Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einem Lagebericht vom 12.11.2024 auf die zunehmende Gefahr von Cyberangriffen durch das Ausnutzen von Softwareschwachstellen hingewiesen. White-Hat-Hacker und IT-Sicherheitsforschende wirken Cyberangriffen entgegen, indem sie Sicherheitslücken aufspüren und an die Hersteller melden. Paradoxerweise ist diese Tätigkeit nach geltendem Computerstrafrecht strafbar. Um diesen Widerspruch aufzulösen, hat die Bundesregierung eine Reform des Strafrechts angestoßen. In diesem Beitrag wird untersucht, welche Lücken die geltende Rechtslage aufweist und wie Unternehmen und Gesetzgeber Abhilfe schaffen können.
Die Basics: Was sind White-Hat-Hacker?
White-Hat-Hacker und IT-Sicherheitsforschende haben es sich zum Ziel gesetzt, Sicherheitslücken in Software, IT-Systemen oder Netzwerken aufzudecken und zu beheben, um deren Sicherheit zu erhöhen. Im Gegensatz zu Black-Hat-Hackern, die versuchen, Schwachstellen auszunutzen, um an unerlaubte Informationen zu gelangen oder Schaden anzurichten, arbeiten White-Hat-Hacker häufig im Auftrag von Unternehmen, um Schwachstellen in einem System aufzudecken und um dessen Sicherheit zu erhöhen. Es kommt auch vor, dass White-Hat-Hacker ohne externen Auftrag versuchen, das IT-Schutzkonzept von Organisationen zu überwinden. In der Praxis ist es für White-Hat-Hacker notwendig, auf reale IT-Systeme zuzugreifen und deren Schwachstellen zu testen – oft ohne vorherige Genehmigung der Systembetreiber. Diese Vorgehensweise ist unerlässlich, um reale Bedrohungsszenarien zu verstehen und abzuwehren. Dabei aufgedeckte Sicherheitslücken werden bestenfalls direkt an die Organisation gemeldet, damit diese die Mängel beheben kann.
Das Problem: Programmierer verurteilt
Jedoch machen sich White-Hat-Hacker leicht strafbar, wenn sie nicht im Auftrag der Organisation tätig werden, bei der sie die Sicherheitslücke finden. Hier stehen die §§ 202a, 202b, 202c, 303a und 303b StGB im Fokus. Das Computerstrafrecht stellt Tätigkeiten unter Strafe, die aus gesamtgesellschaftlicher Sicht erwünscht sind – etwa das Aufspüren von Sicherheitslücken durch White-Hat-Hacker oder IT-Sicherheitsforschende. Beispielsweise ist im November 2024 ein Programmierer in einem noch nicht rechtskräftigen Berufungsurteil des Landgerichts (LG) Aachen wegen Ausspähens von Daten nach § 202a StGB verurteilt worden (LG Aachen Az. 74 NBs 34/24). Der Angeklagte erzeugte mit Hilfe eines Dekompilierers, eines für jedermann erhältlichen Programms, einen Quellcode der von dem Geschädigten eingesetzten Software. In diesem Quellcode war erstaunlicherweise das Passwort für den Zugang zu den Kundendaten im Klartext hinterlegt. Der Angeklagte verschaffte sich damit Zugriff auf die persönlichen Daten von knapp 700.000 Kundinnen und Kunden verschiedener Onlineshops (Otto, Check24 etc.). Er schickte unmittelbar Screenshots von Kundendaten an den Betreiber eines IT-Sicherheitsblogs und an das betroffene Unternehmen, um auf die Sicherheitslücke aufmerksam zu machen. Die Firma schloss die Sicherheitslücke, erstattete aber Anzeige.
