Menü

IT-Sicherheitsgesetz: Schwere Strafen für Betrieb von Darknet-Foren und Doxxing

360 Tage Vorratsdatenspeicherung, breite Löschpflichten bei Datenleaks, drastische Verschärfung der Hackerparagrafen: Seehofers Rundumschlag hat es in sich.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 497 Beiträge

(Bild: dpa, Silas Stein)

Von

Horst Seehofer hat sich mit dem Referentenentwurf für ein "Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" viel vorgenommen: Der CSU-Politiker will nicht nur das Bundesamt für die Sicherheit in der Informationstechnik (BSI) zu einem mächtigen Akteur im Kampf gegen Botnetze, vernachlässigte Geräte im Internet der Dinge oder Verbreiter von Schadsoftware aufrüsten, sondern zugleich auch Hackeraktivitäten, das unbefugte Verbreiten persönlicher Informationen durch Dritte sowie den Betrieb illegaler Marktplätze im Darknet schwerer bestrafen beziehungsweise erstmals kriminalisieren.

Das Papier, das heise online im Original vorliegt und Netzpolitik.org veröffentlicht hat, umfasst zunächst eine umfassende Reform des BSI-Gesetzes. Dazu kommen weitreichende Änderungen am Strafgesetzbuch (StGB) und an der Strafprozessordnung (StPO). Auch sollen unter anderem das Telekommunikationsgesetz (TKG) und das Telemediengesetz punktuell überarbeitet werden.

Im StGB-Bereich wird unter anderem die taufrische Gesetzesinitiative aufgegriffen, mit der der Bundesrat einen neuen Straftatbestand für das Betreiben illegaler Darknet-Handelsplätze schaffen will, und deutlich erweitert. Unter Strafe gestellt werden soll "das Betreiben von auf die Förderung, Ermöglichung oder Erleichterung illegaler Zwecke ausgerichteten Plattformen unabhängig von dem Nachweis der Beteiligung an einzelnen konkreten Handelsgeschäften". Maximal fünf Jahre Haft sollen drohen, während die Länder auf drei Jahre drängten.

Bis zu zehn Jahre Haft wären möglich, wenn jemand Dritten eine internetbasierte Leistung zum Begehen rechtswidriger Taten "gewerbsmäßig oder als Mitglied einer Bande" begeht. Dabei soll etwa auch der Betrieb eines "Bulletproof Hosters" erfasst werden, "der keine eigenen Angebote online stellt, sondern lediglich den Speicherplatz und das Routing" für kriminelle Dritte anbietet. Die Strafen seien berechtigt, heißt es in der Begründung, da Darknet-Angebote und vergleichbare, in der Regel anonym nutzbare Dienste "eine erhebliche Gefahr für die öffentliche Sicherheit" sowie "den Nährboden weiter Bereiche des Cybercrime" darstellten.

"Täter, die im Darknet ihren kriminellen Aktivitäten nachgehen, handeln häufig streng abgeschirmt", schreibt das Ministerium weiter. "Vertrauen" in die Geschäftspartner sei hier die zentrale Währung. Ermittler sollen daher mit einem neuen Paragrafen 163g StPO" auch gegen den Willen des Inhabers auf Nutzerkonten" oder Funktionen einer virtuellen Identität zugreifen und mit Dritten in Kontakt treten.

So könne die Kommunikation "unter den in der Szene bekannten Nicknamen der identifizierten Beschuldigten verdeckt fortgeführt werden". Eine solche Nutzung übernommener Konten habe "gegenüber den Kommunikationspartnern keinen Eingriffscharakter". Das Fernmeldegeheimnis schütze nicht "die Enttäuschung des personengebundenen Vertrauens" in das Gegenüber, dass es sich bei diesem "ebenfalls um einen Straftäter" handle.

