Der Hackerparagraf (§202a StGB) ist seit Jahrzehnten ein bekanntes Problem in der deutschen IT-Landschaft. Und es gibt ein neues Opfer.
„Das Internet ist für uns alle Neuland„, sagte unsere Mutti. „Bin ich schon drin?„, fragte Boris Becker schon in den 90ern. „Bin ich schon drin?“, fragte Lilith Wittmann im Jahre 2021. Unsere Digitalisierung hinkt nicht, sie kriecht und wir setzen mit dem §202a StGB ff. alles daran, dass es so bleibt. Vielleicht ist es gerade der Datenschutz, der uns helfen könnte.
Manege frei für den Hackerparagrafen
„Wer [sich] unbefugt […] Zugang zu Daten, die nicht für ihn bestimmt […] sind […] verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft„, so die Worte des §202a StGB. Damit wird aber nicht nur Hacking verboten, sondern auch das Suchen nach Sicherheitslücken. Frei nach dem Motto „Wenn wir nicht mehr testen, gibt es kein Corona mehr“, machen sich auch Organisationen wie die CDU diesen Umstand zunutze, um gegen Forscher vorzugehen, die Sicherheitslücken aufdecken.
Der Unterschied zwischen einem Forscher und einem Hacker ist dabei für jeden klar ersichtlich: Der Forscher versucht einzudringen, um dem Hacker die Möglichkeit zu nehmen, in das System einzudringen und damit Nutzer zu schützen.
Helfen kostet Geld
Während die Gerichte hier durchaus Verständnis zeigen und Forscher meist „nur“ zu Geldstrafen verurteilen, so auch im Falle von Henrik Heinle dessen Berufung 2024 abgelehnt und das Urteil des Amtsgerichts Jülich bestätigt wurde. 3.000 € muss Heinle zahlen und ist damit vermutlich noch gut davongekommen.
Ähnliche Schicksale hört man aus Hacker-Kreisen immer wieder. Der CCC mahnt schon seit 2008 öffentlich, dass der Hackerparagraf aktiv die deutsche IT-Branche gefährdet und die Reaktionen des Deutschen Mittelstands-Bundes bestätigen diesen Eindruck. Gegenüber der Tagesschau sagte ein Sprecher:
Wenn die Greyhat-Hacker auf die Systeme zugreifen, besteht immer die Gefahr, dass die Daten verändert werden, oder an die Öffentlichkeit herangetragen werden, wovon dann Reputationsschäden für die Unternehmen ausgehen.
— Patrick Schönowski, Deutscher Mittelstands-Bund
An dieser Stelle sei freundlich darauf hingewiesen, dass Sicherheitsforscher „Whitehats“ genannt werden, da sie keine schlechten Absichten verfolgen.
Lösungsangebot: UNO-Reverse-Karte ziehen
Wie der Sprecher es so schön sagt, können die Kosten für die Reputation einer Firma schwer wiegen. Besonders, wenn personenbezogene Daten involviert sind, sind die Kosten mitunter nicht in Geld aufzuwiegen. Hier könnten sich Nutzer, deren Daten betroffen sind, an die Landesdatenschutzbeauftragten wenden, denn:
Unter Berücksichtigung des Stands der Technik […] treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten
— Art. 32 DSGVO
Wenn man nun Daten in einer Datenbank mit Nutzer root und Passwort 1234 speichert, entspricht das nicht dem Stand der Technik, oder gesundem Menschenverstand. Selbiges gilt für Lücken, die für geübte Programmierer offensichtlich sind. Der CCC hat auf eine Anfrage von uns leider nicht geantwortet. Wir bieten dem nächsten Opfer des Hackerparagrafen allerdings mit Freuden diese Taktik an und würden uns über Feedback freuen.
Was die Zukunft für den Hackerparagrafen bereithält
Im aktuellen Koalitionsvertrag haben sich CDU/CSU und SPD auf folgende Formulierung geeinigt:
Wir werden im Computerstrafrecht Rechtssicherheit für IT-Sicherheitsforschung schaffen, wobei wir Missbrauchsmöglichkeiten verhindern.
— Koalitionsvertrag Zeilen 2883-2885
Hoffen wir, dass man „Rechtssicherheit schaffen“ nicht als „gänzlich illegal machen“ auslegen wird. Wer hier seinem Abgeordneten die Vorzüge kostenloser Sicherheitsforschung nahelegen möchte, kann dies über die Website des Bundestages mit nur wenigen Klicks erledigen.
