Digitale Kommunikationsnetzwerke verbinden Menschen in der ganzen Welt. Das bringt unserer Gesellschaft viele Vorteile, allerdings müssen diese Netzwerke gegen sogenannte Cyberattacken geschützt werden. Denn je mehr insbesondere persönliche Daten in einem Netzwerk zugänglich sind, desto interessanter ist es für Kriminelle, diese zu stehlen.
Um Sicherheitslücken aufzudecken, arbeiten sowohl kommerzielle Netzwerkbetreiber als auch private Aktivisten Hand in Hand. Von Letzteren ist in Deutschland insbesondere der Chaos Computer Club [1] bekannt, dessen unabhängige Analysen zur IT-Sicherheit allseits Aufmerksamkeit erregen. Das “Responsible Disclosure” ist ein essenzielles Tool derartiger Aktivisten, wenn sie Sicherheitslücken in Online-Netzwerken entdecken. Dabei werden die Sicherheitslücken zunächst an betroffene Netzwerkanbieter bzw. -kunden gemeldet und nach einer Frist zur Behebung der Öffentlichkeit mitgeteilt, sodass auch andere Netzwerke geprüft und gegebenenfalls gesichert werden können. Per “Bug Bounty” Programmen wird jenen ethischen Hackern Anerkennung gezollt.
Zuletzt aber bekamen ethische Hacker statt Anerkennung mehrfach eine Strafanzeige. So bei der IT-Expertin Lilith Wittmann [2], und jüngst bei einem nicht namentlich genannten Experten aus Nordrhein-Westfalen [3]. Ihr Vergehen: Eine Sicherheitslücke aufgedeckt zu haben. Denn der Paragraph § 202c des Strafgesetzbuches ([4], “Hackerparagraph”) ist so uneindeutig formuliert, dass er auch Personen kriminalisiert, die eine Sicherheitslücke analysieren – ganz gleich ob Sicherheitsforschende oder Kriminelle.
Stefano Tuchscherer, stv. Politischer Geschäftsführer der Piratenpartei, erklärt:
“Die Piratenpartei stellt sich klar gegen den Hackerparagraphen, und das haben wir auch in unserem Wahlprogramm eindeutig formuliert [5]. Wenn Menschen schon private Zeit opfern, um Sicherheitslücken aufzudecken und zu melden, dann sollten wir ihnen dankbar sein, und sie nicht kriminalisieren. Wir brauchen mehr Bug Bounty, und weg mit dem Hackerparagraphen!”
Sebastian Alscher, Bundesvorsitzender der Piratenpartei:
“Als PIRATEN wollen wir die Digitalisierung fördern, aber wir wollen sie auch begleiten und sicher machen. Wenn wir heute IT-Experten nach ‘Responsible Disclosure’ Berichten anzeigen, werden morgen wirkliche Kriminelle die Sicherheitslücken entdecken. Und statt diese Lücken zu schließen, finden wir unsere privaten Daten dann zum Verkauf im Darknet. Oder staatliche Geheimdienste finden und nutzen Sicherheitslücken aus, um die Bürgerinnen und Bürger zu überwachen – seit der Anpassung des Verfassungsschutzrechts im Juni durch den Bundestag ist es ihnen auch ganz offiziell erlaubt, Sicherheitslücken mit Trojanern, oder besser Staatstrojanern, auszunutzen [6,7].”
In Hessen wurden Staatstrojaner bereits 2018 per Landespolizeigesetz ermöglicht. Die Piratenpartei hat dort Verfassungsbeschwerde eingelegt [8-11], um per Präzedenzfall das staatliche Verheimlichen und Ausbeuten von Sicherheitslücken untersagen zu können. Das Verfahren läuft nach wie vor, und wurde kürzlich – zufällig ebenfalls im Juni – mit einer ausführlichen fachtechnischen Stellungnahme [12] untermauert.
Quellen:
[1] www.ccc.de/de/
[2] www.br.de/nachrichten/netzwelt/hackerparagraf-werden-sicherheitsforscher-kriminalisiert,SfDWqXm
[3] www.heise.de/news/Datenleck-bei-Modern-Solution-Hausdurchsuchung-statt-Bug-Bounty-6222165.html
[4] www.gesetze-im-internet.de/stgb/__202c.html
[5] www.piratenpartei.de/bundestagswahl-2021/wahlprogramm-2021/digitalisierung-und-netzpolitik/
[6] www.piratenpartei.de/2021/06/10/staatstrojaner-sind-eine-gefahr-fuer-unsere-sicherheit/
[7] www.bundestag.de/parlament/plenum/abstimmung/abstimmung?id=742
[9] www.piratenpartei-hessen.de/wp-content/uploads/2019/07/Beschwerdeschrift-Hessentrojaner.pdf
[10] www.zdf.de/nachrichten/heute/piratenpartei-in-hessen-beschwerde-gegen–staatstrojaner-100.html
[11] www.fr.de/rhein-main/verfassungsbeschwerde-gegen-staatstrojaner-10950969.html
[12] wiki.piratenpartei.de/wiki/images/2/21/Hessentrojaner_Stellungnahme-Piraten.pdf
