Neues Cyberstrafrecht: Mehr Privilegien für Sicherheitsforscher, aber unkonkret
Machen sich Sicherheitsforscher immer strafbar? Nein, denn das neue Computerstrafrecht gibt ihnen deutlich mehr Sicherheit – ein Kompromiss bleibt es trotzdem.
(Bild: iX)
- Prof. Dennis-Kenji Kipker
Die fachliche und gesellschaftliche Debatte um die Reform des deutschen Computerstrafrechts war lange Jahre eines der Evergreens deutscher Digitalpolitik. Vielfach kritisiert, dass die zu weit gefassten Tatbestände die nationale IT-Sicherheitsforschung torpedieren würden, entschloss sich die Ampelkoalition schließlich dazu, sich des Themas anzunehmen und die Modernisierung des Computerstrafrechts in den Koalitionsvertrag aufzunehmen.
Was dann folgte, war nicht nur eine mehrjährige Wartezeit, sondern auch eine lange Phase weiterer Rechtsunsicherheit für IT-Sicherheitsforscher: Die Cybergefahren hatten sich massiv verschärft, die Rechtslage mit ihren Defiziten jedoch blieb unverändert. Der juristisch wie gesellschaftlich hochumstrittene Fall von Modern Solutions brachte im Januar 2024 das Thema schließlich erneut auf die politische Agenda. Seither wurde im Bundesministerium der Justiz federführend und intensiv an einem Reformpaket zur Novellierung des deutschen Computerstrafrechts gearbeitet, dessen Entwurf schließlich im Oktober in die Ressortabstimmung gegangen ist. Dem vorausgegangen waren unter anderem zwei Symposien mit Beteiligung von Vertretern aus Wissenschaft, Zivilgesellschaft und der IT-Sicherheitsbranche.
Bei einem ersten Blick in die neu vorgeschlagenen Regelungen kommen einem die beabsichtigten Änderungen im Computerstrafrecht geradezu profan vor und manch einer mag sich fragen, weshalb zur Überarbeitung weniger Vorschriften so viel Zeit verstreichen musste. Der Gesetzgeber tastet im Rahmen der Novelle nämlich lediglich den § 202a StGB (Ausspähen von Daten), § 202b StGB (Abfangen von Daten) und § 303a StGB (Datenveränderung) an. Der besonders umstrittene § 202c StGB (Vorbereiten des Ausspähens und Abfangens von Daten, umgangssprachlich auch bezeichnet als Hackerparagraf) ändert sich hingegen nicht.
Ein nötiger Kompromiss?
Bei einem näheren Blick in die Vorschriften und deren gesetzliche Begründung wird jedoch schnell klar, worin das Problem besteht: Das Aufdecken und Melden von Schwachstellen kann ein hochkomplexer, dynamischer und nicht immer linear verlaufender Prozess sein, zu dem es keine einheitlichen international anerkannten Standards gibt. Deshalb tut sich der Gesetzgeber schwer damit, ein einheitliches Verfahren mit fest vorgegebenen Merkmalen im Tatbestand des Computerstrafrechts rechtsfest zu verankern. Außerdem verlangt der strafrechtliche Bestimmtheitsgrundsatz, dass die Vorgaben der Strafbarkeit im Gesetz selbst festzulegen sind. Man kann sich also an der Stelle folglich nicht einfach auf externe Dokumente oder CVD Policies wie die des BSI berufen, um das Strafrecht hierdurch unmittelbar zu konkretisieren. Denn ansonsten würde man über einen solchen Verweis unter Umständen Dritte dazu befähigen, festzulegen, was in Deutschland strafbar ist und was nicht – überdies können sich solche externen Vorgaben über die Zeit hinweg auch unbemerkt ändern.
Daher hat man sich juristisch mit dem jüngst vorgelegten Vorschlag zur Modernisierung des Computerstrafrechts auf eine Minimallösung festgelegt, die einerseits IT-Sicherheitsforscher zwar schon deutlich rechtlich privilegiert, diese aber kehrseitig über die konkrete Ausgestaltung dieser Privilegierung ein wenig im Dunkeln lässt. Es handelt sich hier also um einen vorrangig verfassungsrechtlich bedingten Kompromiss zwischen Rechtssicherheit und Praktikabilität.
Der neue Tatbestandsausschluss privilegiert IT-Sicherheitsforscher deutlich
Der inhaltliche Kern der neuen computerstrafrechtlichen Privilegierung für IT-Sicherheitsforscher ist in § 202a Abs. 3 StGB-Entwurf enthalten: Wo § 202a Abs. 1 StGB das unbefugte Sichverschaffen von zugangsgesicherten Daten unter Strafe stellt, soll die neue Privilegierung nunmehr regeln, wann genau das nicht der Fall ist. Wenn nämlich die Tathandlung künftig in der Absicht erfolgt, eine Schwachstelle oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems (Sicherheitslücke) festzustellen und die für das informationstechnische System Verantwortlichen, den betreibenden Dienstleister des jeweiligen Systems, den Hersteller der betroffenen IT-Anwendung oder das BSI über die festgestellte Sicherheitslücke zu unterrichten sowie das Handeln zur Feststellung der Sicherheitslücke erforderlich ist, soll sich ein IT-Sicherheitsforscher nicht strafbar machen.
