§ 206 StGB – Ein Problem für die IT-Sicherheit?

Wer in der IT-Sicherheit unterwegs ist, weiß, wie wichtig der Austausch mit Kollegen ist. Geführt werden Gespräche über gefundene Schwachstellen oder Angriffe auf Systeme. Aber auch solch sinnvolle Gespräche haben gesetzliche Grenzen, die schneller erreicht werden können, als es einem lieb sein mag.

Die rechtliche Ausgangslage

Mit Rücksicht auf alle nicht-juristischen Leser wird im Folgenden versucht, die Thematik möglichst „unjuristisch“ darzustellen. Insofern sind bestimmte Probleme vereinfacht dargestellt. Aber der Reihe nach. Art. 10 Abs. 1 GG schützt das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis. Eine Ausnahme hiervon ist nur in engen Grenzen und auf Grund eines Gesetzes möglich, vgl. Abs. 2.

Art. 10 zählt somit zu den Freiheitsrechten und dient dem Schutze der Vertraulichkeit in der Kommunikation. Ein Glück, denn wer möchte schon, dass jede versendete Nachricht, jedes gesprochene Wort jederzeit und grundsätzlich abgehört werden kann.

Aber Grundrechte schaffen gewissermaßen nur einen Rahmen. Deren Inhalt wird daher in weiteren Gesetzen genauer umrissen und ausdefiniert. So soll § 206 StGB dem Schutze dieses Grundrechts dienen und eine Verletzung des Post- und Fernmeldegeheimnisses ahnden. Abs. 1 bestimmt entsprechend:

„Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Post- oder Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigtem eines Unternehmens bekanntgeworden sind, das geschäftsmäßig Post- oder Telekommunikationsdienste erbringt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“

Der Tatbestand und seine Voraussetzungen

Klassischerweise wird im Strafrecht ein dreiteiliger Aufbau gewählt, um eine Strafbarkeit zu ermitteln. So müssen Tatbestand, Rechtswidrigkeit und Schuld vorliegen, bevor die strafbare Handlung anzunehmen ist. Der zitierte Gesetzeswortlaut beschreibt zunächst den Tatbestand, dessen Tatbestandsmerkmale alle gegeben sein müssen. Als Fallbeispiel nehmen wir mal einen Mitarbeiter der IT-Sicherheit, der bei einem Internetprovider arbeitet. Dieser stellt auf seinen Systemen z.B. fest, dass bestimmte IP-Adressen Schadcode mittels Spam verteilen und andere IP-Adressen Teile eines Botnetzes oder DDoS-Angriffs sind. Er ergreift interne Schutzmaßnahmen und teilt seine Erkenntnisse über die in Rede stehenden IP-Adressen im Sinne der Gefahrenabwehr mit IT-Experten anderer Internetprovider. Problematisch?

Wenn wir den Tatbestand durchgehen, sind folgende Merkmale erfüllt:

• Beschäftigter eines Unternehmens, das geschäftsmäßig Telekommunikationsdienste erbringt: Ein Mitarbeiter der IT-Sicherheit eines Internetproviders ist Beschäftigter genau eines solchen Unternehmens, also (+)
• Dem Beschäftigten sind die Tatsachen bekannt geworden: Der Mitarbeiter weiß konkret, welche IP-Adressen Teile des Botnetzes sind, also (+)
• Mitteilung über Tatsachen, die dem Fernmeldegeheimnis unterliegen: IP-Adressen sind Verbindungsdaten/ personenbezogene Daten, die unter den Schutz des § 206 Abs. 1 StGB fallen (s. auch 88 Abs. 1 TKG), also (+)
• Die Mitteilung wird gegenüber einer anderen Person gemacht: Der Mitarbeiter teilt die kritischen IP-Adressen Mitarbeitern anderer Internetprovider mit, also (+)
• Er handelt unbefugt: …?

Das Merkmal der Befugnis

Die in der juristischen Lehre streitige Frage, ob die Befugnis Teil des Tatbestands oder der Rechtswidrigkeit ist, soll an dieser Stelle dahingestellt bleiben, da es im Ergebnis keine Rolle spielt. Entscheidend ist vielmehr, wann eine Befugnis gegeben ist – und wann eben nicht. Denn die Strafbarkeit der o.g. Handlung hängt von der Beantwortung dieser Frage ab.

Eine Befugnis liegt jedenfalls dann vor, wenn eine Weitergabe der Tatsachen aufgrund eines Gesetzes zulässig war. Dies würde nach der ersten Meinung schon den Tatbestand ausschließen, da ein Merkmal fehlt.

