Die grundlegende rechtliche Prämisse ist vergleichsweise simpel: Hacker, die böswillig handeln, begehen strafbare Handlungen, während Hacker, die im Auftrag von Systeminhabern oder im Interesse der Systemsicherheit agieren, straffrei bleiben.
Bedauerlicherweise sind die Strafvorschriften zum Schutz vor Cyberkriminalität, also Straftaten im Zusammenhang mit Daten und Computern, nicht so klar formuliert wie die vermuteten Absichten dahinter.
Der Gesetzgeber hat bereits das Erstellen, Besitzen und den Umgang mit Computerprogrammen unter Strafe gestellt, wenn ihr Einsatz als Mittel zur unerlaubten Einmischung in fremde Systeme betrachtet wird. Dies soll potenzielle Risiken von vornherein minimieren. Doch viele dieser Computerprogramme werden auch für legitime Zwecke genutzt, wie etwa Penetrationstests zur Überprüfung der Sicherheitssysteme.
Das bedeutet, dass Hacker stets im Hinterkopf behalten müssen, dass sie keinen Anschein von böswilligen Absichten erwecken dürfen. Ob solche Absichten vorliegen, wird oft von Strafverfolgungsbehörden interpretiert, was dazu führt, dass Hacker-Tools, zumindest aus Sicht ihrer Nutzer, von Natur aus als potenziell gefährliche Werkzeuge betrachtet werden.
In der aktuellen Episode diskutieren wir daher die Frage der Strafbarkeit des White-, Grey- und Black-Hackings, wozu wir Johanna Voget, LL.M., wissenschaftliche Mitarbeiterin und Doktorandin am Institut für Informations-, Telekommunikations- und Medienrecht (ITM) der Universität Münster, als Gast eingeladen haben.
Johanna erläutert u.a., welche möglichen Anpassungen der Gesetzgeber vornehmen könnte und warum das White-Hat-Hacking trotz seiner anerkannten Vorteile nach wie vor Risiken birgt.
Wir bedanken uns herzlich für ihren Besuch und empfehlen Euch gerne den Podcast „Weggeforscht“ des ITM, in dem Ihr mehr von Jana hören könnt.
Viel Vergnügen beim Zuhören!
Teaser
Zeitmarken
- 00:00:00 – Vorstellung der Gästin und Erklärung von White-, Grey- und Black Hat Hacking.
- 00:08:00 – Definition von Daten gemäß dem Strafgesetzbuch.
- 00:14:00 – Gesetzliche Verbote und Kriterien für unerlaubtes Hacking sowie Methoden zur Nachweisführung bei Daten-Ausspähung.
- 00:20:00 – Erlaubte Hacking-Szenarien und deren Unklarheiten sowie die sicherere strafrechtliche Route über das BSI.
- 00:27:00 – Penetrationstests und die Bedingungen, unter denen Daten nicht für einen bestimmten Zweck verwendet werden dürfen.
- 00:34:00 – Cyberkriminalität und Berechtigung zur Anzeige,
- 00:40:00 – Strafbarkeit des Besitzes von Hacking-Software und die Problematik der zulässigen Mitnutzung (sog. Dual Use).
- 00:53:00 – Grey Hat Hacking, Wirksamkeit und Zeitpunkt von Einwilligungen in „Bounty“-Programme.
- 01:03:00 – Überwindung von Zugangshindernissen, Datenspende und die Offenlegung von Informationen für die Öffentlichkeit im Rahmen einer „Responsive Disclosure“.
- 01:14:00 – Meldung an das BSI, Staatstrojaner, das Beispiel Belgien und die Frage, ob weniger Strafverfolgung zu mehr digitaler Sicherheit beitragen könnte.
- 01:24:00 – Zusammenfassung: Konkrete Ratschläge für White Hat und Grey Hat Hacking.
Weiterführende Links:
- „Der Zweck heiligt die Mittel? Zulässigkeit und Grenzen des White Hat Hackings“ im DFN-Infobrief Recht 07/2023 – Beitrag von Johanna Voget.
- „Hacks für mehr Cybersicherheit!“ – Podcast „Weggeforscht“ mit Jana Vogett.
- „Hackerparagrafen: Sicherheit für die Sicherheitsforschung“ bei Netzpolitik, von Anna Biselli.
- „36C3 – Hackerparagraph § 202c StGB // Reality Check“ – Vortrag von Rechtsanwalt Ulrich Kerner.
- „Einschüchterungsversuch : CDU blamiert sich mit Anzeige gegen IT-Expertin“ – SZ zum Fall Lilith Wittmann und CDU Connect.
- „Belgium legalises ethical hacking: a threat or an opportunity for cybersecurity?“ von By Charlotte Somers, Koen Vranckaert, and Laura Drechsler.
- „Verfassungsbeschwerden gegen § 202c Abs. 1 Nr. 2 StGB unzulässig“ – BVerfG zu Dual-Use-Tools im Verfahren BVerfG, Beschluss vom 18. Mai 2009, Az.: 2 BvR 2233/07.
- Besprochene Gesetze: Ausspähen von Daten, § 202a StGB, Abfangen von Daten § 202b StGB und Vorbereiten des Ausspähens und Abfangens von Daten § 202c StGB und Datenhehlerei § 202d StGB.
- Hausdurchsuchung – Wenn die Polizei morgens klingelt – Rechtsbelehrung 98.
Schreibe einen Kommentar