HRRS

Onlinezeitschrift für Höchstrichterliche Rechtsprechung zum Strafrecht

März 2024
25. Jahrgang
PDF-Download



Aufsätze und Entscheidungsanmerkungen

Ein rechtspolitischer Vorschlag, um die Risiken einer Strafverfolgung von IT-Sicherheitsforschern zu reduzieren

Von Jan-Christian Schröder, Bochum[*]

Im Zuge schnell voranschreitender Digitalisierung gewinnt die IT-Sicherheit zunehmend an Bedeutung. Die Abwehr von Gefahren für die IT-Sicherheit ist eine Aufgabe, die von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wahrgenommen wird (vgl. § 3 Abs. 1 S. 2 Nr. 1 BSIG). Jedoch ergreifen auch IT-Sicherheitsforscher Maßnahmen zur Verbesserung der IT-Sicherheit. Wegen der hohen Bedeutung der IT-Sicherheit sind solche Handlungen grundsätzlich gesellschaftlich wünschenswert. Allerdings bestehen für IT-Sicherheitsforscher angesichts der unklaren Rechtslage Risiken einer Strafverfolgung. Schon diese Unsicherheiten dürften einen Abschreckungseffekt haben. Es liegt nahe, dass deswegen wünschenswerte IT-Sicherheitsforschung nicht selten unterbleibt.[1] Vor diesem Hintergrund fordern viele Stimmen aus der IT-Sicherheitsforschung und der Strafrechtswissenschaft den deutschen Gesetzgeber auf, eine klare Rechtslage zu schaffen und diese Risiken zu reduzieren.[2] Diese Forderungen haben Eingang in den aktuellen Koalitionsvertrag gefunden, in dem es heißt: "Das Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren, z. B. in der IT-Sicherheitsforschung, soll legal durchführbar sein."[3]

Dieser Beitrag widmet sich der Frage, ob der deutsche Gesetzgeber die Risiken einer Strafverfolgung von IT-Sicherheitsforschern verringern kann und wie er dies umsetzen sollte. Nach einer kurzen Definition des Begriffs der IT-Sicherheitsforschung (unter I.) und einem knappen Überblick über die Strafverfolgungsrisiken (unter II.) wird untersucht, welche unions- und völkerrechtliche Handlungsspielräume der deutsche Gesetzgeber für den Erlass von Sonderregelungen für IT-Sicherheitsforscher hat (III.). Daran schließt sich ein rechtsvergleichender Überblick an, in dem Regelungen von sieben Ländern zur Verringerung der Risiken einer Strafverfolgung von IT-Sicherheitsforschern dargestellt, verglichen und bewertet werden (IV.). Mithilfe der dadurch gewonnenen Erkenntnisse wird ein eigener Regelungsvorschlag unterbreitet (V.). Der Beitrag schließt mit einem Ausblick (VI.).

I. Was versteht man unter IT-Sicherheitsforschung?

Eine allgemein anerkannte Definition der IT-Sicherheitsforschung existiert nicht. In diesem Beitrag wird unter einem IT-Sicherheitsforscher eine Person verstanden, die eine Handlung mit der Absicht vornimmt, zur Verbesserung der IT-Sicherheit beizutragen.[4] Der Begriff des IT-Sicherheitsforschers ist nicht auf an Universitäten oder anderen Forschungseinrichtungen tätige Personen beschränkt. Die IT-Sicherheit wird verbessert, indem Sicherheitslücken vermieden, beseitigt oder die Folgen einer Ausnutzung abgemildert und Angriffe technisch verfolgt werden.[5]

Die Vorgehensweise in der IT-Sicherheitsforschung lässt sich wie folgt kategorisieren: Es gibt defensive und offensive IT-Sicherheitsforschung.[6] Der Unterschied liegt in der eingenommenen Perspektive. Bei der defensiven Sicherheitsforschung wird die Perspektive des Verteidigers eingenommen. Es werden präventive und reaktive Maßnahmen umgesetzt. Beispielsweise werden

informationstechnische Systeme überwacht, schnellere Reaktionen auf Angriffe vorbereitet und Technologien eingesetzt, um den Netzwerkverkehr zu filtern. Bei der offensiven Sicherheitsforschung wird hingegen die Perspektive des Angreifers eingenommen, indem ein Angriff auf ein informationstechnisches System simuliert wird. Dadurch soll die Verteidigung des Betroffenen überprüft werden.

IT-Sicherheitsforschung kann mit oder ohne Einwilligung des zum Zugriff auf das informationstechnische System Berechtigten geschehen.

Die konkreten technischen Maßnahmen, die in der IT-Sicherheitsforschung ergriffen werden, lassen sich hingegen nur schwer kategorisieren, weil sie sehr zahlreich sind und sich erheblich voneinander unterscheiden.[7]

II. Ein knapper Überblick über die Risiken einer Strafverfolgung von IT-Sicherheitsforschern nach dem deutschen Strafrecht

Aus strafrechtlicher Sicht ist die offensive IT-Sicherheitsforschung ohne Einwilligung des Berechtigten am problematischsten. Trotzdem wird diese Vorgehensweise nicht selten derjenigen mit Einwilligung des Berechtigten vorgezogen. Das liegt vor allem daran, dass es häufig schwer zu durchschauen ist, welche Berechtigungen an informationstechnischen Systemen bestehen, weswegen es aufwändig bis faktisch unmöglich ist, die Einwilligung aller Berechtigten einzuholen.[8]

Welche Risiken einer Strafverfolgung bei der offensiven IT-Sicherheitsforschung ohne Einwilligung bestehen, ist an anderer Stelle bereits eingehend erörtert worden.[9] Deswegen sollen die wesentlichen Risiken hier lediglich knapp aufgezeigt werden.

Angesichts der vielfältigen Maßnahmen der IT-Sicherheitsforschung lässt sich zu den Strafverfolgungsrisiken keine generelle Aussage treffen. Aus diesem Grund sollen die Risiken am Beispiel der Untersuchung eines fremden und räumlich getrennten informationstechnischen Systems[10] ohne Einwilligung veranschaulicht werden. Dabei ist es sinnvoll, zwischen den unterschiedlichen zeitlichen Phasen der Tätigkeit des IT-Sicherheitsforschers zu unterscheiden. Aus rechtlicher Sicht[11] erscheint eine Einteilung in vier Phasen sinnvoll:

Die erste Phase ist die Vorbereitungsphase, in welcher der IT-Sicherheitsforscher vor allem Informationen über sein Angriffsziel sammelt.[12] In dieser Phase kann der IT-Sicherheitsforscher den Tatbestand des § 202c Abs. 1 Nr. 2 StGB erfüllen, wenn er ein Computerprogramm herstellt oder sich verschafft, um damit auf das informationstechnische System zuzugreifen.[13] Risiken einer Strafverfolgung bestehen auch bei der Analyse von Softwarecodes, sofern diese urheberrechtlichen Schutz nach § 69a Abs. 3 S. 1 UrhG genießen.[14] Um eine solche Analyse durchführen zu können, muss der Softwarecode in ein für einen Menschen lesbares Format umgewandelt werden. Ein Mittel dazu ist die Dekompilierung. Bei der Dekompilierung wird der Objektcode in einen Quellcode zurückübersetzt.[15] Der Quellcode ist für einen Menschen lesbar. Da der Quellcode nicht mit dem Originalquellcode identisch ist, liegt eine Vervielfältigung des Werkes vor, die nach § 106 Abs. 1 UrhG grundsätzlich strafbar ist. Die Vervielfältigung des Werkes kann aber nach § 69d Abs. 1 UrhG erlaubt sein.[16] Dann müsste der IT-Sicherheitsforscher erstens berechtigt sein, ein Vervielfältigungsstück des Programms zu verwenden. Zweitens müsste die Vervielfältigung notwendig sein, um einen Fehler des Computerprogramms zu berichtigen. Ob diese Voraussetzungen bei Fehlersuchen durch IT-Sicherheitsforscher erfüllt sind, ist jedenfalls nicht eindeutig.[17]

An die Vorbereitungsphase schließt sich die Zugriffsphase an, in der sich der IT-Sicherheitsforscher Zugriff auf das informationstechnische System verschafft. In diesen Fällen wird regelmäßig der Tatbestand des § 202a Abs. 1 StGB erfüllt sein.[18] Dafür genügt es, dass der Täter sich Zugang zu den Daten verschafft; er muss sich nicht die Daten selbst beschaffen.[19] Auch an die weiteren Tatbestandsvoraussetzungen des § 202a Abs. 1 StGB, nämlich

an die besondere Zugangssicherung und deren Überwindung, werden keine hohen Anforderungen gestellt.[20]

Hat der IT-Sicherheitsforscher Zugriff auf das informationstechnische System erlangt, beginnt die dritte Phase. In dieser Phase kann der IT-Sicherheitsforscher einen Nachweis dafür schaffen, dass ihm der Zugriff gelungen ist. Er wird womöglich auch die infolge eines solchen Zugriffs drohenden Schäden untersuchen oder nach weiteren Sicherheitslücken suchen. Verändert oder löscht er dabei Daten, erfüllt dies den Tatbestand des § 303a Abs. 1 StGB.[21] Verursacht der IT-Sicherheitsforscher einen Ausfall oder eine Funktionsbeeinträchtigung des informationstechnischen Systems, kommt auch eine Strafbarkeit nach § 303 StGB und § 303b Abs. 1 Nr. 1, Nr. 2, Abs. 2 StGB in Betracht.[22] Wenn der IT-Sicherheitsforscher personenbezogene Daten, die nicht allgemein zugänglich sind, abruft, sich verschafft oder speichert oder wenn er ein Geschäftsgeheimnis erlangt, kann er dadurch ferner den objektiven Tatbestand des § 42 Abs. 2 Nr. 1 BDSG[23] und des § 23 Abs. 1 Nr. 1 GeschGehG erfüllen. Allerdings ist es zweifelhaft, ob auch der subjektive Tatbestand dieser beiden Delikte erfüllt ist. Die Lehre – die Rechtsprechung hat sich dazu noch nicht geäußert – geht davon aus, dass ein IT-Sicherheitsforscher, der beabsichtigt, nachträglich von dem Betroffenen für seine Tätigkeit belohnt zu werden, weder mit Bereicherungsabsicht noch aus Eigennutz handelt.[24]

In der vierten Phase werden die erlangten Erkenntnisse mitgeteilt (Mitteilungsphase). Diese Mitteilung kann gegenüber dem Betroffenen, einer Behörde, aber auch gegenüber der Öffentlichkeit erfolgen. Letzterer Weg wird von IT-Sicherheitsforschern vor allem gewählt, wenn sich der Verantwortliche weigert, die Sicherheitslücke anzuerkennen. Sofern der IT-Sicherheitsforscher in diesem Zusammenhang personenbezogene Daten oder Geschäftsgeheimnisse veröffentlicht oder übermittelt, erfüllt er dadurch möglicherweise die Tatbestände der §§ 42 Abs. 2 Nr. 1 BDSG, 23 Abs. 1 Nr. 2 GeschGehG.

