Das Programmieren, Überlassen, Verbreiten oder Verschaffen von so genannten Hackertools, die für die tägliche Arbeit von Netzwerkadministratoren und Sicherheitsexperten notwendig sind, wird durch den § 202c StGB unter Strafe gestellt. Das BVerfG geht aufgrund einer Verfassungsbeschwerde gegen den Paragraphen der Frage auf den Grund, ob es prinzipiell möglich ist, so genannte Hackertools von vermeintlich harmloser Software zu unterscheiden. Welche tatsächlichen Auswirkungen die neue Strafnorm hat und ob die Anwendung potentiell schädlicher Software zur Überprüfung der Sicherheit von Computersystemen notwendig ist, wird im Rahmen der Stellungnahme des CCC ebenfalls untersucht.
Aus dem neuen Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ergebe sich nach Ansicht des CCC, dass jeder die eigenen Computersysteme auf Sicherheitslücken testen können muss. Dazu sei der Besitz, das Testen, der öffentliche Informationsaustausch und die Weiterentwicklung von so genannten Hackertools zwingend notwendig. Das Risiko eines Ermittlungsverfahrens gegen diejenigen, die Sicherheitslücken finden oder erforschen, hätte sich mit dem Inkrafttreten des § 202c StGB weiter verstärkt. Im Ergebnis gehe die freiwillige Preisgabe entdeckter Sicherheitsprobleme deutlich zurück. Die Kriminalisierung des Umgangs mit Schadsoftware durch den § 202c führe daher zu einer verschlechterten Situation für die IT-Sicherheit in Deutschland. Sicherheitsforscher und -unternehmen könnten Leistungen nicht mehr erbringen, ohne sich der Gefahr einer Strafverfolgung auszusetzen.
Die tatsächlichen Auswirkungen des § 202c StGB in der Praxis würden in der Stellungnahme ausführlich dargestellt. So hätten Medien im Bereich IT-Sicherheit nach Inkrafttreten des Paragraphen bereits begonnen, ihre Berichterstattung deutlich zu beschränken. Berufliche und private Sicherheitsforscher planen die Abwanderung aus Deutschland, und die Forschung und Lehre müsse sich ebenfalls stark einschränken. Viele Befürchtungen, die bereits ausführlich von den Experten aus Wissenschaft und Praxis in den Bundestagsanhörungen geäußert wurden, sind also bereits eingetreten. "Dass die nun zu beobachtenden Folgen der Strafrechtsänderung genauso eintreten, wie alle Experten dies vorab vorausgesagt haben, überrascht niemanden. Langfristig wird Deutschland so zum Ziel von Kriminellen und zum Einfallstor für Wirtschaftsspionage, da die Computernetze nicht mehr wirksam verteidigt werden können", kommentiert der Sprecher des CCC, Frank Rieger. "Der Industrie, aber auch normalen Computerbenutzern wird die Möglichkeit verwehrt, Computer auf Sicherheitslücken zu testen."
Die Untersuchung des CCC mache insgesamt deutlich, dass das Ziel des Gesetzgebers verfehlt wurde, eine Verbesserung der IT-Sicherheitslage zu erreichen, indem der Zugang zu Schadsoftware und Angriffswerkzeugen begrenzt wird. Die Kriminalisierung von Softwareherstellern und -benutzern senke das Sicherheitsniveau in Deutschland. Gleichzeitig folge daraus ein Standortnachteil für die deutsche Forschung und Wirtschaft. "Die Gesetzesänderung bringt keinerlei objektiven Nutzen, aber erhebliche Risiken. Er verstößt dabei gegen verfassungsmäßige Rechte vieler Betroffener, denn er schränkt die Berufsfreiheit sowie die Forschungs- und Pressefreiheit ganz erheblich ein. Um den IT-Standort nicht zu gefährden, muss der § 202c StGB daher schnellstens abgeschafft werden", fordert CCC-Sprecher Rieger. (jdo)