Um Sicherheitslücken in IT-Systemen zu finden und dann zu schließen, ist das Eindringen in diese Systeme oft unumgänglich. Das BMJ plant eine Gesetzesänderung, die dafür sorgen soll, dass dafür niemand bestraft wird.
Wer IT-Sicherheitslücken aufspüren und schließen will, soll dafür keine Strafe riskieren. Dies sicherzustellen ist Ziel eines Entwurfs für eine Reform des Computerstrafrechts aus dem Bundesjustizministerium (BMJ), der zur Stellungnahme an Länder und Verbände verschickt wurde. Konkret sollen die §§ 202a und 202b des Strafgesetzbuches (StGB), die das Ausspähen und Abfangen von Daten unter Strafe stellen, angepasst werden. Dabei sieht der Entwurf auch eine Strafverschärfung durch die Einführung von Regelbeispielen für besonders schwere Fälle vor.
Ein besonders schwerer Fall liegt nach dem Entwurf künftig regelmäßig dann vor, wenn der Täter aus Gewinnsucht handelt, gewerbsmäßig oder als Mitglied einer Bande agiert oder wenn mit der Tat ein großer Verlust von Vermögen für den Betroffenen einhergeht. Ebenfalls von der geplanten Verschärfung erfasst werden sollen beispielsweise Fälle, in denen – etwa aus dem Ausland – die Funktionsfähigkeit der kritischen Infrastruktur oder die Sicherheit der Bundesrepublik oder eines Bundeslandes beeinträchtigt wird. Der Strafrahmen soll auf drei Monate bis fünf Jahre Haft erhöht werden. Aktuell kann das Ausspähen von Daten mit einer Freiheitsstrafe von bis zu drei Jahren und das Abfangen von Daten mit bis zu zwei Jahren Haft oder jeweils mit Geldstrafe bestraft werden.
Anerkennung statt Post vom Staatsanwalt
Die Strafbarkeit von Hackern, die als Sicherheitsforscher in guter Absicht in IT-Systeme eindringen mit dem Ziel, für einen besseren Schutz dieser Systeme zu sorgen, will das BMJ vermeiden. Daher soll zudem eine Negativdefinition in § 202a StGB eingefügt werden. Danach ist die Tathandlung dann nicht "unbefugt", wenn drei Voraussetzungen erfüllt sind: Erstens muss das Eindringen in der Absicht erfolgt sein, eine Sicherheitslücke festzustellen. Zweitens muss die Absicht bestehen, eine verantwortliche Stelle, die diese Lücke schließen kann, darüber zu informieren. Drittens muss diese Handlung erforderlich sein, um eine Sicherheitslücke festzustellen.
"Wer IT-Sicherheitslücken schließen möchte, hat Anerkennung verdient – nicht Post vom Staatsanwalt", kommentiert Bundesjustizminister Marco Buschmann (FDP) den Entwurf. Denn Cyberkriminelle und fremde Mächte könnten solche Lücken als Einfallstore nutzen, etwa um Krankenhäuser, Verkehrsunternehmen oder Kraftwerke lahmzulegen, persönliche Daten auszuspionieren oder Unternehmen zu ruinieren.
dpa/lmb/LTO-Redaktion
BMJ will Computerstrafrecht reformieren: . In: Legal Tribune Online, 04.11.2024 , https://www.lto.de/persistent/a_id/55780 (abgerufen am: 05.11.2024 )
Infos zum Zitiervorschlag