taz.de -- Geplante Reform des Hacker-Paragrafen: Sicherheit für gutwillige Hacker

Wer ohne Auftrag in fremden Computersystemen Schwächen sucht, soll nicht mehr bestraft werden. Das sieht ein Gesetzentwurf vor, der der taz vorliegt.
Bild: Marco Buschmann (FDP), Bundesminister der Justiz, will ethisch handelnde Hacker nicht mehr bestrafen

Wohlmeinende Hacker sollen nicht mehr mit einem Bein im Gefängnis stehen. Wer unabgesprochen in fremde Computersysteme eindringt, um Sicherheitslücken zu finden und diese mitzuteilen, handelt künftig eindeutig legal.

Das sieht ein Gesetzentwurf von Justizminister Marco Buschmann (FDP) vor, der an diesem Dienstag in die Ressortabstimmung der Bundesregierung ging und der taz vorliegt.

Das „Ausspähen von Daten“ ist schon seit 1986 strafbar, geregelt in Paragraf 202a des Strafgesetzbuchs. 2007 wurde die Strafbarkeit um den so genannten Hacker-Paragrafen 202c verschärft. Seitdem ist schon der Besitz von Software strafbar, deren Zweck das Ausspähen von Daten ist. Die Hackerszene ist seitdem aufgebracht und verunsichert.

Bis heute prinzipiell strafbar

Zwar stellte das Bundesverfassungsgericht 2009 fest, dass eindeutig keine Straftat vorliegt, wenn ein Hacker im Auftrag eines Unternehmens oder einer Behörde nach Sicherheitslücken sucht. Dann darf er auch die entsprechenden Hackertools besitzen. Diese Klarstellung nutzte aber nicht den so genannten Grey-Hat-Hackern, die ohne Auftrag, aber mit guter Absicht die Sicherheit von Datensystemen testen. Deren Tätigkeit ist bis heute im Prinzip strafbar.

So zeigte die CDU 2021 [1][die IT-Expertin Lilith Wittmann an, nachdem sie in der CDU-Wahlkampf-App „CDUconnect“ gravierende Sicherheitslücken entdeckt hatte]. Nach öffentlichem Protest zog die CDU zwar die Anzeige zurück und entschuldigte sich, die Staatsanwaltschaft Berlin ermittelte aber weiter und stellte das Verfahren erst nach Monaten ein – [2][weil die Daten in der CDU-App faktisch frei abrufbar waren].

Dagegen verurteilte das Amtsgericht Jülich im Januar dieses Jahres einen Softwareentwickler, der 2021 im Auftrag eines Einzelhändlers eine Schnittstelle prüfen sollte und dabei [3][eine Schwachstelle beim IT-Dienstleister Modern Solutions entdeckt hatte].

Der Mann informierte Modern Solutions über die Sicherheitslücke, aber das Unternehmen bestritt das Problem und zeigte stattdessen den wohlmeinenden Eindringling an. Das Amtsgericht Jülich verurteilte ihn nun wegen Ausspähens von Daten zu einer Geldstrafe von 50 Tagessätzen, insgesamt 3.000 Euro.

Auch im Interesse von Unternehmen

Auch wenn es nach Angaben des Justizministeriums bisher nur zu sehr wenigen Verurteilungen kam, soll mit der Verunsicherung der ethisch handelnden Hacker nun Schluss sein. Der Reformentwurf zu Paragraf 202a sieht vor, dass das Eindringen in ein fremdes Computersystem dann „nicht unbefugt“ ist, wenn es in der Absicht erfolgt, eine Schwachstelle festzustellen und diese den Verantwortlichen beim Nutzer oder beim Hersteller zu melden.

Damit wären die Grey-Hat-Hacker und ihre unabgesprochene „offensive IT-Sicherheitsforschung“ künftig auf der sicheren Seite. Dies ist durchaus [4][auch im Interesse der getesteten Unternehmen], die manchmal sogar spezielle Meldekanäle zur Verfügung stellen („Hilf uns, besser zu werden“) oder Belohnungen für das Finden von Schwachstellen ausloben, [5][so genannte Bug Bounties].

Schwere Strafen bei Böswilligkeit

Zugleich sieht Buschmanns Entwurf aber auch Strafverschärfungen vor. So soll die [6][Höchststrafe für das böswillige „Ausspähen von Daten“] in „besonders schweren Fällen“ von drei auf fünf Jahre steigen, etwa wenn kritische Infrastruktur wie die Wasserversorgung beeinträchtigt wird.

Buschmann setzt mit dem Gesetzentwurf, der schon für die erste Jahreshälfte angekündigt war, einen Auftrag aus dem Ampel-Koalitionsvertrag um.

22 Oct 2024

LINKS

[1] /Lilith-Wittmann-ueber-Wahlkampf-Apps/!5802119
[2] /Moeglicher-Verstoss-gegen-Datenschutz/!5802205
[3] /IT-Experte-wird-angezeigt/!5808171
[4] /IT-Experte-ueber-Softwarefehler-bei-Apple/!5463527
[5] /Sicherheit-im-sozialen-Netzwerk/!5112959
[6] /Hackerangriff-aus-Russland/!6008330

AUTOREN

Christian Rath

TAGS

Software
Hacker
Hackerangriff
Justizministerium
Cybersicherheit
Marco Buschmann
Megaupload
IG
Schwerpunkt Überwachung

ARTIKEL ZUM THEMA

Auslieferung des Megaupload-Gründers: Kim Dotcom von Neuseeland ans FBI

Für den deutschen Internet-Entrepreneur schlägt wohl die letzte Stunde in Freiheit. Seiner Auslieferung an US-Behörden wurde zugestimmt.

Lilith Wittmann über Wahlkampf-Apps: „Manche spielen Sudoku. Ich hacke“

Die Sicherheitsexpertin Lilith Wittmann hat in der CDU-Wahlkampf-App Schwachstellen gefunden. Ein Gespräch über Hacker*innen-Ehre.

Möglicher Verstoß gegen Datenschutz: CDU-Wahl-App doch nicht gehackt

Weil die Daten frei abrufbar waren, wurden Ermittlungen gegen IT-Expertin Wittmann eingestellt. Hat die CDU mit ihrer App gegen Datenschutz verstoßen?