IT-Sicherheit: Bundesjustizminister will Hackerparagraphen lockern
Die Bundesregierung will beim sogenannten Hackerparagraphen ansetzen, berichtet Heise Online. IT-Sicherheitsforschung, die sich mit dem Identifizieren und Melden von Schwachstellen befasst, soll künftig rechtssicher möglich sein.
Eine entsprechende Änderung des Strafrechts kündigte Bundesjustizminister Marco Buschmann (FDP) an. Der Hackerparagraph (§202a ff) zählt zu einer Vielzahl von Gesetzen, die die Bundesregierung modernisieren will.
Änderung bereits im Koalitionsvertrag angekündigt
Auf das entsprechende Vorhaben verständigte sich die Ampel-Bundesregierung bereits im Koalitionsvertrag. Das „Identifizieren, Melden und Schließen von Sicherheitslücken soll in einem verantwortlichen Verfahren, z. B. in der IT-Sicherheitsforschung, legal durchführbar sein“, heißt in dem Papier des Bundesjustizministeriums. Dem müsse auch im Strafrecht Rechnung getragen werden.
Grundlage für das überarbeitete Gesetz sollen die Erkenntnisse aus zwei Symposien mit Experten sein, die dieses Jahr im Juni und Oktober durchgeführt worden sind. Der Gesetzentwurf soll in der ersten Jahreshälfte 2024 vorgelegt werden.
Verbot von Hacker-Tools
Das Vorhaben war von Anfang an äußerst umstritten. Beschlossen wurde der Hackerparagraph im Jahr 2007 mit den Stimmen der CDU/CSU-SPD-Regierung sowie von FDP und Grünen. Dieser stellt das Ausspähen und Abfangen von Daten sowie das Vorbereiten entsprechender Schritte unter Strafe. Im Mittelpunkt steht vor allem der Paragraph 202c. Strafbar ist demnach unter anderem, wenn man sich Zugang zu Passwörtern und Sicherheitscodes verschafft oder Computerprogramme nutzt, die für entsprechende Zwecke geeignet sind. Bei Verstößen können Freiheitsstrafen von bis zu zwei Jahren und Geldstrafen verhängt werden.
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) § 149 Abs. 2 und 3 gilt entsprechend.
Paragraph 202c
Diese „Hacker-Tools“-Regel richtet sich aber nicht nur gegen Kriminelle. Vielmehr betrifft diese auch Administratoren, Programmierer und IT-Sicherheitsforscher, die entsprechende Programme verwenden, um Systeme und Netzwerke auf Schwachstellen hin zu überprüfen. Wie Heise Online schreibt, sind auch weitere Hacker-Klauseln wie der Paragraph 202b problematisch. Denn diese stellen unter Strafe, dass man Zugang zu Daten erhält, die nicht öffentlich und auch nicht für einen selbst bestimmt sind.
Auch das schafft Unsicherheit, weil sich so IT-Sicherheitsforschung kriminalisieren lässt. Personen, die Schwachstellen entdecken und melden, droht eine Strafverfolgung. Für Aufsehen sorgte in diesem Jahr der Fall eines IT-Sicherheitsexperten, der 2021 eine schwerwiegende Sicherheitslücke bei dem Software-Dienstleister Modern Solution – einer Handelsplattform – entdeckte.
Medial viel beachtet war auch der Fall von Lilith Wittmann, die IT-Sicherheitsexpertin entdeckte eine Schwachstelle in einer Wahlkampf-App der CDU. Die Partei stellte zunächst einen Strafantrag. Diese Anzeige zog man zwar später zurück, die Kritik aus IT-Sicherheitskreisen fiel dennoch massiv aus.
Koalitionspartner unterstützt das Vorhaben
Konstantin von Notz, Fraktionsvize und Digitalpolitiker für die Grünen im Bundestag, unterstützt die Pläne. Dass denjenigen Strafverfolgung drohe, die sich aus wissenschaftlicher Perspektive mit dem Identifizieren, Melden und Schließen von Sicherheitslücken beschäftigen, sei lange bekannt. „Gerade angesichts der weiterhin extrem angespannten IT-Sicherheitslage ist es überfällig, dafür zu sorgen, dass diejenigen, die IT-Sicherheitsforschung betreiben und sich im Sinne des Gemeinwohls einsetzen, nicht kriminalisiert werden“, so von Notz.