Geplante Reform des Hacker-Paragrafen: Sicherheit für gutwillige Hacker
Wer ohne Auftrag in fremden Computersystemen Schwächen sucht, soll nicht mehr bestraft werden. Das sieht ein Gesetzentwurf vor, der der taz vorliegt.
Wohlmeinende Hacker sollen nicht mehr mit einem Bein im Gefängnis stehen. Wer unabgesprochen in fremde Computersysteme eindringt, um Sicherheitslücken zu finden und diese mitzuteilen, handelt künftig eindeutig legal.
Das sieht ein Gesetzentwurf von Justizminister Marco Buschmann (FDP) vor, der an diesem Dienstag in die Ressortabstimmung der Bundesregierung ging und der taz vorliegt.
Das „Ausspähen von Daten“ ist schon seit 1986 strafbar, geregelt in Paragraf 202a des Strafgesetzbuchs. 2007 wurde die Strafbarkeit um den so genannten Hacker-Paragrafen 202c verschärft. Seitdem ist schon der Besitz von Software strafbar, deren Zweck das Ausspähen von Daten ist. Die Hackerszene ist seitdem aufgebracht und verunsichert.
Bis heute prinzipiell strafbar
Zwar stellte das Bundesverfassungsgericht 2009 fest, dass eindeutig keine Straftat vorliegt, wenn ein Hacker im Auftrag eines Unternehmens oder einer Behörde nach Sicherheitslücken sucht. Dann darf er auch die entsprechenden Hackertools besitzen. Diese Klarstellung nutzte aber nicht den so genannten Grey-Hat-Hackern, die ohne Auftrag, aber mit guter Absicht die Sicherheit von Datensystemen testen. Deren Tätigkeit ist bis heute im Prinzip strafbar.
So zeigte die CDU 2021 die IT-Expertin Lilith Wittmann an, nachdem sie in der CDU-Wahlkampf-App „CDUconnect“ gravierende Sicherheitslücken entdeckt hatte. Nach öffentlichem Protest zog die CDU zwar die Anzeige zurück und entschuldigte sich, die Staatsanwaltschaft Berlin ermittelte aber weiter und stellte das Verfahren erst nach Monaten ein – weil die Daten in der CDU-App faktisch frei abrufbar waren.
Dagegen verurteilte das Amtsgericht Jülich im Januar dieses Jahres einen Softwareentwickler, der 2021 im Auftrag eines Einzelhändlers eine Schnittstelle prüfen sollte und dabei eine Schwachstelle beim IT-Dienstleister Modern Solutions entdeckt hatte.
Der Mann informierte Modern Solutions über die Sicherheitslücke, aber das Unternehmen bestritt das Problem und zeigte stattdessen den wohlmeinenden Eindringling an. Das Amtsgericht Jülich verurteilte ihn nun wegen Ausspähens von Daten zu einer Geldstrafe von 50 Tagessätzen, insgesamt 3.000 Euro.
Auch im Interesse von Unternehmen
Auch wenn es nach Angaben des Justizministeriums bisher nur zu sehr wenigen Verurteilungen kam, soll mit der Verunsicherung der ethisch handelnden Hacker nun Schluss sein. Der Reformentwurf zu Paragraf 202a sieht vor, dass das Eindringen in ein fremdes Computersystem dann „nicht unbefugt“ ist, wenn es in der Absicht erfolgt, eine Schwachstelle festzustellen und diese den Verantwortlichen beim Nutzer oder beim Hersteller zu melden.
Damit wären die Grey-Hat-Hacker und ihre unabgesprochene „offensive IT-Sicherheitsforschung“ künftig auf der sicheren Seite. Dies ist durchaus auch im Interesse der getesteten Unternehmen, die manchmal sogar spezielle Meldekanäle zur Verfügung stellen („Hilf uns, besser zu werden“) oder Belohnungen für das Finden von Schwachstellen ausloben, so genannte Bug Bounties.
Schwere Strafen bei Böswilligkeit
Zugleich sieht Buschmanns Entwurf aber auch Strafverschärfungen vor. So soll die Höchststrafe für das böswillige „Ausspähen von Daten“ in „besonders schweren Fällen“ von drei auf fünf Jahre steigen, etwa wenn kritische Infrastruktur wie die Wasserversorgung beeinträchtigt wird.
Buschmann setzt mit dem Gesetzentwurf, der schon für die erste Jahreshälfte angekündigt war, einen Auftrag aus dem Ampel-Koalitionsvertrag um.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Elon Musk und die AfD
Die Welt zerstören und dann ab auf den Mars
Anschlag in Magdeburg
Der Täter hat sein Ziel erreicht: Angst verbreiten
Tarifeinigung bei Volkswagen
IG Metall erlebt ihr blaues „Weihnachtswunder“ bei VW
Bundestagswahl 2025
Parteien sichern sich fairen Wahlkampf zu
Anschlag in Magdeburg
„Eine Schockstarre, die bis jetzt anhält“
Bankkarten für Geflüchtete
Bezahlkarte – rassistisch oder smart?