Der Choas Computer Club hat einen ausführlichen Bericht über die Auswirkungen des so genannten Hackerparagraphen auf den IT-Standort an das Bundesverfassungsgericht gesandt und kommt darin zu einigen wichtigen, aber nicht wirklich neuen Erkenntnissen. Dennoch gibt es einige Punkte, für die nach wie vor Klärungsbedarf besteht:
Das Programmieren, Überlassen, Verbreiten oder Verschaffen von sog. Hackertools, die für die tägliche Arbeit von Netzwerkadministratoren und Sicherheitsexperten notwendig sind, wird durch den § 202c StGB unter Strafe gestellt. Das BVerfG geht aufgrund einer Verfassungsbeschwerde gegen den Paragraphen der Frage auf den Grund, ob es prinzipiell möglich ist, sog. Hackertools von vermeintlich harmloser Software zu unterscheiden.
[...]
Das Risiko eines Ermittlungsverfahrens gegen diejenigen, die Sicherheitslücken finden oder erforschen, hat sich mit dem Inkrafttreten des § 202c StGB weiter verstärkt. Im Ergebnis geht die freiwillige Preisgabe entdeckter Sicherheitsprobleme deutlich zurück. Die Kriminalisierung des Umgangs mit Schadsoftware durch den § 202c führt daher zu einer verschlechterten Situation für die IT-Sicherheit in Deutschland. Sicherheitsforscher und -unternehmen können Leistungen nicht mehr erbringen, ohne sich der Gefahr einer Strafverfolgung auszusetzen.
Natürlich wird, wie das Gesetz auch vorsieht, immer im Einzelfall entschieden. Unternehmen, die sich wirklich der IT-Sicherheit verschrieben haben sind dadurch nicht ernsthaft in Ihrer Existenz bedroht, da sie den unmittelbaren Nutzen und die Intention Ihres Handelns höchstwahrscheinlich jederzeit glaubhaft dokumentieren können. Allerdings wirkt allein die Tatsache, dass man sich der Möglichkeit einer Strafverfolgung aussetzt hemmend.
Natürlich möchte der Staat lediglich eine gesetzliche Legitimation für sein späteres Handel schaffen und das Hacken immer mehr unter Strafe stellen. An und für sich keine schlechte Handlungsweise, wenn von der Gesetzeslage lediglich “die Bösen” betroffen werden würden, was jedoch in der jetzigen Situation nicht der Fall ist.
Wie wäre es mit der Einführung einer Art Waffenschein für Security-Tools? In der realen Welt darf auch nicht jeder mit einer Schusswaffe durch die Gegend laufen und dennoch werden sie zur “Wahrung der Sicherheit” von Polizei und Sicherheitskräften eingesetzt. Lieber Staat: Gib der IT-Security eine gesetzliche Absicherung für ihr Handeln und das berechtigte Geschrei wird längst nicht mehr so laut sein.
