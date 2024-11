Kritik am Computerstrafrecht besteht schon seit vielen Jahren. „§ 202c StGB gefährdet den IT-Standort Deutschland“, erklärte zum Beispiel der Chaos Computer Club (CCC) im Jahr 2008. „Das Programmieren, Überlassen, Verbreiten oder Verschaffen von sogenannten Hackertools, die für die tägliche Arbeit von Netzwerkadministratoren und Sicherheitsexperten notwendig sind, wird durch den § 202c StGB unter Strafe gestellt.“

Auch § 202a StGB (Ausspähen von Daten) war und ist keine rechtliche Theorie, die nie zur Anwendung kommt. Das Jülicher Amtsgericht zum Beispiel hatte einen IT-Fachmann aus Linnich zu 3.000 Euro Strafe verurteilt. Er hatte 2021 eine Sicherheitslücke bei einem Online-Dienstleister aufgedeckt, die Firma informiert und die Softwarepanne im Internet veröffentlicht.

Die „Strafbarkeit des Hackens“ soll nun aber reformiert werden, aus gutem Grund: Sogenannte „White Hat Hacker“ nutzen ihre Hacking-Fähigkeiten, um Sicherheitsschwachstellen in IT-Infrastrukturen zu identifizieren, wie auch die Wissenschaftlichen Dienste des Deutschen Bundestages darlegen (PDF). Dabei stellt das „White Hat Hacking“ einen wichtigen Baustein eines funktionierenden IT-Sicherheitskonzepts dar. Liegt den Testangriffen jedoch kein Auftrag der gehackten Organisation zu Grunde, setzt sich der „White Hat Hacker“ einem Strafbarkeitsrisiko aus.

Mehr Rechtssicherheit für die Erforschung von IT-Sicherheitslücken

Wer IT-Sicherheitslücken aufspüren und schließen möchte, soll nicht dem Risiko einer Strafbarkeit ausgesetzt sein. Damit dies sichergestellt ist, schlägt das Bundesministerium der Justiz (BMJ) eine Anpassung des Computerstrafrechts vor. Im Gesetz soll klargestellt werden, dass bestimmte Handlungen von IT-Sicherheitsforscherinnen und -forschern nicht nach dem Computerstrafrecht strafbar sind. Der Gesetzentwurf sieht außerdem eine Strafverschärfung vor: Besonders schwere Fälle des Ausspähens und Abfangens von Daten sollen künftig strenger bestraft werden als bislang. Ziel ist die klare gesetzliche Abgrenzung von nicht zu missbilligendem Handeln der IT-Sicherheitsforschung einerseits von strafwürdigem Verhalten andererseits.

Entscheidend ist dabei die klare Festlegung, wann das Aufspüren von IT-Sicherheitslücken befugt und wann unbefugt (und damit strafbar) ist. Befugt und damit nicht strafbar soll es sein, wenn die Handlung in der Absicht erfolgt, eine Schwachstelle oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems (Sicherheitslücke) festzustellen (Feststellungsabsicht), die Information über eine festgestellte Sicherheitslücke gegebenenfalls an eine verantwortliche Stelle weiterzugeben, die in der Lage ist, die Lücke zu schließen oder dies zu veranlassen (Unterrichtungsabsicht), und die Handlung zur Feststellung der Sicherheitslücke erforderlich ist (Erforderlichkeit).