Viren, Würmer und trojanische Pferde - die Welt des Internets birgt neben scheinbar unbegrenzten Möglichkeiten auch jede Menge Gefahren. Die Anzahl der Computerkriminalitätsdelikte wie Betrug, Fälschung und Ausspähen von Daten, Computersabotage und Softwarepiraterie ist laut der Polizeilichen Kriminalstatistik (PKS) des Bundeskriminalamts (BKA) in den vergangenen Jahren massiv angestiegen. So lag die Anzahl der erfassten Fälle von Computerkriminalität in Deutschland im Jahr 2005 bei circa 62.000 Fällen, während es zehn Jahre zuvor noch etwa 28.000 Fälle waren. Ein besonders starker Anstieg ist bei den Fällen von Datenfälschung, deren Anzahl sich im Jahr 2005 im Vergleich zu 2004 um 77,5 Prozent erhöht hat, beim Ausspähen von Daten (35,7 Prozent) sowie beim Computerbetrug (11,9 Prozent) zu verzeichnen.

Das bereits 1986 eingeführte Gesetz zur Bekämpfung der Wirtschaftskriminalität, das sich mit Computerkriminalität auseinandersetzt, gilt noch heute. Angesichts der ständigen Weiterentwicklung im Bereich der Informations- und Kommunikationstechnologie, die neue - im Gesetz nicht thematisierte - Möglichkeiten krimineller Verhaltensweisen mit sich bringen, sprachen sich in der Vergangenheit zahlreiche Experten für eine Anpassung des Gesetzes aus. Den nun am 21. März bei einer öffentlichen Anhörung im Rechtsausschuss zur Debatte gestellten Gesetzentwurf der Bundesregierung begrüßte die Mehrheit der Sachverständigen entsprechend. Michael Bruns, Generalbundesanwalt in Karlsruhe, betonte, dass der Entwurf, mit dem zwei Abkommen des Europarates und der EU in deutsches Recht umgesetzt werden sollen, ein geeignetes Instrument zur strafrechtlichen Bekämpfung des zunehmenden Internet-Missbrauchs sei. Damit werde dem Bedürfnis der juristischen Praxis Rechnung getragen.

Schärfere strafrechtliche Verfolgung

Laut Regierung sieht der Entwurf eine schärfere strafrechtliche Verfolgung von Computerkriminalität vor. So solle künftig bereits der bloße unbefugte Zugang zu Computer- und Informationssystemen ("Hacking") strafbar sein. Bisher gilt dies erst, wenn sich jemand Daten verschafft. Des Weiteren bedürfe der Tatbestand der Computersabotage einer Ergänzung. Dieser beziehe sich bisher nur auf Datenverarbeitungen fremder Unternehmen oder Behörden. Künftig sollen auch private Datenverarbeitungen "von wesentlicher Bedeutung" berücksichtigt werden. Genau dieser Wortlaut rief jedoch Ablehnung bei einigen Experten hervor. Professor Hans Kudlich von der Universität Erlangen-Nürnberg hielt die Formulierung für problematisch, da hier Abgrenzungsschwierigkeiten vorherzusehen seien. Der Kölner Rechtsanwalt Marco Gercke schloss sich dieser Kritik an.

Da das Europarat-Übereinkommen die Strafbarkeit von bestimmten Vorbereitungshandlungen für Computerstraftaten vorschreibt, sieht der Gesetzentwurf vor, den im deutschen Recht bereits bestehenden Tatbestand des vorbereitenden Computerbetrugs auf das Ausspähen und Abfangen von Daten zu erweitern. Auch die Vorbereitung von Datenveränderung und Computersabotage soll in diesem Zusammenhang erfasst werden. Jürgen-Peter Graf vom Bundesgerichtshof in Karlsruhe bezeichnete die vorverlagerte Strafbarkeit von Vorbereitungshandlungen als "nicht unproblematisch". Er betonte jedoch, dass die Vorschrift insgesamt erforderlich sei, um der Verbreitung so genannter "Hacker-Kits" - Computerprogramme, mit denen gezielt Schaden angerichtet werden kann - entgegen zu wirken. Kritisch beurteilte Felix Lindner, Geschäftsführer der IT-Sicherheitsfirma Sabre Lab GmbH aus Berlin, den Passus zu den "Vorbereitungshandlungen". Wer eine Straftat vorbereitet, heißt es dort, indem er "Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft". Das bedeute, so Lindner, dass man alle Instrumente, die jemand verwende, um Sicherheitslücken in Computersystemen aufzuspüren, nicht mehr besitzen oder selbst programmieren dürfe, ohne sich strafbar zu machen. Trete das Gesetz in der jetzigen Fassung in Kraft, werde das negative Konsequenzen für die IT-Sicherheit in Deutschland haben, das zu den führenden Nationen der Welt in diesem Bereich zähle.

Gefahr von Überkriminalisierung

Im Fall einer Anzeige, etwa durch einen Konkurrenten, würde eine Ermittlung eingeleitet und die Rechentechnik des betroffenen Unternehmens als Beweismittel beschlagnahmt. Auch im Falle eines Freispruchs wäre das Unternehmen seiner existenziellen Grundlagen beraubt und müsste den Betrieb einstellen, so Lindner. Ein Inkrafttreten des Gesetzes habe "mit großer Sicherheit" die Abwanderung der führenden Unternehmen zur Folge. Professor Georg Borges von der Universität Bochum teilte die Befürchtungen. Er machte auf das Risiko aufmerksam, dass durch die weite Fassung der Formulierung legale Tätigkeiten der Softwareentwicklung im Bereich der IT-Sicherheit unter Strafe gestellt werden könnten. Eine eingrenzende Formulierung des Passus hielt auch Carl-Friedrich Stuckenberg von der Uni Bonn für notwendig. Auf diese Weise würde eine "Überkriminalisierung" verhindert.