In einer digitalen Welt ist die IT-Sicherheit zentral. Trotzdem droht Strafe, wenn Hacker solche Lücken ehrenamtlich finden und meldet.
Vor vier Jahren klingelt es bei Hendrik Heinle. Er ist Software-Entwickler, damals selbständig. Heinle sieht zwei DHL-Boten vor der Tür. Nichts Ungewöhnliches, also öffnet er. „Paket für Herrn Heinle. Sind Sie das?“, sollen die beiden Männer gefragt haben. Heinle bejaht und wird direkt an die Wand gedrückt. „Polizei“, ruft einer der – vermeintlichen – Paketboten. „Das war ein einschneidendes Ereignis“, erinnert sich Heinle.
Die Polizeibeamten wollten ihn überraschen, damit Heinle Dateien und IT-Geräte nicht mehr verschlüsseln kann. Die Polizei beschlagnahmt das gesamte Equipment. Laptops, Smartphone, Festplatten und mehrere USB-Sticks nehmen die Beamten mit. Denn Hendrik Heinle ist Beschuldigter in einem Strafverfahren. Der Vorwurf: Ausspähen von Daten.
Heinle findet Zugang zu 700.000 Verbraucherdaten
Dabei wollte Hendrik Heinle eigentlich etwas Gutes tun. Der Softwareentwickler hatte für einen Kunden ein IT-Problem lösen sollen. Dabei stieß er auf eine Sicherheitslücke in der Software eines anderen Unternehmens. Er konnte sich relativ einfach Zugang zu rund 700.000 Datensätzen verschaffen – nicht irgendwelche Daten, sondern sensible Verbraucherdaten wie etwa Kreditkarteninformationen.
Ein Fund, der ihn schockierte. Er sicherte Beweise und wies das betroffene Unternehmen auf den Fund hin. Per Mail forderte er, die Lücke schnell zu schließen und sie den Behörden zu melden. Das Unternehmen reagierte unter anderem mit einer Strafanzeige gegen Heinle. Plötzlich war er Beschuldigter in einem Strafverfahren.
Das Landgericht Aachen brummte Hendrik Heinle im vergangenen November eine Geldstrafe auf. Im Urteil heißt es: Es werde zugunsten des Angeklagten davon ausgegangen, dass „sein Verhalten letztlich zu besseren Sicherheitspraktiken geführt und somit letztlich auch der Datensicherheit von Endkundendaten gedient“ hat. Dennoch wurde er verurteilt. Die Entscheidung ist noch nicht rechtskräftig.
Vorwurf: Staat unterbindet Zivilcourage
Vorfälle wie dieser sorgen für Aufsehen und ein Ohnmachtsgefühl in der IT-Sicherheitscommunity. „Die Sicherheitsforschungs-Community könnte sehr, sehr viele Meldungen absetzen und sagen ’schließt diese Lücken‘. Aber durch die grundsätzliche Kriminalisierung ist das eher ein Problem für diejenigen, die es melden“, sagt Manuel Atug von der unabhängigen AG KRITIS. Die Organisation setzt sich für eine bessere IT-Sicherheit bei kritischer Infrastruktur ein.
Manuel Atug sagt, dass die IT-Sicherheit in Deutschland eher desolat aufgestellt sei. Der IT-Aktivist fordert, dass Hacker und IT-Experten nicht bestraft werden sollten, wenn sie mit guten Absichten Sicherheitslücken suchen und finden. Davon würden am Ende alle profitieren. Ein ähnliches Problem gebe es beim Funkverkehr, etwa beim Digitalfunk von Rettungskräften. Ein Gesetz verbiete faktisch jeden Test der Kommunikationsnetze. Auch das schrecke ehrenamtliche Hacker ab. Wie sicher der Funk ist, sei daher unklar. Atugs Fazit: der Staat unterbindet bei der IT-Infrastruktur Zivilcourage.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt Forderungen nach mehr Rechtssicherheit. Das gelte auch für Akteure, die außerhalb wissenschaftlicher Institutionen Sicherheitslücken feststellen und melden. Es brauche „in der Praxis echte Rechtssicherheit für betroffene Akteure“, so das BSI.
Manche Unternehmen begrüßen Strafandrohung
Unternehmen, bei denen ehrenamtliche Hacker, sogenannte Grey Hat Hacker, quasi kostenlos eine wichtige Lücke aufdecken, könnten davon profitieren. Die Betroffenen sehen das mitunter anders. Viele kleinere und mittlere Unternehmen fürchteten die Arbeit von ehrenamtlichen Hackern, sagt Patrick Schönowski vom Deutschen Mittelstandsbund, einem Branchenverband.
„Wenn die Grey Hat Hacker auf die Systeme zugreifen, besteht immer die Gefahr, dass die Daten verändert werden oder an die Öffentlichkeit herangetragen werden, wovon dann Reputationsschäden für die Unternehmen ausgehen.“ Kleinere Unternehmen hätten oftmals keine Finanzmittel, um zeitnah eine IT-Lücke vorsorglich zu schließen. Dass das ehrenamtliche Hacken unter Strafe stehen kann, hat aus Sicht seines Verbandes daher auch was Gutes.
Dabei dürfte es vorerst bleiben. Ein Gesetzesentwurf von Ex-Bundesjustizminister Marco Buschmann, mit dem der FDP-Politiker das gutgemeinte Hacken legalisieren wollte, ist am Ampel-Aus gescheitert.
Schwarz-rot uneins
Im neuen Koalitionsvertrag von Union und SPD steht, dass die Koalitionäre für die IT-Sicherheitsforschung Rechtssicherheit schaffen wollen. Die Parteien interpretieren aber unterschiedlich, was das heißt. Für die Sozialdemokraten zählen ehrenamtliche Hacker dazu. „Wir müssen diese rechtliche Lücke schließen“, sagt SPD-Rechtspolitikerin Carmen Wegge.
Anders interpretiert die Union die Vereinbarung. Sie hat vor allem die wissenschaftliche IT-Sicherheitsforschung im Blick. „Nicht jeder Computerbegeisterte kann sich selbst zum Sicherheitsforscher ernennen und damit einen Freibrief zum Hacking bekommen“, so CDU-Politiker Günter Krings auf Anfrage der ARD-Rechtsredaktion. Details wolle man diskutieren, wenn das Projekt im Gesetzgebungsverfahren ist.
IT-Fachleute wie Hendrik Heinle machen sich also weiter schnell strafbar, wenn sie auf Sicherheitslücken stoßen. Melden sie diese, bekommen sie womöglich Probleme mit der Justiz. Einen weiteren Fund würde er wohl nicht mehr melden, so der 27-Jährige. Die Sorge vor der Justiz sitzt tief.
Mehr zu diesem Thema hören Sie im Podcast Die Justizreporter*innen:
