Nachbesserungsbedarf beim Reformvorschlag zum Hackerparagraph

Das BMJ hat in seinem Reformvorschlag zum Computerstrafrecht nicht die beste Wahl getroffen. Die Rechtsunsicherheit wäre mit diesem Gesetz, wie versprochen, endlich beseitigt, auch wenn sich die IT-Sicherheitsforschenden weiterhin Risiken aussetzen müssen.

Im Entwicklungsprozesses dieses Gesetzes veranstaltete das BMJ ein Symposium zum Reformbedarf im Computerstrafrecht, zu welchen verschiedene zivilgesellschaftliche Vertretergruppen, IT-Sicherheitsforscher aber auch Staatsanwälte und Ermittler eingeladen wurden. Auch HonkHase und Ijon haben teilgenommen.

Die beiden Möglichkeiten, Rechtssicherheit für IT-Sicherheitsforschende zu schaffen, die im Rahmen des Symposiums diskutiert wurden, waren:

  1. Computerstraftaten zu Vorsatzstraftaten zu machen. Ein Betrug ist z.B. eine Vorsatzstraftat. Damit ein Betrug als Betrug gilt, muss der Täter die Absicht gehabt haben, das Opfer zu betrügen. Das bedeutet, das ein anklageerhebender Staatsanwalt zumindest prüfen muss, ob es Indikationen für einen Vorsatz der Schädigung des Dritten gibt.
  2. Eine Ausnahme definieren, die unter bestimmten Umständen das Überwinden von Zugangshindernissen in fremde Computern straffrei definiert. Diese Umstände muss dann die angeklagte Person nach Anklageerhebung darlegen und wird dann freigesprochen.

Durch die vorgenommene Wahl des zweiten Ansatzes werden Staatsanwaltschaften entlastet – jedoch zum Nachteil der IT-Sicherheitsforschenden, die im Zweifel von Vernehmung bis Hausdurchsuchung und mit Monate- oder jahrelanger Beschlagnahmung von Computerhardware rechnen müssen, bevor es zum Freispruch kommt.

Wir fordern daher das Parlament auf, Computerstraftaten dieser Art zu Vorsatzstraftaten zu machen.

Um das Problem unnötiger Hausdurchsuchungen und Hardware-Beschlagnahmungen trotz Ausnahme-Regelung (2.) zu verhindern wird von einzelnen die Idee diskutiert, ein Register zu schaffen, in welchem proaktiv die Intention dokumentiert wird. Diese Idee lehnen wir ab, denn ein solches Register kann nicht verhältnismäßig sein. Nur die Daten die man nicht hat, kann man auch nicht verlieren.

In § 202a wird ein neuer Absatz 3 und 4 angefügt, welcher regelt, dass das Eindringen in fremde Systeme dann nicht unbefugt ist, wenn es zur Feststellung einer Sicherheitslücke erfolgt, welche dann gemeldet werden muss. Das Gesetz ist explizit und definiert als mögliche Meldestellen die für das informationstechnische System Verantwortlichen, den betreibenden Dienstleister des jeweiligen Systems, den Hersteller der betroffenen IT-Anwendung oder das Bundesamt für Sicherheit in der Informationstechnik.

Aus unserer Sicht fehlt in dieser Liste der Meldestellen mindestens die Bundes- und 16 Landesdatenschutzbeauftragten, sowie die auf Landesebene eingerichteten Zentralen Ansprechstellen Cybercrime (ZAC). Eine entdeckte IT-Sicherheitslücke ist regelmäßig auch Anlass zur Vermutung eines Datenabflusses durch Dritte. Der Fund der Lücke beweist, das andere diese auch hätten nutzen können. Es ist daher möglich, dass IT-Sicherheitsforschende nicht die Ursache (die IT-Sicherheitslücke), sondern den möglichen Datenabfluss melden und auch so ihr gutwilliges und gemeinnütziges Verhalten dokumentieren. Weitere Anregungen zur Vervollständigung der Liste der möglichen Meldeempfänger bietet das Cyber-Wimmelbild der Verantwortungsdiffusion, bereitgestellt durch die NGO interface

Ein Aspekt, der leider nicht im Rahmen des Symposiums vertiefend erläutert wurde, ist die Tatsache, dass IT-Sicherheitsforschung auch im Bereich von Funkübertragungen erfolgt. Hier steht der § 5 TDDDG sogar schon der Meldung an eine zuständige Behörde im Weg. Das Abhörverbot entstammt aus einer Zeit, als wirksame Verschlüsselungsgeräte im Bereich von Funkübertragungen unglaublich klobige Geräte waren, die mit Mobilität nichts gemein hatten und eigentlich nur in Gebäuden, Schiffen oder Flugzeugen montiert werden konnten.

Der Stand der Technik hat sich hier weiterentwickelt. Bei Funkkommunikation in sensitiven Bereichen (beispielsweise KRITIS generell, Staat und Verwaltung, unverschlüsselte personenbezogene Daten) ist verschlüsselte Kommunikation inzwischen die Norm. Dort wo trotzdem noch unverschlüsselt über Funk kommuniziert wird, ist dies ein Anlass zur Besorgnis und staatlicher Prüfung. Unsere Entdeckungen rund um die Möglichkeiten Energieerzeugungsanlagen und andere Anlagen über unverschlüsselte und unauthentifizierte Funkkommunikation zu steuern, zeigen das Problem auf, dass der Staat nicht ausreichend in der Lage ist, diese Problematiken zu prüfen. Zwar wird in manchen sensitiven Bereichen der Stand der Technik zumindest für privatwirtschaftliche Betreiber von KRITIS vorgegeben, in staatlichen Einrichtungen gibt es allerdings oft keine Vorgaben für Mindestsicherheitsstandards im Bereich der IT-Sicherheit.

Alleine in der letzten Woche (KW42/2024) sind beim BSI und den LfDIs Schwachstellenmeldungen zu mindestens 6 verschiedenen Funkschnittstellen von 6 Rettungsleitstellen eingegangen, bei denen personenbezogene Daten ungesichert über Funk übertragen wurden.

Der Empfang und die Kenntnisnahme solcher unverschlüsselter Kommunikation, mit dem Zweck der Meldung an die zuständige Behörde, muss legalisiert werden. Ein möglicher Ansatz wäre eine Adaption nach dem Wesensgehalt des neuen StgB § 202a (3) als neuen §5 (4) TDDDG.

Im Ref-E wurde bisher keine Änderung des §202c vorgesehen. Dieser Paragraph regelt das Verbot von Hackingwerkzeugen. Da allerdings dieser Paragraph auf den § 202a verweist, der geändert werden soll, ist uns derzeit noch unklar, welche Auswirkungen in dieser Konstellation befürchtet werden müssen.