IT-Sicherheitsforschung: Bundesregierung will Hacker-Paragraf entschärfen
Die Bundesregierung will den sogenannten Hacker-Paragrafen ändern. Wenn Forschende Sicherheitslücken aufdecken, sollen sie nicht mehr bestraft werden. Sicherheitsforscher begrüßen den Schritt, ihnen geht es aber noch nicht weit genug.
Von dem Gesetzentwurf berichtete letzte Woche zunächst die Taz, nun hat Netzpolitik.org den Volltext veröffentlicht. Dieser befindet sich derzeit bei der Bundesregierung in Ressortabstimmung.
Bisherige Regelung schafft zu viel Unsicherheit
Laut dem Entwurf müsse das Computer-Strafrecht modernisiert werden, damit es nicht von „Handlungen abschreckt, die im gesellschaftlichen Interesse erfolgen und daher wünschenswert sind“. Genau das sei beim derzeitigen Hacker-Paragrafen aber der Fall.
2023 wurde etwa ein Programmierer zu einer Geldstrafe verurteilt, weil er eine Sicherheitslücke in einer Handelsplattform entdeckte. Trotz Responsible-Disclosure-Versuch soll er gegen die rechtlichen Vorgaben verstoßen haben, die unter anderem einen unberechtigten Zugang zu Kundendaten unter Strafe stellen – ein Aspekt, der sich aber auch bei gutwilliger Sicherheitsforschung kaum vermeiden lässt.
Ebenso bekannt ist der Fall der IT-Sicherheitsexpertin Lilith Wittmann. Sie entdeckte 2021 eine Schwachstelle in einer Wahlkampf-App der CDU. Die Partei stellte daraufhin einen Strafantrag. Diesen zog man zwar zurück, die Kritik war dennoch massiv.
Wer Sicherheitslücken aufdeckt, soll nicht bestraft werden
Solche Fälle will die Bundesregierung künftig vermeiden. Das Aufspüren von Sicherheitslücken in IT-Systemen soll daher nicht mehr strafbar sein, wenn es im Rahmen der IT-Sicherheitsforschung geschieht. Drei Voraussetzungen müssen Sicherheitsforscher dafür erfüllen. Die Hacker-Tätigkeiten müssen mit der Absicht erfolgen, eine Sicherheitslücke aufzudecken. Die Software-Hersteller oder die IT-Sicherheitsbehörde BSI müssen informiert werden. Und das Vorgehen muss auf Maßnahmen beschränkt sein, die erforderlich sind, um die Sicherheitslücke zu identifizieren.
Wenn Hacker Schaden anrichten oder sich bereichern wollen, bleiben die Angriffe weiter illegal. Die Rechtslage wird sogar verschärft. Das Bundesjustizministerium erhöht die Höchststraße für besonders schwere Fälle von IT-Straftaten von drei auf fünf Jahren. Das ist etwa der Fall, wenn die Angriffe auf kritische Infrastruktur zielen, Hacker gewerbsmäßig handeln oder „einen Vermögensverlust großen Ausmaßes herbeiführen“, heißt es bei Netzpolitik.org.
Dass das aktuelle Strafrecht unzureichend sei, erklärten die Innenminister der Länder auf der Innenministerkonferenz im Juni. Den Hacker-Paragrafen zu lockern und gleichzeitig die Strafen für Angreifer zu verschärfen, erscheint so als Kompromissangebot von Bundesjustizminister Marko Buschmann (FPD).
Erste Reaktion: Schritt in die richtige Richtung, aber nicht weit genug
IT-Sicherheitsforscher begrüßen den Gesetzentwurf grundsätzlich. Lilith Wittmann erklärt gegenüber Netzpolitik.org, es sei gut, in positiver Absicht handelnde Hackerinnen nicht mehr zu kriminalisieren. Das Problem sei jedoch: Diese Absicht lasse sich nicht so leicht feststellen. Voraussichtlich sei das erst vor Gericht der Fall – und dann könne schon ein komplettes Verfahren mit Hausdurchsuchung und weiteren Repressionen stattgefunden haben.
Ähnlich äußert sich der Chaos Computer Club (CCC). Der Ansatz sei richtig, der Entwurf erlaube aber nur „offensichtlich harmlose Besichtigungen ausdrücklich“. Berufliche Sicherheitsforschende würden daher auch zukünftig „weitestgehend in einer gefährlichen Grauzone“ arbeiten.