<< zurück

16.01.2025

Reform des Computerstrafrechts: Relevanz für Unternehmen bei der Zusammenarbeit mit White Hat Hackern

Angesichts der Herausforderungen, die das aktuelle Computerstrafrecht für die IT-Sicherheitsforschung mit sich bringt, hat die Bundesregierung eine Reform angestoßen. Welche Gedanken sich der Gesetzgeber gemacht hat und inwieweit dies für Unternehmen relevant ist, erläutern wir in diesem Beitrag.

I. Hintergrund: das Computerstrafrecht und seine Hindernisse

White Hat Hacker und IT-Sicherheitsforschende haben sich zum Ziel gesetzt, Sicherheitslücken in Software, IT-Systemen oder Netzwerken aufzudecken und zu beheben, um deren Sicherheit zu erhöhen. Im Gegensatz zu Black Hat Hackern, die versuchen, Schwachstellen auszunutzen, um Zugang zu unautorisierten Informationen zu erlangen oder Schaden zu verursachen, arbeiten White Hat Hacker häufig im Auftrag von Unternehmen, um Schwachstellen in einem System aufzudecken und zu beheben, um die Sicherheit zu erhöhen.

Das deutsche Computerstrafrecht wurde in den vergangenen Jahren zunehmend als Hemmnis für White Hat Hacking wahrgenommen. Im Fokus stehen hier insbesondere die §§ 202a, 202b, 202c, 303a und 303b StGB. Diese Vorschriften stellen oft auch Tätigkeiten unter Strafe, die aus gesamtgesellschaftlicher Sicht wünschenswert sind – etwa das Aufspüren von Sicherheitslücken durch White Hat Hacker oder IT-Sicherheitsforschende. Im Rahmen ihrer Arbeit stoßen diese regelmäßig auf rechtliche Grenzen, da das bestehende Strafrecht keine klare Differenzierung zwischen kriminellen Absichten und legitimer Sicherheitsforschung vorsieht. Gerade in der Praxis ist es für White Hat Hacker notwendig, auf reale IT-Systeme zuzugreifen und deren Schwachstellen zu testen – oft ohne vorherige Genehmigung der Systembetreiber. Diese Vorgehensweise ist essentiell, um echte Bedrohungsszenarien zu verstehen und abzuwehren. Doch die Sorge vor strafrechtlicher Verfolgung führt dazu, dass viele Sicherheitslücken nicht aufgedeckt oder gemeldet werden.

II. Der Referentenentwurf: Was ist neu?

Der am 04.11.2024 verabschiedete Referentenentwurf markiert einen wichtigen Schritt zur Erneuerung des Computerstrafrechts. Der Referentenentwurf zielt darauf ab, die Arbeit von White Hat Hackern zu erleichtern und zugleich zwischen legalen und illegalen Handlungen klarer zu unterscheiden. Justizminister a.D. Marco Buschmann fasste die Zielsetzung treffend zusammen: „Wer IT-Sicherheitslücken schließt, hat Anerkennung verdient – nicht Post vom Staatsanwalt.“ Angesichts der im Februar 2024 anstehenden Neuwahlen ist jedoch noch offen, ob der Gesetzesentwurf tatsächlich in der kürzlich verabschiedeten Form in Kraft treten wird.

Kern des Entwurfs ist die Änderung von § 202a StGB, der das unbefugte Verschaffen von Zugang zu Daten unter Strafe stellt. Bisher genügte schon der bloße Zugriff auf ein fremdes System, um den Straftatbestand zu erfüllen, ohne dass zwischen kriminellen und legitimen Absichten unterschieden wurde. Der neue Entwurf führt eine sogenannte negative Legaldefinition des Begriffs „unbefugt“ ein. Danach soll das Aufspüren von Sicherheitslücken straflos bleiben, wenn:

  • die Handlung in der Absicht erfolgt, Sicherheitslücken festzustellen und zu melden,
  • der Betreiber der Datenverarbeitungsanlage, der Hersteller der IT-Anwendung oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert wird, und
  • die Handlung erforderlich ist, um die Sicherheitslücke zu identifizieren.

