Hallo Herr Lindh! Wie stehen Sie zum sog. Hacker-Paragraphen (§ 202c StGB), der besonders durch den Fall der Sicherheitsexpertin Frau Lilith Wittmann in Kritik geraten ist?
Gegen Frau Wittmann wurde Anzeige von der CDU erstattet, nachdem sie gravierende Sicherheitslücken in deren Wahlkampf App gefunden und den entsprechenden Behörden gemeldet hat.
Finden Sie die Anwendung dieses Paragraphen auf Sicherheitsexpert*innen gerechtfertigt oder was müsste sich Ihrer Meinung nach an diesem Paragraphen verändern, um diese rechtliche Grauzone, in der sich die Expert*innen bewegen, zu schließen?
Welche sonstigen Pläne haben Sie zur Verbesserung der Cybersicherheit in Deutschland?
Sehr geehrter Herr J.,
vielen Dank für Ihre Frage, zu der ich wie folgt Stellung nehmen möchte:
Im Fall der Sicherheitsexpertin, Frau Wittmann, finde ich jede Anschuldigung oder gar ein gerichtliches Vorgehen gegen sie absolut unangebracht. Lilith Wittmann hat in einem Responsible-Disclosure-Verfahren zunächst die CDU sowie die dafür zuständigen Behörden vom Datenleak informiert, statt öffentlich darüber zu berichten. Das Problem der CDU-Connect-App war gravierend - Tausende private Daten von freiwilligen Wahlkämpferinnen und Wahlkämpfern sowie Aussagen von Bürgerinnen und Bürgern zusammen mit ihrer Altersgruppe waren frei abrufbar.
Zwar ist es zu begrüßen, dass die CDU die Strafanzeige zurückgezogen hat und dass das Verfahren gegen Frau Wittmann zwischenzeitlich eingestellt wurde. Begründet wurde die Einstellung damit, dass die Datenbank gänzlich ungeschützt gewesen sei und daher der "Hacker-Paragraph" nicht anwendbar sei.
Dennoch bleibt eben genau die offene Frage, wann der Paragraph überhaupt anwendbar ist. Der Fall belegt einmal mehr, dass wir mehr Rechtssicherheit beim "Hacker-Paragraphen" brauchen. Das Strafrecht ist immer ultima ratio staatlichen Handelns und hat eine Garantiefunktion: Der Gesetzgeber muss daher ganz klar festlegen, was strafbar ist, da der Graubereich bereits freiheitseinschränkend wirkt. Die Eingrenzung der Anwendbarkeit einer Strafnorm müsste bei Rechtsunsicherheiten immer erst von den Gerichten in jahrelanger Rechtsfortbildung vorgenommen werden. Der diesbezügliche Verweis darauf, dass dort wo sich alles als legal rausstellt, ja ein Strafverfahren eingestellt werden kann, kann hierbei kein Argument sein. Denn es darf keine „Mal-schauen“-Verfahren auf Grund unklarer Normen geben. Die Unklarheit im Strafrecht darf nie zu Lasten der Bürger*innen gehen.
Die nächste Bundesregierung sollte also die Gesetze im Bereich der Cybersicherheit grundsätzlich überprüfen und nach Bedarf modernisieren. Sie sollte u.a. klarstellen, dass diejenigen, die diese wichtige Arbeit für die IT-Sicherheit in unser allem Interesse und zum Wohle der Allgemeinheit leisten, nicht durch das Strafrecht bedroht werden dürfen und klar und rechtssicher von der Anwendung des "Hacker-Paragraphen" ausgenommen sind. Es braucht mehr Dialog zu Cybersicherheit, statt Forscher*innen mit grundlosen Strafanzeigen zu diskreditieren.
Was unsere weiteren Überlegungen zur Cybersicherheit betrifft:
Wir brauchen in Europa eine selbstbestimmte Entwicklung und Herstellung der notwendigen Komponenten und Bauteile, damit nicht ausschließlich US- und chinesische Hersteller über den Erfolg und die Netzwerksicherheit digitaler Infrastrukturen in Europa entscheiden. Das bedeutet, dass wir in vielen Bereichen die digitale Souveränität und technologische Kompetenz erhalten und zum Teil auch zurückgewinnen und bestehende Abhängigkeiten abbauen müssen.
