Welche Hacker künftig straffrei bleiben sollen
Hacker, die IT-Sicherheitslücken aufspüren und schließen möchten, sollen dafür nicht mehr bestraft werden. Um das sicherzustellen, will das Bundesministerium das Computerstrafrecht entsprechend anpassen. An anderer Stelle soll das Gesetz verschärft werden.
Bislang machen sich Hacker selbst dann strafbar, wenn sie im Auftrag von Unternehmen nach Sicherheitslücken suchen. Das soll sich ändern. Dazu hat Ministerium jetzt einen entsprechenden Gesetzentwurf veröffentlicht. „Wer IT-Sicherheitslücken schließen möchte, hat Anerkennung verdient – nicht Post vom Staatsanwalt. Denn Sicherheitslücken in IT-Systemen können in unserer vernetzten Welt dramatische Folgen haben“, sagt dazu Bundesjustizminister Marco Buschmann. Cyberkriminelle und fremde Mächte könnten IT-Sicherheitslücken als Einfallstore nutzen, etwa um Krankenhäuser, Verkehrsunternehmen oder Kraftwerke lahmzulegen, persönliche Daten auszuspähen oder Unternehmen zu ruinieren. Es sei deshalb im gesamtgesellschaftlichen Interesse, dass IT-Sicherheitslücken aufgedeckt und geschlossen werden. „Mit dem Gesetzentwurf werden wir Strafbarkeitsrisiken für Personen ausschließen, die sich dieser wichtigen Aufgabe annehmen“, so Buschmann.
Der Gesetzentwurf sieht vor, dass bestimmte Handlungen von IT-Sicherheitsforschern, IT-Sicherheitsunternehmen sowie von Hackern nicht nach dem Computerstrafrecht bestraft werden können. Das gilt dann, wenn dadurch Sicherheitslücken aufgespürt und geschlossen werden sollen. Damit solche Handlungen keinem Strafbarkeitsrisiko unterliegen, soll der § 202a Strafgesetzbuch (StGB) ergänzt werden.
Diesen Hackern drohen härtere Strafen
Gleichzeitig sieht der Gesetzentwurf eine Strafverschärfung vor: Cyberkriminelle sollen für das Ausspähen und Abfangen von Daten bald strenger bestraft werden als bisher. Die Strafvorschriften des Ausspähens von Daten (§ 202a StGB) und des Abfangens von Daten (§ 202b StGB) sollen dazu um Regelungen für besonders schwere Fälle ergänzt werden. Ein besonders schwerer Fall soll dann vorliegen, wenn der Täter „einen Vermögensverlust großen Ausmaßes herbeiführt oder aus Gewinnsucht, gewerbsmäßig oder als Mitglied einer Bande handelt“. Darüber hinaus sollen die Fälle erfasst werden, in denen – auch aus dem Ausland – durch die Tat die Verfügbarkeit, Funktionsfähigkeit, Integrität, Authentizität oder Vertraulichkeit einer kritischen Infrastruktur oder die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder beeinträchtigt wird, heißt es. Bei solchen Taten sollen Freiheitsstrafen von drei Monaten bis zu fünf Jahren drohen.
Der Gesetzentwurf wurde an Länder und Verbände verschickt und auf der Homepage des Bundesjustizministeriums veröffentlicht. Bis zum 13. Dezember 2024 ist eine Stellungnahme möglich.