Selbst wenn der IT-Sicherheitsforscher einen dieser Tatbestände erfüllt, macht er sich dadurch nicht zwingend strafbar. Es sind mehrere Ansätze diskutiert worden, wie eine Strafbarkeit verneint werden könnte.[25] Diese Ansätze, etwa eine Rechtfertigung gemäß § 34 StGB, sind wegen der damit einhergehenden Interessenabwägung jedenfalls mit erheblichen Rechtsunsicherheiten verbunden.

Schließlich bestehen neben Risiken einer Strafverfolgung in allen vier Phasen auch andere Haftungsrisiken, insbesondere nach dem Zivilrecht.[26] Es erscheint naheliegend, dass nicht nur die Risiken einer Strafverfolgung, sondern alle Haftungsrisiken IT-Sicherheitsforscher hemmen, offensive IT-Sicherheitsforschung ohne Einwilligung zu betreiben.

III. Unions- und völkerrechtliche Handlungsspielräume des Gesetzgebers für den Erlass von Sonderregelungen für IT-Sicherheitsforscher

Bevor die rechtsvergleichende Übersicht dargestellt wird, ist es sinnvoll, sich zunächst einen Überblick über die unions- und völkerrechtlichen Handlungsspielräume des deutschen Gesetzgebers für Sonderregelungen für IT-Sicherheitsforscher zu verschaffen. Erstens stellt sich die Frage, ob der Gesetzgeber überhaupt Regelungen erlassen könnte, um die Haftungsrisiken der IT-Sicherheitsforscher zu reduzieren (dazu unter 1.). Zweitens ist zu prüfen, ob der Gesetzgeber zum Erlass solcher Regelungen verpflichtet ist (dazu unter 2.).

1. Möglichkeiten zum Erlass von Sonderregelungen für IT-Sicherheitsforscher

Zweifel daran, dass der Gesetzgeber überhaupt Sonderregelungen für IT-Sicherheitsforscher schaffen könnte, bestehen angesichts des völkerrechtlichen und unionsrechtlichen Hintergrundes der hier in Rede stehenden Strafvorschriften. Die §§ 202a, 202b, 202c, 303a und 303b StGB gehen auf die vom Europarat ausgearbeitete und am 1. Juli 2004 in Kraft getretene Budapest-Konvention[27], ein völkerrechtliches Übereinkommen über Computerkriminalität, zurück. Ferner existiert die EU-Richtlinie über Angriffe auf Informationssysteme vom 12. August 2013. Inhaltlich unterscheiden sich die Strafvorschriften der Richtlinie nicht wesentlich von denen der Budapest-Konvention.

Weder die Straftatbestände der Budapest-Konvention noch diejenigen der EU-Richtlinie über Angriffe auf Informationssysteme enthalten eine Ausnahmeregel für IT-Sicherheitsforscher. Trotzdem wäre eine Regelung, die das Verhalten von IT-Sicherheitsforschern unter bestimmten Voraussetzungen nicht unter Strafe stellt, mit diesen beiden Rechtsakten vereinbar.

Für die Budapest-Konvention folgt das aus ihrem Art. 2. Nach diesem Artikel muss die Tathandlung "without right" erfolgen. Das soll nach Nr. 38 des Explanatory Reports zur Konvention zum Ausdruck bringen, dass

Rechtfertigungsgründe unberührt bleiben.[28] Es soll sogar zulässig sein, Rechtfertigungsgründe nur in Bezug auf die Tatbestände der Konvention zu schaffen, wenn eine Bestrafung aufgrund entgegenstehender Interessen nicht angemessen wäre.[29]

Für die EU-Richtlinie über Angriffe auf Informationssysteme folgt dies aus den Erwägungsgründen 11 und 12. Nach Erwägungsgrund 11 sind die Mitgliedstaaten nicht verpflichtet, in leichten Fällen eine Strafe vorzusehen. Es obliegt dem nationalen Gesetzgeber zu definieren, wann ein leichter Fall vorliegt. Erwägungsgrund 12 betont die Wichtigkeit der IT-Sicherheit. Ferner werden die Mitgliedstaaten aufgefordert, sich darum zu bemühen, dass es legal möglich ist, Sicherheitslücken aufzudecken und zu melden. Angesichts dieser beiden Erwägungsgründe ist es mit der EU-Richtlinie über Angriffe auf Informationssysteme vereinbar, bestimmte Handlungen von IT-Sicherheitsforschern nicht unter Strafe zu stellen.[30]

Hingegen sind die Handlungsspielräume für Sonderregelungen im Urheberrecht begrenzt. Die §§ 69a-69g UrhG beruhen auf der EU-Richtlinie über den Rechtsschutz von Computerprogrammen vom 14. Mai 1991[31], die hinsichtlich des Ausschließlichkeitsrechts vollharmonisierend ist.[32] Jedoch verpflichtet Art. 7 der Richtlinie die Mitgliedstaaten nur zu bestimmten Schutzmaßnahmen. Insbesondere besteht keine Pflicht, eine rechtswidrige Vervielfältigung des Werkes unter Strafe zu stellen. Hingegen kann der deutsche Gesetzgeber die IT-Sicherheitsforscher nicht von der in Art. 7 der Richtlinie vorgesehenen Haftung freistellen.

2. Pflicht zum Erlass von Sonderregelungen für IT-Sicherheitsforscher

Der deutsche Gesetzgeber kann das Verhalten von IT-Sicherheitsforschern straffrei stellen. Es stellt sich die Frage, ob er dies sogar muss. Eine derartige Verpflichtung könnte sich aus der EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2-Richtlinie) vom 14. Dezember 2022 ergeben. Diese muss bis zum 17. Oktober 2024 umgesetzt werden. Relevant ist insoweit Erwägungsgrund 60, der lautet:

"(…). Die Mitgliedstaaten sollten im Rahmen ihrer nationalen Strategien im Einklang mit den nationalen Rechtsvorschriften so weit wie möglich die Herausforderungen angehen, mit denen Forscher, die sich mit Schwachstellen befassen, konfrontiert sind, wozu auch deren potenzielle strafrechtliche Haftung gehört. Da (…) Personen, die Schwachstellen erforschen, in einigen Mitgliedstaaten der strafrechtlichen und zivilrechtlichen Haftung unterliegen könnten, werden die Mitgliedstaaten aufgefordert, Leitlinien für die Nichtverfolgung von Forschern im Bereich der Informationssicherheit zu verabschieden und eine Ausnahme von der zivilrechtlichen Haftung für ihre Tätigkeiten zu erlassen."

Aus diesem Erwägungsgrund lässt sich jedoch keine Verpflichtung des deutschen Gesetzgebers zum Erlass von Sonderregelungen für IT-Sicherheitsforscher ableiten. Denn die Vorgaben des Erwägungsgrundes sind viel zu vage. Insbesondere bleibt unklar, unter welchen Voraussetzungen eine Ausnahme von der Haftung vorgesehen werden soll.

Es ist auch nicht zu erwarten, dass sich eine derartige Verpflichtung aus dem UN-Abkommen über die Nutzung von Informations- und Kommunikationstechnologien zu kriminellen Zwecken, das sich gegenwärtig in Verhandlungen befindet, ergeben wird. Zwar wurde von NGOs mehrfach vorgeschlagen, eine Ausnahmeregelung für IT-Sicherheitsforscher vorzusehen.[33] Jedoch scheint die IT-Sicherheitsforschung in den bisherigen Verhandlungen keine nennenswerte Rolle gespielt zu haben.[34]

IV. Rechtsvergleichender Überblick

Handlungen von IT-Sicherheitsforschern erfüllen häufig auch die Straftatbestände anderer Länder, sodass auch in diesen Ländern das Risiko einer Strafverfolgung besteht. Nachfolgend soll ein Überblick gegeben werden, wie in anderen Ländern das Risiko einer Strafverfolgung von IT-Sicherheitsforschern reduziert wird. Zunächst werden dafür die Regelungen ausgewählter Länder dargestellt und erläutert (dazu unter 1.). Anschließend erfolgen ein Vergleich und eine Bewertung (unter 2.).

Es werden nur Länder in den Rechtsvergleich miteinbezogen, die Mitglied der Budapest-Konvention sind. Dadurch wird sichergestellt, dass sich ihre computerstrafrechtlichen Vorschriften ähneln.

1. Ein komprimierter[35] Länderbericht

Der Länderbericht erfolgt viergeteilt. Er beginnt mit den Ländern, die keine spezifischen Regelungen für IT-Sicherheitsforscher erlassen haben, jedoch im Einzelfall durch ihre allgemeinen Vorschriften zur Straffreiheit gelangen. Es folgen Länder mit ausschließlich strafprozessualen, mit teils strafprozessualen und teils materiellrechtlichen, und mit ausschließlich materiellrechtlichen Sonderregelungen.

a) Länder ohne Sonderregelungen für IT-Sicherheitsforscher

Die meisten Länder haben keine besonderen Regelungen für IT-Sicherheitsforscher geschaffen, um deren Risiken einer Strafverfolgung zu reduzieren. Das bedeutet jedoch nicht, dass IT-Sicherheitsforscher sich, selbst wenn ihre Handlung einen Tatbestand erfüllt, zwingend strafbar machen. Das lässt sich am Beispiel der Schweiz veranschaulichen. Das Nationale Testinstitut für Cybersicherheit, eine öffentlich finanzierte Non-Profit-Organisation in der Schweiz, gab ein Gutachten über die Strafbarkeit der IT-Sicherheitsforschung in Auftrag. Nach dem Gutachten erfüllen IT-Sicherheitsforscher ggf. die Tatbestände der Art. 143bis Abs. 1 und Abs. 2 und 144bis[36] Schweizerisches Strafgesetzbuch, jedoch kann ihr Verhalten im Einzelfall nach Art. 17 Schweizerisches Strafgesetzbuch gerechtfertigt sein.[37] Art. 17 normiert den rechtfertigenden Notstand. Nach dem Gutachten müssen drei Voraussetzungen kumulativ erfüllt sein, damit das Verhalten nach Art. 17 gerechtfertigt ist:

-         Es bedarf konkreter Anzeichen dafür, dass eine Sicherheitslücke im Zielsystem besteht[38],

-         die Durchführung der Untersuchung muss erforderlich sein[39] und

-         der Handelnde muss Kenntnis von der Notstandslage haben und darf ausschließlich das Ziel verfolgen, eine Sicherheitslücke aufzudecken.[40]

