• Mahlzeit@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    1
    arrow-down
    2
    ·
    11 months ago

    § 202a Ausspähen von Daten

    (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

    Dass, das Passwort nicht verschlüsselt war, ist kein Argument. Man könnte Zweifel am Vorsatz haben, so wie es dargestellt wurde. Allerdings wäre er auch nicht unbedingt befugt gewesen, wenn es tatsächlich nur die Daten seines Kunden betroffen hätte. Der hatte ihm das PW ja nicht gegeben.

    Das eigentliche Problem ist der Paragraf selber, dem es nicht auf die Absicht zum Datenspähen ankommt. Diebstahl, zum Vergleich, ist nur solcher, wenn man die Sache tatsächlich illegal behalten will. Hier reicht schon der Zugang, also das “Hacken”.

    • catboss@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      10
      ·
      edit-2
      11 months ago

      Doch, es ist ein Argument. Sogar ein sehr gutes. § 202a StGb setzt nämlich das Überwinden einer Sicherung voraus. Das steht so sogar unmissverständlich im von dir zitierten Normtext.

      Wenn ich ein Passwort im Klartext abspeichere, dann lässt sich sehr wohl und sehr gut argumentieren, dass es inherent keine Sicherungsfunktion erfüllen kann.

      Der Schutz durch Passwörter ist zwar unzweifelhaft ein Sicherungsmechanismus, der mit § 202a StGb vor Überwindung geschützt werden soll. Das betrifft aber ganz klar Fälle, in denen man sein sicherndes Passwort nicht direkt an die Eingangstür schreibt.

      Es kann für eine Strafbarkeit nach § 202a StGb schlichtweg nicht genügen, dass man ein Passwort hat, egal von welcher Qualität. “Passwort” oder “12345” als Passwort, selbst wenn es nicht irgendwo im Klartext ausgelesen werden könnte, halte ich schon für untauglich, weil dem Sicherungsmechanismus eine gewisse Sicherungsqualität innewohnen muss. Sonst fehlt es nämlich am vorausgesetzten “Überwinden”. Ein Überwinden erfordert eine gewisse und nicht unerhebliche Energie, die man als Täter aufwenden müsste, um einen Schutz zu umgehen.

      § 202a StGb ist eine komplett verunglückte Strafnorm, aber einer von vornherein ungeeigneten Form der Sicherung irgendeine Sicherungsqualität beimessen zu wollen, das liefe absolut fehl. Erst Recht kann dann ein im Klartext auslesbares Passwort nicht genügen. Aber weil die Norm so ein Murks ist, darf am Ende wieder die höchstrichterliche Rechtsprechung Hilfsgesetzgeber spielen, sobald Fälle wie der jetzige in die höheren Instanzen gehen.

      Ich stimme dir im Übrigen aber zu, dass die Norm in einer idealen Welt mehr subjektive Tatbestandsmerkmale erfordern sollte. Dass der reine Vorsatz genügt und keine “Ausspähabsicht” erforderlich ist, ist ohne Frage der Griff eines geriatrischen Gesetzgebers ins Klo.

      • Mahlzeit@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        2
        arrow-down
        1
        ·
        11 months ago

        Ist das die herrschende Meinung? Das überzeugt mich nicht so wirklich.

        Sagen wir mal, man nimmt so eine Liste von Passwörtern, die nicht ausreichen, um besonderen Schutz zu gewährleisten. Dann benutzt man ein Programm, dass Brute Force Nutzernamen durchgeht und jeweils diese Passwörter ausprobiert. Da ist dann natürlich schon eine ziemliche Energie dahinter, aber man hat ja nur die Konten geknackt, die, per Definition, nicht besonders gesichert waren.

        Oder, man geht irgendwo vorbei und erspäht den Login auf dem Klebezettel am Display. Sollte man das einfach mal ausprobieren dürfen, egal mit welcher Absicht?