Wer IT-Sicherheitslücken aufspüren und schließen will, soll dafür keine Strafe riskieren. Dies sicherzustellen ist Ziel eines Entwurfs für eine Reform des Computerstrafrechts aus dem Bundesjustizministerium, der zur Stellungnahme an Länder und Verbände verschickt wurde. Der Entwurf sieht zugleich vor, dass das Ausspähen und Abfangen von Daten in besonders schweren Fällen in Zukunft härter bestraft werden soll als bisher.
Anzeige
Ein besonders schwerer Fall im Sinne des Entwurfs liegt in der Regel dann vor, wenn der Täter aus Gewinnsucht handelt, gewerbsmäßig oder als Mitglied einer Bande agiert oder wenn mit der Tat ein großer Verlust von Vermögen für den Betroffenen einhergeht. Ebenfalls von der geplanten Verschärfung erfasst werden sollen beispielsweise Fälle, in denen – etwa aus dem Ausland – die Funktionsfähigkeit der kritischen Infrastruktur oder die Sicherheit der Bundesrepublik oder eines Bundeslandes beeinträchtigt wird. Der Strafrahmen soll auf drei Monate bis fünf Jahre Haft erhöht werden. Aktuell kann das Ausspähen von Daten mit einer Freiheitsstrafe von bis zu drei Jahren und das Abfangen von Daten mit bis zu zwei Jahren Haft bestraft werden.
Bei Sicherheitsforschern, die in guter Absicht in IT-Systeme eindringen, um für einen besseren Schutz dieser Systeme zu sorgen, sollen den Angaben zufolge drei Voraussetzungen erfüllt sein müssen, damit ihr Verhalten als nicht strafbar gilt. Erstens muss das Eindringen in der Absicht erfolgt sein, eine Sicherheitslücke festzustellen. Zweitens muss die Absicht bestehen, eine verantwortliche Stelle, die diese Lücke schließen kann, darüber zu informieren. Drittens muss diese Handlung erforderlich sein, um eine Sicherheitslücke festzustellen.
"Wer IT-Sicherheitslücken schließen möchte, hat Anerkennung verdient – nicht Post vom Staatsanwalt", sagt Bundesjustizminister Marco Buschmann (FDP). Denn Cyberkriminelle und fremde Mächte könnten solche Lücken als Einfallstore nutzen, etwa um Krankenhäuser, Verkehrsunternehmen oder Kraftwerke lahmzulegen, persönliche Daten auszuspionieren oder Unternehmen zu ruinieren.
Jedoch gab es schon im Vorfeld Kritik an der Gesetzesänderung. Der CCC hatte vor zwei Wochen einen Referentenentwurf der Neuregelung untersucht und nannte das Ergebnis "stumpf". Vor allem der immer noch vorhandene Paragraf 202c, auch "Hacker-Paragraf" genannt, stört die Sicherheitsforscher. Damit wird schon der Besitz von Tools kriminalisiert, die zum Einbruch in Systeme dienen könnten. Es sei, so der CCC, womöglich erst nach Repressalien wie Hausdurchsuchungen erkennbar, ob solche Werkzeuge für die nun geforderte "gute Absicht" vorgesehen waren. Wie das Justizministerium bei der Vorstellung der Novelle betonte, soll der Besitz dieser Tools straffrei bleiben. Da 202c auch mit der Änderung nicht gestrichen wird, sieht der CCC jedoch eine "gefährliche Grauzone". Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Hochschule Bremen, hält das neue Gesetz jedoch für einen guten Kompromiss.
Anzeige
(
Kommentare