Maßnahmen, die über das hinausgehen, was zum Nachweis der Sicherheitslücke notwendig ist, sind strafbar.[41] Verfolgt der Handelnde nicht nur den Zweck, die Sicherheitslücke aufzudecken, sondern will er sich auch selbst profilieren oder wirtschaftliche Vorteile erlangen, ist eine Rechtfertigung ausgeschlossen.[42]

b) Strafprozessuale Lösung
aa) Vereinigtes Königreich

Im Recht des Vereinigten Königreichs können Handlungen von IT-Sicherheitsforschern insbesondere die Tatbestände der §§ 1, 3, 3ZA und 3A des Computer Misuse Act 1990[43] erfüllen.[44] Die §§ 1, 3, 3ZA und 3A setzen die Vorgaben der Art. 2-6 der Budapest-Konvention um.[45]

Das Risiko einer strafrechtlichen Verfolgung wird aber womöglich durch eine vom Crown Prosecution Service erlassene Richtlinie zum Computer Misuse Act[46] reduziert. Der Crown Prosecution Service erlässt Richtlinien, um Staatsanwälten bei der Anwendung des Gesetzes Leitlinien an die Hand zu geben, wenn sie Ermessen ausüben. Die Richtlinien dienen der Einheitlichkeit und Transparenz staatsanwaltlicher Entscheidungen.[47]

In der Richtline zum Computer Misuse Act wird definiert, welche Faktoren des öffentlichen Interesses der Staatsanwalt zu berücksichtigen hat. Eine Strafverfolgung wird nicht eingeleitet, wenn der zuständige Staatsanwalt sich sicher ist, dass die öffentlichen Interessen, die gegen eine Strafverfolgung sprechen die dafürsprechenden überwiegen.[48] Relevante Kriterien der Richtlinie sind der finanzielle, rufschädigende oder kommerzielle Schaden, der dem Opfer entstanden ist, und ob mit Bereicherungsabsicht gehandelt wurde.

Ob es diese sehr vage Richtlinie verhindern wird, dass Strafverfahren gegen IT-Sicherheitsforscher eingeleitet werden, erscheint nicht frei von Zweifeln.[49] Die CyberUp Kampagne, die sich dafür einsetzt, den Computer Misuse Act zu überarbeiten, kritisierte diese Richtlinie als nicht weitgehend genug.[50] Mehrere Stimmen forderten, einen

Rechtfertigungsgrund für IT-Sicherheitsforscher einzuführen.[51] Die CyberUp Kampagne unterbreitete einen Vorschlag, der vier Voraussetzungen vorsieht, die kumulativ für eine Rechtfertigung vorliegen müssen:[52]

-         Die voraussichtlich durch die Handlung eintretenden Vorteile müssen die voraussichtlich dadurch eintretenden Nachteile überwiegen,

-         es müssen vernünftige Vorkehrungen getroffen werden, um Schadensrisiken zu minimieren,

-         die Handlung muss im guten Glauben (in "good faith") erfolgen und

-         der Handelnde muss eine hinreichende Kompetenz aufweisen.

In "good faith" soll derjenige handeln, der ein informationstechnisches System schützen will oder sein Verhalten für vernünftig hält, um eine Straftat zu verhindern. Ferner darf er keine Bereicherungsabsicht aufweisen.[53] Über diesen Vorschlag wurde 2022 im House of Lords diskutiert.[54] Die Vorschläge stießen überwiegend auf Zustimmung. Bislang wurde aber keiner von ihnen umgesetzt.

bb) Frankreich

Auch im französischen Recht bestehen für IT-Sicherheitsforscher Risiken einer Strafverfolgung.[55] Auf diese reagierte der französische Gesetzgeber schon im Jahre 2016. Damals wurde im code de la défense ein neuer Artikel L2321-4[56] eingeführt. Nach Artikel L2321-4 greift die Verpflichtung gemäß Art. 40 des code de procédure pénale nicht ein, wenn zwei Voraussetzungen kumulativ erfüllt sind:

-         Eine Person muss die Informationen über eine Schwachstelle eines automatisierten Datenverarbeitungssystems an die nationale Behörde für die Sicherheit von Informationssystemen (ANSSI) übermitteln und

-         gutgläubig ("de bonne foi") sein.

Art. 40 des code de procédure pénale[57] normiert die Pflicht des Staatsanwaltes, Strafanträge und Strafanzeigen entgegenzunehmen. Liegen die beiden oben genannten Voraussetzungen vor, ist diese Pflicht suspendiert.

Es ist unklar, was unter dem Merkmal der Gutgläubigkeit ("de bonne foi") zu verstehen ist. Dabei handelt es sich um einen Rechtsbegriff, der im französischen Recht rechtsgebietsübergreifend verwendet wird.[58] Unter Gutgläubigkeit wird grundsätzlich die Überzeugung verstanden, sich rechtskonform zu verhalten, und das Bewusstsein, keine Rechte anderer zu beeinträchtigen.[59] Die Rechtsprechung hat das Merkmal der Gutgläubigkeit in Bezug auf bestimmte Vorschriften, etwa für die Beleidigungsdelikte, konkretisiert.[60] Eine derartige Konkretisierung für Artikel L2321-4 ist aber noch nicht ersichtlich.

c) Teils strafprozessuale, teils materiellrechtliche Lösung
aa) USA

Die Lösung in den USA für die typischen computerstrafrechtlichen Delikte lässt sich nur durch einen Blick in das US-amerikanische Urheberrecht nachvollziehen. Im Urheberrecht wurde eine materiellrechtliche Lösung gewählt.
§ 1201(a)(1)(A) des Digital Millenium Copyright Act[61] verbietet es, eine technische Maßnahme zu umgehen, um sich Zugang zu einem geschützten Werk zu verschaffen. Jedoch ist nach
§ 1201(a)(1)(C) i. V. m. 37 Code of Federal Regulations (CFR) § 201.40(b)(11)(i)[62] die mit einem Computerprogramm durchgeführte Umgehung nicht verboten, wenn der verwendete Computer rechtmäßig erworben oder die Umgehung mit Einwilligung des Eigentümers des Computers erfolgte, und ausschließlich zum Zweck der gutgläubigen Sicherheitsforschung ("good faith security research") vorgenommen wurde. Was unter gutgläubiger Sicherheitsforschung zu verstehen ist, definiert 37 CFR § 201.40(b)(11)(ii). Dieser sieht drei Voraussetzungen vor, die kumulativ vorliegen müssen:

-         Der Zugang auf einen Computer darf nur zu dem Zweck erfolgen, einen Sicherheitsmangel oder eine Schwachstelle gutgläubig zu testen, zu untersuchen oder zu beheben,

-         es dürfen keine Schäden für Personen oder die Öffentlichkeit entstehen und

-         die dadurch erlangten Informationen müssen in erster Linie dazu verwendet werden, die IT-Sicherheit des betroffenen Systems zu fördern. Sie dürfen nicht in einer Weise verwendet werden, die eine Verletzung des Urheberrechts erleichtert.

Für die typischen computerstrafrechtlichen Delikte wurde eine strafprozessuale Lösung gewählt. Durch 18 U.S. Code § 1030[63] erfüllen die USA unter anderem ihre Verpflichtungen aus Art. 2, 4 und 5 der Budapest-Konvention.[64] Im Jahre 2022 hat das U.S. Department of Justice seine Richtlinien für die Strafverfolgung bei Verstößen gegen 18 U.S.C. § 1030 geändert.[65] Nicht mehr strafrechtlich verfolgt wird der ,,good faith security research". Dieser Begriff ist der soeben erläuterten Vorschrift 37 CFR § 201.40(b)(11)(ii) entnommen und ebenso zu verstehen.[66] Sind die obigen drei Voraussetzungen erfüllt, wird gegen den IT-Sicherheitsforscher kein Strafverfahren eingeleitet.

bb) Niederlande

Auch in den Niederlanden bestehen für IT-Sicherheitsforscher Risiken einer Strafverfolgung, insbesondere nach Artikel 138ab des Wetboek van Strafrecht[67], der dem deutschen § 202a StGB ähnelt.[68]

Die niederländischen Strafgerichte fällten in den Jahren 2013 und 2014 zwei Urteile, welche das Eindringen in ein fremdes informationstechnisches System, um eine Sicherheitslücke aufzudecken, zum Gegenstand hatten.

In einem Strafverfahren vor der Rechtbank Oost-Brabant[69] ging es um Verstöße gegen Artikel 138ab des Wetboek van Strafrecht. Der Angeklagte hatte zufällig Zugangsdaten erhalten, die es ihm ermöglichten, auf bestimmte Gesundheitsdaten zuzugreifen. Er nahm Einsicht in seine eigenen und in fremde Gesundheitsdaten. Daraufhin unterrichtete er den Datenverantwortlichen telefonisch über die Situation. Dieser bat darum, das Problem schriftlich zu schildern. Der Angeklagte, der sich wohl nicht ernstgenommen fühlte, offenbarte den Sachverhalt der Presse.

Das Gericht führte aus, dass das Verhalten unter Berücksichtigung des Art. 10 EMRK gerechtfertigt sei, wenn drei Voraussetzungen kumulativ vorliegen:

-         An der Handlung müsse ein bedeutsames gesellschaftliches Interesse bestehen,

-         sie dürfe nicht über das, was für die Zielerreichung notwendig ist, hinausgehen (Verhältnismäßigkeitsgebot) und

-         es dürfe keine anderen, weniger beeinträchtigenden Maßnahmen zur Zielerreichung geben (Subsidiaritätsgebot).

Grundsätzlich bestehe ein erhebliches gesellschaftliches Interesse, Sicherheitsmängel vertraulicher medizinischer Daten aufzuzeigen. Auch sei es nicht zu beanstanden, dass der Täter sich einloggte, in eigene Daten Einsicht nahm und Maßnahmen ergriff, um die Sicherheitslücke nachzuweisen. Jedoch habe der Angeklagte bewusst zusätzliche Informationen gesammelt und den Medien die Sicherheitslücke mitgeteilt. Das sei mit dem Gebot der Subsidiarität unvereinbar. Insbesondere hätte der Angeklagte sich zunächst schriftlich an den Datenverantwortlichen wenden müssen.

