HackerparagrafenSicherheit für die Sicherheitsforschung

Hacker*innen sorgen für unsere Sicherheit, indem sie Sicherheitslücken finden und melden. Doch damit gehen sie oft selbst Risiken ein, denn die Hackerparagrafen kennen keine ethischen Motive. Es ist höchste Zeit, diese Abschreckung zu beenden, finden Sicherheitsforscher*innen.

Ein Laptop mit Stickern beklebt, im Hintergrund Paragrafen
Hacker*innen begeben sich in Rechtsunsicherheit – auch wenn sie nur Gutes wollen. – Alle Rechte vorbehalten Paragrafen: IMAGO / blickwinkel | Laptop: CC BY 2.0 Stephen Coochin | Bearbeitung: netzpolitik.org

Sicherheitslücken in Wahlkampf-Apps, überlistbare Video-Identifikation, verwundbare Prozessoren: IT-Sicherheitsforschende finden immer wieder neue Probleme in Software und Hardware. Manche von ihnen arbeiten an Universitäten oder bei Unternehmen, andere suchen unabhängig und in ihrer Freizeit nach Sicherheitslücken.

All diese Hacker*innen eint jedoch eines: Sie machen die digitale Welt sicherer und begeben sich dafür oft selbst in große Unsicherheit. Denn die aktuellen Gesetze in Deutschland bieten den Hacker*innen kaum Schutz bei ihrer Arbeit.

So wies etwa die IT-Sicherheitsforscherin Lilith Wittmann die CDU im vergangenen Jahr darauf hin, dass viele personenbezogene Daten aus ihrer Wahlkampf-App ungeschützt im Netz standen – und kassierte daraufhin eine Anzeige. Am Ende zog die CDU die Anzeige nach öffentlichem Druck blamiert zurück und das LKA stellte die Ermittlungen ein. Doch die Rechtsunsicherheit für Hacker*innen bleibt.

Koalitionsvertrag verspricht Besserung

Die Regierungskoalition aus SPD, Grünen und FDP will das Problem nun endlich angehen. „Das Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren, zum Beispiel in der IT-Sicherheitsforschung, soll legal durchführbar sein“, schreiben die Parteien in ihrem Koalitionsvertrag.

IT-Sicherheitsforscher*innen wie Manuela Wagner und Daniel Vonderau vom Forschungszentrum Informatik aus Karlsruhe haben dazu bereits Vorschläge unterbreitet. Sie haben in ihrer Arbeit immer wieder mit Kolleg*innen zu tun, die Produkte auf ihre IT-Sicherheit untersuchen und kennen die Probleme, denen sie dabei begegnen.

Gemeinsam mit anderen Wissenschaftler*innen verfassten Wagner und Vonderau im vergangenen Jahr ein Whitepaper zur Rechtslage der IT-Sicherheitsforschung. Darin analysieren sie die Rechtslage, zeigen Probleme für Sicherheitsforschende auf und leiten daraus Forderungen für Reformen ab.

Die Hackerparagrafen unterscheiden nicht nach Motivation

Eines der Hauptprobleme beschreibt Wagner im Gespräch mit netzpolitik.org: „Die Tathandlungen zum Auffinden von Sicherheitslücken sind in der Regel identisch, egal ob es kriminelle Hacker*innen oder Sicherheitsforschende sind. Aber Letztere haben eine ganz andere Motivation.“ Wenn sich also jemand beispielsweise mit der Sicherheit eines Banking-Systems auseinandersetzt, wird die Person ähnlich vorgehen – egal ob sie jemanden das Konto leerräumen möchte oder die Bank auf eine Sicherheitslücke hinweisen will.

Die sogenannten Hackerparagrafen im Strafgesetzbuch unterscheiden bisher nicht danach, ob jemand aus kriminellen oder ethischen Motiven nach Sicherheitslücken sucht. Laut § 202a StGB macht sich etwa strafbar, wer „sich oder einem anderen Zugang zu Daten“ verschafft, „die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind“. Schon wer eine solche vermeintliche Straftat „vorbereitet“, indem er sich Passwörter verschafft oder Programme besorgt, die beispielsweise zur Umgehung von Zugangssicherungen gedacht sind, hat potenziell ein Problem.

Laut Wagner führt die Rechtsunsicherheit dazu, dass sich die Forschung vornherein selbst beschränke oder „mit einer riesigen Unsicherheit“ leben müsse. Und gerade da ergibt sich aus den Hackerparagrafen ein Paradox, so ihr Kollege Daniel Vonderau: „Diejenigen, die sich nicht daran halten möchten, werden das auch weiterhin nicht tun“, sagt der IT-Rechtsforscher. Stattdessen würden ausgerechnet jene Hacker*innen abgeschreckt, die gute Absichten verfolgen.

