Im Jahr 2007 wurde das Strafrecht in Sachen Computerkriminalität geändert. Seit dem ist vom so genannten Hackerparagrafen die Rede, der insbesondere für Sicherheitsforscher problematisch sein kann. Bislang scheint für Sicherheitsforscher und Tester nie ganz eindeutig, wann sie sich in eine unsichere Rechtssituation begeben (siehe auch Die aktuelle Rechtslage bei Penetrationstests).

Das Bundesministerium der Justiz hat nun einen Gesetzentwurf zum Computerstrafrecht vorgelegt, der bei der Erforschung von Sicherheitslücken mehr Rechtssicherheit bieten soll. So soll, wer Sicherheitslücken aufspüren und schließen möchte, nicht dem Risiko einer Strafbarkeit ausgesetzt sein, heißt es in der Pressemitteilung.

Der Gesetzentwurf sieht mehrere Anpassungen des Computerstrafrechts vor. Das Computerstrafrecht sanktioniert Straftaten, die im Zusammenhang mit Computern und der digitalen Welt stehen.

So soll gesetzlich klargestellt werden, dass bestimmte Handlungen von IT-Sicherheitsforschern, IT-Sicherheitsunternehmen sowie von so genannten „Hackern“ nicht nach dem Computerstrafrecht bestraft werden können. So gehe es um Handlungen, die in der Absicht vorgenommen würden, eine Sicherheitslücke aufzuspüren und zu schließen. Damit dies keinem Strafbarkeitsrisiko unterliege, soll der § 202a Strafgesetzbuch ergänzt werden. Nach diesem macht sich strafbar, wer sich „unbefugt“ Zugang zu Daten verschaffe. Hier soll ein neuer Absatz klarstellen, unter welchen Umständen ein solches Handeln nicht „unbefugt“ und damit nicht strafbar ist. Neben dem Zugang zu Daten würde dies dann auch für das Abfangen von Daten (§ 202 StGB) und die Datenveränderung (§303 a StGB) angepasst.

Für bestimmte Fälle des Ausspähens und des Abfangens von Daten soll das Strafrecht verschärft werden. Hier sollen Regelungen für besonders schwere Fälle ergänzt werden.

„Wer IT-Sicherheitslücken schließen möchte, hat Anerkennung verdient – nicht Post vom Staatsanwalt. Denn Sicherheitslücken in IT-Systemen können in unserer vernetzten Welt dramatische Folgen haben. Cyberkriminelle und fremde Mächte können IT-Sicherheitslücken als Einfallstore nutzen. Krankenhäuser, Verkehrsunternehmen oder Kraftwerke können so lahmgelegt werden; persönliche Daten können ausspioniert, Unternehmen können ruiniert werden. Es ist deshalb im gesamtgesellschaftlichen Interesse, dass IT-Sicherheitslücken aufgedeckt und geschlossen werden. Mit dem Gesetzentwurf werden wir Strafbarkeitsrisiken für Personen ausschließen, die sich dieser wichtigen Aufgabe annehmen. Gleichzeitig werden wir die Strafen für besonders gefährliche Fälle des Ausspähens und Abfangens von Daten anheben.“, so Bundesjustizminister Dr. Marco Buschmann.

Der Gesetzentwurf wurde heute, am 4. November 2024, veröffentlicht und an Länder und Verbände verschickt. Interessierte Kreise haben nun bis zum 13. Dezember Zeit zum Gesetzentwurf Stellung zu nehmen.