Beiträge

Stellungnahme „Hackerparagraph“ für Verbändeanhörung im Justizministerium

Nachdem die AG KRITIS auch zu den Symposien zum Reformbedarf im Computerstrafrecht eingeladen waren, hat das BMJ auch die AG KRITIS aufgefordert, zum Referentenentwurf eine Stellungnahme im Rahmen der Verbändeanhörung einzureichen.

Unser Gesamturteil lässt sich vielleicht folgendermaßen zusammenfassen: Obwohl der gewählte Ansatz im strafrechtlichen Bereich die Rechtssicherheit der IT-Sicherheitsforschenden deutlich verbessert, wurde nicht der bestmögliche Weg gewählt. Der gewählte Weg würde zwar dafür sorgen, dass IT-Sicherheitsforschende regelmäßig vor Gericht freigesprochen, oder das Verfahren eingestellt würde. Damit wäre aber die IT-SicherheitsforscherIn weiterhin dem Risiko einer Hausdurchsuchung, der Beschlagnahmung von Hardware, sowie dem Aufwand des Führens eines Gerichtsprozesses ausgesetzt.

Da besonders die ehrenamtliche IT-Sicherheitsforschung unter fehlender Rechtssicherheit leidet, ist es aus unserer Sicht zumutbar, einen Weg zu wählen, der IT-Sicherheitsforschende entlastet, so dass es in der überwiegenden Anzahl der Fälle gar nicht erst zur Anklage kommt. Hier könnte man durch die Ergänzung eines Tatbestandsmerkmals im Strafgesetzbuch, dem Vorsatz zur Schädigung, die Erkundung ob es sich um ehrenamtliche IT-Sicherheitsforschung handelt, den ermittelnden Staatsanwaltschaften auferlegen. Ein eingetretener Schaden, wie z.B. die erfolgte Verschlüsselung von Festplatten, im Falle von Ransomwaregruppen (organisierter Kriminalität) macht dann diese Ermittlung wiederrum unnötig, so dass sich die Frage nach dem Vorsatz einer Schädigung des Opfers nur stellt, wenn es sich höchstwahrscheinlich um gemeinnützige und gutgläubige IT-Sicherheitsforschung handelt. Obwohl dies einen Mehraufwand darstellt, halten wir es für verhältnismäßig und geboten, diesen den Gerichten aufzuerlegen, denn die IT-Sicherheitsforschenden sollen als gesellschaftliche Gegenleistung für Ihren wichtigen Einsatz, so wenig Prozessrisiko wie möglich ausgesetzt sein.

Die Chance dringend notwendige kleinere Änderungen an anderen Gesetzen, außerhalb des Strafgesetzbuchs, wurde durch den gesetzten Rahmen, nur das Strafrecht zu reformieren, von Anfang an nicht gewährt. In unserer Stellungnahme erläutern wir weitere Fehlstellen in anderen Gesetzen, außerhalb des StGB, bei denen ähnliche Ausnahmen, wie jetzt im Referentenentwurf vorgeschlagen, notwendig wären. Beispielsweise fordern wir Ergänzungen von IT-Sicherheitsforschungsausnahmen im Bereich des Abhörverbots im §5 des TDDDG, ebenso ist es notwendig im GeschGehG eine Ausnahme für die Meldung von IT-Sicherheitslücken zu schaffen.

Unsere Stellungnahme ging dem BMJ fristgemäß am 15.12.2024 zu. Wir haben die Stellungnahme hier im Volltext bereitgestellt

Foto von Tingey Injury Law Firm auf Unsplash

Nachbesserungsbedarf beim Reformvorschlag zum Hackerparagraph

redaktioneller Hinweis: Der folgende Text ist nicht mehr aktuell. Der Text wurde weiterentwickelt und konkretisiert. Die aktuelle Version wurde für unsere Stellungnahme an das BMJ entwickelt und veröffentlicht, diese Version steht hier zur Verfügung Die alte Version bleibt aus Transparenzgründen hier erhalten.

Das BMJ hat in seinem Reformvorschlag zum Computerstrafrecht nicht die beste Wahl getroffen. Die Rechtsunsicherheit wäre mit diesem Gesetz, wie versprochen, endlich beseitigt, auch wenn sich die IT-Sicherheitsforschenden weiterhin Risiken aussetzen müssen.

Im Entwicklungsprozesses dieses Gesetzes veranstaltete das BMJ ein Symposium zum Reformbedarf im Computerstrafrecht, zu welchen verschiedene zivilgesellschaftliche Vertretergruppen, IT-Sicherheitsforscher aber auch Staatsanwälte und Ermittler eingeladen wurden. Auch HonkHase und Ijon haben teilgenommen.

Die beiden Möglichkeiten, Rechtssicherheit für IT-Sicherheitsforschende zu schaffen, die im Rahmen des Symposiums diskutiert wurden, waren:

  1. Computerstraftaten zu Vorsatzstraftaten zu machen. Ein Betrug ist z.B. eine Vorsatzstraftat. Damit ein Betrug als Betrug gilt, muss der Täter die Absicht gehabt haben, das Opfer zu betrügen. Das bedeutet, das ein anklageerhebender Staatsanwalt zumindest prüfen muss, ob es Indikationen für einen Vorsatz der Schädigung des Dritten gibt.
  2. Eine Ausnahme definieren, die unter bestimmten Umständen das Überwinden von Zugangshindernissen in fremde Computern straffrei definiert. Diese Umstände muss dann die angeklagte Person nach Anklageerhebung darlegen und wird dann freigesprochen.

