URI: 
       # taz.de -- Geplante Reform des Hacker-Paragrafen: Sicherheit für gutwillige Hacker
       
       > Wer ohne Auftrag in fremden Computersystemen Schwächen sucht, soll nicht
       > mehr bestraft werden. Das sieht ein Gesetzentwurf vor, der der taz
       > vorliegt.
       
   IMG Bild: Marco Buschmann (FDP), Bundesminister der Justiz, will ethisch handelnde Hacker nicht mehr bestrafen
       
       Wohlmeinende Hacker sollen nicht mehr mit einem Bein im Gefängnis stehen.
       Wer unabgesprochen in fremde Computersysteme eindringt, um
       Sicherheitslücken zu finden und diese mitzuteilen, handelt künftig
       eindeutig legal.
       
       Das sieht ein Gesetzentwurf von Justizminister Marco Buschmann (FDP) vor,
       der an diesem Dienstag in die Ressortabstimmung der Bundesregierung ging
       und der taz vorliegt.
       
       Das „Ausspähen von Daten“ ist schon seit 1986 strafbar, geregelt in
       Paragraf 202a des Strafgesetzbuchs. 2007 wurde die Strafbarkeit um den so
       genannten Hacker-Paragrafen 202c verschärft. Seitdem ist schon der Besitz
       von Software strafbar, deren Zweck das Ausspähen von Daten ist. Die
       Hackerszene ist seitdem aufgebracht und verunsichert.
       
       ## Bis heute prinzipiell strafbar
       
       Zwar stellte das Bundesverfassungsgericht 2009 fest, dass eindeutig keine
       Straftat vorliegt, wenn ein Hacker im Auftrag eines Unternehmens oder einer
       Behörde nach Sicherheitslücken sucht. Dann darf er auch die entsprechenden
       Hackertools besitzen. Diese Klarstellung nutzte aber nicht den so genannten
       Grey-Hat-Hackern, die ohne Auftrag, aber mit guter Absicht die Sicherheit
       von Datensystemen testen. Deren Tätigkeit ist bis heute im Prinzip
       strafbar.
       
       So zeigte die CDU 2021 [1][die IT-Expertin Lilith Wittmann an, nachdem sie
       in der CDU-Wahlkampf-App „CDUconnect“ gravierende Sicherheitslücken
       entdeckt hatte]. Nach öffentlichem Protest zog die CDU zwar die Anzeige
       zurück und entschuldigte sich, die Staatsanwaltschaft Berlin ermittelte
       aber weiter und stellte das Verfahren erst nach Monaten ein – [2][weil die
       Daten in der CDU-App faktisch frei abrufbar waren].
       
       Dagegen verurteilte das Amtsgericht Jülich im Januar dieses Jahres einen
       Softwareentwickler, der 2021 im Auftrag eines Einzelhändlers eine
       Schnittstelle prüfen sollte und dabei [3][eine Schwachstelle beim
       IT-Dienstleister Modern Solutions entdeckt hatte].
       
       Der Mann informierte Modern Solutions über die Sicherheitslücke, aber das
       Unternehmen bestritt das Problem und zeigte stattdessen den wohlmeinenden
       Eindringling an. Das Amtsgericht Jülich verurteilte ihn nun wegen
       Ausspähens von Daten zu einer Geldstrafe von 50 Tagessätzen, insgesamt
       3.000 Euro.
       
       ## Auch im Interesse von Unternehmen
       
       Auch wenn es nach Angaben des Justizministeriums bisher nur zu sehr wenigen
       Verurteilungen kam, soll mit der Verunsicherung der ethisch handelnden
       Hacker nun Schluss sein. Der Reformentwurf zu Paragraf 202a sieht vor, dass
       das Eindringen in ein fremdes Computersystem dann „nicht unbefugt“ ist,
       wenn es in der Absicht erfolgt, eine Schwachstelle festzustellen und diese
       den Verantwortlichen beim Nutzer oder beim Hersteller zu melden.
       
       Damit wären die Grey-Hat-Hacker und ihre unabgesprochene „offensive
       IT-Sicherheitsforschung“ künftig auf der sicheren Seite. Dies ist durchaus
       [4][auch im Interesse der getesteten Unternehmen], die manchmal sogar
       spezielle Meldekanäle zur Verfügung stellen („Hilf uns, besser zu werden“)
       oder Belohnungen für das Finden von Schwachstellen ausloben, [5][so
       genannte Bug Bounties].
       
       ## Schwere Strafen bei Böswilligkeit
       
       Zugleich sieht Buschmanns Entwurf aber auch Strafverschärfungen vor. So
       soll die [6][Höchststrafe für das böswillige „Ausspähen von Daten“] in
       „besonders schweren Fällen“ von drei auf fünf Jahre steigen, etwa wenn
       kritische Infrastruktur wie die Wasserversorgung beeinträchtigt wird.
       
       Buschmann setzt mit dem Gesetzentwurf, der schon für die erste Jahreshälfte
       angekündigt war, einen Auftrag aus dem Ampel-Koalitionsvertrag um.
       
       22 Oct 2024
       
       ## LINKS
       
   DIR [1] /Lilith-Wittmann-ueber-Wahlkampf-Apps/!5802119
   DIR [2] /Moeglicher-Verstoss-gegen-Datenschutz/!5802205
   DIR [3] /IT-Experte-wird-angezeigt/!5808171
   DIR [4] /IT-Experte-ueber-Softwarefehler-bei-Apple/!5463527
   DIR [5] /Sicherheit-im-sozialen-Netzwerk/!5112959
   DIR [6] /Hackerangriff-aus-Russland/!6008330
       
       ## AUTOREN
       
   DIR Christian Rath
       
       ## TAGS
       
   DIR Software
   DIR Hacker
   DIR Hackerangriff
   DIR Justizministerium
   DIR Cybersicherheit
   DIR Marco Buschmann
   DIR Megaupload
   DIR IG
   DIR Schwerpunkt Überwachung
       
       ## ARTIKEL ZUM THEMA
       
   DIR Auslieferung des Megaupload-Gründers: Kim Dotcom von Neuseeland ans FBI
       
       Für den deutschen Internet-Entrepreneur schlägt wohl die letzte Stunde in
       Freiheit. Seiner Auslieferung an US-Behörden wurde zugestimmt.
       
   DIR Lilith Wittmann über Wahlkampf-Apps: „Manche spielen Sudoku. Ich hacke“
       
       Die Sicherheitsexpertin Lilith Wittmann hat in der CDU-Wahlkampf-App
       Schwachstellen gefunden. Ein Gespräch über Hacker*innen-Ehre.
       
   DIR Möglicher Verstoß gegen Datenschutz: CDU-Wahl-App doch nicht gehackt
       
       Weil die Daten frei abrufbar waren, wurden Ermittlungen gegen IT-Expertin
       Wittmann eingestellt. Hat die CDU mit ihrer App gegen Datenschutz
       verstoßen?