Wer unbefugt sich oder einem Dritten Zugang zu einem IT-System etwa im Bereich kritischer Infrastrukturen (Kritis) verschafft, ein solches nutzt oder darauf etwa einen Datenverarbeitungsvorgang auslöst, soll laut dem neuen Paragraf 200e StGB mit Geldstrafe oder Freiheitsstrafe bis zu einem Jahr bestraft werden. Der "digitale Hausfriedensbruch" lässt grüßen. Bis zu zehn Jahre Gefängnis drohen, wenn derlei oder andere illegale Hackeraktivitäten "für eine fremde Macht", gewerbsmäßig oder in Form von Bandenkriminalität ausgeübt werden.

Dieses hohe Strafmaß soll auch gelten, wenn sich jemand "Daten, die den Kernbereich der privaten Lebensgestaltung einer anderen Person betreffen, in der Absicht verschafft, diese in einer Weise zu verbreiten oder der Öffentlichkeit zugänglich zu machen", die den Betroffenen "erhebliche Nachteile" zufügen könnte. Der entsprechende Paragraf 202f ist als Reaktion auf das Massen-Doxxing zu sehen, das Politiker Anfang des Jahres erschütterte.

Der Katalog der erfassten Straftaten ist aber noch deutlich länger und bezieht sich etwa auch auf Geheimnisverrat oder die Gefährdung der öffentlichen Sicherheit. Als Aufhänger dient hier der Schutz der "Vertraulichkeit oder Integrität" von IT-Systemen. Auch "geheimdienstliche Agententätigkeit soll mit bis zu zehn Jahren Haft bestraft werden, wenn ein Spion etwa in einen Rechner eindringt, "in dem das Geheimnis gespeichert ist".

Allgemein will Seehofer das Strafmaß in den bestehenden Hackerparagrafen deutlich erhöhen, die sich auf Computersabotage, das Verbreiten oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes sowie von Cracking-Software oder den unbefugten Zugang zu besonders gesicherten Daten nebst Überwinden von Sicherheitsvorkehrungen sowie Vorbereitungshandlungen beziehen. Diese Computerstraftaten seien derzeit als "bloße 'Bagatellkriminalität' ausgestaltet", heißt es. In den dazugehörigen Klauseln im StGB soll daher das Höchststrafmaß in der Regel von zwei oder drei auf fünf Jahre angehoben werden.

Seehofer will auch das Gesetz über die internationale Rechtshilfe in Strafsachen ändern und über eine "Umsetzung der Cybercrime-Konvention des Europarats eine Regelung zur Vorabsicherung von Daten" schaffen. Auch schon vor Eingang eines Ersuchens sollen Ermittler damit eine bis zu 360 Tage lange Vorratsdatenspeicherung bei Anbietern von Telekommunikation- oder Telemediendiensten anordnen können.

Host-Provider sollen zudem das Recht und die Pflicht erhalten, "rechtswidrig weiterverbreitete Daten unverzüglich von ihren Plattformen zu löschen". Auch Amazon, Telegram, Facebook, Google oder Microsoft müssten daher eine rund um die Uhr besetzte Kontaktstelle für die deutschen Ermittlungs- und Sicherheitsbehörden einrichten. Vergleichbare EU-weite Vorschriften seien mit den Dossiers zu E-Evidence und terroristischen Online-Inhalten zwar bereits in der Mache. Da deren Abschluss aber noch nicht absehbar sei, müsse der nationale Gesetzgeber hier ähnlich wie beim Netzwerkdurchsetzungsgesetz vorpreschen.

Im Vordergrund des Entwurfs steht das Vorhaben, die Befugnisse des BSI zum Schutz der Bundesverwaltung und der Gesellschaft auszuweiten. Es soll künftig auch für den Verbraucherschutz zuständig sein, die Öffentlichkeit vor Sicherheitslücken und Schadprogrammen warnen und die Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen schaffen. Die für die Betreiber kritischer Infrastrukturen bestehenden Meldepflichten und Mindeststandards sollen auf weitere Teile der Wirtschaft wie börsennotierte deutsche Aktiengesellschaften und Unternehmen aus den Sektoren Rüstung sowie Medien und Kultur ausgeweitet werden.

