 |
# taz.de -- Geplante Reform des Hacker-Paragrafen: Sicherheit für gutwillige H… |
|
|
|
> Wer ohne Auftrag in fremden Computersystemen Schwächen sucht, soll nicht |
|
> mehr bestraft werden. Das sieht ein Gesetzentwurf vor, der der taz |
|
> vorliegt. |
|
|
 |
Bild: Marco Buschmann (FDP), Bundesminister der Justiz, will ethisch handelnde … |
|
|
|
Wohlmeinende Hacker sollen nicht mehr mit einem Bein im Gefängnis stehen. |
|
Wer unabgesprochen in fremde Computersysteme eindringt, um |
|
Sicherheitslücken zu finden und diese mitzuteilen, handelt künftig |
|
eindeutig legal. |
|
|
|
Das sieht ein Gesetzentwurf von Justizminister Marco Buschmann (FDP) vor, |
|
der an diesem Dienstag in die Ressortabstimmung der Bundesregierung ging |
|
und der taz vorliegt. |
|
|
|
Das „Ausspähen von Daten“ ist schon seit 1986 strafbar, geregelt in |
|
Paragraf 202a des Strafgesetzbuchs. 2007 wurde die Strafbarkeit um den so |
|
genannten Hacker-Paragrafen 202c verschärft. Seitdem ist schon der Besitz |
|
von Software strafbar, deren Zweck das Ausspähen von Daten ist. Die |
|
Hackerszene ist seitdem aufgebracht und verunsichert. |
|
|
|
## Bis heute prinzipiell strafbar |
|
|
|
Zwar stellte das Bundesverfassungsgericht 2009 fest, dass eindeutig keine |
|
Straftat vorliegt, wenn ein Hacker im Auftrag eines Unternehmens oder einer |
|
Behörde nach Sicherheitslücken sucht. Dann darf er auch die entsprechenden |
|
Hackertools besitzen. Diese Klarstellung nutzte aber nicht den so genannten |
|
Grey-Hat-Hackern, die ohne Auftrag, aber mit guter Absicht die Sicherheit |
|
von Datensystemen testen. Deren Tätigkeit ist bis heute im Prinzip |
|
strafbar. |
|
|
|
So zeigte die CDU 2021 [1][die IT-Expertin Lilith Wittmann an, nachdem sie |
|
in der CDU-Wahlkampf-App „CDUconnect“ gravierende Sicherheitslücken |
|
entdeckt hatte]. Nach öffentlichem Protest zog die CDU zwar die Anzeige |
|
zurück und entschuldigte sich, die Staatsanwaltschaft Berlin ermittelte |
|
aber weiter und stellte das Verfahren erst nach Monaten ein – [2][weil die |
|
Daten in der CDU-App faktisch frei abrufbar waren]. |
|
|
|
Dagegen verurteilte das Amtsgericht Jülich im Januar dieses Jahres einen |
|
Softwareentwickler, der 2021 im Auftrag eines Einzelhändlers eine |
|
Schnittstelle prüfen sollte und dabei [3][eine Schwachstelle beim |
|
IT-Dienstleister Modern Solutions entdeckt hatte]. |
|
|
|
Der Mann informierte Modern Solutions über die Sicherheitslücke, aber das |
|
Unternehmen bestritt das Problem und zeigte stattdessen den wohlmeinenden |
|
Eindringling an. Das Amtsgericht Jülich verurteilte ihn nun wegen |
|
Ausspähens von Daten zu einer Geldstrafe von 50 Tagessätzen, insgesamt |
|
3.000 Euro. |
|
|
|
## Auch im Interesse von Unternehmen |
|
|
|
Auch wenn es nach Angaben des Justizministeriums bisher nur zu sehr wenigen |
|
Verurteilungen kam, soll mit der Verunsicherung der ethisch handelnden |
|
Hacker nun Schluss sein. Der Reformentwurf zu Paragraf 202a sieht vor, dass |
|
das Eindringen in ein fremdes Computersystem dann „nicht unbefugt“ ist, |
|
wenn es in der Absicht erfolgt, eine Schwachstelle festzustellen und diese |
|
den Verantwortlichen beim Nutzer oder beim Hersteller zu melden. |
|
|
|
Damit wären die Grey-Hat-Hacker und ihre unabgesprochene „offensive |
|
IT-Sicherheitsforschung“ künftig auf der sicheren Seite. Dies ist durchaus |
|
[4][auch im Interesse der getesteten Unternehmen], die manchmal sogar |
|
spezielle Meldekanäle zur Verfügung stellen („Hilf uns, besser zu werden“) |
|
oder Belohnungen für das Finden von Schwachstellen ausloben, [5][so |
|
genannte Bug Bounties]. |
|
|
|
## Schwere Strafen bei Böswilligkeit |
|
|
|
Zugleich sieht Buschmanns Entwurf aber auch Strafverschärfungen vor. So |
|
soll die [6][Höchststrafe für das böswillige „Ausspähen von Daten“] in |
|
„besonders schweren Fällen“ von drei auf fünf Jahre steigen, etwa wenn |
|
kritische Infrastruktur wie die Wasserversorgung beeinträchtigt wird. |
|
|
|
Buschmann setzt mit dem Gesetzentwurf, der schon für die erste Jahreshälfte |
|
angekündigt war, einen Auftrag aus dem Ampel-Koalitionsvertrag um. |
|
|
|
22 Oct 2024 |
|
|
|
## LINKS |
|
|
 |
[1] /Lilith-Wittmann-ueber-Wahlkampf-Apps/!5802119 |
|
[2] /Moeglicher-Verstoss-gegen-Datenschutz/!5802205 |
|
[3] /IT-Experte-wird-angezeigt/!5808171 |
|
[4] /IT-Experte-ueber-Softwarefehler-bei-Apple/!5463527 |
|
[5] /Sicherheit-im-sozialen-Netzwerk/!5112959 |
|
[6] /Hackerangriff-aus-Russland/!6008330 |
|
|
|
## AUTOREN |
|
|
|
Christian Rath |
|
|
|
## TAGS |
|
|
|
Software |
|
Hacker |
|
Hackerangriff |
|
Justizministerium |
|
Cybersicherheit |
|
Marco Buschmann |
|
Megaupload |
|
IG |
|
Schwerpunkt Überwachung |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Auslieferung des Megaupload-Gründers: Kim Dotcom von Neuseeland ans FBI |
|
|
|
Für den deutschen Internet-Entrepreneur schlägt wohl die letzte Stunde in |
|
Freiheit. Seiner Auslieferung an US-Behörden wurde zugestimmt. |
|
|
|
Lilith Wittmann über Wahlkampf-Apps: „Manche spielen Sudoku. Ich hacke“ |
|
|
|
Die Sicherheitsexpertin Lilith Wittmann hat in der CDU-Wahlkampf-App |
|
Schwachstellen gefunden. Ein Gespräch über Hacker*innen-Ehre. |
|
|
|
Möglicher Verstoß gegen Datenschutz: CDU-Wahl-App doch nicht gehackt |
|
|
|
Weil die Daten frei abrufbar waren, wurden Ermittlungen gegen IT-Expertin |
|
Wittmann eingestellt. Hat die CDU mit ihrer App gegen Datenschutz |
|
verstoßen? |