In dem anderen Strafverfahren vor der Rechtbank Den Haag[70] ging es ebenfalls um Verstöße gegen Artikel 138ab des Wetboek van Strafrecht. Der Angeklagte fand heraus, dass ein Krankenhaus veraltete und unsichere Software nutzte. Deswegen konnte er sich die Zugangsdaten für den Server des Krankenhauses verschaffen. Er wies das Krankenhaus auf die Sicherheitslücke hin und gab Gelegenheit, die Sicherheitslücke zu schließen. Das Krankenhaus reagierte jedoch nicht, woraufhin der Angeklagte einen Journalisten über die Sicherheitslücke informierte. Sowohl bevor als auch nachdem er den Journalisten informiert hatte, loggte sich der Angeklagte in das Computersystem des Krankenhauses ein, lud Dateien herunter und fertigte Screenshots an.

Das Gericht legte denselben Maßstab wie die Rechtbank Oost-Brabant an. Die Handlungen seien erforderlich gewesen. Insbesondere durfte der Angeklagte die Presse einschalten, da dem Krankenhaus Gelegenheit gegeben wurde, die Sicherheitslücke zu beseitigen. Hingegen sei der Verhältnismäßigkeitsgrundsatz nicht gewahrt. Unverhältnismäßig seien Handlungen, die zum Nachweis der Sicherheitslücke nicht notwendig sind. Es sei nicht notwendig gewesen, sich einzuloggen und Daten zu speichern, nachdem die Presse schon informiert wurde und der Angeklagte bereits ausreichend Informationen zum Nachweis der Sicherheitslücke gesammelt hatte. Daher wurde der Angeklagte schuldig gesprochen.

Im Jahre 2013, nachdem die Entscheidung der Rechtbank Oost-Brabant verkündet wurde, veröffentlichte die niederländische Staatsanwaltschaft (Openbaar Ministerie)

Richtlinien, die sie am 14. Dezember 2020 aktualisierte.[71] In diesen Richtlinien wird klargestellt, dass die Staatsanwaltschaft eine koordinierte Offenlegung von Schwachstellen unterstützt. Für die koordinierte Offenlegung verweist die Staatsanwaltschaft auf Leitlinien des niederländischen Nationaal Cyber Security Centrum. Dieses untersteht dem niederländischen Ministerium für Justiz und Sicherheit; seine Leitlinien haben keine rechtliche Bindungswirkung.[72]

Nach den Richtlinien der Staatsanwaltschaft wird in der Regel kein Strafverfahren eingeleitet, wenn die drei in dem Urteil der Rechtbank Oost-Brabant genannten Voraussetzungen vorliegen. Deswegen wurde etwa ein Niederländer nicht angeklagt, der das Twitter-Passwort Donald Trumps erriet und sich in dessen Account einloggte, anschließend aber Kontakt zu den US-Behörden aufnahm, um dieses Sicherheitsrisiko zu beseitigen.[73]

d) Materiellrechtliche Lösung
aa) Belgien

In Belgien trat am 15. Februar 2023 das Whistleblowing-Gesetz ("Klokkenluiderswet")[74] in Kraft. Dadurch wurden in das Gesetz zur Umsetzung der NIS1-Richtlinie[75] (NIS-Gesetz) Regelungen für die Meldung von Sicherheitslücken eingefügt. Art. 62/1 des NIS-Gesetzes schreibt ein bestimmtes Verfahren vor, wie derartige Informationen dem Belgischen Zentrum für Cybersicherheit (ZCB), der nationalen Behörde für Cybersicherheit, mitzuteilen sind. Das Gesetz verweist insoweit vor allem auf die Verfahrensregeln auf der Website des ZCB.[76]

Nach Art 62/2 des NIS-Gesetzes sind Handlungen nicht strafbar, die notwendig sind, um im Rahmen des Verfahrens nach Art. 62/1 eine Sicherheitslücke an das ZCB zu melden und wenn vier weitere Voraussetzungen kumulativ vorliegen:

-         Es darf nicht mit betrügerischer oder schädigender Absicht gehandelt werden,

-         die Sicherheitslücke muss unverzüglich an den Verantwortlichen für das informationstechnische System gemeldet werden; dies muss spätestens erfolgen, wenn das ZCB informiert wird,

-         die Handlung darf nicht weiter gehen, als es notwendig und angemessen ist, um eine Sicherheitslücke zu entdecken und

-         die Sicherheitslücke darf ohne Zustimmung des ZCB nicht öffentlich bekanntgegeben werden.

Die Norm ist so zu verstehen, dass sie nicht nur die Strafbarkeit in der vierten Phase, der Mitteilungsphase, ausschließen kann, sondern auch in den drei zeitlich vorgelagerten Phasen. Insbesondere können Handlungen, um eine Sicherheitslücke in Erfahrung zu bringen und nachzuweisen, notwendig sein, um die Sicherheitslücke anschließend zu melden.

In der Gesetzesbegründung werden die einzelnen Voraussetzungen näher konkretisiert.[77] Wenn der Handelnde bei seiner Untersuchung keine Sicherheitslücke entdeckt, muss er weder das ZCB noch den für das informationstechnische System Verantwortlichen informieren. Wenn eine Sicherheitslücke in geringem Umfang nachgewiesen wurde, soll eine Untersuchung, wie weitgehend in das System eingedrungen werden könnte, nicht notwendig sein. Vielmehr muss die Untersuchung an dieser Stelle abgebrochen werden. Nach der Untersuchung sind erlangte Daten nach einem angemessenen Zeitraum zu löschen. Sie dürfen aber aufbewahrt werden, wenn sie für ein Gerichtsverfahren benötigt werden.

Art 62/2 des NIS-Gesetzes sieht als Rechtsfolge vor, dass der Handelnde keine Straftat begehrt. Nach der Gesetzesbegründung handelt es sich um einen Rechtfertigungsgrund.[78] Auch zivil- und disziplinarrechtliche Konsequenzen sollen ausgeschlossen sein.[79]

bb) Polen

Das polnische Strafrecht enthält zwei Sondervorschriften, um Handlungen zum Schutz der IT-Sicherheit nicht zu pönalisieren. Art 269b § 1 Kodeks karny bestraft bestimmte Vorbereitungshandlungen, um Computerdelikte zu begehen. Er ähnelt §§ 202c, 303a Abs. 3, 303b Abs. 5 StGB. Nach Art. 269b § 1a Kodeks karny wird jedoch nach dieser Vorschrift nicht bestraft, wer ausschließlich bezweckt, ein Computersystem gegen eine in § 1 bezeichnete Straftat zu sichern oder wer ein solches Sicherungsverfahren entwickelt.

Des Weiteren sieht das polnische Strafrecht in Art. 267 § 1 und 2, 268a und 269a Kodeks karny Strafvorschriften vor, die den deutschen Regelungen der §§ 202a, 303a, 303b Abs. 1 Nr. 1 StGB ähneln. Art. 269c Kodeks karny schließt eine Bestrafung nach Art. 267 § 2 und Art. 269a Kodeks karny aus, wenn die folgenden drei Voraussetzungen kumulativ vorliegen:

-         Es darf ausschließlich der oben genannte Zweck verfolgt werden (Sicherung eines Computersystems oder Entwicklung eines Sicherungsverfahrens),

-         die Handlung darf keine öffentlichen oder privaten Interessen verletzen und keinen Schaden verursachen und

-         jede festgestellte Sicherheitslücke ist unverzüglich dem Administrator zu melden.

Nach dem Wortlaut der Norm ist eine Bestrafung nur nach den Art. 267 § 2, 269a Kodeks karny ausgeschlossen. Derartige Handlungen werden aber auch häufig die Tatbestände der Art. 267 § 1, 268a Kodeks karny erfüllen. Trotzdem kann in diesen Fällen nicht nach Art. 268a Kodeks karny bestraft werden. Art. 268a Kodeks karny ist im Vergleich zu Art. 269a Kodeks karny der mildere Tatbestand.[80] Wenn Art. 269c Kodeks karny eine Bestrafung nach dem schwereren Tatbestand des Art. 269a Kodeks karny ausschließen kann, muss dies für den milderen Tatbestand des Art. 268a Kodeks karny erst recht möglich sein. Unklar bleibt, ob nach Art. 267 § 1 Kodeks karny bestraft werden kann. Der Wortlaut von Art. 269c Kodeks karny spricht dafür. Sinnvoll wäre dieses Ergebnis nicht.

Die Anforderungen an den verfolgten Zweck sind streng. Verfolgt der Handelnde neben denen im Gesetz genannten noch andere Zwecke, etwa weil er in Bereicherungsabsicht handelt, ist er zu bestrafen.[81] Sprachlich liegt es nahe, Art. 269b § 1a, 269c Kodeks karny als Strafaufhebungsgründe zu deuten. In der Literatur wird jedoch für eine Einordnung als Rechtfertigungsgrund plädiert, da sozial wünschenswerte Handlungen nicht rechtswidrig sein sollten.[82]

2. Vergleich und Bewertung

a) Sonderregelung für IT-Sicherheitsforscher

Manche Staaten, wie etwa die Schweiz, haben keine Sonderregelungen für IT-Sicherheitsforscher erlassen. In den Niederlanden haben die Gerichte konkretisiert, unter welchen Voraussetzungen sich ein IT-Sicherheitsforscher strafbar macht. In den anderen Staaten des Länderberichts wurden hingegen Sonderregelungen für IT-Sicherheitsforscher erlassen.

Letzterer Weg ist vorzugswürdig. Zwar mag man auch ohne Sonderregelung im Einzelfall zur Straffreiheit gelangen. Allerdings verbleibt eine erhebliche Rechtsunsicherheit, die der IT-Sicherheitsforschung abträglich ist. Daraus folgt aber zugleich, dass die Sonderregelung möglichst konkret und rechtssicher gefasst werden sollte. Deswegen ist etwa der im House of Lords diskutierte Vorschlag nicht überzeugend. Er weist mehrere unbestimmte Voraussetzungen auf (Vorteile müssen Nachteile überwiegen, vernünftige Vorkehrungen, Handeln in "good faith" und hinreichende Kompetenz). Die Erläuterungen zu diesem Vorschlag[83] beseitigen diese Unklarheiten nicht.

b) Dogmatische Einordnung der Sonderregelung

Wenn man eine Sonderregelung für IT-Sicherheitsforscher schaffen will, stellt sich die Frage nach ihrer dogmatischen Einordnung. Denkbar ist eine strafprozessuale Lösung, nach der kein Strafverfahren eingeleitet oder zumindest keine Anklage erhoben wird, oder eine materiellrechtliche Lösung, wobei ein Tatbestandsausschluss, ein Rechtfertigungsgrund oder ein Strafausschließungs- oder Strafaufhebungsgrund vorgesehen werden kann.

