Strafrechtliche Bewertung

a) Methoden

Die jeweils angewandte Methode der Paßwortausspähung spielt für die strafrechtliche Bewertung bzgl. § 202a keine Rolle. Die Art und Weise des Vorgehens könnte jedoch beim „Müllen“ und beim „Social Engineering“ neben § 202a anderweitig strafrechtlich relevant sein.

Für die Methode des „Müllens“ kommt § 242 und § 123 in Betracht.⁶³⁰ Dringt der Hak-ker beispielsweise in ein Firmengelände eines Unternehmens ein, um wertvolle Infor-mationen insbesondere im Müll desselben zu erhalten, so macht er sich gem. § 123 des

630 Zu der Problematik des Paßwortausspähens bei § 17 UWG siehe Seite 146 und Seite 151.

Hausfriedensbruchs strafbar. Ob er sich bei Entwendung weggeworfener Papiere gem. § 242 strafbar macht, ist Tatfrage. Entscheidend ist, ob der Eigentümer die weggeworfene Sache derelinquiert hat i.S.d. § 959 BGB und diese damit herrenlos geworden ist. Her-renlos wird eine Sache durch Besitzaufgabe mit Eigentumsverzicht.⁶³¹ Ist die Sache noch nicht zur Abholung durch die Müllabfuhr bereitgestellt, liegt noch keine Be-sitzaufgabe vor. Bei Bereitstellung zur Abholung auf dem Firmengelände ist diese Vor-aussetzung ebenfalls nicht erfüllt. Der Besitzwille ist immer noch vorhanden, da bewußt eine Abholung auf dem firmeneigenen Gelände vorgesehen ist. Der Hacker würde sich in diesen Fällen gem. § 242 strafbar machen. Ein Diebstahl in einem besonders schwe-ren Fall gem. § 242 iVm § 243 kann bei entsprechendem Vorgehen (z.B. der Hacker steigt über den Zaun des Unternehmens) ebenfalls einschlägig sein.

Im Bereich des Social Engineering können die §§ 263, 263a, 265a angedacht werden.

Der Hacker ruft beispielsweise bei einem Internetnutzer an und gibt sich als Systemad-ministrator dessen Internet-Service-Providers aus. Er bittet um das Paßwort des Angeru-fenen, da aufgrund eines Computerfehlers alle Paßwörter wieder neu eingerichtet wer-den müßten. Der Angerufene buchstabiert dem „Systemverwalter“ das Paßwort. Der Hacker geht dann sofort mit Hilfe dieses Paßworts ins Internet. Die für die Nutzung entstandenen Kosten werden dem bereitwillig Auskunft gebenden in Rechnung gestellt.

§ 263 ist nicht einschlägig, da die Herausgabe des Paßworts nicht unmittelbar zu einer Vermögensminderung führte und es insofern an der Unmittelbarkeit der Vermögensver-fügung fehlt. In Bezug auf die Eingabe des Paßworts fehlt es an einer Täuschungs-handlung gegenüber einem Menschen.

Mit Benutzung des Paßworts erhält der Hacker die Möglichkeit, auf Kosten eines ande-ren das Internet zu nutzen. Durch die Eingabe des Paßworts und der Nutzung der Ser-vice-Provider Dienstleistung macht er sich nach § 263a strafbar. Die Paßwortdaten hat er unbefugt i.S.d. § 263a Abs. 1 Var. 3 verwendet. Die Unbefugtheit ergibt sich daraus, daß der Hacker nicht Vertragspartner des Service-Providers war.⁶³² Die Authentifikation durch das Paßwort und die Nutzungsmöglichkeit der Dienstleistungen sind Ergebnis eines Datenverarbeitungsvorgangs. § 265a ist ebenfalls gegeben in der Variante des Erschleichens von Leistungen eines Automaten (§ 265a Abs. 1 Var. 1).⁶³³ Automat ist der Rechner des Service-Providers. Dessen entgeltliche Leistung ist der Zugang zum Internet. Erschlichen ist diese Leistung, da der Hacker unter Vortäuschung einer

631 Tröndle/Fischer-Tröndle, § 242 Rn. 8.

632 Hilgendorf, JuS 1997, 323 (327); zu § 263a siehe auch Hilgendorf, JuS 1999, 542 ff.

633 Eingehend dazu Hilgendorf, JuS 1997, 323 (327).

nungsgemäßen Benutzung gehandelt hat. Der subjektive Tatbestand, Vorsatz und Ab-sicht das Leistungsentgelt nicht zu entrichten, sind ebenfalls erfüllt. § 265a tritt hinter § 263a zurück.⁶³⁴

b) Erfolg

Für alle Methoden soll in Bezug auf den Erfolg (das Herausfinden des Paßworts) ein Fallbeispiel dazu dienen, die Strafbarkeit der Paßwortausspähung gem. § 202a zu prü-fen.

Fall: Hacker H wird auf das alleingelassene Notebook des Doktoranden D aufmerksam.

Ihn interessiert brennend die dort abgelegte Doktorarbeit des D. Sogleich schaltet er den Rechner an. Nun wird er jedoch aufgefordert das Boot-Paßwort⁶³⁵ des D einzugeben.

Mit Eingabe des Vornamens der Freundin wird der Rechner hochgefahren.

Fraglich ist, ob das Herausfinden und damit auch die Kenntnisnahme des Codeworts unter § 202a subsumiert werden kann. Das Paßwort ist taugliches Tatobjekt, da es In-formationen beinhaltet, die in nicht wahrnehmbarer Form gespeichert sind. Auch das Paßwort ist von § 202a grs. als Daten geschützt.⁶³⁶ Das Paßwort ist auch nicht für den Hacker H bestimmt. Ein Einverständnis bzgl. der Verfügbarkeit der Daten für Hacker H ist nicht gegeben.

