Mit dem Referentenentwurf zur Änderung des § 202a StGB vom 22.10.2024 (veröffentlicht am 04.11.2024) treibt das Bundesministerium der Justiz die Modernisierung des Computerstrafrechts voran. Ziel der Neuregelung ist die Entkriminalisierung der IT-Sicherheitsforschung.
Staatlicher Interessenkonflikt
„Es muss verhindert werden, dass das Strafrecht von Handlungen abschreckt, die im gesellschaftlichen Interesse erfolgen und daher wünschenswert sind.“ (RefE vom 22.10.2024). Strafbarkeitsrisiken können sich kontraproduktiv auswirken. Da die Strafverfolgungsbehörden die Tathandlung der Überwindung einer Zugangssicherung extrem weit interpretieren, unterfallen sowohl die Handlungen von Black Hat Hackern als auch von White Hat Hackern der Strafbarkeit des § 202a StGB. Die Strafverfolgung steht in einem Konflikt mit den Interessen der IT-Sicherheit, der mit der Einführung eines Tatbestandsausschlusses für IT-Sicherheitsforschende gelöst werden soll.
Denn das Aufspüren von Sicherheitslücken durch die IT-Sicherheitsforschung– dazu zählen neben Wissenschaftlern auch kommerzielle Anbieter der IT-Sicherheitsbranche und frei tätige Experten – und das Schließen von Sicherheitslücken durch die Hersteller der IT-Systeme sind ein ausdrücklich erwünschtes Verhalten. Allerdings lassen sich die Methoden von Black Hat Hackern und White Hat Hackern nicht unterscheiden, aber - und das soll zukünftig maßgeblich sein – deren Ziele sind unterschiedlich. Staatlich missbilligt ist nur das Verschaffen von Zugang zu Daten, um eine Sicherheitslücke auszubeuten. Staatlich erwünscht ist hingegen das Verschaffen von Zugang zu Daten, um eine Sicherheitslücke zu melden. Neben den IT-Sicherheitsforschenden, die im Auftrag und mit Einwilligung des getesteten Unternehmens handeln und damit keinem Strafbarkeitsrisiko ausgesetzt sind, dient auch die „offensive IT-Sicherheitsforschung“, welche ohne Auftrag des Berechtigten handelt, diesem erwünschten Ziel.
Einschränkung des unbefugten Handelns
Nach der vorgeschlagenen Neuregelung in § 202a Absatz 3 Nummer 1 StGB-E ist die in § 202a Absatz 1 StGB beschriebene Handlung dann nicht unbefugt, wenn sie in der Absicht erfolgt, eine Schwachstelle oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems (Sicherheitslücke) festzustellen und den für das informationstechnische System Verantwortlichen, den Betreiber der Datenverarbeitungsanlage, den Hersteller der betroffenen IT-Anwendung oder das Bundesamt für Sicherheit in der Informationstechnik davon zu unterrichten. „Die Neuregelung in § 202a Absatz 3 StGB-E knüpft (…) an das Tatbestandsmerkmal „unbefugt“ an. So wird gewährleistet, dass nur Handeln mit Schädigungsabsicht unter die Vorschrift fällt, während das Aufspüren von Sicherheitslücken unter den in der Regelung genannten Voraussetzungen straflos bleiben soll.“ (RefE vom 22.10.2024).
Keine Einhaltung des Responsible Disclosure Verfahrens erforderlich
Die Feststellung der Absicht durch die Strafverfolgungsbehörden soll anhand objektiver Merkmale erfolgen. „Die IT-Sicherheitsforschung soll [jedoch] nicht verpflichtet werden, einen bestimmten Meldeweg einzuhalten, zumal es dazu noch kein allgemein anerkanntes standardisiertes Verfahren (responsible disclosure) gibt.“ (RefE vom 22.10.2024). Dabei stellt das Bundesamt für Sicherheit in der Informationstechnik seit längerem umfassende Informationen zur Schwachstellenmeldung via Online-Formular und via E-Mail einschließlich FAQs und Leitlinie zum Coordinated Vulnerability Disclosure Prozess zur Verfügung. Nutzt der Handelnde einen Meldeweg, den der Verantwortliche anbietet, soll dieses Nachtatverhalten weiterhin ein sehr starker Beleg für seine Absicht sein, eine Sicherheitslücke schließen zu wollen. Was die Verteidigung bisher zum Fehlen eines subjektiven Vorsatzes vorgetragen hat, wird sie also zukünftig zum Vorliegen eines objektiven Tatbestandsausschlusses darlegen. Die Schwierigkeiten verbleiben, wenn die Absicht der Verbesserung der IT-Sicherheit nicht in irgendeiner Form nach außen getreten ist.
Einschränkung des Geschäftsgeheimnisschutzes
Eine mögliche Strafbarkeit wegen Erlangen oder Offenlegen von Geschäftsgeheimnissen gem. § 23 GeschGehG soll zukünftig gerechtfertigt und damit ebenfalls straflos sein, da die IT-Sicherheitsforschung unter den Voraussetzungen des § 202a Absatz 3 StGB-E regelmäßig ein sonstiges legitimes Interesse im Sinne des § 5 GeschGehG darstellen wird, sofern der Zugang allein darauf beschränkt bleibt.
Missbrauch eines ursprünglich rechtmäßigen Zugriffs
Wenn ein Unternehmen seinen Mitarbeitenden – oder IT-Sicherheitsforschenden – zunächst Zugang zu Daten einräumt, die rechtmäßig erlangten Daten später aber gegen den Willen des Unternehmens verwendet werden, ist fraglich, ob das Ausnutzen des Zugangs gem. § 202a StGB strafbar ist. Nach Ansicht des Bundesministeriums der Justiz macht sich nicht gem. § 202a StGB strafbar, wer berechtigten Zugriff auf Daten hat und diesen dann missbraucht. „Vom Unwertvorwurf her bestehtkein wesentlicher Unterschied zwischen einer dann vorliegenden Datenuntreue und einem IT-Sicherheitsforscher, der seine Absicht ändert und nun den rechtmäßig erlangten Zugriff missbraucht.“ (RefE vom 22.10.2024).
Fazit
Der politische Wille zur Modernisierung des Computerstrafrechts innerhalb der nur noch kurzen Legislaturperiode ist vorhanden. Nachdem der Referentenentwurf Anregungen aufgenommen hat, die durch Expertinnen und Experten des Bundes und der Länder sowie Interessenvertreter aus Forschung und Wissenschaft sowie der IT-Sicherheitsbranche u.a. auf zwei vom Bundesministerium der Justiz veranstalteten Symposien vorgetragen wurden, besteht nun Gelegenheit zur Stellungnahme bis zum 16.12.2024.
Kontaktieren Sie uns:
Diana Nadeborn