Das Urteil bestätigte zwei Schwächen des aktuellen Computerstrafrechts:
Erstens ist der objektive Tatbestand von § 202a StGB bei White-Hat-Hacking schnell einschlägig. Die objektiven Merkmale sind: (i) Daten, die nicht für den Täter bestimmt sind, (ii) die besondere Zugangssicherung der Daten, (iii) das Verschaffen des Zugangs zu den Daten (sich oder einem anderen), (iv) die Überwindung der Zugangssicherung und (v) unbefugtes Handeln. Das geltende Computerstrafrecht enthält folglich keine Abgrenzung zwischen kriminellen Absichten und legitimer Sicherheitsforschung. Teilweise wird in der Wissenschaft angenommen, dass immer ein rechtfertigender Notstand vorliegen könnte, da die Sicherheitslücken eine Dauergefahr darstellen würden. Dies bestätigten die Gerichte bisher aber nicht.
Zweitens besteht eine besondere Herausforderung für die Gerichte darin, auch einfach gelagerte Fälle unter die bestehenden Normen des Computerstrafrechts zu subsumieren. Die Normen bergen große Rechtsunsicherheit und haben einen weiten Anwendungsbereich, so dass sich IT-Sicherheitsforschende die Frage stellen müssen, ob sie Sicherheitslücken melden und das Risiko einer Anzeige in Kauf nehmen oder ob sie das Risiko für die IT-Sicherheit akzeptieren.
Die Lösung: Abhilfe durch den Gesetzgeber
Am 04.11.2024 verabschiedete das Bundesjustizministerium (BMJ) einen Referentenentwurf zur Erneuerung des Computerstrafrechts (siehe hier). Ziel ist, die Arbeit von White-Hat-Hackern zu erleichtern und zwischen legalen und illegalen Handlungen klarer zu unterscheiden. Justizminister a.D. Marco Buschmann fasste die Zielsetzung treffend zusammen: „Wer IT-Sicherheitslücken schließt, hat Anerkennung verdient – nicht Post vom Staatsanwalt.“ Was ist geplant?
Änderung von § 202a Abs. 3 StGB
Der Entwurf führt in einem neuen Absatz 3 eine negative Legaldefinition des Begriffs „unbefugt“ ein. Danach soll eine Handlung nicht unbefugt sein, wenn sie in der Absicht erfolgt, eine Schwachstelle oder Sicherheitslücken festzustellen und zu melden. Die Handlung muss zudem erforderlich sein, um die Sicherheitslücke zu identifizieren. Ist eine Sicherheitslücke identifiziert, ist der White-Hat-Hacker verpflichtet, den Betreiber der Datenverarbeitungsanlage, den Hersteller der IT-Anwendung oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu informieren.
Regelbeispiele für strafbewehrtes Handeln
Der Gesetzentwurf definiert schwere Fälle für das strafbewehrte Handeln, beispielsweise bei Angriffen auf kritische Infrastrukturen oder Handlungen aus Gewinnsucht. Dies soll das hohe Schadenspotential und die Gefährlichkeit von Computerdelikten angemessen abbilden.
Fazit zur geplanten Reform: Weiter so!
Der Referentenentwurf vom BMJ wird von IT-Sicherheitsforschenden als eine Verbesserung gegenüber den bisherigen Regelungen gesehen, allerdings weist er auch einige Schwächen auf. Positiv ist, dass eine tatbestandsausschließende Regelung im Computerstrafrecht für Sicherheitsforschende geschaffen wurde. Aufgrund der klareren gesetzlichen Vorgaben könnten externe Experten Schwachstellen aufspüren, ohne dass ein entsprechendes Auftragsverhältnis bestehen muss. Auch die Einführung von höheren Strafrahmen (§ 202a Abs. 4 StGB-E) für schwere Cyberkriminalität wird im Hinblick auf die zunehmende Bedrohung von Cyberangriffen begrüßt.
