Der Entwurf für das IT-Sicherheitsgesetz 2.0 beinhaltet eine ganze Reihe neuer Straftaten und Strafverschärfungen – von digitalem Hausfriedensbruch, Darknet-Kriminalisierung bis hin zu Staatstrojanern gegen Hacker. Das hat mit defensiver IT-Sicherheitspolitik nichts mehr zu tun.

Innenminister Seehofer will dem Bundesamt für Sicherheit in der Informationstechnik umfangreiche neue Befugnisse geben und es zur Hackerbehörde ausbauen. Doch da hören die Pläne für das IT-Sicherheitsgesetz 2.0 nicht auf. Der Entwurf enthält mehrere weitreichende Gesetzesänderungen für neue Straftaten und Polizei-Befugnisse.

Mit dem Gesetz reagiert das Innenministerium auch auf den Doxing-Vorfall aus dem Januar. Ein 20-Jähriger veröffentlichte damals eine große Menge persönlicher Daten über Politiker und Prominente. Die Empörung war groß, manche sprachen von einem „Angriff auf die Demokratie“ und forderten Konsequenzen bis hin zum Hack-Back – um die Daten auf Servern aus der Ferne löschen zu können.

Rechtswidrig erlangte Daten sperren und löschen

Wenn Daten einmal im Internet sind, bekommt man sie nur schwer wieder depubliziert. Deshalb will das Innenministerium Anbieter von Telekommunikationsdiensten verpflichten, gegebenenfalls solche Daten aus dem Netz zu räumen. Internet-Anbieter sollen das BKA informieren, wenn ihr „Dienst zur rechtswidrigen Weitergabe oder Veröffentlichung rechtswidrig erlangter Daten genutzt wird“. Dann müssen sie den Zugang zu diesen Daten sperren und betreffende Nutzer informieren. Reagieren die Nutzer nicht innerhalb einer „angemessenen“ Frist, sollen die Anbieter die Daten selbst löschen. Die Regelung soll die Diensteanbieter betreffen, sobald Daten bei ihnen „gespeichert, zwischengespeichert, übertragen, veröffentlicht oder weitergegeben“ werden.

Häufig sitzen die entsprechenden Dienste nicht in Deutschland, Rechtshilfeersuchen über den offiziellen Weg können lange dauern. Das Innenministerium will internationale Anbieter deshalb verpflichten, eine Kontaktstelle in Deutschland einzurichten, um „eine sehr kurzfristige Bearbeitung“ auch „außerhalb der üblichen Bürozeiten sicher[zu]stellen“.

Laut Entwurf wird sich das vor allem auf Dienste wie Facebook und Google, aber auch Messenger wie Telegram auswirken. Während auf Facebook alle Posts für die Plattform einsehbar sind, ist das bei immer mehr Messengern nicht möglich, wenn Nutzer ihre Nachrichten Ende-zu-Ende-verschlüsseln.

Wie kleinere Anbieter einen solchen Aufwand stemmen sollen, erklärt das Ministerium nicht. Für kleine Firmen oder nicht-kommerzielle Dienste könnte es eine Verpflichtung zur ständigen Erreichbarkeit unmöglich machen, ihre Dienste weiterhin deutschen Nutzern anzubieten.

Haft für Veröffentlichen privater Informationen

Wer private Daten ausspäht oder abfängt, macht sich bereits jetzt strafbar. Nach dem Willen von Seehofer soll es künftig einen weiteren Straftatbestand geben: Wenn jemand diese Daten im Anschluss zu veröffentlichen plant und dadurch betroffenen Personen Nachteile entstehen können.

In „minder schweren Fällen“ würde das sechs Monate bis zehn Jahre Haft bedeuten, in besonders schweren Fällen fängt das Strafmaß bei einem Jahr an. Ein besonders schwerer Fall soll sein, wenn die Tat „die Gefahr eines schweren Nachteils für die Bundesrepublik Deutschland herbeiführt“. Das erinnert stark an die Darstellung des Doxing-Falls als Gefahr für die Demokratie.

Hacking-Straftaten werden schwere Straftaten

Bei über einem halben Dutzend Paragrafen „werden die Wörter ‚bis zu zwei Jahren‘ durch die Wörter ‚bis zu fünf Jahren'“ ersetzt. Mit dieser Formulierung sollen die maximalen Haftstrafen für eine ganze Reihe an Straftaten erhöht werden. Dabei geht es um Hacking: Wer Daten ausspäht, abfängt oder das vorbereitet, Daten manipuliert oder Computersabotage begeht oder sich der Datenhehlerei schuldig macht, muss mit langen Haftstrafen rechnen.

Gleichzeitig werden diese Computer-Straftaten zu sogenannten schweren Straftaten. Damit dürfen Behörden zukünftig nicht nur Telefone abhören, sondern sogar Quellen-TKÜ einsetzen – also Staatstrojaner.

Das BKA hat bereits Staatstrojaner bei Ausspähen von Daten und Computersabotage eingesetzt. Das ist möglich, wenn diese Taten in Zusammenhang mit anderen Straftaten stehen, die in den Trojaner-Katalog fallen. Nun soll der Trojaner auch für die jeweils einzelnen Computer-Taten erlaubt werden.

