Whistleblower-Paragraphen für Hacker!

Ein Programmierer ist zu Anfang dieses Jahrs zu einer Geldstrafe verurteilt worden (https://heise.de/-10007090). Aus meiner Sicht zu Unrecht, schließlich hat er sich prinzipiell ja richtig verhalten. Er entdeckte im Zuge seiner Arbeit als IT-Dienstleister im Auftrag eines Kunden zufällig eine Sicherheitslücke. Eine Lücke, welche den Zugriff auf persönliche Daten ermöglichen würde oder vielleicht schon hat.

Die Lücke hat er erst öffentlich gemacht, nachdem diese vom Hersteller behoben wurde. Die Firma hat den Programmierer dann angezeigt, anstatt ihn für das Finden der Sicherheitslücke zu belohnen. Genau wie bei dem Fall der CDU (https://www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu), wurde auch hier auf eine gute Absicht mit Strafverfolgung reagiert.

Als Ergebnis für solches Verhalten, werden sich Entdecker von Schwachstellen genau überlegen, ob sie diese melden. Und das wird der IT-Sicherheit nicht dienlich sein. Und ein nicht so freundlich gesinnter Hacker wird dann unter Umständen abwägen, ob er eine Strafe riskiert oder jemanden findet, der ihm für diese Informationen einen Gegenwert bietet.

Entweder man passt das Gesetz für einen besseren Schutz hinweisgebender Personen – Hinweisgeberschutzgesetz – HinSchG (https://www.gesetze-im-internet.de/hinschg/BJNR08C0B0023.html) an, in welchen ja bereits der „Schutz personenbezogener Daten“ und „zur Sicherheit in der Informationstechnik“ aufgeführt werden. Und / oder den bisher geltenden Paragraphen aus dem Strafgesetzbuch (StGB). Ich bin kein Jurist, doch das sollte doch möglich sein, auch unter dem Gesichtspunkt der steigenden Bedrohungen durch Cyberkriminelle und digitale „Kriegsführung“.