In Deutschland stehen Novellierungen oder Umsetzung verschiedener Digitalgesetze an. Das reicht von der Umsetzung bei NIS-2 (NIS2UmsCB) über das KRITIS-Dachgesetz für kritische Infrastrukturen bis hin zur Novellierung des sogenannten Hackerparagraphen (§203 c STGB). Mit dem Bruch der Ampelkoalition sind die Referentenentwürfe, die für den Rest der Legislaturperiode zur Umsetzung anstanden, mutmaßlich (teilweise oder komplett) Makulatur. Ich hatte die Entwicklung am Beispiel der Novelle des Hackerparagraphen verfolgt und das Ganze irgendwie vorausgesehen. Hier ein kleiner Abriss.
Anzeige
Es sollte was beim Hackerparagraphen passieren
Das Justizministerium unter dem damaligen Justizminister Marko Buschmann (FDP) plante die Novellierung des sogenannten Hackerparagraphen (§203 c STGB), um die Kriminalisierung von Sicherheitsforschern zu beenden.
Obiger Tweet vom 5. November 2024 weist auf den entsprechenden Referentenentwurf (PDF) zur Novellierung hin. Ziel dieses Entwurfs ist die klare gesetzliche Abgrenzung von von strafwürdigem Verhalten zu nicht zu missbilligendem Handeln der IT-Sicherheitsforschung . Der Gesetzentwurf sollte die bestehende Rechtsunsicherheit beseitigen und zudem bei schweren Begehungsformen, bei denen zum Beispiel kritische Infrastrukturen gefährdet oder beeinträchtigt werden, den Strafrahmen erhöhen. Sprich: Sicherheitsforscher sollten entkriminalisiert werden.
Um bei § 202a StGB (Ausspähen von Daten) sowie § 202b StGB (Abfangen von Daten)
alle strafwürdigen Angriffe angemessen ahnden zu können, sollten Regelbeispiele für besonders schwere Fälle eingeführt werden, um eine angemessene Sanktionierung zu ermöglichen.
Anzeige
Ich war skeptisch
So weit der Plan. Ich hatte diesen Sachverhalt die letzten Wochen am Rande mitverfolgt, hier im Blog aber nicht aufgegriffen. Hintergrund von meiner Seite war schlicht: "Das glaube ich erst, wenn das Gesetz im Bundestag und Bundesrat verabschiedet und im Bundesanzeiger veröffentlicht wurde".
Daher habe ich die Kritik von Fachleuten am Referentenentwurf auch nicht beleuchtet. Hier im Blog gab es noch von Norddeutsch einen Hinweis im Diskussionsbereich des Blogs, in dem er auf die Entwicklung hinwies: Netzpolitik ist heut fleissig: Entwurf zum Computerstrafrecht und Massenüberwachung Standortdaten, Locate X. Meine Antwort lautete: Zum Entwurf des Computerstrafrechts hatte ich von Kipker die Infos bereits erhalten -> hab beschlossen, das erst einzutüten, wenn es wirklich im Bundesrat verabschiedet wurde – mag ja nicht politisch unken. Ich sage es mal so: "Nein, ich kann nicht hellsehen, höre aber auf meinen Bauch" und bin an manchen Stellen "borniert". Mein Bauch hat Recht behalten.
Aktueller Fall Modern Solutions
Das Thema ist relevant – die Tage fand beispielsweise eine neue Verhandlung gegen einen Programmierer statt, der eine Sicherheitslücke bei Modern Solutions aufgedeckt hatte. Der Entdecker der Schwachstelle war vom Amtsgericht Jülich Anfang 2024 zu einer Geldstrafe von 5.000 Euro verurteilt worden, weil er phpAdmin zum Zugriff auf die Datenbank von Modern Solutions verwendet hatte – das galt als strafbare Handlung. Ich hatte letztmalig über den Fall im Beitrag Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024) berichtet. Der gesamte Verlauf dieses Falls ist am Ende des verlinkten Beitrags durch Links auf unterschiedliche Artikel im Blog dokumentiert.
Am 4. November 2024 gab es wohl einen Termin für die Revisionsverhandlung am Landgericht Aachen. Mir liegen aber keine Details vor, wie die Sache ausging – ich vermute, das Urteil ergeht erst in einigen Wochen.
Digitalgesetzesplanungen nun Makulatur?
Im November gab es zwar noch Sachverständigenanhörungen z.B. zur Gesetzgebung zur Umsetzung der NIS-2-Richtlinie (siehe Expertenkritik an geplanter Umsetzung der NIS-2-Richtlinie. Aber das alles ist nun von der Wirklichkeit überholt.
