Geplante Reform des Hacker-Paragrafen: Sicherheit für gutwillige Hacker

Wohlmeinende Hacker sollen nicht mehr mit einem Bein im Gefängnis stehen. Wer unabgesprochen in fremde Computersysteme eindringt, um Sicherheitslücken zu finden und diese mitzuteilen, handelt künftig eindeutig legal.

Das sieht ein Gesetzentwurf von Justizminister Marco Buschmann (FDP) vor, der an diesem Dienstag in die Ressortabstimmung der Bundesregierung ging und der taz vorliegt.

Das „Ausspähen von Daten“ ist schon seit 1986 strafbar, geregelt in Paragraf 202a des Strafgesetzbuchs. 2007 wurde die Strafbarkeit um den so genannten Hacker-Paragrafen 202c verschärft. Seitdem ist schon der Besitz von Software strafbar, deren Zweck das Ausspähen von Daten ist. Die Hackerszene ist seitdem aufgebracht und verunsichert.

Bis heute prinzipiell strafbar

Zwar stellte das Bundesverfassungsgericht 2009 fest, dass eindeutig keine Straftat vorliegt, wenn ein Hacker im Auftrag eines Unternehmens oder einer Behörde nach Sicherheitslücken sucht. Dann darf er auch die entsprechenden Hackertools besitzen. Diese Klarstellung nutzte aber nicht den so genannten Grey-Hat-Hackern, die ohne Auftrag, aber mit guter Absicht die Sicherheit von Datensystemen testen. Deren Tätigkeit ist bis heute im Prinzip strafbar.

So zeigte die CDU 2021 die IT-Expertin Lilith Wittmann an, nachdem sie in der CDU-Wahlkampf-App „CDUconnect“ gravierende Sicherheitslücken entdeckt hatte. Nach öffentlichem Protest zog die CDU zwar die Anzeige zurück und entschuldigte sich, die Staatsanwaltschaft Berlin ermittelte aber weiter und stellte das Verfahren erst nach Monaten ein – weil die Daten in der CDU-App faktisch frei abrufbar waren.

Dagegen verurteilte das Amtsgericht Jülich im Januar dieses Jahres einen Softwareentwickler, der 2021 im Auftrag eines Einzelhändlers eine Schnittstelle prüfen sollte und dabei eine Schwachstelle beim IT-Dienstleister Modern Solutions entdeckt hatte.

Der Mann informierte Modern Solutions über die Sicherheitslücke, aber das Unternehmen bestritt das Problem und zeigte stattdessen den wohlmeinenden Eindringling an. Das Amtsgericht Jülich verurteilte ihn nun wegen Ausspähens von Daten zu einer Geldstrafe von 50 Tagessätzen, insgesamt 3.000 Euro.

Auch im Interesse von Unternehmen

Auch wenn es nach Angaben des Justizministeriums bisher nur zu sehr wenigen Verurteilungen kam, soll mit der Verunsicherung der ethisch handelnden Hacker nun Schluss sein. Der Reformentwurf zu Paragraf 202a sieht vor, dass das Eindringen in ein fremdes Computersystem dann „nicht unbefugt“ ist, wenn es in der Absicht erfolgt, eine Schwachstelle festzustellen und diese den Verantwortlichen beim Nutzer oder beim Hersteller zu melden.

Damit wären die Grey-Hat-Hacker und ihre unabgesprochene „offensive IT-Sicherheitsforschung“ künftig auf der sicheren Seite. Dies ist durchaus auch im Interesse der getesteten Unternehmen, die manchmal sogar spezielle Melde­kanäle zur Verfügung stellen („Hilf uns, besser zu werden“) oder Belohnungen für das Finden von Schwachstellen ausloben, so genannte Bug Bounties.

Schwere Strafen bei Böswilligkeit

Zugleich sieht Buschmanns Entwurf aber auch Strafverschärfungen vor. So soll die Höchststrafe für das böswillige „Ausspähen von Daten“ in „besonders schweren Fällen“ von drei auf fünf Jahre steigen, etwa wenn kritische Infrastruktur wie die Wasserversorgung beeinträchtigt wird.

Buschmann setzt mit dem Gesetzentwurf, der schon für die erste Jahreshälfte angekündigt war, einen Auftrag aus dem Ampel-Koalitionsvertrag um.