Dafür wollen wir einen gemeinsamen Kraftakt in Europa, der eine gemeinsame europäische Entwicklung und Produktion solcher Komponenten strategisch und langfristig aufbaut. Wir setzen uns für eine gezielte und koordinierte Unterstützung der deutschen und europäischen Digitalwirtschaft auf allen Technologie-Ebenen und entlang der gesamten Wertschöpfungsketten ein: von der Halbleiter-Fertigung und der Quantentechnologie über die Cloud und Künstliche Intelligenz und Edge-Computing bis zur Cyber-Sicherheit, sicherer und vertrauenswürdiger Hard- und Software sowie Netzwerktechnik und datenbasierten Geschäftsmodellen.
Große Bedeutung kommt in diesem Kontext der Cybersicherheit als Grundlage für eine erfolgreiche Digitalisierung zu. Das Bundesamt für Sicherheit in der Informationstechnik als zentrale, unabhängige und ausschließlich präventiv ausgerichtete Cybersicherheitsbehörde werden wir stärken und die Verschlüsselungsforschung ausbauen. Wir wollen Hersteller darauf verpflichten, Softwareprodukte, digitale Dienste und technische Geräte so zu konzipieren, dass sie sicher sind (Security by Design) und dass sie bei den Standardeinstellungen die sicherste Variante wählen (Security by Default).
Digitale Hintertüren sollen nicht offen gehalten werden. Große Bedeutung für den Erhalt und die Rückgewinnung der digitalen Souveränität kommt hierbei Open Source-basierten Ansätzen und Lösungen zu. Hier liegen zugleich die deutschen und europäischen Chancen und Stärken – und mögliche Alternativen zu den bislang bestehenden Abhängigkeiten.
Mit dem IT-Sicherheitsgesetz 2.0, welches im April 2021 nach langen und schwierigen parlamentarischen Beratungen verabschiedet wurde, haben wir den Rechtsrahmen - insbesondere für die Kritischen Infrastrukturen - weiter entwickelt. Es wurden an viele Stellen erhebliche Verbesserungen gegenüber dem Regierungsentwurf erreicht. Auch wenn wir die vollständige Unabhängigkeit des Bundesamtes für Sicherheit in der Informationstechnik mit unserem Koalitionspartner CDU/CSU nicht erreichen konnte, wird das BSI gestärkt und personell besser ausgestattet. Das BSI soll ein neutraler Partner sowohl für die Bundesverwaltung, die Wirtschaft als auch die Verbraucherinnen und Verbraucher sein. Der Verbraucherschutz wird Teil des Aufgabenkatalogs des Bundesamts und ein einheitliches IT-Sicherheitskennzeichen eingeführt. Gestärkt werden auch die Vorsorgepflichten von Unternehmen beispielsweise bei den Systemen zur Angriffserkennung und bei den Meldepflichten im Falle eines Hacker-Angriffs.
Bedenken, die insbesondere auch in der Öffentlichen Anhörung zum Gesetz aufkamen, wurden aufgegriffen und an entscheidenden Stellen Konkretisierungen und Verbesserungen vorgenommen. Schutzziele gemäß der CIA-Regel ‚Vertraulichkeit, Integrität und Verfügbarkeit‘ wurden im Gesetz verankert und Begriffsbestimmungen konkretisiert. Außerdem wird der Einsatz kritischer Komponenten durch ausländische Unternehmen genau geprüft und dabei klar zwischen technischer Zertifizierung und politischer Entscheidung über die Vertrauenswürdigkeit von Herstellern und Komponenten entschieden.
Wir werden das IT-Sicherheitsrecht fortlaufend auf nationaler und auf europäischer Ebene weiterentwickeln. Sehr gerne stehe ich für Rückfragen zur Verfügung.
Mit freundlichen Grüßen,
Helge Lindh, MdB