Zivilgesellschaft macht Druck beim Einhegen der Hackerparagrafen
Der Bundestag soll noch die Initiative verbessern und beschlieĂźen, mit der ethische Hacker nicht mehr Furcht vor Sanktionen wie Haftstrafen haben mĂĽssten.
(Bild: Oleksiy Mark/Shutterstock.com)
Der im Oktober vom Bundesministerium der Justiz (BMJ) in die Ressortabstimmung gegebene Gesetzentwurf zur Modernisierung des Computerstrafrechts zielt darauf ab, IT-Sicherheitsforschern die verantwortungsvolle Identifikation und Schließung von Sicherheitslücken zu erleichtern. Dieser Ansatz geht prinzipiell in die richtige Richtung, erklären Vertreter der Zivilgesellschaft im Rahmen einer vom BMJ organisierten Verbändeanhörung. Das Vorhaben müsse aber noch an diversen Stellen verbessert und vor allem zeitnah vom Bundestag verabschiedet werden – am besten noch vor der Neuwahl im Februar. Das BMJ setzt vor allem darauf, Paragraf 202a Strafgesetzbuchs (StGB) zu entschärfen, in dem es um das Ausspähen und Abfangen von Daten sowie Vorbereitungshandlungen geht. Er führte jüngst zur Verurteilung eines Programmierers im Fall Modern Solution.
Die Bundesregierung sollte die verbleibende Zeit in der Legislaturperiode nutzen, um endlich die Rechtsunsicherheit in der IT-Sicherheitsforschung zu reduzieren und die Cybersicherheit in Deutschland nachhaltig zu stärken, betont Nikolas Becker, Leiter Politik & Wissenschaft bei der Gesellschaft für Informatik (GI). "Dabei wäre es wichtig, Vorbereitungshandlungen zur IT-Sicherheitsforschung klarer zu adressieren und den rechtssicheren Nachweis lauterer Absichten zu vereinfachen." In einer Stellungnahme hat die GI den Korrekturbedarf aus ihrer Sicht aufgezeigt. Für den Nachweis fehlten klare Kriterien.
Besonders umkämpft ist der eigentliche Hackerparagraf 202c StGB. Danach ist die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr zu ahnden. Die damit kriminalisierten "Hacker-Tools" dienen jedoch etwa Systemadministratoren dazu, Netzwerke und Endgeräte auf Sicherheitslücken zu prüfen. Die GI kritisiert ferner – wie zuvor der Chaos Computer Club (CCC) –, dass das BMJ diesen Paragrafen unverändert lassen will.
Risiko von Hausdurchsuchungen bleibt bestehen
Auch die AG Kritis, die sich mit der Sicherheit kritischer Infrastrukturen befasst, unterstreicht in ihrer Stellungnahme den dringenden Handlungsbedarf. Dieser bestehe vor allem im Interesse von Forschern, "die sich ehrenamtlich und aus gemeinnützigem Interesse für die IT-Sicherheit in Deutschland engagieren". Die Rechtsunsicherheit führe zu einem besorgniserregenden "Chilling-Effekt": "Sicherheitslücken werden aus Angst vor strafrechtlichen Konsequenzen nicht mehr gemeldet, wodurch potenzielle Gefahren für die Allgemeinheit unentdeckt bleiben." Der vom BMJ gewählte Ansatz bringe hier Verbesserungen mit sich, sei aber nicht der bestmögliche. So dürften IT-Sicherheitsforscher künftig zwar regelmäßig vor Gericht freigesprochen werden. Das Risiko einer Hausdurchsuchung, der Beschlagnahmung von Hardware sowie des Aufwands des Führens eines Prozesses bleibe aber bestehen.
Forscher sollten laut der AG Kritis zudem so entlastet werden, dass es in der überwiegenden Anzahl der Fälle gar nicht erst zur Anklage komme. Denkbar sei hier etwa das Ergänzen eines Tatbestandsmerkmals im Strafgesetzbuch, nämlich des Vorsatzes zur Schädigung. Die Staatsanwaltschaften wären dann verpflichtet, herauszufinden, ob es sich um ehrenamtliche IT-Sicherheitsforschung handelt. Der Fokus auf strafrechtliche Reformen allein reiche zudem nicht aus. Auch im Zivilrecht bestehe Reformbedarf, etwa im Urheberrechtsgesetz mit Blick auf das Verbot der Dekompilation. Ferner fehle im Geschäftsgeheimnisgesetz eine Ausnahme fürs Melden von Sicherheitslücken. Bei Funkschnittstellen stehe das derzeitige Abhörverbot rechtmäßigen Hinweisen auf Schwachstellen im Wege.
(mki)