Darüber hinaus definiert der Entwurf Regelbeispiele für schwere Fälle des strafbewehrten Handelns, etwa bei Angriffen auf kritische Infrastruktur oder bei Handlungen aus Gewinnsucht. Hierdurch soll die Gefährlichkeit und das hohe Schadenspotenzial von Computerdelikten adäquat abgebildet werden.

III. Kritische Stimmen: Ein Schritt in die richtige Richtung, aber kein großer Wurf

IT-Sicherheitsforschende werten den Entwurf als Verbesserung, sehen aber auch Schwächen:

  • Nachweis der guten Absicht: Es wird kritisiert, dass Forschende objektive Nachweise für ihre Absichten erbringen müssen. Eine bloße Behauptung reicht nicht aus. Dies könnte gerade in der Praxis zu Unsicherheiten führen.
  • Interpretation des Begriffs „erforderlich“: Die Abgrenzung, was für die Aufdeckung von Sicherheitslücken wirklich notwendig ist, bleibt komplex und wird voraussichtlich Gegenstand von Auseinandersetzungen sein.
  • Unzureichende Reformen im Nebenstrafrecht: Insbesondere die Vorschriften des Geschäftsgeheimnisgesetzes (GeschGehG) und des Urheberrechts (UrhG) bleiben unverändert, was weiterhin Unsicherheiten birgt.

Dennoch wird der Entwurf als Kompromiss angesehen, der die rechtliche Stellung von IT-Sicherheitsforschenden verbessert.

IV. Auswirkungen auf Unternehmen: Chancen und Herausforderungen

Die geplante Reform hat unmittelbare Auswirkungen auf Unternehmen, die IT-Produkte produzieren oder IT-Dienste anbieten:

  • Erleichterte Zusammenarbeit mit Forschenden: Unternehmen profitieren von klareren rechtlichen Rahmenbedingungen. Dies reduziert die Hürden für externe Experten, auch außerhalb eines entsprechenden Auftragsverhältnisses Schwachstellen aufzuspüren.
  • Eigene Sicherheitsstrategien optimieren: Das Computerstrafrecht sieht auch nach der geplanten Reform nicht vor, dass White Hat Hacker bestimmte Meldewege einhalten müssen. Unternehmen sollten prüfen, wie sie „responsible disclosure“ durch White Hat Hacker fördern können, etwa durch die Benennung klarer Ansprechpartner oder die Beteiligung an sog. Bug-Bounty-Programmen, mit denen die vertrauliche Meldung von Sicherheitslücken mit der Zahlung einer Vergütung belohnt wird.
  • Europäische und internationale Perspektive: Die Diskussion um legitimes „Hacking“ wird auch auf EU-Ebene geführt. So empfiehlt die NIS-2-Richtlinie die Einrichtung von Verfahren für eine koordinierte Offenlegung von Schwachstellen („coordinated vulnerability disclosure“). Unternehmen könnten sich dabei an internationalen Best Practices orientieren.
V. Fazit: Ein sinnvoller Ansatz mit Potenzial

Die geplante Reform des Computerstrafrechts stellt einen wichtigen Schritt dar, um die effektive Aufdeckung von Sicherheitslücken durch White Hat Hacker in Deutschland zu fördern. Zugleich bleibt die Entwicklung in diesem Bereich dynamisch, sodass sowohl der Gesetzgeber als auch die Praxis weiter gefordert sind, um eine Balance zwischen Sicherheit, Rechtssicherheit und Innovation zu schaffen.

Unternehmen können maßgeblich von der Aufdeckung von Sicherheitslücken durch White Hat Hacking profitieren. Jedoch ist eine stärkere Koordinierung zwischen Unternehmen und White Hat Hackern wichtig, um den freiwilligen Rahmen für die Offenlegung von Schwachstellen attraktiver zu machen. Dazu sollten Unternehmen wirksame Verfahren zur vertraulichen Meldung von Sicherheitslücken einrichten.

Autor/in
Franziska Neugebauer

Franziska Neugebauer
Senior Associate
Köln
franziska.neugebauer@luther-lawfirm.com
+49 221 9937 25790

Seiten
Über uns
Kompetenzen
Team
Newsroom
Karriere
Kontakt
Social Media
Facebook
Linkedin
XING
Youtube
Hinweise
Impressum
Datenschutz
Newsletter
Hier finden Sie unsere aktuellsten Newsletter >>