Bundestags-Gutachten: Andere EU-Staaten schützen ethische Hacker besser

Für das Aufspüren von IT-Sicherheitslücken sind Hinweise Dritter aus Zivilgesellschaft, Wirtschaft, Wissenschaft sowie ehrenamtliche Security-Experten elementar. Doch solche eigeninitiativ tätigen Hacker würden sich in Deutschland ohne vorliegendes Einverständnis der betroffenen Programm- oder Systemverwalter "grundsätzlich strafbar machen". Dies gelte auch für Litauen und Schweden, geht aus einem jetzt veröffentlichten Gutachten des Wissenschaftlichen Dienstes des Bundestags zur Strafbarkeit von Hacking im internationalen Vergleich hervor, das die Linken-Abgeordnete Anke Domscheit-Berg in Auftrag gegeben hat. In anderen EU-Staaten wie Frankreich, den Niederladen und Österreich werde das Aufdecken von Sicherheitslücken durch ethische Hacker dagegen größtenteils begrüßt.

Stein des Anstoßes ist hierzulande seit Langem vor allem Paragraf 202c Strafgesetzbuch (StGB), den der Bundestag 2007 parallel mit weiteren Hackerklauseln beschloss. Danach ist die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr zu ahnden. Die damit kriminalisierten "Hacker-Tools" dienen jedoch auch Systemadministratoren, Programmierern und Beratern dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen.

Paragraf 202b StGB sieht vor, dass mit bis zu zwei Jahren Gefängnis oder Geldstrafe belegt wird, wer sich oder anderen mit solchen Hilfsmitteln unbefugt Daten aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung eines IT-Systems verschafft. Mit Paragraf 202a legte der Gesetzgeber zudem fest, dass bereits der unbefugte Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen kriminalisiert und mit bis zu drei Jahren Haft bestraft wird. Dabei hat laut den Gutachtern vor allem "die herrschende Meinung" das ursprünglich enthaltene, erst 2006 ausgemerzte "Sichverschaffen von Daten" so weit ausgelegt, "dass das Hacking faktisch bereits – entgegen der Absicht des Gesetzgebers – in weitem Umfang erfasst war".

Die Linke macht Druck bei geplanter Novelle

Mit diesem Arsenal dürfte bereits "eine Unsicherheit bei denjenigen, die sich beruflich mit IT-Sicherheit beschäftigen", bestehen bleiben, schreiben die Parlamentsjuristen. "White Hat Hacker", die Sicherheitsschwachstellen in IT-Infrastrukturen identifizierten, setzten sich ohne Auftrag der betroffenen Organisation "einem Strafbarkeitsrisiko" aus. In Holland halte es die Staatsanwaltschaft dagegen für wichtig, dass ethische Hacker "weiterhin nach Schwachstellen suchen und diese melden können", um IT-Systeme sicherer zu machen. Gleichzeitig würden Organisationen und Unternehmen ermutigt, Richtlinien zur Meldung von Sicherheitslücken festzulegen. Auch in Österreich und Frankreich sei es denkbar, eine Strafbarkeit in einschlägigen Fällen außenvorzulassen.

Die linke Gruppe im Bundestag fordert die Bundesregierung in einem Antrag daher auf, "zeitnah einen Gesetzentwurf vorzulegen, der die Untersuchung, Aufdeckung sowie die Meldung von IT-Sicherheitslücken durch natürliche oder juristische Personen straffrei ermöglicht". Entsprechende Tatbestandsausschlüsse sollten eingeführt werden, "sofern die Handlungen dem Ziel der ethisch verantwortungsvollen Erforschung, Identifizierung, Meldung und Schließung" von Schwachstellen in Hard- und Software dienten. Bundesjustizminister Marco Buschmann (FDP) kündigte im November zwar eine Reform der seit Jahren umstrittenen Hackerparagrafen an. Laut Eckpunkten will er im Sinne des Koalitionsvertrag der Ampel das Prinzip des ethischen Hackens "auch im Strafrecht" berücksichtigt wissen. Einen konkreten Gesetzentwurf stellte der Liberale "in der ersten Jahreshälfte 2024" in Aussicht, woraus nichts geworden ist.

(nie)