Vorzugswürdig ist eine materiellrechtliche Lösung, die einen Tatbestandsausschluss oder einen Rechtfertigungsgrund vorsieht. Alle anderen Lösungsansätze müssten dem IT-Sicherheitsforscher eine strafrechtswidrige[84] Handlung vorwerfen. Strafrechtswidrig sollen aber nur Handlungen sein, die besonders sozialschädlich und für das geordnete Zusammenleben der Menschen unerträglich sind.[85] Wenn aber eine Maßnahme der offensiven IT-Sicherheitsforschung gesellschaftlich wünschenswert ist, kann sie nicht strafrechtswidrig sein. Ferner kann nur durch eine Tatbestands- oder Rechtfertigungslösung sichergestellt werden, dass IT-Sicherheitsforschung an Hochschulen betrieben werden kann. Denn das Hochschulrecht verpflichtet die Universitäten zur wissenschaftlichen Redlichkeit und damit auch zur Einhaltung des geltenden Rechtsrahmens.[86]

Im Vergleich der Tatbestands- und Rechtfertigungslösung erscheint letztere vorzugswürdig. Hinsichtlich der Rechtsfolgen unterscheiden sich Tatbestandslosigkeit und Rechtfertigung nur in einem Punkt: Gerechtfertigtes Verhalten ist immer duldungspflichtig, tatbestandsloses Verhalten hingegen nicht.[87] Sozial erwünschte Verhaltensweisen von IT-Sicherheitsforschern sollten immer duldungspflichtig sein.[88]

c) Rein strafrechtsbezogener oder rechtsgebietsübergreifender Ansatz

Mit Ausnahme Belgiens betrachten alle hier untersuchten Länder das Problem nur aus strafrechtlicher Sicht. Dadurch reduzieren sie zwar die Risiken einer

Strafverfolgung, nicht aber andere Haftungsrisiken. Das ist nicht überzeugend. Denn nicht nur Risiken einer Strafverfolgung, sondern auch andere Haftungsrisiken sind geeignet, IT-Sicherheitsforscher von ihren Tätigkeiten abzuhalten.[89] Vorzugswürdig ist ein rechtsgebietsübergreifender Ansatz. Unter bestimmten Voraussetzungen sollten die Handlungen von IT-Sicherheitsforschern in allen Rechtsgebieten rechtmäßig sein.

d) Sprachliche Erfassung der IT-Sicherheitsforschung

In den ersten drei Phasen unterscheiden sich die Handlungen von IT-Sicherheitsforschern zu strafwürdigen Tätern äußerlich nicht oder nur unwesentlich. Der einzig relevante Unterschied liegt in der Absicht: IT-Sicherheitsforscher handeln, um die IT-Sicherheit zu verbessern. Ein Gesetzgeber hat verschiedene Möglichkeiten, wie er diesen Unterschied verarbeitet.

Erstens kann er eine positive Regelung treffen, das heißt, die positive Voraussetzung statuieren, dass zur Verbesserung der IT-Sicherheit gehandelt werden muss. Eine solche Lösung wurde in den USA und in Polen gewählt.

Zweitens kann eine negative Regelung getroffen werden. Gemeint ist damit eine Voraussetzung, nach der eine bestimmte Absicht nicht vorliegen darf. Für ein solches Modell entschied man sich in Belgien (keine betrügerische oder schädigende Absicht).

Vorzugswürdig ist es, ein positives Absichtserfordernis vorzusehen. Wenn ein bestimmtes Phänomen durch den Gesetzgeber geregelt werden soll, ist eine positive Umschreibung grundsätzlich einer negativen vorzuziehen. Denn negative Umschreibungen tragen die Gefahr in sich, überschießend zu sein und Sachverhalte vom Anwendungsbereich der Norm auszuschließen, die erfasst sein sollten. So schließt das Erfordernis, nicht in Schädigungsabsicht zu handeln, nicht nur Handlungen von IT-Sicherheitsforschern, sondern auch andere Handlungen aus, die ggf. strafwürdig sind.[90] Im Übrigen hat ein positives Absichtserfordernis den Vorzug, rechtsklarer zu sein. Der Gesetzgeber kann dadurch konkreter normieren, bei welchen beabsichtigen Handlungen eine Rechtfertigung eintreten soll und bei welchen nicht.

e) Konkrete Anhaltspunkte für eine Gefährdung der IT-Sicherheit

Nur im schweizerischen Recht sind konkrete Anhaltspunkte für eine Gefährdung der IT-Sicherheit erforderlich. Ob ein solches Erfordernis sinnvoll ist, hängt entscheidend davon ab, ob IT-Sicherheitsforscher zumeist konkrete Anhaltspunkte für eine Gefährdung der IT-Sicherheit haben oder haben könnten, bevor sie potentiell strafbare Maßnahmen ergreifen. Das Gutachten zum schweizerischen Recht geht davon aus.[91] Auch in der Literatur zur IT-Sicherheitsforschung werden vielfältige Maßnahmen beschrieben, die vor dem Zugriff auf ein fremdes informationstechnisches System ergriffen werden können, um Anhaltspunkte für eine Gefährdung der IT-Sicherheit zu erhalten.[92] Sofern das zutrifft, sollte auf dieses Erfordernis nicht verzichtet werden. Denn dadurch kann ein Anreiz für eine angemessene Vorbereitung der IT-Sicherheitsforscher und gegen ein Handeln auf "gut Glück" geschaffen werden. Freilich dürfen die Anforderungen an die konkreten Anhaltspunkte nicht überspannt werden.

f) Anforderungen an den Offenlegungsprozess

Die Mehrzahl der Staaten des Länderberichts stellt Anforderungen an den Offenlegungsprozess. Insoweit bestehen aber Unterschiede hinsichtlich des Adressaten der Offenlegung: Es ist die zuständige Behörde (Frankreich) oder der für das informationstechnische System Verantwortliche (Polen) oder es sind beide (Belgien) zu informieren. Eine Mitteilung an die Öffentlichkeit ist im belgischen Recht nur mit Zustimmung der zuständigen Behörde und im niederländischem Recht in Ausnahmefällen zulässig.

Indes kann, wenn man zugunsten von IT-Sicherheitsforschern einen Rechtfertigungsgrund schaffen will, die Rechtfertigung in den ersten drei Phasen nicht davon abhängen, ob bestimmte Anforderungen an einen Offenlegungsprozess eingehalten werden. Denn dieser Offenlegungsprozess liegt zeitlich nach der Handlung, deren Rechtfertigung zu beurteilen ist. Nachträgliche Umstände können nicht rechtfertigend wirken, weil die Rechtmäßigkeit einer Handlung in dem Zeitpunkt feststehen muss, in dem sie vorgenommen wird. Das folgt schon daraus, dass sonst nicht bestimmt werden könnte, ob gegen diese Handlung Notwehr (§ 32 StGB) zulässig ist.[93] Deswegen sollte der Rechtfertigungsgrund keine Anforderungen an einen Offenlegungsprozess enthalten.

g) Erforderlichkeit und Verhältnismäßigkeit der Handlung

Nach dem schweizerischen und niederländischen Recht muss die Handlung erforderlich, nach dem niederländischen Recht ferner verhältnismäßig sein. Nach der US-amerikanischen und polnischen Regelung darf kein Schaden eintreten. Darin liegt ein Fall typisierter Unverhältnismäßigkeit.

Das Kriterium der Erforderlichkeit erscheint sinnvoll, damit bei gleich geeigneten Maßnahmen die mildeste ergriffen wird. Hingegen fällt es schwerer, das Kriterium der Verhältnismäßigkeit zu bewerten. Einerseits schafft dieses Kriterium Rechtsunsicherheit. Andererseits ist es

sinnvoll, die Rechtfertigung auszuschließen, wenn die erwartbaren Nachteile der Handlung die erwartbaren Vorteile eindeutig überwiegen.

Das ist immer dann der Fall, wenn kein öffentliches Interesse an der Maßnahme besteht. Beispielsweise soll die Sonderregelung keine Maßnahmen gegen einen Nachbarn mit unzureichendem IT-Schutz rechtfertigen, weil in einem solchen Fall nur private Einzelinteressen berührt sind. Hingegen ist die Untersuchung eines informationstechnischen Systems nicht deswegen zwingend unverhältnismäßig, weil damit die Gefahr erheblicher Schäden, beispielsweise durch einen Systemabsturz, notwendig verbunden ist. Denn diese Gefahr bestünde gleichermaßen, wenn ein Täter mit strafwürdiger Absicht sich Zugriff auf das System verschafft. Wer von beiden sich zuerst Zugriff verschafft, hängt vom Zufall ab. Diese Zufälligkeit sollte nicht zu Lasten des IT-Sicherheitsforschers gehen. Freilich wird es der Verhältnismäßigkeitsgrundsatz bei konkreten Anhaltspunkten für den Eintritt schwerer Schäden, insbesondere für die Kritische Infrastruktur, gebieten, dass der IT-Sicherheitsforscher sich an das BSI wendet und dieses über das weitere Vorgehen entscheidet.

Um solche und zum jetzigen Zeitpunkt nicht vorhersehbare Fälle einer angemessenen Lösung zuführen zu können, erscheint das Kriterium der Verhältnismäßigkeit sinnvoll. Damit die Regelung nicht zu rechtsunsicher wird, darf die Rechtfertigung aber nur in evidenten Fällen der Unverhältnismäßigkeit ausgeschlossen sein.

V. Eigener Vorschlag

1. Vorüberlegung: Unter welchen Voraussetzungen dürfen Private staatliche Aufgaben wahrnehmen?

Die Sonderregelung soll es ermöglichen, dass IT-Sicherheitsforscher Maßnahmen zur Abwehr von Gefahren für die IT-Sicherheit ergreifen dürfen. Diese Aufgabe obliegt aber grundsätzlich dem Staat. Das hat das BVerfG festgestellt[94] und folgt einfachrechtlich aus § 3 Abs. 1 S. 2 Nr. 1 BSIG. Derartige Maßnahmen zur Gefahrenabwehr gehen mit der Beeinträchtigung der Rechte Dritter einher. Wegen des staatlichen Gewaltmonopols ist dazu der Staat, nicht aber der Private berechtigt. Die Sonderregelung durchbricht also das staatliche Gewaltmonopol und weist eine gewisse Nähe zur Verwaltungsprivatisierung auf.[95] Diese setzt eine staatliche Veranlassung voraus, wobei typischerweise der Staat mit dem Privaten einen entsprechenden Vertrag abschließt.[96] Hier könnte die staatliche Veranlassung darin erblickt werden, dass eine Rechtsnorm geschaffen wird, welche die Wahrnehmung einer staatlichen Aufgabe durch einen Privaten für rechtmäßig erklärt. Dadurch wird ein vom Staat bezweckter Anreiz geschaffen, derartige Handlungen vorzunehmen. Im Rahmen der Verwaltungsprivatisierung trifft den Staat jedoch eine Gewährleistungsverantwortung.[97] Diese erfüllt der Staat vor allem dadurch, indem er den Privaten auswählt und überwacht.[98] Ferner wird vertreten, dass die Befugnisse des Privaten nicht über diejenigen des Staates hinausgehen dürfen.[99]

Eine Auswahl und Überwachung von IT-Sicherheitsforschern wäre höchst unpraktikabel. Es bedürfte dann aber eines rechtfertigenden Grundes, wieso diese Anforderungen nicht eingehalten werden. Da die Verwaltungsprivatisierung mit damit verbundenen Effizienzgewinnen gerechtfertigt wird, liegt in Effizienzgewinnen allein kein tragfähiger Begründungsansatz. Deutlich überzeugender erscheint es darauf abzustellen, dass angesichts der rasant fortschreitenden Digitalisierung das BSI auf Mithilfe von IT-Sicherheitsforschern zwingend angewiesen ist, um die IT-Sicherheit in Deutschland effektiv zu schützen. Solche Überlegungen werden auch in anderen Ländern angestellt, wie die Worte von Lord Arbuthnot of Edrom im House of Lords zeigen: "We cannot rely on the National Cyber Security Centre for everything, because even the Government cannot keep up with the speed of technological development (…)." [100] Im Folgenden wird daher davon ausgegangen, dass sich aus der Dogmatik der Verwaltungsprivatisierung keine zusätzlichen Anforderungen an die Ausgestaltung der Sonderregelung für IT-Sicherheitsforscher ergeben.

