Computerstrafrecht: Buschmann will Hackerparagrafen ändern

Wer IT-Sicherheitslücken aufspüren und schließen möchte, soll nicht Gefahr laufen, sich dabei strafbar zu machen. Um das sicherzustellen, will das Bundesjustizministerium das Computerstrafrecht ändern, genauer gesagt, den sogenannten Hackerparagrafen.

"Sicherheitslücken in IT-Systemen können in unserer vernetzten Welt dramatische Folgen haben", erläutert Bundesjustizminister Marco Buschmann (FDP) den Gesetzentwurf aus seinem Haus. Cyberkriminelle und fremde Mächte könnten IT-Sicherheitslücken als Einfallstore nutzen. Krankenhäuser, Verkehrsunternehmen oder Kraftwerke könnten so lahmgelegt, persönliche Daten ausspioniert, Unternehmen ruiniert werden. Es sei deshalb im gesamtgesellschaftlichen Interesse, dass IT-Sicherheitslücken aufgedeckt und geschlossen werden. Wer IT-Sicherheitslücken schließen möchte, habe daher Anerkennung verdient – nicht Post vom Staatsanwalt.

Um das zu erreichen, will Buschmann durch eine Ergänzung des § 202a StGB gesetzlich klarstellen, wann das Eindringen in IT-Systeme nicht "unbefugt" im Sinne der Norm und damit nicht strafbar ist. Drei Voraussetzungen müssten dafür erfüllt sein: Erstens müsse das Eindringen in der Absicht erfolgt sein, eine Sicherheitslücke festzustellen. Zweitens müsse die Absicht bestehen, eine verantwortliche Stelle, die diese Lücke schließen kann, darüber zu informieren. Drittens müsse diese Handlung erforderlich sein, um eine Sicherheitslücke festzustellen. Der neu geregelte Strafbarkeitsausschluss soll auch für zwei weitere Straftatbestände gelten: das Abfangen von Daten (§ 202b StGB) und die Datenveränderung (§ 303a StGB).

Geplant ist zudem eine Verschärfung des Computerstrafrechts für bestimmte Fälle: Die Strafvorschriften des Ausspähens von Daten (§ 202a StGB) und des Abfangens von Daten (§ 202b StGB) sollen um Regelungen für besonders schwere Fälle ergänzt werden. Ein besonders schwerer Fall soll in der Regel vorliegen, wenn der Täter einen Vermögensverlust großen Ausmaßes herbeiführt oder aus Gewinnsucht, gewerbsmäßig oder als Mitglied einer Bande handelt. Außerdem sollen die Fälle erfasst werden, in denen – auch aus dem Ausland – durch die Tat die Verfügbarkeit, Funktionsfähigkeit, Integrität, Authentizität oder Vertraulichkeit einer kritischen Infrastruktur oder die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder beeinträchtigt wird. Der Strafrahmen für diese Fälle soll auf Freiheitsstrafe von drei Monaten bis zu fünf Jahren lauten.

Redaktion beck-aktuell, bw, 4. November 2024 (ergänzt durch Material der dpa).