Strafrecht für IT-Sicherheitsforschung entschärfen – Grey Hat Hacking legalisieren

1986 hat der deutsche Gesetzgeber § 202a StGB eingeführt und damit das »Ausspähen von Daten« als Zentralnorm des deutschen »Hacking-Strafrechts« unter Strafe gestellt. Bis auf die – deklaratorische – Erstreckung des Wortlauts von § 202a StGB auf das Verschaffen des unbefugten Datenzu­gangs im Jahr 2007 ist dieses Gesetz trotz der gewandelten IT-Sicherheitslage bis heute unverändert geblieben. Der Ge­setzgeber hält damit 2025 daran fest, dass das Aufspüren von Sicherheitslücken in informationstechnischen Systemen eines Unternehmens mittels invasiver Testmethoden nur straffrei sein soll, »soweit der ›Hacker‹ vom Inhaber des Unternehmens mit dieser Aufgabe betraut wurde« (BT-Drucks. 16/3656, 10).

Das gegebenenfalls tadellose Motiv eines der IT-Sicherheit verbundenen Hackers kann danach an der Strafbarkeit der unbeauftragten Sicherheitsforschung nichts ändern. Der sog. Grey-Hat-Hacker kann stattdessen nur hoffen, dass der von ihm gegebenenfalls einer IT-Schwachstelle Überführte auf den grundsätzlich erforderlichen Strafantrag (vgl. § 205 StGB) verzichtet. Lässt der Betroffene keine Nachsicht wal­ten, bleibt ihm nur das Vertrauen in die Milde der Straf­justiz – ein Umstand, der keine Rechtssicherheit vermittelt. Bislang wenig Beachtung findet, dass die in Unternehmen tätigen IT-Security Teams ebenfalls mit dem Risiko der Straf­barkeit konfrontiert sind, wenn sie Tests durchführen. Das Einverständnis des Arbeitgebers erweist sich oft als unzurei­chend, um die strafrechtliche Relevanz von Penetrationstests auszuschließen. Die Vernetzung der unternehmenseigenen IT-Systeme mit externen Cloud-Dienstleistern führt dazu, dass diese Tests zwangsläufig Auswirkungen auf Systeme ha­ben, die außerhalb der unmittelbaren Kontrolle des Unter­nehmens liegen.

Externe Dienstleister zeigen häufig wenig Interesse daran, fremden Teams die Durchführung solcher Tests zu gestatten, da dies möglicherweise mit eigenen Sicherheitsrisiken ver­bunden ist. Die ursprünglich vom Gesetzgeber vorgesehene Lösung für Grey-Hat-Hacker, die auf der Einverständnis­erklärung des Unternehmens basierte, ist durch diese Ent­wicklungen damit überholt.

Das passt nicht mehr: Auch das Strafrecht darf nicht ignorie­ren, dass die IT-Sicherheitslage aufgrund zunehmender An­griffe so angespannt ist wie nie zuvor. Diese Risikosituation wird durch die fortschreitende Komplexität von Programmen und Systemen verschärft, die Schwachstellen nahezu un­vermeidbar macht. Das BSI berichtet für 2023 von durch­schnittlich 78 neuen Schwachstellen täglich. Unternehmen sehen sich einer Flut von sanktionsbewehrten IT-sicherheitsrechtlichen Regelwerken, vor allem aus Europa, gegenüber. Angesichts dieser Lage darf das Strafrecht nicht dazu beitragen, die gemeinschaftliche IT-Sicherheit durch undifferenzierte Strafbarkeit sicherheitsfördernder Handlun­gen zu untergraben. Stattdessen sollte das Strafrecht Grenzen setzen, um unkoordinierte Eingriffe unter dem Deckmantel der IT-Sicherheitsforschung zu verhindern. Ein umfassendes Verbot ist jedoch das falsche Instrument.

Der Entwurf des Bundesjustizministeriums zur Moderni­sierung des Computerstrafrechts von 2024 verdient daher Zustimmung. Die Schaffung eines speziellen Rechtferti­gungsgrundes zur Entschärfung der Strafbarkeitszone für Grey-Hat-Hacking ist der richtige Weg, um die Balance zwi­schen den Interessen der Allgemeinheit, des Hackers und des Betroffenen zu erreichen. Fragen bleiben jedoch offen: Wann wird eine sicherheitsbezogene Maßnahme strafwürdig, weil sie überwiegend schädigend oder als illegitime Bevormun­dung des IT-sicherheitsrechtlich Verantwortlichen eingestuft wird? Der Vorschlag des Ministeriums besteht darin, diesen Konflikt durch eine Befugnisnorm zu lösen, die subjektiv die Absicht, eine Sicherheitslücke zu erkennen und zu mel­den, und objektiv deren »Erforderlichkeit« voraussetzt. Die­se strafrechtliche Würdigung der »IT-Sicherheit« ist längst überfällig, doch bleibt fraglich, ob das Strafbarkeitsrisiko für IT-Sicherheitsforschung damit hinreichend reduziert würde. Insbesondere berücksichtigt die Regelung nicht das typische Vorgehen bei Penetrationstests, die nicht auf eine bestimm­te Sicherheitslücke abzielen, sondern das Gesamtsystem auf Schwächen prüfen.

Der neue Koalitionsvertrag 2025 äußert sich nicht eindeutig zur Entschärfung der Strafbarkeit des Grey Hat Hacking. Das Versprechen »Rechtssicherheit für IT-Sicherheitsforschung zu schaffen und Missbrauch zu verhindern« bleibt vage. Gleichwohl zeigt die Diskussion um den Reformvorschlag des Bundesjustizministeriums die dringende Notwendigkeit einer Reform auf. Ansonsten bliebe die Rechtslage paradox: Einerseits erfordern Regulierungen von Unternehmen, die Informationssicherheit umfassend zu gewährleisten, ande­rerseits ist das Strafrecht so strukturiert, dass beinahe jeder Sicherheitstest ein Strafbarkeitsrisiko darstellt. Es ist an der Zeit, diesen Widerspruch aufzulösen.

Hinweis:

Bei diesem Beitrag handelt es sich um eine Veröffentlichung in der Fachzeitschrift CyberStR, Heft 1/Juli 2025, S. 50. Der Originalbeitrag mit dem Contra von Jana Ringwald lässt sich über folgenden Link als PDF herunterladen: Seiten aus CyberStR_2025_01.

Die Veröffentlichung in unserem Blog erfolgt mit freundlicher Erlaubnis des Verlags Carl Heymanns.