„Wir haben immer das Risiko, uns strafbar zu machen“

Karl und die anderen Mitglieder des IT-Sicherheitskollektivs zerforschung waren mit diesem Paradox schon häufiger konfrontiert. Wiederholt ist es der Gruppe gelungen, Sicherheitsprobleme aufzudecken, zuletzt bei einer Software für Arztpraxen. Aber auch Chatbuch-Dienste, Corona-Teststellen und Schul-Apps haben die Hacker*innen erfolgreich auf Sicherheitslücken untersucht. Wir haben sie gefragt, was die Arbeit von zerforschung am meisten behindert.

„Die Paragrafen sind so unklar gefasst, dass wir bei unserer Arbeit immer das Risiko haben, uns strafbar zu machen“, schreibt Karl. Doch die meisten Systeme seien so schlecht gesichert, dass sie nicht als „besonders geschützt“ gelten würden. Wenn man nämlich keine Zugangssicherung überwinden muss, macht man sich nicht des „Ausspähens von Daten“ strafbar. Zu diesem Ergebnis kam das Landeskriminalamt Berlin beispielsweise im Fall der Wahlkampf-App „CDU Connect“. Die Daten waren aus „technischer Sicht öffentlich abrufbar“, befand das LKA.

Im Ernstfall bietet das aber nur einen schwachen Trost. Denn ob es wirklich keine Zugangssicherung gibt, müssen im Zweifel Richter*innen entscheiden – „nach einem langen und anstrengenden Gerichtsverfahren“, so Karl. Gerade für weniger erfahrene unabhängige Forscher*innen, die vielleicht nur geringe öffentliche Solidarität erfahren, ist das ein beängstigendes Szenario.

Das Dunkelfeld ist groß

„Der Schaden entsteht nicht erst in dem Moment, wo ein*e Sicherheitsforscher*in angezeigt oder angeklagt wird“, so Karl. „Bereits das Risiko, dass jederzeit rechtliche Schritte erfolgen könnten, und daher die eigene Wohnung immer im durchsuchungsbereiten Zustand zu halten, schränkt in der Arbeit ein.“

Doch wie oft passiert es tatsächlich, dass jemand wohlmeinende Sicherheitsforschende verklagt oder gar die Polizei vor deren Tür steht? Offizielle Zahlen dazu gibt es nicht, sagt Vonderau. „Das meiste sind zivilrechtliche Verfahren oder es werden Vergleiche zwischen IT-Sicherheitsforschenden und Unternehmen geschlossen.“ Kaum einer spreche darüber, deshalb existiere ein großes Dunkelfeld.

Bekannt wurde hingegen der Fall eines Programmierers, der ein Datenleck bei einer Software für den Online-Handel entdeckte. Schätzungsweise 700.000 Personen waren durch die Lücke potenziell gefährdet. Der Programmierer meldete das Problem dem betroffenen Unternehmen. Die Reaktion erfolgte prompt: Er bekam eine Anzeige, die Polizei durchsuchte seine Wohnung und beschlagnahmte seine Computer.

Dieser Fall bestätigt Wagners Beobachtung: „Die Hersteller sind sich oft nicht darüber im Klaren, dass sie selbst Vorteile von der IT-Sicherheitsforschung haben. Hier muss die Forschung immer wieder Bewusstsein schaffen und Aufklärungsarbeit leisten.“ Denn wenn sie mit solchen Abschreckungen gegen die Forschenden vorgehen, führt das nicht zu weniger Sicherheitslücken – im Gegenteil: Am Ende werden weniger gefährliche Lücken gemeldet und geschlossen.

Abhängig vom Wohlwollen der Unternehmen

Damit die Forscher*innen aber nicht weiter vom Wohlwollen der Unternehmen abhängen, braucht es klare gesetzliche Regelungen. In der Vorhabenplanung des Bundesinnenministeriums steht das Thema „Weiterentwicklung des IT-Sicherheitsrechts“ für 2023 auf dem Plan. Das Bundesjustizministerium schreibt auf Anfrage, es sei für die Strafrechtsthemen wie die Paragrafen 202a und 202c StGB zuständig. Der Thematik wolle man sich „im Rahmen einer Prüfung des Computerstrafrechts insgesamt“ widmen, so eine Sprecherin des Ministeriums. Gemeinsam mit dem Innenministerium habe es bereits Expertengespräche gegeben, „mit Vertretern von Justiz, Wissenschaft, Anwaltschaft, IT-Sicherheitsbranche und Netz-Community“.