Wir haben es ja am 5. November 2024 vernommen – die USA haben nicht nur einen neuen Präsidenten, sondern Deutschland hat seit dem 6. November 2024 auch keine Regierung mehr. Nachdem Bundeskanzler Scholz seinen Finanzminister Lindner (FDP) entlassen hat, traten die FDP-Minister von ihren Posten zurück – nur Verkehrsminister Wissing hat da was missverstanden – statt zurückzutreten ist er aus der FDP ausgetreten und will Minister bleiben. So weit die Petitessen – die aber auf die Digitalgesetzgebung durchschlagen.
Ich bin skeptisch, dass noch einer der Referentenentwürfe in diesem Bereich von der noch amtierenden Regierung durch das Gesetzgebungsverfahren gebracht werden kann. Dennis Kipker hat es in nachfolgendem Tweet aufgegriffen.
Nach dem Scheitern der Ampel-Koalition stehen die obigen Digitalgesetzesvorhaben auf der Kippe. Auf intrapol.org findet sich eine fundiertere Einschätzung:
- NIS2UmsuCG: Hier sieht der Betreiber von itrapol.org "grünes Licht", dass dieses Gesetz vor der Auflösung der Regierung doch noch kommt, weil die Beratungen weit fortgeschritten seien.
- KRITIS-Dachgesetz: Hier stehen die Beratungen noch am Anfang und das Vorhaben wird als "Wackelkandidat" bezüglich einer Umsetzung gehandelt.
- Hackerparagraph: In dieser Causa geht der Betreiber von itrapol.org mit mir konform, das die Novellierung in dieser Legislaturperiode nicht mehr kommt.
Der Betreiber von itrapol.org hat Humor und die Farben der Ampel(-Koalition) auf die drei erwähnten Gesetzesvorhaben gemappt. Damit seid ihr informiert.
Anzeige
Schön wäre es ja, wenn sich der Gesetzgeber in Deutschland, also der Bundestag, von dem reinen Abnickverein, zu dem er in den letzten Jahren (Jahrzehnten?) verkommen ist, wieder zu einem echten Parlament wandeln würde, in dem jeder Abgeordnete, wie es im Grundgesetz festgehalten ist, nur seinem Gewissen verantwortlich abstimmt und nicht so, wie es eine imaginäre Parteiräson fordert.
Dann wären solche Vorhaben völlig unabhängig davon, welche Parteifarbe der jeweilige Minister gerade trägt, und wir könnten tatsächlich wieder das Wort "Demokratie" in den Mund nehmen, ohne dabei rot zu werden.
Man darf ja mal träumen…
Ich würde es schön finden, wenn solche Kommentare anderswo abgegeben werden – oder wenn Herr Born die Kommentarfunktion bei derartigen Artikeln wegläßt (man weiß irgendwie schon im Vornherein, wer was und wie kommentieren wird – sehr schade bei dem sonst so informativen Blog hier).
Herr Bachmann hat völlig recht. Leider verschliessen viele Menschen ihre Augen vor dieser Tatsache.
Was Sie schön finden würden, ist völlig irrelevant.
100% Zustimmung.
Das wäre in der Tat serh wünschenswert.
Leider gab es bezüglich Modern Solutions keine guten Neuigkeiten:
Modern Solution: Berufungsgericht bestätigt Schuld des Sicherheitsforschers In der Berufung des Programmierers, der eine Sicherheitslücke in einer Software von Modern Solution aufdeckte, bestätigte das Landgericht den Strafbefehl. In Pocket speichern vorlesen Druckansicht 84Kommentare lesen Paragraphen-Symbol
Ok, der Beklagte hatte keine Infos am Tag der Verhandlung rausgegeben, dann aber wohl mit heise Kontakt – danke für den Link. Der heise-Beitrag muss mir wohl durchgerutscht sein.
Naja das Eigene Gewissen heutiger Politiker ist doch auch nur dem eigenen Geldbeutel verpflichtet… So ist das halt mit Demokratien, halten sie zu lange verfilzt alles.
Dann bleibt es wohl dabei, daß man für das Finden von Sicherheitsproblemen bestraft wird, obwohl der Staat die IT-Sicherheit verbessern möchte. Facepalm!
§202 c ist, soweit ich das erkennen kann, überhaupt nicht aufgeführt, nur § 202a und § 202b.
nmap/tcpdump/notepad.exe wären also weiterhin höchst kriminelle Hackerwerkzeuge.