Um Sicherheitslücken in IT-Systemen zu finden und dann zu schließen, ist das Eindringen in diese Systeme oft unumgänglich. Eine Gesetzesänderung soll dafür sorgen, dass dafür niemand bestraft wird.
Wer IT-Sicherheitslücken aufspüren und schließen will, soll dafür keine Strafe riskieren. Dies sicherzustellen, ist Ziel eines Entwurfs für eine Reform des Computerstrafrechts aus dem Bundesjustizministerium, der zur Stellungnahme an Länder und Verbände verschickt wurde. Der Entwurf sieht zugleich vor, dass das Ausspähen und Abfangen von Daten in besonders schweren Fällen in Zukunft härter bestraft werden soll als bisher.
Ein besonders schwerer Fall im Sinne des Entwurfs liegt in der Regel vor, wenn der Täter aus Gewinnsucht handelt, gewerbsmäßig oder als Mitglied einer Bande agiert oder wenn mit der Tat ein großer Verlust von Vermögen für den Betroffenen einhergeht. Ebenfalls von der geplanten Verschärfung erfasst werden sollen beispielsweise Fälle, in denen – etwa aus dem Ausland – die Funktionsfähigkeit der kritischen Infrastruktur oder die Sicherheit der Bundesrepublik oder eines Bundeslandes beeinträchtigt wird. Der Strafrahmen soll auf drei Monate bis fünf Jahre Haft erhöht werden. Aktuell kann das Ausspähen von Daten mit einer Freiheitsstrafe von bis zu drei Jahren und das Abfangen von Daten mit bis zu zwei Jahren Haft bestraft werden.
Gute Absicht muss klar und sichtbar sein
Bei Hackern, die als Sicherheitsforscher in guter Absicht in IT-Systeme eindringen, um für einen besseren Schutz dieser Systeme zu sorgen, sollen den Angaben zufolge drei Voraussetzungen erfüllt sein müssen, damit ihr Verhalten als nicht strafbar gilt. Erstens muss das Eindringen in der Absicht erfolgt sein, eine Sicherheitslücke festzustellen. Zweitens muss die Absicht bestehen, eine verantwortliche Stelle, die diese Lücke schließen kann, darüber zu informieren. Drittens muss diese Handlung erforderlich sein, um eine Sicherheitslücke festzustellen.
«Wer IT-Sicherheitslücken schließen möchte, hat Anerkennung verdient – nicht Post vom Staatsanwalt», sagt Bundesjustizminister Maroc Buschmann (FDP). Denn Cyberkriminelle und fremde Mächte könnten solche Lücken als Einfallstore nutzen, etwa um Krankenhäuser, Verkehrsunternehmen oder Kraftwerke lahmzulegen, persönliche Daten auszuspionieren oder Unternehmen zu ruinieren.
dpa