2.    Vorschlag und Erläuterungen

Im rechtsvergleichenden Teil wurde herausgearbeitet, dass ein rechtsgebietsübergreifender Ansatz vorzugswürdig ist. Dafür reicht es nicht aus, lediglich einen strafrechtlichen Rechtfertigungsgrund zu schaffen. Wenn die Voraussetzungen eines strafrechtlichen Rechtfertigungsgrundes vorliegen, folgt daraus nicht zwangsläufig die Zivilrechtmäßigkeit der Handlung.[101] Dementsprechend bietet es sich an, eine Regelung mit rechtsgebietsübergreifender rechtfertigender Wirkung in einem eigenen Gesetz für IT-Sicherheitsforscher zu schaffen. In diesem Gesetz sollten auch Anforderungen an den Offenlegungsprozess statuiert werden. Verstöße gegen diese Anforderungen sollten aber allenfalls bußgeldbewehrt sein. Hinsichtlich der konkreten Ausgestaltung der Regelung wäre es denkbar, zwischen den vier Phasen zu differenzieren und für jede einen eigenständigen Rechtfertigungsgrund zu schaffen. Möglich erscheint es aber auch, nur einen Rechtfertigungsgrund vorzusehen, der wie folgt lauten könnte:

Eine Handlung ist nicht rechtswidrig, wenn

1. tatsächliche Anhaltspunkte für das Bestehen einer Sicherheitslücke vorliegen,

2. sie in der Absicht vorgenommen wird, einen Verantwortlichen über diese Sicherheitslücke zu informieren und sie dafür erforderlich ist und

3. einer Rechtfertigung nicht erkennbar überwiegende Interessen entgegenstehen.

Für den Begriff der Sicherheitslücke bietet sich eine Anknüpfung an die Definition in § 2 Abs. 6 BSIG an. Demnach sind Sicherheitslücken Eigenschaften von informations­technischen Systemen, die von Dritten ausgenutzt werden können, um sich gegen den Willen des Berechtigten Zugang zu fremden informationstechnischen Systemen zu verschaffen oder deren Funktionen zu beeinflussen, beispielsweise indem sie abgeschaltet werden.[102]

In Nr. 2 ist ein positives Absichtserfordernis enthalten, das, wie im rechtsvergleichenden Teil herausgearbeitet wurde, vorzugswürdig ist. Mit den Verantwortlichen sind die für das informationstechnische System Verantwortlichen[103], aber auch das BSI als zuständige Behörde für IT-Sicherheit, gemeint. Beabsichtigt der IT-Sicherheitsforscher, die Öffentlichkeit von der Sicherheitslücke zu informieren, macht er sich strafbar. Denn solche Veröffentlichungen sind gefährlich, weil viele Personen von der Sicherheitslücke Kenntnis erlangen und sie ausnutzen können. Ferner können solche Veröffentlichungen für Betroffene sehr beeinträchtigend sein. Die Entscheidung über eine solch gefährliche und beeinträchtigende Maßnahme sollte dem BSI obliegen. Deswegen muss der IT-Sicherheitsforscher beabsichtigen, sich im Falle unkooperativen Verhaltens des für das informationstechnische System Verantwortlichen an das BSI zu wenden. Das BSI entscheidet dann, ob es die Öffentlichkeit nach § 7 Abs. 1 Nr. 1 lit. a BSIG informiert und warnt. Zwar mag eine Mitteilung an das BSI für viele IT-Sicherheitsforscher unattraktiv sein. Dem BSI wird teilweise unterstellt, solche Mitteilungen nicht zur Verbesserung der IT-Sicherheit zu nutzen, sondern sie an andere Behörden weiterzugeben.[104] Das widerspräche dem Interesse der IT-Sicherheitsforscher, die ausschließlich dazu beitragen wollen, die IT-Sicherheit zu verbessern.[105] Selbst wenn eine solche Praxis des BSI bestünde, läge darin jedoch kein überzeugender Einwand gegen den hier unterbreiteten Vorschlag. Nach dem BVerfG darf eine Behörde eine Sicherheitslücke nur offenhalten, wenn in einem Gesetz geregelt ist, wie der Zielkonflikt zwischen dem Schutz der IT-Sicherheit und der Durchführung gefahrenabwehrrechtlicher Maßnahmen aufzulösen ist.[106] Ferner muss die Schließung der Sicherheitslücke veranlasst werden, wenn nicht das Interesse daran, sie offenzuhalten, überwiegt.[107] Sind diese Voraussetzungen erfüllt, steht damit fest, dass solche Sicherheitslücken offengehalten werden dürfen.[108] Diese Wertung werden viele IT-Sicherheitsforscher zwar nicht teilen. Der Sonderregelung sollten aber nicht die Wertungen der IT-Sicherheitsforscher, sondern die Wertungen des Gesetzes zugrunde liegen.

Der Rechtfertigungsgrund umfasst nur Handlungen, um die Sicherheitslücke aufzudecken, um dann einen Betroffenen darüber zu informieren. IT-Sicherheitsforscher nehmen aber auch andere Handlungen vor. Etwa versuchen sie, die Folgen der Ausnutzung einer Sicherheitslücke abzumildern und Angriffe zu verfolgen. Diese Handlungen sind vom Rechtfertigungsgrund nicht erfasst, weil hier eine Einwilligung eingeholt werden sollte.[109] Ist das nicht möglich, müssen derartige Handlungen unterbleiben.

Ein weiterer wichtiger Punkt betrifft die Frage, ob Motivbündel eine Rechtfertigung ausschließen, etwa wenn der IT-Sicherheitsforscher eine nachträgliche Entlohnung beabsichtigt oder zu Profilierungszwecken handelt. Im schweizerischen und polnischen Strafrecht würde bei solchen Motivbündeln bestraft. Das ist wenig überzeugend, weil diese hinzutretenden Motive nichts daran ändern, dass die Handlung des IT-Sicherheitsforschers sozial wünschenswert ist. Derartige Motivbündel sind daher für die Rechtfertigung unschädlich.

In Nr. 2 wird ferner vorausgesetzt, dass die Handlung erforderlich sein muss, um einen Verantwortlichen über die Sicherheitslücke zu informieren. Die Handlung muss also dafür geeignet und das relativ mildeste Mittel sein. Das ist aus einer objektiven ex-ante Perspektive zu bestimmen. Wie im belgischen Recht bezieht sich dieses Erfordernis nicht nur auf die Mitteilungsphase, sondern auf alle vier Phasen.

Die Nr. 3 soll eine Rechtfertigung ausschließen, wenn dieser erkennbar überwiegende Interessen entgegenstehen. Um der Rechtssicherheit Rechnung zu tragen, ist das Merkmal der Erkennbarkeit vorgesehen.[110] Einer

Rechtfertigung stehen erkennbar überwiegende Interessen entgegen, wenn die erwartbaren Nachteile der Handlung die erwartbaren Vorteile eindeutig überwiegen. Angesichts des hohen Stellenwertes der IT-Sicherheit wird eine Rechtfertigung nur in Ausnahmefällen wegen Nr. 3 ausgeschlossen sein.

VI. Ausblick

Es besteht größtenteils Einigkeit darüber, dass die Risiken einer Strafverfolgung für IT-Sicherheitsforscher reduziert werden sollen. Für die Umsetzung dieses Ziels gibt es unterschiedliche Ansätze, wie der Länderbericht beweist. In der Diskussion über die Umsetzung sollte insbesondere berücksichtigt werden, ob sich aus der Nähe zur Verwaltungsprivatisierung besondere Anforderungen ergeben. Müssen IT-Sicherheitsforscher zuvor ausgewählt und überwacht werden? Dürfen ihre Befugnisse weitergehen als diejenigen des BSI? Antworten auf diese Fragen sind unerlässlich, um zu entscheiden, wie die Regelung ausgestaltet werden soll. Fest steht in jedem Fall: IT-Sicherheitsforscher benötigen für ihre wichtige Tätigkeit deutlich mehr Rechtssicherheit. Der Gesetzgeber ist gefordert, diese Rechtssicherheit herzustellen.


[*] Der Autor ist Rechtsreferendar am Landgericht Bochum. Er absolvierte Ende 2023 seine Verwaltungsstation im Bundesministerium der Justiz im Referat IIA4 (Strafrechtliche Bekämpfung der Wirtschafts-, Computer-, Korruptions- und Umweltkriminalität). Er gibt in diesem Beitrag allein seine persönliche Auffassung wieder.

[1] Balaban et al., Whitepaper zur Rechtslage der IT-Sicherheitsforschung, 2021, S. 6, abrufbar unter https://sec4research.de/assets/Whitepaper.pdf. Alle in diesem Beitrag zitierten Internetquellen wurden zuletzt am 20. Februar 2024 abgerufen.

[2] Kipker/Rockstroh ZRP 2022, 240, 243; Freiling, in: Golla/Brodowski (Hrsg.), IT-Sicherheitsforschung und IT-Strafrecht, 2023, S. 21, 33; Kuschel/Rostam, in: Golla/Brodowski (Hrsg.), IT-Sicherheitsforschung und IT-Strafrecht, 2023, S. 83, 105; Wörner/Blocher, in: Golla/Brodowski (Hrsg.), IT-Sicherheitsforschung und IT-Strafrecht, 2023, S. 57, 81.

