CCC: Gesetzentwurf zum Entschärfen der Hackerparagrafen ist stumpf
Laut Justizminister Buschmann soll das Identifizieren, Melden und Schließen von Sicherheitslücken legal sein. Der CCC warnt vor einer "gefährlichen Grauzone".
(Bild: FON's Fasai/Shutterstock.com)
Bundesjustizminister Marco Buschmann (FDP) treibt seine Initiative voran, mit der ethische Hacker nicht mehr Furcht vor Sanktionen bis hin zu Haftstrafen haben müssen. Er hat dazu einen Gesetzentwurf zur Modernisierung des Computerstrafrechts in die Ressortabstimmung mit der restlichen Bundesregierung gegeben. "Es muss verhindert werden, dass das Strafrecht von Handlungen abschreckt, die im gesellschaftlichen Interesse erfolgen und daher wünschenswert sind", heißt es darin. Ran will Buschmann vor allem an den Paragrafen 202a Strafgesetzbuch (StGB), in dem es um das Ausspähen und Abfangen von Daten sowie Vorbereitungshandlungen geht.
Aktuell wird mit 202a der unbefugte Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen kriminalisiert. Buschmann will nun klarstellen, dass entsprechende Handlungen rechtmäßig sind, wenn sie "in der Absicht" erfolgen, "eine Schwachstelle oder ein anderes Sicherheitsrisiko" eines IT-Systems festzustellen und die Verantwortlichen, Dienstleister, Hersteller oder dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) über die identifizierte Sicherheitslücke identifiziert werden. Gleiches soll etwa für Paragraf 202b StGB gelten. Damit wird derzeit mit bis zu zwei Jahren Gefängnis oder Geldstrafe belegt, wer sich oder anderen unbefugt Daten etwa aus einem nichtöffentlichen Transfer verschafft.
202a führte jüngst zur Verurteilung eines Programmierers im Fall Modern Solution. Besonders umkämpft ist aber Paragraf 202c StGB. Danach ist die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr zu ahnden. Die damit kriminalisierten "Hacker-Tools" dienen jedoch etwa auch Systemadministratoren dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen. Bei 202c sieht Buschmann aber keinen Änderungsbedarf, da es ethischen Hackern mit der Reform der beiden anderen Paragrafen am erforderlichen Vorsatz fehle und für die IT-Sicherheitsforschung so kein Strafbarkeitsrisiko mehr bestehe.
CCC: Paragraf 202c StGB muss weg
Dem Chaos Computer Club (CCC) reicht das nicht. Ein Sprecher der Hackervereinigung begrüßte gegenüber Netzpolitik.org zwar die Einsicht, "dass Inspektionen angeblich sicherer IT-Systeme im Grundsatz legal sind". Überfällig wäre aber ein Signal, dass Computersicherheit "auch hierzulande endlich ernstgenommen" werde. Dieses sollte darin bestehen, Paragraf 202c abzuschaffen. Stattdessen erlaube der Entwurf "nur offensichtlich harmlose Besichtigungen ausdrücklich". Berufliche Sicherheitsforscher arbeiteten so auch künftig "weitestgehend in einer gefährlichen Grauzone".
Lilith Wittmann, die nach dem Melden einer Sicherheitslücke bei der CDU in die Bredouille geriet, kritisierte, die erforderliche gute Absicht sei "vermutlich nicht so einfach feststellbar". Denn wenn diese sich erst vor Gericht nach einer potenziellen Hausdurchsuchung und ähnlichen Repressionen durch den Staat herauskristallisiere, werde "die Situation de facto nicht wirklich verbessert". Grünen-Fraktionsvize Konstantin von Notz und die Digitalpolitikerin Sabine Grützmacher kündigten an, den Referentenentwurf im parlamentarischen Verfahren weiterentwickeln zu wollen, "auch mit Blick auf die Legalität von Werkzeugen zur Auffindung von Sicherheitslücken". Löblich sei, dass der Strafrahmen erhöht werden solle, "wenn zum Beispiel kritische Infrastrukturen gefährdet oder beeinträchtigt werden".
(mki)