Durch die vorgenommene Wahl des zweiten Ansatzes werden Staatsanwaltschaften entlastet – jedoch zum Nachteil der IT-Sicherheitsforschenden, die im Zweifel von Vernehmung bis Hausdurchsuchung und mit Monate- oder jahrelanger Beschlagnahmung von Computerhardware rechnen müssen, bevor es zum Freispruch kommt.

Wir fordern daher das Parlament auf, Computerstraftaten dieser Art zu Vorsatzstraftaten zu machen.

Um das Problem unnötiger Hausdurchsuchungen und Hardware-Beschlagnahmungen trotz Ausnahme-Regelung (2.) zu verhindern wird von einzelnen die Idee diskutiert, ein Register zu schaffen, in welchem proaktiv die Intention dokumentiert wird. Diese Idee lehnen wir ab, denn ein solches Register kann nicht verhältnismäßig sein. Nur die Daten die man nicht hat, kann man auch nicht verlieren.

In § 202a wird ein neuer Absatz 3 und 4 angefügt, welcher regelt, dass das Eindringen in fremde Systeme dann nicht unbefugt ist, wenn es zur Feststellung einer Sicherheitslücke erfolgt, welche dann gemeldet werden muss. Das Gesetz ist explizit und definiert als mögliche Meldestellen die für das informationstechnische System Verantwortlichen, den betreibenden Dienstleister des jeweiligen Systems, den Hersteller der betroffenen IT-Anwendung oder das Bundesamt für Sicherheit in der Informationstechnik.

Aus unserer Sicht fehlt in dieser Liste der Meldestellen mindestens die Bundes- und 16 Landesdatenschutzbeauftragten, sowie die auf Landesebene eingerichteten Zentralen Ansprechstellen Cybercrime (ZAC). Eine entdeckte IT-Sicherheitslücke ist regelmäßig auch Anlass zur Vermutung eines Datenabflusses durch Dritte. Der Fund der Lücke beweist, das andere diese auch hätten nutzen können. Es ist daher möglich, dass IT-Sicherheitsforschende nicht die Ursache (die IT-Sicherheitslücke), sondern den möglichen Datenabfluss melden und auch so ihr gutwilliges und gemeinnütziges Verhalten dokumentieren. Weitere Anregungen zur Vervollständigung der Liste der möglichen Meldeempfänger bietet das Cyber-Wimmelbild der Verantwortungsdiffusion, bereitgestellt durch die NGO interface

Ein Aspekt, der leider nicht im Rahmen des Symposiums vertiefend erläutert wurde, ist die Tatsache, dass IT-Sicherheitsforschung auch im Bereich von Funkübertragungen erfolgt. Hier steht der § 5 TDDDG sogar schon der Meldung an eine zuständige Behörde im Weg. Das Abhörverbot entstammt aus einer Zeit, als wirksame Verschlüsselungsgeräte im Bereich von Funkübertragungen unglaublich klobige Geräte waren, die mit Mobilität nichts gemein hatten und eigentlich nur in Gebäuden, Schiffen oder Flugzeugen montiert werden konnten.

Der Stand der Technik hat sich hier weiterentwickelt. Bei Funkkommunikation in sensitiven Bereichen (beispielsweise KRITIS generell, Staat und Verwaltung, unverschlüsselte personenbezogene Daten) ist verschlüsselte Kommunikation inzwischen die Norm. Dort wo trotzdem noch unverschlüsselt über Funk kommuniziert wird, ist dies ein Anlass zur Besorgnis und staatlicher Prüfung. Unsere Entdeckungen rund um die Möglichkeiten Energieerzeugungsanlagen und andere Anlagen über unverschlüsselte und unauthentifizierte Funkkommunikation zu steuern, zeigen das Problem auf, dass der Staat nicht ausreichend in der Lage ist, diese Problematiken zu prüfen. Zwar wird in manchen sensitiven Bereichen der Stand der Technik zumindest für privatwirtschaftliche Betreiber von KRITIS vorgegeben, in staatlichen Einrichtungen gibt es allerdings oft keine Vorgaben für Mindestsicherheitsstandards im Bereich der IT-Sicherheit.

Alleine in der letzten Woche (KW42/2024) sind beim BSI und den LfDIs Schwachstellenmeldungen zu mindestens 6 verschiedenen Funkschnittstellen von 6 Rettungsleitstellen eingegangen, bei denen personenbezogene Daten ungesichert über Funk übertragen wurden.

Der Empfang und die Kenntnisnahme solcher unverschlüsselter Kommunikation, mit dem Zweck der Meldung an die zuständige Behörde, muss legalisiert werden. Ein möglicher Ansatz wäre eine Adaption nach dem Wesensgehalt des neuen StgB § 202a (3) als neuen §5 (4) TDDDG.

Im Ref-E wurde bisher keine Änderung des §202c vorgesehen. Dieser Paragraph regelt das Verbot von Hackingwerkzeugen. Da allerdings dieser Paragraph auf den § 202a verweist, der geändert werden soll, ist uns derzeit noch unklar, welche Auswirkungen in dieser Konstellation befürchtet werden müssen.