Bühler⁶³⁷ ist der Ansicht, daß auch schon das Beschaffen eines Code-Worts (Paßwort) ein Sich-Verschaffen von Daten ist, weil das Code-Wort ja auch nur über Programme etc. herausbekommen werden könne und bejaht in diesem Fall die Strafbarkeit nach § 202a. Diese Argumentation ist jedoch nicht nachvollziehbar, da zum einen Paßwörter auch durch Ausprobieren geknackt werden können⁶³⁸, zum anderen der Hinweis auf Programme, die das Paßwort herausfinden, auch nicht weiterhilft. Das „Verschaffen“

solcher Paßwörter ist durchaus zu bejahen. Vorher ist jedoch zu klären, ob das Paßwort selbst durch eine besondere Zugangssicherung geschützt ist, was für die Bejahung des § 202a zwingend notwendig ist. Hierzu schweigt sich Bühler jedoch aus.

634 Siehe § 265a Abs. 1 a.E.

635 Paßwortschutz auf BIOS-Ebene eines Rechners, der vor dem eigentlichen Start-(Boot-)vorgang wirksam wird. Er schützt alle Daten, die auf dem Rechner abgelegt sind. Das BIOS (Basic Input Output System) steuert das Ausführen elementarer Operationen, wie Eingabe über Tastatur, Aus-gabe über Bildschirm und Drucker.

636 Möhrenschlager, wistra 1986, 128 (140).

637 Bühler, MDR 1987, 448 (453).

638 Vgl. Binder, RDV 1995, 57 (59 f.).

Auch Lenckner⁶³⁹ stellt fest, daß, falls die Überwindung der Zugangssicherung die Kenntnis der Daten des Zugangscodes voraussetze, deren Ausspähen allerdings auch nach § 202a strafbar sein könne.⁶⁴⁰ Ist hier Ausspähen im Sinne des § 202a gemeint (Ausspähen von Daten ist die amtliche Überschrift von § 202a), so ist dies eine richti-ge Aussarichti-ge. Sie hilft dennoch für die Lösung des Problems nicht weiter, da Ausspähen von Daten i.S.d. § 202a auch nur an solchen Daten erfolgen kann, die ihrerseits beson-ders gesichert sind. Auf die Sicherung, die durch das Paßwort selbst erfolgt, kann nicht abgestellt werden, da diese Zugangsschranke nur andere Daten und Dateien vor dem Zugriff schützt, nicht aber sich selbst.⁶⁴¹

Hilgendorf⁶⁴² nennt in diesem Zusammenhang die Geheimhaltung⁶⁴³ des Paßworts als besondere Sicherung i.S.d. § 202a. Anders als das bloße Verbot habe die Geheimhal-tung eines Paßwortes durchaus objektive Wirkung; die Möglichkeit eines Zugriffs wer-de durch sie ebenso zuverlässig verhinwer-dert wie durch eine softwaretechnische Siche-rung. Dem ist grs. zu folgen. Im Falle der Geheimhaltung eines Paßworts ist der Ge-heimhaltungswille des Berechtigten unmißverständlich erkennbar. Der Hacker befindet sich auf der Ebene des login-Prozesses⁶⁴⁴, bei dem die Eingabe eines Paßworts gefordert wird. Er weiß damit um die Geheimhaltung als solche, welche ihn objektiv hindert, das Paßwort herauszufinden. Verschafft er sich dieses Paßwort, so ist dieses Vorgehen unter

§ 202a subsumierbar.

Nun taucht jedoch wieder die Problematik auf, daß der Gesetzgeber das Hacken i.e.S.

und damit das bloße Eindringen in geschützte Datenbereiche für straflos hielt.⁶⁴⁵ Würde man nun das Verschaffen von Paßwörtern unter § 202a subsumieren, so wäre genau die klassische Vorgehensweise des Hackens, das Knacken von Paßwörtern, unter Strafe gestellt, welche der Gesetzgeber für straflos erachtete. Um dem Willen des

639 Schönke/Schröder-Lenckner, § 202a Rn. 10 unter direkter Bezugnahme auf Bühler, MDR 1987, 448 (453).

640 Auch Haurand/Vahle, RDV 1990, 128 (132) sprechen von der Strafbarkeit des Ausspähens von Paßwörtern nach § 202a; so auch Koch, RDV 1996, 123 (126).

641 Vgl. Hilgendorf, JuS 1997, 323 (324); Jessen, Zugangsberechtigung und besondere Sicherung im Sinne des § 202a StGB, S. 180 Fn. 11; in diesem Sinne auch Binder, Strafbarkeit intelligenten Ausspähens von programmrelevanten Unternehmensgeheimnissen, S. 49.

642 Hilgendorf, JuS 1997, 323 (324).

643 Zur Problematik der Geheimhaltung durch Verstecken von Daten in ungewöhnlichem Verzeichnis siehe Seite 104.

644 Beim LOGIN identifiziert sich der Benutzer bei dem Rechner oder dem Datenbereich, zu dem er Zugang erhalten möchte, und gibt das dazugehörige Paßwort ein.

645 BT-Drs. 10/5058, S. 28.

bers Geltung zu verschaffen, ist somit auch das Tatbestandsmerkmal der besonderen Zugangssicherung um die Geheimhaltung des Codeworts teleologisch zu reduzieren.

Hacker H hat sich demnach im obigen Fall wegen des Herausfindens des Paßworts nicht nach § 202a strafbar gemacht.