Beiträge

Stellungnahme „Hackerparagraph“ für Verbändeanhörung im Justizministerium

Nachdem die AG KRITIS auch zu den Symposien zum Reformbedarf im Computerstrafrecht eingeladen waren, hat das BMJ auch die AG KRITIS aufgefordert, zum Referentenentwurf eine Stellungnahme im Rahmen der Verbändeanhörung einzureichen.

Unser Gesamturteil lässt sich vielleicht folgendermaßen zusammenfassen: Obwohl der gewählte Ansatz im strafrechtlichen Bereich die Rechtssicherheit der IT-Sicherheitsforschenden deutlich verbessert, wurde nicht der bestmögliche Weg gewählt. Der gewählte Weg würde zwar dafür sorgen, dass IT-Sicherheitsforschende regelmäßig vor Gericht freigesprochen, oder das Verfahren eingestellt würde. Damit wäre aber die IT-SicherheitsforscherIn weiterhin dem Risiko einer Hausdurchsuchung, der Beschlagnahmung von Hardware, sowie dem Aufwand des Führens eines Gerichtsprozesses ausgesetzt.

Da besonders die ehrenamtliche IT-Sicherheitsforschung unter fehlender Rechtssicherheit leidet, ist es aus unserer Sicht zumutbar, einen Weg zu wählen, der IT-Sicherheitsforschende entlastet, so dass es in der überwiegenden Anzahl der Fälle gar nicht erst zur Anklage kommt. Hier könnte man durch die Ergänzung eines Tatbestandsmerkmals im Strafgesetzbuch, dem Vorsatz zur Schädigung, die Erkundung ob es sich um ehrenamtliche IT-Sicherheitsforschung handelt, den ermittelnden Staatsanwaltschaften auferlegen. Ein eingetretener Schaden, wie z.B. die erfolgte Verschlüsselung von Festplatten, im Falle von Ransomwaregruppen (organisierter Kriminalität) macht dann diese Ermittlung wiederrum unnötig, so dass sich die Frage nach dem Vorsatz einer Schädigung des Opfers nur stellt, wenn es sich höchstwahrscheinlich um gemeinnützige und gutgläubige IT-Sicherheitsforschung handelt. Obwohl dies einen Mehraufwand darstellt, halten wir es für verhältnismäßig und geboten, diesen den Gerichten aufzuerlegen, denn die IT-Sicherheitsforschenden sollen als gesellschaftliche Gegenleistung für Ihren wichtigen Einsatz, so wenig Prozessrisiko wie möglich ausgesetzt sein.

Die Chance dringend notwendige kleinere Änderungen an anderen Gesetzen, außerhalb des Strafgesetzbuchs, wurde durch den gesetzten Rahmen, nur das Strafrecht zu reformieren, von Anfang an nicht gewährt. In unserer Stellungnahme erläutern wir weitere Fehlstellen in anderen Gesetzen, außerhalb des StGB, bei denen ähnliche Ausnahmen, wie jetzt im Referentenentwurf vorgeschlagen, notwendig wären. Beispielsweise fordern wir Ergänzungen von IT-Sicherheitsforschungsausnahmen im Bereich des Abhörverbots im §5 des TDDDG, ebenso ist es notwendig im GeschGehG eine Ausnahme für die Meldung von IT-Sicherheitslücken zu schaffen.

Unsere Stellungnahme ging dem BMJ fristgemäß am 15.12.2024 zu. Wir haben die Stellungnahme hier im Volltext bereitgestellt

Foto von Tingey Injury Law Firm auf Unsplash

Hackerparagraph: Stellungnahme der AG KRITIS zum Referentenentwurf Computerstrafrecht

redaktioneller Hinweis: Der folgende Text ist nicht die finale Stellungnahme. Die Inhalte aus diesem Text wurden in die dem BMJ zur Verfügung gestellten Version berücksichtigt. Die finale Stellungnahme an das BMJ steht hier zur Verfügung Diese ältere Version bleibt aus Transparenzgründen hier erhalten.

