Sebastian Duda - stock.adobe.com
Reicht die Änderung an dem Hackerparagrafen?
Eine Änderung im Computerstrafrecht soll die IT-Sicherheitsforschung rechtlich gesehen erleichtern. Was sich mit dem aktuellen Gesetzentwurf ändert und was noch kritisiert wird.
Kritik am Computerstrafrecht besteht schon seit vielen Jahren. „§ 202c StGB gefährdet den IT-Standort Deutschland“, erklärte zum Beispiel der Chaos Computer Club (CCC) im Jahr 2008. „Das Programmieren, Überlassen, Verbreiten oder Verschaffen von sogenannten Hackertools, die für die tägliche Arbeit von Netzwerkadministratoren und Sicherheitsexperten notwendig sind, wird durch den § 202c StGB unter Strafe gestellt.“
Auch § 202a StGB (Ausspähen von Daten) war und ist keine rechtliche Theorie, die nie zur Anwendung kommt. Das Jülicher Amtsgericht zum Beispiel hatte einen IT-Fachmann aus Linnich zu 3.000 Euro Strafe verurteilt. Er hatte 2021 eine Sicherheitslücke bei einem Online-Dienstleister aufgedeckt, die Firma informiert und die Softwarepanne im Internet veröffentlicht.
Die „Strafbarkeit des Hackens“ soll nun aber reformiert werden, aus gutem Grund: Sogenannte „White Hat Hacker“ nutzen ihre Hacking-Fähigkeiten, um Sicherheitsschwachstellen in IT-Infrastrukturen zu identifizieren, wie auch die Wissenschaftlichen Dienste des Deutschen Bundestages darlegen (PDF). Dabei stellt das „White Hat Hacking“ einen wichtigen Baustein eines funktionierenden IT-Sicherheitskonzepts dar. Liegt den Testangriffen jedoch kein Auftrag der gehackten Organisation zu Grunde, setzt sich der „White Hat Hacker“ einem Strafbarkeitsrisiko aus.
Mehr Rechtssicherheit für die Erforschung von IT-Sicherheitslücken
Wer IT-Sicherheitslücken aufspüren und schließen möchte, soll nicht dem Risiko einer Strafbarkeit ausgesetzt sein. Damit dies sichergestellt ist, schlägt das Bundesministerium der Justiz (BMJ) eine Anpassung des Computerstrafrechts vor. Im Gesetz soll klargestellt werden, dass bestimmte Handlungen von IT-Sicherheitsforscherinnen und -forschern nicht nach dem Computerstrafrecht strafbar sind. Der Gesetzentwurf sieht außerdem eine Strafverschärfung vor: Besonders schwere Fälle des Ausspähens und Abfangens von Daten sollen künftig strenger bestraft werden als bislang. Ziel ist die klare gesetzliche Abgrenzung von nicht zu missbilligendem Handeln der IT-Sicherheitsforschung einerseits von strafwürdigem Verhalten andererseits.
Entscheidend ist dabei die klare Festlegung, wann das Aufspüren von IT-Sicherheitslücken befugt und wann unbefugt (und damit strafbar) ist. Befugt und damit nicht strafbar soll es sein, wenn die Handlung in der Absicht erfolgt, eine Schwachstelle oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems (Sicherheitslücke) festzustellen (Feststellungsabsicht), die Information über eine festgestellte Sicherheitslücke gegebenenfalls an eine verantwortliche Stelle weiterzugeben, die in der Lage ist, die Lücke zu schließen oder dies zu veranlassen (Unterrichtungsabsicht), und die Handlung zur Feststellung der Sicherheitslücke erforderlich ist (Erforderlichkeit).
Keine Änderung bei „Hackertools“ geplant
Die entsprechenden Änderungen der §§ 202a und 202b StGB werden laut BMJ dazu führen, dass für die IT-Sicherheitsforschung keine Strafbarkeitsrisiken mehr bestehen. Eine Änderung des § 202c StGB sei dagegen nicht notwendig. Die Vorschrift des § 202c StGB setze nämlich voraus, dass das Tatobjekt ein Computerprogramm ist, dessen Zweck die Begehung einer Tat nach § 202a oder § 202b StGB ist. Ferner müsse der Täter eine Straftat nach den §§ 202a und 202b StGB vorbereiten. Selbst wenn ein „Hackertool“ zu kriminellen Zwecken hergestellt und verbreitet wurde, könne jedermann sich dieses Tool straffrei verschaffen, wenn es zur IT-Sicherheitsforschung benötigt wird.
Das Ziel der Modernisierung des Computerstrafrechts fasst das BMJ so zusammen: „Es geht darum, denjenigen Rechtssicherheit zu geben und sie vor Strafverfolgung zu schützen, die Sicherheitslücken in IT-Systemen aufdecken wollen; denn daran, dass die Erforschung und Aufdeckung von IT-Systemen Sicherheitslücken nicht kriminalisiert wird, wenn sie in der Absicht erfolgt, dass solche Lücken geschlossen werden, besteht ein gesamtgesellschaftliches Interesse.“
Die geplanten Änderungen im Computerstrafrecht betreffen also nicht den eigentlichen Hackerparagrafen, wie insbesondere der § 202c StGB genannt wird. Hierzu regt sich weiterhin Kritik, die Diskussion um den eigentlichen Hackerparagrafen ist also noch nicht zu Ende.