computerdaten, S. 76 hält die Argumenta-tion der h.A. für ergebnisorientiert, verweigert ihr dennoch nicht die Anhängerschaft.

376 Hilgendorf, JuS 1996, 702 (703).

sperre i.S. von § 202a anerkannt werden, wenn sie eine mehr als nur unerhebliche Sperrwirkung entfaltet. Gerade bei der Geheimhaltung sei jedoch zu verlangen, daß sie den Geheimhaltungswillen des Berechtigten für einen objektiven Betrachter unmißver-ständlich deutlich macht; das Versteck müsse also zumindest teilweise erkennbar sein.

Es ist Hilgendorf³⁷⁷ darin zuzustimmen, daß eine Geheimhaltung gerade in der von ihm beschriebenen Art ebenso wirksam sein kann wie andere allgemein anerkannte Siche-rungen, z.B. die Paßwortsicherung. Die Geheimhaltung ist damit grs. objektiv geeignet, Daten zu sichern. Problematisch ist hier jedoch die zu fordernde objektive Erkennbar-keit des Geheimhaltungswillens. Das Wesen einer solchen Geheimhaltung ist gerade, daß der Täter erst die Gewißheit hat, die gewünschten Daten gefunden zu haben, wenn er die entsprechend versteckte Datei geöffnet hat. Vor dem Verschaffen der Daten ist es ihm aufgrund der Geheimhaltung nicht bewußt, daß sich gerade hier geschützte Daten befinden. Folglich kann die Geheimhaltung nicht als besondere Zugangssicherung i.S.d.

§ 202a Abs. 1 angesehen werden, da es dem Täter unmöglich ist, vor dem Zugriff auf die Daten den Geheimhaltungswillen des Berechtigten zu erkennen.³⁷⁸

377 Hilgendorf, JuS 1996, 702 (703).

378 LK-Jähnke, § 202a Rn. 14 verlangt physische oder technische Voraussetzungen und dürfte daher die Geheimhaltung als Sicherung i.S.d. § 202a Abs. 1 ablehnen.

Im Dokument Computerhacken und materielles Strafrecht - unter besonderer Berücksichtigung von § 202a StGB (Seite 103-110)