Hackerparagraph: Stellungnahme der AG KRITIS zum Referentenentwurf Computerstrafrecht

Der RefE Computerstrafrecht zum Hackerparagraph ist ein guter Anfang, aber er schützt die deutsche Sicherheitsforschenden Community unzureichend!

Die Sicherheitsforschenden sollen 3 Voraussetzungen erfüllen, damit sie sich nicht mehr strafbar machen:

  1. In der Absicht handeln, „eine Sicherheitslücke festzustellen“
  2.  Sicherheitslücke an Herstellende bzw. Betreibende oder BSI melden
  3.  Technisches Vorgehen muss „erforderlich sein, um eine Lücke festzustellen“

Wenn die Strafverfolger aufgrund einer Anzeige eine Hausdurchsuchung anordnen, alles einpacken (alle Computer, Handys und jede andere IT) und im Nachgang erst die Absicht vor Gericht besprochen wird, hilft das keinem Sicherheitsforschenden. Es ermutigt weitere dann auch nicht, Lücken zu melden und wir haben den alten Zustand wieder zurück.

Sicherheitsforschende möchten auch nicht nur direkte Sicherheitslücken oder Schwachstellen, sondern auch bemerkte (Funk-)Datenabflüsse ohne vorgenommene root-cause Analyse zur schnellen Behebung melden können. Daher müssen auch solche Szenarien explizit in Bezug auf die Definitionen aber auch in Bezug auf weitere Gesetzesänderungen, die der RefE nicht vorsieht, geklärt werden.

Straferhöhung von 3 auf 5 Jahre für „besonders schwere Fälle“ von IT-Straftaten, also zB wenn Hacker Kritische Infrastrukturen beeinträchtigen. Die Organisierte Kriminalität wird sich bei Ransomware-Erpressungen davon nicht beeindrucken lassen. Das Militär, die Geheimdienste, weitere staatliche Akteure und andere kriminelle Tätergruppierungen ebenso wenig.

Strafmaßerhöhungen bringen in diesen Fällen nichts und simulieren eine Verbesserung der Sicherheit, die nicht wirklich eintritt.

Des weiteren möchten Sicherheitsforschende sich nicht in einer Datenbank registrieren, um für unser aller Gemeinwohl zu sorgen.

Meldungen müssen an Betreibende, Herstellende und das BSI, wie im Entwurf vorhanden gemeldet werden können. Darünber Hinaus muss aber auch an alle anderen Behörden oder Aufsichten auf Bundes-, Landes- oder Kommunalebene Meldung, wie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit oder die Landesdatenschutzbeauftragten möglich sein.

Das „Abhörverbot“ gemäß § 5 TDDDG wurde nicht berücksichtigt und korrigiert. Diese Art von Problemen bleibt damit weiterhin bestehen:

Kurznachrichten Mitlesen leichtgemacht
https://ag.kritis.info/2024/10/10/kurznachrichten-mitlesen-leichtgemacht/

Datenabfluss bei Feuerwehr und Rettungsdienst
https://ag.kritis.info/2022/05/20/datenabfluss-bei-feuerwehr-und-rettungsdienst/

Behördenfunk in Deutschland: Anspruch und Wirklichkeit
https://ag.kritis.info/2023/07/09/behoerdenfunk-in-deutschland-anspruch-und-wirklichkeit/

Es gab schon lange Forderungen, die unter anderem auch ijon und HonkHase als Mitglieder der AG KRITIS mitgezeichnet haben:
https://sec4research.de/forderungen

Auf dem 2. Symposium des BMJ waren ijon und HonkHase ebenfalls dabei, vorher wurde HonkHase in einer Expertenworkshop-Runde beteiligt und einbezogen:
https://fragdenstaat.de/anfrage/unterlagen-zu-symposien-zur-reform-des-computerstrafrechts/

Der RefE Computerstrafrecht ist unter anderem hier zu finden:
https://netzpolitik.org/2024/hacker-paragrafen-wir-veroeffentlichen-den-gesetzentwurf-zum-computerstrafrecht/#2024-10-22_BMJ_RefE_Computerstrafrecht