Grundsätzlich ist das rechtlich betrachtet zunächst einmal um Längen besser als das derzeitige Computerstrafrecht: Denn aktuell liegt in jedem Fall mangels Privilegierung zunächst einmal eine tatbestandliche Strafbarkeit vor, die dann vielleicht wegen mangelnder Rechtswidrigkeit oder Schuld später wieder entfällt. Und genau diese defizitäre Rechtslage schafft bislang Rechtsunsicherheit und führt dazu, dass IT-sicherheitsrelevante Meldungen aus Angst vor Strafbarkeit vielleicht nicht gemacht werden, obwohl sie technisch eigentlich geboten wären. Dennoch stellen sich viele Betroffene bei einem Blick in die Vorschriften nun berechtigterweise die zentrale Frage: Wie sollen sie diese geforderte Absicht fehlender Unbefugtheit ihres Handelns denn für sie selbst rechtssicher nachweisen? Dazu nämlich enthält der Gesetzentwurf aus den genannten Gründen keine weitergehende Konkretisierung.
Keine Änderung am Hackerparagrafen
Und hier liegt letztlich auch die Krux des neuen Computerstrafrechts. Denn wo wie skizziert ein solches Nachweisverfahren rechtlich kaum möglich abschließend in einen gesetzlichen Tatbestand integriert werden kann, werden IT-Sicherheitsforscher auch in Zukunft selbst aufgefordert sein, zu handeln und ihr Vorgehen und ihre Intention beim Zugriff auf fremde IT-Systeme möglichst verlässlich zu dokumentieren. Denn letztlich geht es darum, im Zweifelsfall das Gericht davon zu überzeugen, eben nicht unbefugt gehandelt zu haben. Hat sich diese Absicht nach außen hin nicht hinreichend manifestiert – was in zahllosen Fällen denkbar ist, da das Vorgehen unter Umständen nicht immer von Anfang an planvoll ist – stellt sich einerseits die Frage, wie das Handeln von IT-Sicherheitsforschern rechtlich von einem unbefugten Handeln abzugrenzen ist – und ob sich gegebenenfalls der tatsächliche Cyberstraftäter auch darauf berufen will, befugt zu handeln, sollte er strafrechtlich belangt werden.
In besonderem Maße virulent wird diese Problematik für den eigentlichen Hackerparagrafen, also § 202c StGB, der ja gerade Vorbereitungshandlungen vor dem eigentlichen Zugriff auf fremde IT-Systeme strafrechtlich erfasst. Bewusst nimmt der aktuelle Gesetzentwurf hier keine Änderung vor – aber nicht etwa, um Vorbereitungshandlungen weiter kriminalisieren zu können, sondern weil bereits die neu vorgeschlagene Privilegierung in § 202a StGB, auf die der Hackerparagraf ebenfalls mittelbar Bezug nimmt, dazu führen soll, dass für die IT-Sicherheitsforschung auch im Vorfeld keine Strafbarkeitsrisiken mehr bestehen. Das mag rechtlich zwar so stimmen, hier wäre aber eine ergänzende Klarstellung im Sinne eines besseren Rechtsverständnisses sinnvoll, da schon jetzt Missverständnisse zur Auslegung dieser Vorschrift in der Community zirkulieren.
Was jetzt zu tun ist
Insgesamt wird bei näherer Analyse der durch das Bundesjustizministerium vorgelegten Reform des Computerstrafrechts deutlich: Es handelt sich letztlich um nichts anderes als einen juristisch bedingen Kompromiss. Mit Sicherheit kann man an der einen oder anderen Stellschraube noch drehen, aber es wird kaum möglich sein, eine hundertprozentige laienverständliche Rechtssicherheit im Vorfeld der Begehung eventueller Computerstraftaten direkt im strafrechtlichen Tatbestand zu verankern.
Insoweit ist der vorgelegte Kompromiss ein guter, weil er IT-Sicherheitsforscher rechtlich deutlich besser stellt als zuvor, ohne jedoch in der Praxis nicht umsetzbare Regelungen vorzuschlagen. Deshalb sind wir, was die Modernisierung des Computerstrafrechts anbelangt, auf einem guten und richtigen Weg. Sollten diese Änderungen im Strafgesetzbuch deshalb in dieser Form verabschiedet werden, wird es darauf ankommen, die neuen Vorschriften in ihrer Ausgestaltung mit Leben zu füllen, um sie für alle besser verständlich und handhabbar zu machen. Beispielsweise indem in einem regelmäßigen Austausch zwischen Behörden, Organen der Strafrechtspflege, IT-Sicherheitsforschern, der Zivilgesellschaft und Cybersicherheitsunternehmen gemeinsame Best Practices und Orientierungswerte zur weiteren Konkretisierung der Befugtheit des Handelns erarbeitet werden. An ihnen sollte man sich künftig bei der Erkennung und Meldung von Schwachstellen orientieren können, um von den Vorteilen des neuen Computerstrafrechts bestmöglich zu profitieren und auf diese Weise mehr Cybersicherheit für alle zu schaffen.
(fo)