Das BSI soll dafür teils offensiv ausgerichtete Kompetenzen erhalten, die unter anderem in das Fernmeldegeheimnis sowie das Grundrecht auf Unverletzlichkeit der Wohnung einschneiden. Schon jetzt darf die Bonner Behörde alle "Protokolldaten" einschließlich personenbeziehbarer Nutzerinformationen wie IP-Adressen, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes sowie Parlamentariern anfallen, speichern und automatisiert auswerten. Dieses umstrittene Instrument soll nun pseudonymisiert "längstens" für 18 Monate einsetzbar sein, wobei nach drei Monaten Schranken und Auflagen vorgesehen sind.

Neu hinzu kommen interne "Protokollierungsdaten" aus sämtlichen Behörden. Darunter versteht das Ministerium "Aufzeichnungen über die Art und Weise, wie die Informationstechnik genutzt wurde, über technische Ereignisse oder Zustände innerhalb eines informationstechnischen Systems und wie dieses mit anderen kommuniziert hat". Um die Opfer eines Cyberangriffs identifizieren und informieren zu können, ist zusätzlich eine weitere Regel zur Bestandsdatenabfrage einschließlich IP-Adressen bei Providern enthalten.

Das BSI soll ermächtigt werden, die Sicherheit der Kommunikationstechnik des Bundes und ihrer Komponenten sowie Schnittstellen zu Dritten "zu überprüfen und zu kontrollieren". Dazu kann es alle erforderlichen Informationen verlangen, "insbesondere zu technischen Details, zu Strategien, Planungen und Regelungen mit Bezug zur Kommunikationstechnik des Bundes einschließlich Aufbau- und Ablauforganisation". In Bürozeiten ist dem BSI dafür auch "Zugang zu den Grundstücken und Betriebsräumen, einschließlich Datenverarbeitungsanlagen und -geräten, die für die Kommunikationstechnik des Bundes verwendet werden", zu gewähren.

Das BSI soll auch "Maßnahmen zur Detektion und Auswertung von Schadprogrammen, Sicherheitslücken und anderen Sicherheitsrisiken in öffentlich erreichbaren informationstechnischen Systemen" wie Portscans durchführen können, "wenn Tatsachen die Annahme rechtfertigen, dass diese ungeschützt sind und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sein können". Als unsicher gelten dabei auch Geräte im Internet der Dinge ohne aktuelle Updates oder ausreichenden Passwortschutz. Um dies ausloten zu können, muss sich das Amt selbst erst Zugang zu den Systemen verschaffen, was andererseits bei Unberechtigten mit anderen Absichten schwer geahndet werden soll.

Wenn Netze oder sonstige Anlagen kritischer Infrastrukturen angegriffen werden, soll die Behörde Zugangsanbieter verpflichten können, schädlichen Datenverkehr zu blockieren oder in eigene "Sinkholes" umzuleiten. Auch Lizenzen, potenziell Amok laufende Geräte quasi ruhigzustellen oder die Kontrolle über Kommando-Server von Botnetzen zu erlangen, ist nach dem Mirai-Debakel vorgesehen.

Auch eine "Huawei-Klausel" ist enthalten: Kritis-Kernkomponenten dürfen nur von solchen Herstellern bezogen werden, "die vor dem erstmaligen Einsatz der Komponenten eine Erklärung über ihre Vertrauenswürdigkeit" gegenüber dem Betreiber der kritischen Infrastruktur abgegeben haben. Insgesamt soll das BSI für alle die neuen Aufgaben 864 neue Stellen erhalten, was jährlich mit 55,5 Millionen Euro zu Buche schlagen würde. Allein 168 Posten sind vorgesehen, um die Komponenten für die kommenden 5G-Netze zertifizieren zu können. Die jährliche Belastung für die Wirtschaft schätzt das Ressort auf rund 45 Millionen Euro nebst einmaligen Kosten von etwa 16,71 Millionen. (anw)