Ein Hauptkritikpunkt aus Sicht der Praxis ist jedoch, dass es für White-Hat-Hacker schwer sein wird, einen Nachweis darüber zu erbringen, dass sie in der Absicht gehandelt haben, IT-Sicherheitslücken zu schließen. Im Fall vor dem LG Aachen wäre dies für den angeklagten Programmierer nur mit Hürden möglich: Im Vorfeld hätte er sein Vorhaben – und auch das Vorgehen – protokollieren oder bei dem Unternehmen oder einer unabhängigen Stelle anmelden müssen. Insbesondere IT-Sicherheitsforschende fordern hier praktikable Vorschläge oder Best Practices. Ein weiterer Kritikpunkt bezieht sich auf die Interpretation des Merkmals der „Erforderlichkeit“. Die Abgrenzung, was für die Aufdeckung von Sicherheitslücken notwendig ist, bleibt komplex und wird voraussichtlich Gegenstand von Auseinandersetzungen sein. Der Fall vor dem LG Aachen macht die Bandbreite deutlich: Ob bereits die Eingabe des Passworts oder die Screenshots der Datenbanken oder die Benachrichtigung des Bloggers als nicht erforderlich anzusehen wären, ist noch zu klären. Zuletzt ist aus rechtlicher Sicht bedauerlich, dass unklar ist, wie die Begriffe „Schwachstelle“ und „Sicherheitslücke“ in § 202a Abs. 3 StGB-E voneinander abzugrenzen sind. Diese Begriffe sind nicht nur im StGB-Entwurf, sondern auch in dem aktuellen Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) unsauber geregelt, so dass auch hierdurch keine Rechtsklarheit entsteht.
Ausblick und Handlungsempfehlung
In Anbetracht der erst kürzlich erfolgten Neuwahl des Bundestags und der laufenden Koalitionsverhandlungen ist mit einer baldigen Verabschiedung des Gesetzentwurfs nicht zu rechnen. Vielmehr ist wahrscheinlich, dass der Vorschlag des BMJ nach erfolgter Regierungsbildung nochmals überarbeitet wird. Wegen der Verzögerungen auf gesetzgeberischer Seite bleibt damit zunächst nur ein Blick nach Brüssel: Die Diskussion über legitimes „Hacking“ findet auch auf EU-Ebene statt, wo die NIS2-Richtlinie und die Einrichtung von Verfahren zur koordinierten Offenlegung von Schwachstellen befürwortet werden und internationale Best Practices als Orientierung dienen können.
Zudem können potentiell betroffene Organisationen und Unternehmen bereits jetzt selbst tätig werden und ihre Sicherheitsstrategie optimieren. Für Unternehmen, die IT-Dienstleistungen erbringen, ist das Aufspüren von Sicherheitslücken – auch durch White-Hat-Hacker – von entscheidender Bedeutung, um den Schutz ihrer IT-Systeme und ihrer Kunden zu gewährleisten. Allerdings haben Unternehmen auch ein berechtigtes Interesse daran, den Kreis der „Mitwisser“ so klein wie möglich zu halten, um mögliche Imageschäden zu vermeiden. Konkret gibt es zwei Ansätze:
Responsible Disclosure ermöglichen
Das ethische Melden von Sicherheitslücken ist von besonderem Interesse für White-Hat-Hacker und die Betroffenen. Zuerst sollte die betroffene Organisation informiert werden, und nur wenn diese nicht handelt, kann in Ausnahmefällen die Presse zum Wohl der Allgemeinheit informiert werden. IT-Unternehmen können dies unterstützen, indem sie klare Ansprechpartner und Meldestellen benennen, um White-Hat-Hackern Disclosure zu erleichtern.
Initiierung von „Bug Bounty“-Programmen
Nach dem Vorbild großer Softwareunternehmen sollten Unternehmen und IT-Organisationen das vertrauliche Melden von Sicherheitslücken mit einer Prämie belohnen. Quasi als ein Kopfgeld für Sicherheitslücken mit der Garantie, dass bei Meldung von Sicherheitslücken nicht geklagt wird.