Was wünschen sich die Sicherheitsforschenden für die Zukunft? Karl schreibt, dass die Regelungen so gestaltet werden müssen sollten, „dass Sicherheitsforscher*innen keine Strafen mehr befürchten müssen. Dafür müssen diese explizit und unmissverständlich von diesen Paragrafen ausgenommen werden.“

Wer Lücken über einen Coordinated-Vulnerability-Disclosure-Prozess meldet, sollte künftig kein Risiko mehr fürchten müssen. In einem solchen Prozess zur Offenlegung von Sicherheitslücken ist beispielsweise geregelt, dass die Forschenden die Unternehmen über eine Sicherheitslücke informieren und ihnen Zeit zugestehen, bevor sie diese veröffentlichen. So können die Unternehmen Lücken schließen, bevor diese jemand böswillig ausnutzen kann.

„Oft stellen sich Hersteller tot“

Das findet bereits heute häufig statt. „Einige haben Responsible-Disclosure-Policies oder Bug-Bounty-Programme“, sagt Wagner. Man könne auch versuchen, das Einverständnis einzuholen. Bei den sogenannten Bug Bounties loben die Hersteller eine Belohnung aus, wenn jemand sie auf eine Lücke hinweist. „Andere wiederum schließen in ihren Geschäftsbedingungen Sicherheitsanalysen und Reverse Engineering aus. Ein bisschen ist man immer vom Wohlwollen der Gegenseite abhängig“, sagt Wagner.

Und nicht immer läuft es problemlos, selbst wenn Bug-Bounty-Programme oder ähnliche Mechanismen existieren. Denn auch dann gelten immer noch die Regeln der Unternehmen. Ein Sicherheitsforscher berichtete etwa von Kommunikationsverzögerungen mit Apple, denen er eine Lücke meldete und die lange nicht reagiert hätten – sodass er sie am Ende selbst veröffentlichte.

Auch Karl will sich nicht auf die Hersteller verlassen müssen. „Wenn diese eine Lücke ignorieren, muss eine Veröffentlichung straffrei sein“, so Karl. „Denn oft stellen sich Hersteller tot und hoffen, dass die Schwachstellenfinder*innen die Lücken vergessen und sie sonst niemand findet.“ Es müsse es genügen, „die Lücken mit ausreichend Vorlauf an den Hersteller oder die zuständigen staatlichen Stellen wie das CERTBund beim BSI oder die Datenschutzbehörden gemeldet zu haben.“

Niedrigschwellig und anonym melden

Ob die Finder*innen dabei an Universitäten, IT-Sicherheitsunternehmen kommen oder vollständig unabhängig arbeiten, dürfe keine Rolle spielen. Der Meldeprozess sollte möglichst niedrigschwellig sowie anonym oder pseudonym zugänglich sein: „Es darf nicht passieren, dass die Sicherheitsforscher*innen zunächst ein kompliziertes Verfahren durchlaufen müssen, bei dem im schlimmsten Fall bei kleinen Fehlern hohe Strafen drohen“, so Karl.

Schon heute können Finder*innen ihre Lücke beim BSI melden, betont das Justizministerium in seiner Antwort. Diese würden „dort ausgewertet und auf deren Schließung hingewirkt“. Auch für Wagner kann das eine Möglichkeit sein, wenn die Hersteller nicht reagieren. „Das BSI hat eine Funktion als Meldestelle, kann aber auch Daten an die Strafverfolgung weitergeben“, sagt sie. Ein richtiger Sicherheitsanker sei das daher nicht. „Dann bleibt am Ende nur eine anonyme Meldung“, sagt Wagner. „Für Wissenschaftler*innen ist das weniger interessant, weil spätestens auf einem Forschungspaper ihre Namen stehen. Aber ethischen Hacker*innen, die sich unsicher sind, kann das helfen.“

Auch zerforschung meldet regelmäßig Funde auch an das BSI. Karl wünscht sich aber, dass die Behörde unabhängiger vom Innenministerium wird: „Eine Behörde, die gleichzeitig für das Bauen von Staatstrojanern zuständig ist, kann sich nicht glaubhaft für das Schließen von Sicherheitslücken einsetzen.“.

