Gesetzentwürfe:
Am 4. November 2024 hat das BMJ einen Referentenentwurf zur Modernisierung des Computerstrafrechts auf den Weg gebracht. Infolge fortschreitender Digitalisierung, müsse der Gesetzgeber darauf achten, das Computerstrafrecht entsprechend zu modernisieren, um den angestrebten Rechtsgüterschutz aufrechtzuerhalten und zu verbessern. Die IT-Sicherheit sei „die Achillesferse der Informationsgesellschaft“, so der Entwurf. Daher habe es größte Bedeutung, Sicherheitslücken zu schließen, um Cyberangriffe abzuwehren. Problematisch sei aber insofern, dass die IT-Sicherheitsforschung beim Aufspüren von Sicherheitslücken regelmäßig den Zugriff auf fremde Informationssysteme und Daten notwendig mache, die sich bereits im praktischen Einsatz befinden würden. Dies berge Strafbarkeitsrisiken, da solche Zugriffshandlungen Straftatbestände erfüllen könnten, die dem Schutz des formellen Datengeheimnisses oder der Unversehrtheit von Daten und IT-Systemen dienten (§§ 202a ff., 303a f. StGB). Des Weiteren bilde das aktuelle Strafrecht die Gefährlichkeit und das hohe Schadenspotential von Computerdelikten nicht mehr ab. Der Entwurf sieht daher vor, eine klare Abgrenzung zwischen nicht zu missbilligendem Handeln der IT-Sicherheitsforschung und strafwürdigem Verhalten zu treffen. So soll bei der Beeinträchtigung kritischer Infrastruktur ein entsprechend höherer Strafrahmen angesetzt und im Rahmen der §§ 202a und 202b StGB Regelbeispiele für besonders schwere Fälle eingefügt werden.
§ 202a werden die folgenden Absätze 3 und 4 angefügt:
(3) „ Die Handlung ist nicht unbefugt im Sinne des Absatzes 1, wenn
1. sie in der Absicht erfolgt, eine Schwachstelle oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems (Sicherheitslücke) festzustellen und die für das informationstechnische System Verantwortlichen, den betreibenden Dienstleister des jeweiligen Systems, den Hersteller der betroffenen IT-Anwendung oder das Bundesamt für Sicherheit in der Informationstechnik über die festgestellte Sicherheitslücke zu unterrichten und
2. sie zur Feststellung der Sicherheitslücke erforderlich ist.
(4) In besonders schweren Fällen des Absatzes 1 ist die Strafe Freiheitsstrafe von drei Monaten bis zu fünf Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter
1. einen Vermögensverlust großen Ausmaßes herbeiführt,
2. aus Gewinnsucht oder gewerbsmäßig handelt oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung von solchen Taten verbunden hat oder
3. durch die Tat die Verfügbarkeit, Funktionsfähigkeit, Integrität, Authentizität oder Vertraulichkeit einer kritischen Infrastruktur*) oder die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder beeinträchtigt.“
Bundesjustizminister Dr. Marco Buschmann erklärt dazu:
„Wer IT-Sicherheitslücken schließen möchte, hat Anerkennung verdient – nicht Post vom Staatsanwalt. Denn Sicherheitslücken in IT-Systemen können in unserer vernetzten Welt dramatische Folgen haben. Cyberkriminelle und fremde Mächte können IT-Sicherheitslücken als Einfallstore nutzen. Krankenhäuser, Verkehrsunternehmen oder Kraftwerke können so lahmgelegt werden; persönliche Daten können ausspioniert, Unternehmen können ruiniert werden. Es ist deshalb im gesamtgesellschaftlichen Interesse, dass IT-Sicherheitslücken aufgedeckt und geschlossen werden. Mit dem Gesetzentwurf werden wir Strafbarkeitsrisiken für Personen ausschließen, die sich dieser wichtigen Aufgabe annehmen. Gleichzeitig werden wir die Strafen für besonders gefährliche Fälle des Ausspähens und Abfangens von Daten anheben.“
