Gesetzentwurf vorgelegt: White-Hat-Hacker sollen künftig straffrei bleiben
Wer in positiver Absicht Computersysteme hackt, um Sicherheitslücken zu finden, soll sich künftig nicht mehr strafbar machen. Das sieht ein Gesetzentwurf vor, den das Bundesjustizministerium am 4. November 2024 vorgestellt hat(öffnet im neuen Fenster) . Die Ampelkoalition von SPD, Grünen und FDP setzt damit ein Vorhaben des Koalitionsvertrags um.
Der 21-seitige Referentenentwurf(öffnet im neuen Fenster) (PDF) sieht eine Ergänzung der bisherigen Paragrafen 202a(öffnet im neuen Fenster) und 202b des Strafgesetzbuchs(öffnet im neuen Fenster) (StGB) vor, die das Ausspähen und Abfangen von Daten unter Strafe stellen.
Das Überwinden von Zugangssicherungen soll nicht mehr strafbar sein, wenn es "in der Absicht erfolgt, eine Schwachstelle oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems (Sicherheitslücke) festzustellen und die für das informationstechnische System Verantwortlichen, den betreibenden Dienstleister des jeweiligen Systems, den Hersteller der betroffenen IT-Anwendung oder das Bundesamt für Sicherheit in der Informationstechnik über die festgestellte Sicherheitslücke zu unterrichten" und wenn dies "zur Feststellung der Sicherheitslücke erforderlich ist."
Höhere Strafen für besonders schwere Fälle
Das unzulässige Hacken von IT-Systemen kann künftig jedoch mit fünf statt bislang mit bis zu drei Jahren Freiheitsstrafe geahndet werden. Das ist möglich, wenn der Täter "einen Vermögensverlust großen Ausmaßes herbeiführt" oder "aus Gewinnsucht oder gewerbsmäßig handelt oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung von solchen Taten verbunden hat."
Ein weiterer Grund für eine höhere Strafe liegt vor, wenn "durch die Tat die Verfügbarkeit, Funktionsfähigkeit, Integrität, Authentizität oder Vertraulichkeit einer kritischen Infrastruktur oder die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder beeinträchtigt" wird.
Hackerparagraf bleibt unverändert
Der eigentliche Hackerparagraf 202c des Strafgesetzbuchs(öffnet im neuen Fenster) bleibt unverändert. Der 2015 verschärfte Paragraf stellt das Vorbereiten des Ausspähens und Abfangens von Daten unter Strafe. Zur Begründung heißt es, dass die Änderungen der Paragrafen 202a und 202b StGB dazu führten, "dass hier für die IT-Sicherheitsforschung keine Strafbarkeitsrisiken mehr bestehen" .
In diesem Zusammenhang weist das Ministerium darauf hin, dass der Besitz von Hackertools nicht strafbar sei. "Wenn also jemand ein Hackertool herstellt oder verbreitet und beabsichtigt, dass dieses zu Handlungen eingesetzt wird, die unter den hier vorgeschlagenen Tatbestandsausschluss fallen, bezweckt er keine Begehung von Straftaten. Gleiches gilt auch, wenn er keine Kenntnis davon hat, dass das Computerprogramm zu kriminellen Zwecken verwendet wird oder den Verwendungszweck nicht kennt" , schreibt das Justizministerium.
Weiter heißt es: "Selbst wenn ein 'Hackertool' zu kriminellen Zwecken hergestellt und verbreitet wurde, kann jedermann sich dieses Tool straffrei verschaffen, wenn es zur IT-Sicherheitsforschung benötigt wird."
Die Ampelkoalition verständigte sich nach der Wahl im Jahr 2021 auf die entsprechende Gesetzesänderung. "Das Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren, zum Beispiel in der IT-Sicherheitsforschung, soll legal durchführbar sein" , hieß es im Koalitionsvertrag.
Der Entwurf wurde am 4. November 2024 an Länder und Verbände verschickt. Interessierte Kreise haben bis zum 13. Dezember 2024 Gelegenheit, eine Stellungnahme abzugeben. Nach einem möglichen Kabinettsbeschluss muss der Bundestag den Plänen zustimmen.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.