Am liebsten wäre den ehrenamtlichen Zerforscher*innen aber etwas anderes: „Viel unserer Arbeit sollte eigentlich gar nicht nötig sein“, schreibt Karl. „Immer wieder entdecken wir grundlegende Lücken in weit verbreiteten Systemen. Lücken, die so grundlegend sind, dass sie eigentlich schon lange vorher abgefangen werden sollten.“

Um dies zu gewährleisten, reichen Veränderungen der Hackerparagrafen allein nicht aus. Vielmehr braucht es außerdem klarere Pflichten und Haftungsregeln für die Hersteller*innen, Ausbildungen für IT-ler*innen, die digitale Sicherheit in den Fokus nehmen, und vieles mehr. Doch für diejenigen, die trotz aller Risiken für sich selbst unsere Sicherheit erhöhen, würde mehr Rechtssicherheit schon vieles einfacher machen.

16 Ergänzungen

  1. Die Ampel wird Unternehmen privilegieren (FDP) und ansonsten den Weg über das BSI vorschreiben (SPD). Hochschulen dürfen im Rahmen offizieller Forschungsprojekte (Grüne).

    1. Ergebnis: Fachkräfteabwanderung.
      Mangel kann man bei „ohne Hirn bei der Sache“ ja gar nicht unterstellen, denn schon 1Fachkraft wäre zu viel für unser Rechtssystem.

  2. Es ist ein juristisches Absurdum das Sicherheitslücken selbst nur in den seltensten Fällen eine Straftat darstellend, während die Aufdeckung selbiges strafrechtlich verfolgt wird.

    Das ist wie in Saudi Arabien – der arme hilflose Mann der von einer Frau regelrecht zur Vergewaltigung genötigt wird.

    Bei uns nennt man so etwas mittelalterliche Lynchjustiz.

    1. Sicherheitslücken an sich sollten meines Erachtens nicht direkt eine Straftat darstellen, das wäre nicht angemessen. Was angemessen wäre: die Sicherheitslücken sind Ordnungswidrigkeiten, und die fahrlässige Nicht-Beseitigung wäre strafbar, vielleicht noch mit der Einschränkung, dass es zu einem Nachteil Dritter durch die ausgenutzte Lücke gekommen ist (z.B. Klau von Kredit/Bankdaten, etc). Haftbar wäre damit dann die Geschäftsführung, die ja bisher lieber „Cyber-Versicherungen“ abschließt als mit passendem Personal für IT-Sicherheit zu sorgen.

      Das ganze wäre ungefähr mit der Sicherung von Fluchtwegen beim Brandschutz vergleichbar (Blockierte Fluchtwege sind Ordnungswidrig – tritt der Personenschaden ein ist es eine fahrlässige Korperverletzung/Tötung).

      1. „Sicherheitslücken an sich“

        Eine Einschränkung wäre allerdings nur für Veröffentlichungen entfernt denkbar machbar.
        Wegen Ununterscheidbarkeit müsste man mindestens „für Zuhaus“ jegliches Auseinandernehmen und Reverseengineering erlauben.

        Dann noch der Juristische Pferdefuß, wo der Hersteller auf das Melden einer Lücke hin sagt, das sei doch eher eine kosmetische Sache, und einer Erwähnung kaum wert. Wie will man das bei fehlender Kompetenz im Apparat dann durchgesetzt kriegen?

        Welcher Richter würde denn auf die „jaulende Meute der Sicherheitsforscher“ hören? Womöglich gibt es dann „Sicherheitsforscher“ nur noch per Zertifikat usw. Dann machen einige enthusiastische Zertifikatsträger ein Postfach auf, und „lernen“ später, dass sie von Anfang an per Staatstrojaner und Horch und Guck abgeschnorchelt wurden, weil die Beitragseinsender natürlich keine Zertifikate hatten, bzw. solches anzunehmen wäre.

        Es wird kein Ende nehmen, wenn nicht 1. Full Rewind und 2. Hirn. Man kann bald quasi nichts mehr für die Menschen tun – im Grunde Teil der Spirale zur Selbstzerstörung hin – Gruß an den Klimawandel.
        Was passiert, wenn man Privatsphäre nicht mal mehr denken kann… es wird immer Menschen geben, die irgendwas machen wollen, was zufällig auch erlaubt ist, aber darum geht es nicht. Hier wird letztlich eine (mögliche) Kultur mit allen darauf wachsenden Fähigkeiten und Eigenschaften wissentlich zerstört und verhindert.

      2. An Law&Order, 18. August 2022 um 17:25 Uhr

        Es ging mir um das Aufzeigen des Ungleichgewichtes, und nicht um eine etwaige Forderung nach einem neuen Strafrechtstatbestand.

