Die Reform des 'Hackerparagraphen' - Verbesserungen für Sicherheitsforschende?

25. Okt., 2024
Foto von Nadine E auf Unsplash

Worum geht es?

Für die Arbeit von Sicherheitsforschenden sind die rechtlichen Regelungen über das Prüfen von technischen Systemen auf Sicherheitslücken von großer Bedeutung, da diese möglicherweise ihre Arbeit einschränken kann oder sogar starke persönliche Konsequenzen nach sich ziehen kann. So wurde schon öfter von betroffenen Unternehmen Strafanzeige gestellt, anstatt sich für die Hilfe erkenntlich zu zeigen. (Beispiel: CDU vs Lilith Wittmann) Dabei geht es oft darum, ob auch schon Für das Projekt DROPS ist das konkret relevant, da eine Zielsetzung ist Hinweisgeber (Whistleblower) und andere mögliche Datenliefernde so gut wie möglich zu schützen, damit vor Verfolgung von betroffenen Unternehmen oder Strafverfolgungsbehörden geschützt sind.

Der Hackerparagraph im Deutschen Strafrecht

So ist zum Beispiel seit mittlerweile 14 Jahren das Besitzen von “Hacker Tools” prinzipiell strafbar (§ 202c StGB), gleichwohl werden diese auch von Systemadministratoren und Sicherheitsforschern genutzt. Die derzeitige Regierung hatte noch im Koalitionsvertrag festgehalten das diese Situation verbessert werden solle, damit legale Sicherheitsforschung auf stabileren rechtlichen Grundlagen steht. Nun hat Netzpolitik einen ersten Gesetzentwurf dazu veröffentlicht. (Gesetzentwurf)

Der neue Gesetzentwurf des Bundesjustizministeriums (BMJ)

Laut der Berichterstattung der Digitalpolitik NRO Netzpolitik und dem Gesetzentwurf selbst sieht der Gesetzentwurf zwar Verbesserungen vor, die ‘Hackertools’ sollen aber nicht entkriminalisiert werden. Laut BMJ sei dies durch die anderen Verbesserungen nicht mehr notwendig. Verändert werden im Entwurf stattdessen die Paragraphen zum Ausspähen §202a StGB, Abfangen §202b StGB und Verändern von Daten §303a StGB. Die angesprochenen Verbesserungen zielen darauf ab, das es im Zweifel zukünftig auf die Intention ankommt. Dabei soll eine bloße Behauptung nicht ausreichen, aber auch keine objektive Beweisführung notwendig sein. Um als Sicherheitsforschende von den Ausnahmen der angesprochenen Paragraphen zu profitieren, müssen drei Anforderungen erfüllt werden. Zuerst muss die Intention auf das aufspüren einer Sicherheitslücke gerichtet sein. Die gefundene Sicherheitslücke muss an eine/n Verantwortliche/n gemeldet werden (Es ist jedoch kein spezieller Meldeweg vorgesehen.). Und zuletzt muss die Vorgehensweise notwendig sein für das Aufspüren der Sicherheitslücke.

Im Entwurf argumentiert das Ministerium das nach §202c StGB, dass ein “Hacking Tool” den Zweck haben muss eine Tat nach §202a oder b durchzuführen, und der Täter müsse eine Tat nach §202a oder §202b StGB vorbereiten. Dazu zitiert der Entwurf auch ein Entscheidung des Bundesverfassungsgerichts, nach der auch die Intention massgeblich sei, und nicht die objektive Eignung des Tools. (BVerfG, ZUM 2009, 745) Ferner wird argumentiert, dass selbst wenn ein Tool zu kriminellen Zwecken hergestellt und verbreitet würde, könne jede/r sich dieses zu Zwecken der Sicherheitsforschung straffrei beschaffen.

Zivilgesellschaftliche Reaktionen

Als Reaktion auf den Gesetzentwurf hingegen kritisieren der Chaos Computer Club (CCC) durch seinen Sprecher Dirk Engling und Lilith Wittmann (eine unabhängige Sicherheitsforscherin) den Entwurf, da er nicht weit genug gehe. Konkret merkte Wittmann an, das die mögliche Feststellung der Intention in Verfahren wie ihrem möglicherweise oft erst vor Gericht passiert, und damit dann große Unsicherheit und mögliche Kosten durch ein Strafverfahren weiterhin bestehen bleiben. Dirk Engling kritisiert weiterhin, das nur offensichtlich harmlose Untersuchungen entkriminalisiert werden, berufliche Sicherheitsforschende damit aber weiterhin in einer Grauzone blieben.

Erste Einschätzung im Rahmen des Projekts DROPS

Im Rahmen des Projekts DROPS ergibt sich voraussichtlich keine Änderung in den rechtlichen Rahmenbedingungen durch den vorliegenden Entwurf. Es ist begrüßenswert, das die Regelungen für Sicherheitsforschende gelockert werden und damit eine Strafverfolgung unwahrscheinlicher wird. Andererseits wird auch teilweise nur die Rechtssprechung des BVerfG kodifiziert. Auf die mögliche Strafbarkeit der Weitergabe von persönlichen Daten ohne Berechtigung nach u.a. § 42 BDSG hat der Entwurf ohnehin keine Auswirkung. Im Projekt gehen wir zur Zeit davon aus das die Verarbeitung als Teil von DROPS durch die Vernichtung der Klartextdaten, der minimalen Datenspeicherung und dem übergeordneten Zweck der Prävention des Missbrauchs von Identitätsdaten rechtskonform möglich ist.