[3] Koalitionsvertrag 2021-2025, S. 13.

[4] Definitionen mit etwas anderer Akzentuierung als hier in Whitepaper (Fn. 1), S. 7 und Analyse des BKA zu Tätern im Bereich von Cybercrime S. 41, 2015, abrufbar unter https://cdn.netzpolitik.org/wp-upload/BKA-Studie_Taeter-im-Bereich-Cybercrime_Eine-Literaturanalyse.pdf.

[5] Whitepaper (Fn. 1), S. 7.

[6] Vgl. Whitepaper (Fn. 1), S. 7.

[7] Überblick über solche Maßnahmen bei Sheikh, Certified Ethical Hacker Preparation Guide, 2021, S. 49 ff.

[8] Golla, a. a. O. (Fn. 2), S. 10.

[9] Böken, in: Kipker (Hrsg.), Cybersecurity, 2. Aufl. 2023, Kapitel 19 Rn. 64 ff.; Brodowski, a. a. O. (Fn. 2), S. 37 ff.; Whitepaper (Fn. 1), S. 9 ff.

[10] Dieses Beispiel wählt Brodowski, a. a. O. (Fn. 2), S. 39 als "eine idealtypische Herangehensweise der offensiven IT-Sicherheitsforschung".

[11] In der IT-Sicherheitsforschung gibt es andere Einteilungen, vgl. Engelhardt, Hacking & IT-Security für Einsteiger, 2020, S. 255 ff.

[12] Wichtig in der Vorbereitungsphase sind vor allem Portscans (zu den technischen Hintergründen Grieger International Cybersecurity Law Review, 2021, 297, 300 ff.). Portscanning dürfte nicht strafbar sein, vgl. Grieger International Cybersecurity Law Review, 2021, 297, 302 ff.

[13] Brodowski, a. a. O. (Fn. 2), S. 49.

[14] Die nachfolgenden Ausführungen zum Urheberrecht sind von Kuschel/Rostam, a. a. O. (Fn. 2), S. 84 ff. übernommen.

[15] Nach manchen Stimmen in der Literatur lässt sich die Entscheidung des LG Aachen MMR 2023, 866 so lesen, dass derjenige, der dekompiliert, den Quellcode in einer nach § 202a Abs. 1 StGB strafbaren Weise ausspäht, vgl. Kipker/Rockstroh MMR 2023, 868 f.

[16] § 69e UrhG erklärt Dekompilierungen unter sehr engen Voraussetzungen für zulässig. Trotzdem stellt § 69e UrhG keine Spezialregelung dar, die es verbieten würde, bei Dekompilierungen auf § 69d UrhG zurückzugreifen, siehe dazu EuGH, Urteil v. 6.10.2021 – C 13/20, Top System, ECLI:EU:C:2021:811; Kuschel/Rostam, a. a. O. (Fn. 2), S. 95 f.

[17] Im Falle der Fehlersuche sehen Kuschel/Rostam, a. a. O. (Fn. 2), S. 88 ff. diese beiden Voraussetzungen als erfüllt an, wenn die Umstände des Einzelfalls einen verdeckten Fehler nahelegen und die Handlung zur Fehlersuche erforderlich ist.

[18] Klaas MMR 2022, 187, 188 f.; Vettermann MMR 2023, 827, 828; Brodowski, a. a. O. (Fn. 2), S. 46 f.; Whitepaper (Fn. 1), S. 9 f.

[19] BT-Drs. 16/33656, S. 9.

[20] Brodowski, a. a. O. (Fn. 2), S. 46 f.

[21] Ein Beispiel für einen Fall, in dem ein IT-Sicherheitsforscher den Tatbestand des § 303a StGB erfüllt, findet sich bei Brodowski, a. a. O. (Fn. 2), S. 46.

[22] Diese Risiken bestehen auch in der Zugriffsphase, etwa wenn das informationstechnische System beim Versuch des Zugriffs abstürzt.

[23] Es ist umstritten, ob es sich bei § 42 BDSG um ein Sonderdelikt handelt, das nur der Verantwortliche und der Auftragsverarbeiter im Sinne des Art. 4 Nr. 7, 8 DSGVO begehen kann (zu diesem Streit vgl. Brodowski/Nowak, in: Beck’scher Online-Kommentar Datenschutzrecht, 46. Ed. Stand 01.11.2023, § 42 BDSG Rn. 15). Es ist unklar, ob und unter welchen Voraussetzungen der offensiv agierende IT-Sicherheitsforscher Verantwortlicher ist.

[24] Golla, a. a. O. (Fn. 2), S. 9 Fn. 29; Wagner et al. (Hrsg.), Verantwortungsbewusster Umgang mit IT-Sicherheitslücken, Band 4, 2023, S. 38 f.

[25] Statt aller Wagner/Zech, a. a. O. (Fn. 2), S. 131 ff.

[26] Vgl. Whitepaper (Fn. 1), S. 20 ff.

[27] Europarat, Vertrag Nr. 185, Übereinkommen über Computerkriminalität, Budapest, 23.  11. 2001.

[28] Explanatory Report to the Convention on Cybercrime, 2001, abrufbar unter https://rm.coe.int/16800cce5b.

[29] Das legt Nr. 38 des Explanatory Reports nahe. Handlungsspielräume der Vertragsstaaten bejahen auch Del-Real/Mesa Information & Communications Technology Law 2023, 207, 223 ff.

[30] Im Ergebnis ebenso Del-Real/Mesa Information & Communications Technology Law 2023, 207, 227 f.

[31] Diese Richtlinie wurde marginal durch die Richtlinie 2009/24/EG überarbeitet.

[32] Vgl. Antoine, Verändernde Werknutzungen – Computerprogramme und der angemessene Interessenausgleich im Urheberrecht, 2023, S. 19 ff. Nach Antoine ist hinsichtlich der Ausnahmetatbestände der Art. 5, 6 der Computerprogramm-Richtline, auf denen die §§ 69d, e UrhG beruhen, von einer umfassenden Harmonisierungswirkung auszugehen, vgl. S. 27.

[33] Siehe die Stellungnahmen verschiedener NGOs unter https://www.unodc.org/documents/Cyber­crime/AdHocCom­mittee­­/6th_Ses­sion/Submissions/Multi-stakeholders/Access_Now_1.pdf; https://www.unodc.org/docu­ments/Cybercrime/AdHocCommittee/Concluding_session/Submissions/Multi-Stakeholders/Joint_submission_-_letter_to_the_AHC_chair_-_Feb_8.pdf; https://www.unodc.org/documents/Cybercrime/AdHocCommittee/Concluding_session/Submissions/Multi-Stakeholders/Cyber­security_Tech_Accord_-_7th_AHC_session_submission.pdf.

[34] Vgl. die Übersicht unter https://www.unodc.org/unodc­/en/cybercrime/ad_hoc_committee/home.

[35] Der Länderbericht gibt nur einen Überblick und stellt keine umfassende Rechtsvergleichung dar. Das ist auch ausreichend, um Impulse für den Entwurf einer Regelung zu erhalten, die Risiken für IT-Sicherheitsforscher reduziert. Unter diesen Umständen hat auch ein Überblick einen Mehrwert (vgl. auch Burchard RW 2017, 277, 290 f. Fn. 65).

[36] Diese ähneln den deutschen §§ 202a, 202c und 303a StGB.

[37] Walder Wyss, Gutachten vom 26. Juni 2023 zur Strafbarkeit von Ethical Hacking, Rn. 8 f., 40 ff., 208.

[38] Ebd., Rn. 13, 209.

[39] Ebd., Rn. 14 f., 150 ff., 209.

[40] Ebd., Rn. 17; 162 ff.; 209.

[41] Ebd., Rn. 157 f.

[42] Ebd., Rn. 17, 169.

[43] https://www.legislation.gov.uk/ukpga/1990/18/contents.

[44] Guinchard Journal of Information Rights Policy and Practice 2(2), 2018, 12 ff.

[45] Europarat, Bewertung der Umsetzung der Budapest-Konvention, S. 927 ff., abrufbar unter https://rm.coe.int/t-cy-2015-18-assessing-implementation-of-article-13-budapest-conventio/1680724ca3.

[46] https://www.cps.gov.uk/legal-guidance/computer-misuse-act.

[47] https://www.cps.gov.uk/prosecution-guidance.

[48] https://www.cps.gov.uk/publication/code-crown-prosecutors.

[49] In eine andere Richtung weisen die Ausführungen des Earl of Erroll, Mitglied des House of Lords. Schon in früheren Gesetzgebungsverfahren sei es schwierig gewesen, zwischen Personen mit strafwürdigen und nicht strafwürdigen Absichten zu unterscheiden. Man hätte letztlich keine Differenzierung vorgesehen, weil man sagte: "Well, we won’t prosecute the good guys” vgl. https://hansard.parliament.uk/Lords/2022-06-21/debates/999E4935-C3F0-4831-98AB-F63DF5746B62/ProductSecurityAndTelecommunicationsInfrastructureBill.

[50] Vgl. Criminal Law Reform Now Network, Reforming the Computer Misuse Act 1990, 2020, abrufbar unter http://www.clrnn.co.uk/publications-reports; Clark, Research Briefing, Cybersecurity in the UK, House of Commons, S. 51, abrufbar unter https://researchbriefings.files.parlia­ment.uk/documents/CBP-9821/CBP-9821.pdf.

[51] Vgl. etwa Vallance, Pro-innovation Regulation of Technologies, 2023, S. 13, abrufbar unter https://www.gov.uk/govern­ment/publications/pro-innovation-regulation-of-technologies-review-digital-technologies.

[52] CyberUp, Protecting legitimate cyber security activity, 2021, S. 4, abrufbar unter https://static1.squarespace.com/sta­tic/5e258d570aee2d7e8a7bcad9/t/617a95af0def5a2fdaf42eaa/1635423669620/CyberUp+Campaign++Protecting+legitimate+cyber+security+activity.pdf.

[53] Ebd., S. 7.

[54] https://hansard.parliament.uk/Lords/2022-06-21/debates/999E4935-C3F0-4831-98AB-F63DF5746B62/ProductSecurityAndTelecommunicationsInfrastructureBill.

[55] Überblick bei Mattatia Revue de science criminelle et de droit pénal comparé, 2015/4 (N° 4), 837, 840 ff.

[56] https://www.legifrance.gouv.fr/codes/section_lc/LEGI­TEXT000006071307/LEGISCTA000018095363/#LE GISCTA000028345135.

[57] https://www.legifrance.gouv.fr/codes/sec-tion_lc/LEGITEXT000006071154/LEGISCTA000006167418/#LEGISCTA000006167418.