        Das ganze ist eine Problem der Softwarearchitektur, das sich meines Erachtens überhaupt nicht mit einem Strafrechtstatbestand lösen lässt.

        1. Ich habe in meinem Kommentar ja abschließend angemerkt woher ich meine Inspiration genommen habe: auch der Brandschutz zielt auf die Sicherheit der Bürger ab, und arbeitet dazu mit einer Abstufung aus Ordnungsgeldern und Strafrecht. Warum sollte das nicht auch bei Software-Sicherheit funktionieren? Welche Softwarearchitektur ein Unternehmen am Ende dazu nutzt will man sicher nicht per Gesetz vorgeben.

  3. Zitat: „Eine Behörde, die gleichzeitig für das Bauen von Staatstrojanern zuständig ist, kann sich nicht glaubhaft für das Schließen von Sicherheitslücken einsetzen.“

    Wenn das BSI gesetzlich dazu verpflichtet wäre, gemeldete und verifizierte Sicherheitslücken unabhängig von deren Beseitigung innerhalb von zwei Wochen zu veröffentlichen, dann wäre eine Ausnutzung durch staatliche Behörden mit an Sicherheit grenzender Wahrscheinlichkeit ausgeschlossen.

    Bei der ganzen Debatte fehlt eine verpflichtende einklagbare Aufwandsentschädigung für den/die Melder der Sicherheitslücke.

  4. Wer nicht für wachsendes BIP sorgt, wird auch in Zukunft mit Repressionen rechnen müssen, ob mit opensource oder freier Sicherheitsforschung beschäftigt.

    1. Sicherheitslücken in Infrastruktur sind sehr teuer und geschäftsschädigend, können eine Menge Behörden und Firmen ein Lied von singen…

  5. Es gibt keine Sicherheitslücken. Das sind Sicherheit-Feature für die Staatlichen Sicherheitsorgane, die Unbefugte gar nicht kennen dürfen.

    Daher diese Gesetzeslage

  6. Eine Sicherheitslücke als Ordnungwidrigkeit? Wer soll da haften? der User, der Coder? was ist mit der weitergabe von FOSS die eine Sicherheitslücke aufweist? haftet dann der hoster des downloads? Das grösste Hindernis seh ich da im Bereich Entwicklung. Man würde damit für Entwickler eine ähnlich bescheidene situatuion schaffen, wie diejenige der Sicherheitsexperten die hier beklagt wird. Ich find ganz grundlegend, das alles ziemlich überreglementiert ist. rechtlich gesehen darfst du in D ja nicht mal mit nem laser im keller experimentieren ohne schutzmassnahmen zu ergreifen. also wenn du maker bist, hast du genau so die arschkarte und stehst mit einem bein im knast. und auf der anderen seite jammern sie rum, es fehle an innovationen und fachkräften. hat was von harry potter, wenn nur noch theoretisch verteidigung gegen die dunklen künste gelehrt wird. gemeinhin würd ich glatt behaupten wollen, es handelt sich um zensur und beschränkung des grundgesetzlich zugesicherten rechts auf frei forschung. aber das laut zu behaupten trau ich mich schon garnicht mehr dank dem korsett aus regeln richtlinien und repressalien.

    1. Je länger ich darüber nachdenke, um so sympathischer wird mir dieser Gedanke, die Unterlassung der Bereitstellung von Patches von „Sicherheitslücken“ innerhalb angemessener Frist bereitzustellen, zur Ordnungswidrigkeit zu machen.

      Sanktioniert sollen jene „Produzenten“ von Sicherheitslücken werden, die öffentliche verifizierte Sicherheitswarnungen ignorieren und keine Patches angemessen zeitnah bereitstellen.

      Die Frage nach der Haftung stellt sich zunächst nicht, weil dies Sache des Privatrechts ist.

      Ganz grundlegend soll reglementiert werden, was zu schlecht funktioniert, und Potential zu größerem Schaden birgt.

  7. „Abhängig vom Wohlwollen der Unternehmen“
    Man denkt Infrastruktur nicht. Man erfreut sich ihrer!

  8. Was wurde denn nun aus den Ermittlungen des Berliner Datenschutzbeauftragten gegen die CDU? Wenn die Herrschaften nicht für derartige, ich formuliere das mal vorsichtig, Versäumnisse sanktioniert werden, warum sollte sich irgendwo anders etwas tun, um responsible disclosure und einem entsprechenden Umgang mit Sicherheitslöchern zu fördern?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.