„Darknet-Gesetz“ gegen internetbasierte Leistungen

Eine weitere neue Straftat ist das Anbieten „internetbasierter Leistungen“ zur Ermöglichung von Straftaten. Gemeint sind damit Handelsplattformen im sogenannten Darknet, aber auch Anonymisierungsdienste oder private Kommunikationsräume könnten davon betroffen sein.

Anonymisierung ist sicherlich geeignet, beim Begehen von Straftaten zu helfen – wie viele andere legitime Dienste auch. Anonymität ist aber auch Bestandteil der Grundrechte auf Meinungsfreiheit und informationelle Selbstbestimmung und ermöglicht die Arbeit von vielen Journalisten und Aktivisten.

Der Bundesrat hat vor drei Wochen ein solches Gesetz auf den Weg gebracht, das hat das Innenministerium übernommen. Juristen und andere Experten halten diesen Vorschlag für gefährlich.

Neben den möglichen Kollateralschäden für wünschenswerte Dienste bleibt zweifelhaft, ob die Regelung überhaupt notwendig ist. Immerhin ist die Beihilfe zu Straftaten bereits jetzt illegal, die Strafbarkeit würde nur noch weiter ins Vorfeld verlagert.

Digitaler Hausfriedensbruch

Strafbar soll sich in Zukunft auch machen, wer IT-Systeme „unbefugt“ nutzt. Dieser Vorschlag wurde bereits vor drei Jahren diskutiert, unter dem Namen „Digitaler Hausfriedensbruch“. Die Initiative aus Hessen konnte sich jedoch nicht durchsetzen, die Bundesregierung sah keine Strafbarkeitslücke.

Es wurde kritisiert, dass das Gesetz vordergründig beispielsweise Botnetz-Betreiber kriminalisieren soll, aufgrund der schwammigen Definitionen aber noch viel mehr „unbefugte“ Nutzungen betreffen hätte können. Laut Bagatellklausel sollen nur Eingriffe strafbar sein, die geeignet sind, „berechtigte Interessen eines anderen zu beeinträchtigen“.

Das Innenministerium versucht nun in der Begründung, die betroffenen Systeme etwas klarer zu stellen. Nicht-vernetzte Geräte seien nicht gemeint, „Spielzeug oder Taschenrechner“ zum Beispiel oder „nicht schutzwürdige Systeme wie zum Beispiel eine Modelleisenbahn“. Der Gesetzestext selbst bleibt jedoch beinahe unverändert zum alten Vorschlag.

Dafür ist etwas anderes mitgemeint, heißt es in der Begründung: Apps, die mehr tun als sie vorgeben. Das wäre beispielsweise eine Taschenlampen-App, die den Standort von Nutzern trackt und zu Werbezwecken weitergibt, ohne die Nutzer darüber zu informieren.

Accounts von Verdächtigen übernehmen

Fast am Ende des Entwurfs behandelt das Innenministerium ein weiteres Thema: Wenn jemand verdächtigt wird, eine schwere Straftat oder eine Straftat „mittels Telekommunikation“ begangen zu haben, sollen Behörden dessen Accounts übernehmen können.

Dazu sollen Verdächtige verpflichtet werden, ihre Passwörter herauszugeben. Tun sie das nicht, dürfen die Behörden versuchen, auf anderem Weg an die Zugangsdaten zu kommen.

Dabei geht es nicht primär darum, Informationen über die entsprechende Person zu erhalten. Die Ermittler sollen weitere Personen über diese Accounts kontaktieren dürfen und sich als der Verdächtigte ausgeben. In „den entsprechenden Szenen“ würden lange genutzte Accounts ein besonderes Vertrauen genießen, etwa auf Handelsplätzen für illegale Waren oder auf Plattformen, auf denen Bilder von sexualisiertem Kindesmissbrauch veröffentlicht werden.

Bisher können das Polizeien nur dann tun, wenn die Beschuldigten ihre Zugangsdaten freiwillig herausrücken. Da dies kaum jemand ohne Weiteres tun wird, weisen die Ermittler diese Personen regelmäßig „etwa auf positive Folgen der Hilfe zur Aufklärung oder Verhinderung von schweren Straftaten“ hin – stellen also eine Strafminderung in Aussicht. Das lasse „erforderliche Rechtssicherheit und Durchsetzbarkeit“ vermissen.

Repressive und offensive Ausrichtung von IT-Sicherheit

Vordergründig dienen die geplanten Maßnahmen des IT-Sicherheitsgesetzes 2.0 der IT-Sicherheit. Doch in einer Vielzahl der beabsichtigten Gesetzesänderungen geht es um mehr. Es werden neue Straftaten und Maßnahmen eingeführt, teils mit großen zu befürchtenden Schäden für legitime Systeme und Nutzungen.

Nicht nur bei Änderungen für das BSI im geplanten IT-Sicherheitsgesetz 2.0 ist das Ausdruck einer immer stärker werdenden repressiven und offensiven Ausrichtung von IT-Sicherheitspolitik.