Der RefE Computerstrafrecht zum Hackerparagraph ist ein guter Anfang, aber er schützt die deutsche Sicherheitsforschenden Community unzureichend!

Die Sicherheitsforschenden sollen 3 Voraussetzungen erfüllen, damit sie sich nicht mehr strafbar machen:

  1. In der Absicht handeln, „eine Sicherheitslücke festzustellen“
  2.  Sicherheitslücke an Herstellende bzw. Betreibende oder BSI melden
  3.  Technisches Vorgehen muss „erforderlich sein, um eine Lücke festzustellen“

Wenn die Strafverfolger aufgrund einer Anzeige eine Hausdurchsuchung anordnen, alles einpacken (alle Computer, Handys und jede andere IT) und im Nachgang erst die Absicht vor Gericht besprochen wird, hilft das keinem Sicherheitsforschenden. Es ermutigt weitere dann auch nicht, Lücken zu melden und wir haben den alten Zustand wieder zurück.

Sicherheitsforschende möchten auch nicht nur direkte Sicherheitslücken oder Schwachstellen, sondern auch bemerkte (Funk-)Datenabflüsse ohne vorgenommene root-cause Analyse zur schnellen Behebung melden können. Daher müssen auch solche Szenarien explizit in Bezug auf die Definitionen aber auch in Bezug auf weitere Gesetzesänderungen, die der RefE nicht vorsieht, geklärt werden.

Straferhöhung von 3 auf 5 Jahre für „besonders schwere Fälle“ von IT-Straftaten, also zB wenn Hacker Kritische Infrastrukturen beeinträchtigen. Die Organisierte Kriminalität wird sich bei Ransomware-Erpressungen davon nicht beeindrucken lassen. Das Militär, die Geheimdienste, weitere staatliche Akteure und andere kriminelle Tätergruppierungen ebenso wenig.

Strafmaßerhöhungen bringen in diesen Fällen nichts und simulieren eine Verbesserung der Sicherheit, die nicht wirklich eintritt.

Des weiteren möchten Sicherheitsforschende sich nicht in einer Datenbank registrieren, um für unser aller Gemeinwohl zu sorgen.

Meldungen müssen an Betreibende, Herstellende und das BSI, wie im Entwurf vorhanden gemeldet werden können. Darünber Hinaus muss aber auch an alle anderen Behörden oder Aufsichten auf Bundes-, Landes- oder Kommunalebene Meldung, wie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit oder die Landesdatenschutzbeauftragten möglich sein.

Das „Abhörverbot“ gemäß § 5 TDDDG wurde nicht berücksichtigt und korrigiert. Diese Art von Problemen bleibt damit weiterhin bestehen:

Kurznachrichten Mitlesen leichtgemacht
https://ag.kritis.info/2024/10/10/kurznachrichten-mitlesen-leichtgemacht/

Datenabfluss bei Feuerwehr und Rettungsdienst
https://ag.kritis.info/2022/05/20/datenabfluss-bei-feuerwehr-und-rettungsdienst/

Behördenfunk in Deutschland: Anspruch und Wirklichkeit
https://ag.kritis.info/2023/07/09/behoerdenfunk-in-deutschland-anspruch-und-wirklichkeit/

Es gab schon lange Forderungen, die unter anderem auch ijon und HonkHase als Mitglieder der AG KRITIS mitgezeichnet haben:
https://sec4research.de/forderungen

Auf dem 2. Symposium des BMJ waren ijon und HonkHase ebenfalls dabei, vorher wurde HonkHase in einer Expertenworkshop-Runde beteiligt und einbezogen:
https://fragdenstaat.de/anfrage/unterlagen-zu-symposien-zur-reform-des-computerstrafrechts/

Der RefE Computerstrafrecht ist unter anderem hier zu finden:
https://netzpolitik.org/2024/hacker-paragrafen-wir-veroeffentlichen-den-gesetzentwurf-zum-computerstrafrecht/#2024-10-22_BMJ_RefE_Computerstrafrecht