[58] vgl. Dictionnaire du droit privé, définition de Bonne foi, https://www.dictionnaire-juridique.com/definition/bonne-foi.php; Gras Legicom 2006/1 (N° 35), 145 ff.

[59] Ebouah Village de la Justice, 2021, https://www.village-justice.com/articles/particularite-protection-des-hackers-blancs,39923.html#:~:text=Par%20Landry%20Ebouah%2C%20Juriste.,1939%20lectures&text=L'article%20323%2D1%20du,60%20000%20%E2%82%AC%20d'amende.

[60] Instruktiv auch zur historischen Entwicklung Gras Legicom 2006/1 (N° 35), 145 ff.

[61] https://www.law.cornell.edu/uscode/text/17/1201.

[62] https://www.law.cornell.edu/cfr/text/37/201.40. Zu der Historie der letzten Änderung dieser Norm vgl. Section 1201 Rulemaking, Recommendation of the register of copyrights, 2021, S. 234 ff., abrufbar unter https://cdn.loc.gov/copyright/1201/2021/2021_Sec­tion_1201_Registers_Recommendation.pdf; Halderman et al., Long comment regarding a proposed exemption under 17 U.S.C. § 1201, S. 1 ff., abrufbar unter https://www.acm.org/bi­naries/content/assets/public-policy/ustpc-jt-long-comment-copyright-ofc-dmca.pdf.

[63] https://www.law.cornell.edu/uscode/text/18/1030.

[64] Europarat (Fn. 45), S. 938 ff.

[65] https://www.justice.gov/opa/press-release/file/1507126/download, S. 4.

[66] https://www.crowell.com/en/insights/client-alerts/doj-s-revised-prosecutorial-guidelines-the-ethical-hacker-exemption.

[67] Harms Netherlands Journal of Legal Philosophy, 2017 (46) (2), 196; ausführlich van der Reijden, Biedt Art. 10 EVRM de ethisch hacker bescherming tegen onduidelijkheden en onvolkomenheden in de Leidraad Responsible Disclosure?, S. 8 ff., abrufbar unter: https://www.maesoever.nl/files/scriptie-dick-van-der-reijden-v1-0p.pdf.

[68] Vgl. Wagner/Zech, a. a. O. (Fn. 2), S. 170.

[69] Rechtbank Oost-Brabant, Urteil vom 15.02.2023, abrufbar unter https://uitspraken.rechtspraak.nl/#!/details?id=ECLI:NL:RBOBR:2013:BZ1157.

[70] Rechtbank Den Haag, Urteil vom 17.12.2014, https://uitspraken.rechtspraak.nl/#!/details?id=ECLI:NL:RBDHA:2014:15611.

[71] https://www.om.nl/binaries/om/documenten/richt­lijnen/2020/december/14/om-beleidsbrief-ethischhacken/OM+Be­leidsbrief+Coordinated+Vulnerability+Disclosure+Dec+2020.pdf; ausführlich dazu Harms Netherlands Journal of Legal Philosophy, 2017 (46) (2), 196, 200 f.

[72] van der Reijden (Fn. 67), S. 26.

[73] https://www.om.nl/actueel/nieuws/2020/12/16/inlog-twitter-account-trump-niet-strafbaar; vgl. auch Wagner/Zech, a. a. O. (Fn. 2), S. 171.

[74] https://www.ejustice.just.fgov.be/mopdf/2023/02/15_1.pdf.

[75] https://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?lan­guage=nl&la=N&cn=2019040715&table_­name=wet.

[76] https://ccb.belgium.be/de/meldung-der-entdecken-schwachstelle-den-ccb.

[77] https://www.dekamer.be/FLWB/PDF/55/2912/55K2912001.pdf, S. 124 f.

[78] https://www.dekamer.be/FLWB/PDF/55/2912/55K2912001.pdf, S. 126; ebenso das ZCB, vgl. https://ccb.belgium.be/de/meldung-der-entdecken-schwachstelle-den-ccb.

[79] https://www.dekamer.be/FLWB/PDF/55/2912/55K2912001.pdf, S. 126.

[80] Vgl. Kozłowska-Kalisz, in: Budyn-Kulik et al. (Hrsg.), Kodeks karny, Komentarz, 11. Aufl. 2023, Art. 269a Rn. 8; s. auch Lach, in: Konarska-Wrzosek et al. (Hrsg.), Kodeks karny, Komentarz 4. Aufl. 2023, Art. 269a Rn. 4.

[81] Kozłowska-Kalisz, in: Budyn-Kulik (Fn. 80), Art. 269c Rn. 3; in diese Richtung auch J. Giezek, Kodeks karny Część szczególna. Komentarz, 2021, Art. 269c, Rn. 3.

[82] J. Giezek, Kodeks karny Część szczególna (Fn. 81), Art. 269c, Rn. 3.

[83] CyberUp (Fn. 52), S. 5 ff.

[84] Zum Begriff der Strafrechtswidrigkeit vgl. Schlehofer, in: Münchener Kommentar StGB, Bd. 1, 4. Aufl. 2020, Vor § 32, Rn. 2.

[85] Vgl. BVerfG NJW 2008, 1137 Rn. 35.

[86] Vonderau/Wagner DSRITB 2020, 525.

[87] Dazu Roxin/Greco, Strafrecht AT I, 5. Aufl. 2020, § 10 Rn. 21 f.

[88] Ein anderer Weg wurde im Geschäftsgeheimnisgesetz gewählt. § 5 GeschGehG war ursprünglich als Rechtfertigungsgrund konzipiert, wurde im Gesetzgebungsverfahren dann aber als Tatbestandsausnahme ausgestaltet. Dies geschah, weil abschreckende Wirkungen befürchtet wurden, wenn das Verhalten lediglich gerechtfertigt wäre (BT-Drs. 19/8300, S. 14). Wenn man sich vor Augen führt, dass die Rechtsfolgen der Rechtfertigung für den Handelnden günstiger sind als diejenigen der Tatbestandslosigkeit, ist diese Befürchtung nicht nachvollziehbar.

[89] Vgl. etwa die von Freiling, a. a. O. (Fn. 2), S. 26 ff. geschilderte Erfahrung.

[90] Das zeigt sich am Beispiel des § 118a öStGB, zur Kritik an diesem Regelungsmodell vgl. Wagner/Zech, a. a. O. (Fn. 2), S. 167 f.

[91] Gutachten (Fn. 37), Rn. 163 f.

[92] Insbesondere im Rahmen der sogenannten Reconnaissance-Phase und durch Scanning, vgl. Engelhardt, Hacking & IT-Security (Fn. 11), S. 263 ff.; vgl. auch BSI, Studie Durchführungskonzept für Penetrationstests, 2020, S. 49, abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/­Publikationen/Studien/Penetrationstest/penetrations­test.pdf?__blob=publicationFile&v=3.

[93] Zur Rechtfertigung von Verteidigungsmaßnahmen gegen Hackerangriffe vgl. Wegner, in: Gianni et al. (Hrsg.), 8. Symposium Junger Strafrechtlerinnen und Strafrechtler, 2022, S. 21, 26 ff.

[94] BVerfG NVwZ 2021, 1361 Rn. 33.

[95] Es besteht weder hinsichtlich des Begriffs noch der Arten der Verwaltungsprivatisierung Einigkeit, vgl. für einen Überblick Schmitz, in: Stelkens/Bonk/Sachs (Hrsg.), Verwaltungsverfahrensgesetz, 10. Aufl. 2023, § 1 Rn. 121 ff.; Gröpl, in: Herzog et al. (Hrsg.), Grundgesetz, 102. EL August 2023, Art. 90 Rn. 42 ff.

[96] Vgl. Burgi, Funktionale Privatisierung und Verwaltungshilfe, 1999, S. 11, 162 ff.

[97] Vgl. Stober NJW 2008, 2301, 2305, 2308.

[98] Kämmerer, in: Ehlers/Fehling/Pünder (Hrsg.), Besonderes Verwaltungsrecht – Band 1, 4. Aufl. 2019, Rn. 96.

[99] Vgl. etwa Möstl, Die staatliche Garantie für die öffentliche Sicherheit und Ordnung, 2002, S. 360.

[100] https://hansard.parliament.uk/Lords/2022-06-21/de­bates/999E4935-C3F0-4831-98AB-F63DF5746B62/ProductSe­curityAndTelecommunicationsInfrastructureBill.

[101] Dazu Roxin/Greco (Fn. 87), § 14 Rn. 31, 33 ff.

[102] BT-Drs. 16/11967, 12.

[103] Zu diesem Begriff vgl. Ritter, in: Kipker/Reusch/Ritter (Hrsg.), Recht der Informationssicherheit, 2023, § 7b BSIG Rn. 10.

[104] Vgl. die Stellungnahme der Arbeitsgemeinschaft Kritische Infrastrukturen zur öffentlichen Anhörung im Ausschuss für Digitales im Bundestag, 25. Januar 2023, S. 12, https://www.bundestag.de/resource/blob/929948/d607e3604be4c777cd8186265a912386/Stellungnahme-Atug-data.pdf.

[105] Ebd.

[106] BVerfG NVwZ 2021, 1361 Rn. 44. Das Bundesverfassungsrecht entschied nur über Quellen-Telekommunikationsüberwachungen zur Gefahrenabwehr, doch dürfte die Entscheidung auch auf andere Gefahrenabwehrmaßnahmen übertragbar sein.

[107] Vgl. BVerfG NVwZ 2021, 1361 Rn. 44.

[108] Jedenfalls solange das im Koalitionsvertrag 2021-2025 auf S. 87 geschildete Vorhaben nicht umgesetzt ist. Demnach soll es dem Staat zukünftig verboten sein, Sicherheitslücken offenzuhalten, und das BSI verpflichtet werden, auf die Schließung jeglicher Sicherheitslücken hinzuwirken.

[109] An der Verfolgung von Angriffen besteht ein geringeres gesamtgesellschaftliches Interesse als an ihrer Vermeidung, da Prävention wichtiger ist als Repression. Hingegen dient es präventiven Zwecken, die Folgen der Ausnutzung der IT-Sicherheitslücke abzumildern. Trotzdem dürfte das Interesse daran, Sicherheitslücken aufzudecken und zu schließen, deutlich größer sein. Indes erscheint es diskutabel, den Rechtfertigungsgrund so zu fassen, dass er auch solche abmildernden Maßnahmen erfasst.

[110] Dieses Merkmal ist dem Polizeirecht entnommen, vgl. etwa § 15 Abs. 2 BPolG und die allgemeinen Landespolizeigesetze, siehe auch Goldhammer, in: Beck’scher Online-Kommentar Polizei- und Sicherheitsrecht Bayern, 23. Ed. Stand 01.10.2023, PAG Art. 4 Rn. 136.