Nach der zweiten wäre die „Tat“ gerechtfertigt und eine Rechtswidrigkeit damit ausgeschlossen. Zu beachten ist, dass die spezialgesetzlichen Regelungen des Telekommunikationsgesetzes (TKG) die allg. Rechtfertigungsgründe (z.B. §§ 32 u. 34 StGB) im Rahmen des § 206 StGB weitgehend verdrängen.

Vorschriften des TKG

Erforderlich ist also ein Rechtfertigungsgrund. Ab den §§ 91 ff. TKG sind solche Gründe aufgeführt. Insbesondere der zuletzt 2017 angepasste § 100 TKG ist hierbei von Relevanz. Dieser erlaubt es die IP-Adressen zu nutzen, „um Störungen oder Fehler an Telekommunikationsanlagen zu erkennen, einzugrenzen oder zu beseitigen“. Eine Nutzung zu anderen Zwecken ist ausdrücklich unzulässig. D.h. dass der IT-Mitarbeiter die Daten unter Beachtung der weiteren Voraussetzungen des § 100 TKG nutzen kann, um interne Schutzmaßnahmen zu ergreifen. Dem BGH nach liegt eine Störung nämlich vor,

„wenn Internetdienstleister bestimmte IP-Adressbereiche eines anderen Internetanbieters sperren, weil von ihnen Schadprogramme oder massenweise so genannte Spam-Mails versandt werden oder „Denial-of-Service-Attacken“ ausgehen. (BGH, Urt. v. 13.1.2011 − III ZR 146/10)“

Der geschilderte Fall würde also grundsätzlich in den Anwendungsbereich fallen. Aber ist hiervon auch eine Weitergabe an IT-Experten anderer Internetprovider umfasst? An eine Weitergabe an sich hat der Gesetzgeber insofern gedacht, als dass er Regelungen hierzu in Bezug auf die Bundesnetzagentur und das Bundesministerium für Sicherheit in der Informationstechnik aufgenommen hat. Eine Regelung für ebenso betroffene Unternehmen fehlt hingegen. Eine Übermittlung wäre demnach nicht nach § 100 TKG gerechtfertigt. Auch andere Paragrafen wie bspw. § 109a TKG weisen auf die Sicherheitsproblematik hin, bieten jedoch ebenso wenig eine Rechtfertigung. Da auch keine anderen Rechtfertigungsgründe in Betracht kommen, hätte die Handlung des Mitarbeiters im geschilderten Fall den Tatbestand des § 206 StGB erfüllt. Eine Strafbarkeit wäre demnach gegeben.

Ist das problematisch?

Ja durchaus. Denn jeder, der auf dem Gebiet praktischer IT-Sicherheit unterwegs ist, weiß, dass u.a. ein Austausch über IP-Adressen, die für schädigende Angriffe missbraucht werden, bisher nicht nur üblich, sondern mitunter auch notwendig ist. Vor allem, weil sich die Rechtzeitigkeit von Informationsgewinnung zur Abwendung von Gefahren mitunter entscheidend auswirkt.

Natürlich darf dabei nicht außer Acht gelassen werden, dass es sich bei dem Verbot der Weitergabe um den Schutz des Fernmeldegeheimnisses, also eines Grundrechts handelt. Eine solche Übermittlung sollte daher nur in engen Grenzen möglich sein. Allerdings stellt sich die Frage, wie sensibel die Verbindungsdaten für den Betroffenen tatsächlich sind und ob eine Weitergabe zwischen IT-Sicherheitsexperten zur Abwendung von Cyberangriffen nicht eine Rechtfertigung wert wäre. Angesichts einer ansonsten manchmal zweifelhaften Einstellung des Gesetzgebers im Umgang mit personenbezogenen Daten (Stichwort Vorratsdatenspeicherung), ist es nicht nachvollziehbar, warum er an dieser Stelle so zurückhaltend agiert. Die Thematik ist übrigens nicht neu. Bereits 2016 hatten Experten aus dem Bereich der Cybersicherheit darauf hingewiesen.

Was ist Mitarbeitern der IT-Sicherheit zu raten?

Eine Aufforderung zum Gesetzesbruch wird es an dieser Stelle sicher nicht geben, wenn auch die Wahrscheinlichkeit, dass wegen der Weitergabe einer kritischen IP-Adresse Anzeige erstattet wird, wohl gering ist. Datenschutzrechtliche Probleme einmal außen vorgelassen. Natürlich ist ein stark geschütztes Fernmeldegeheimnis in unserem Sinne als Bürger und Datenschützer. Bei dem angebrachten Beispiel erscheint es aber ausnahmsweise sinnvoll und richtig, den Schutz ein wenig aufzulockern, um dadurch der Sicherheit im Internet einen angemessenen Stellenwert einzuräumen. In diesem Sinne sollte die Thematik ausführlich diskutiert und an den Gesetzgeber herangetragen werden.