Was läuft falsch im deutschen Cyberstrafrecht, dass nicht einmal die Gerichte ihre eigenen Rechtsvorschriften richtig anwenden können? Genau darum geht es in der heute erschienen MMR-Kommentierung von Sebastian Rockstroh und mir zur Entscheidung des LG Aachen zur Überwindung einer „Zugangssicherung“ zu Daten durch Dekompilierung von Software. Der Fall zeigt sehr deutlich, wie schwer sich Staatsanwaltschaften und Gerichte mit den Hacking-Straftatbeständen tun, wie komplex die Diskussion ist und warum gerade deshalb klare Richtlinien für die Nichtverfolgung von Forscher:innen und Penetrationstester:innen im Bereich der Informationssicherheit dringend erforderlich sind. Ein individuell konfiguriertes Passwort ist rechtlich gesehen eine typische Softwaresicherung gegen unberechtigten Zugang, ganz klar. Das kann aber keineswegs auch für das Kompilieren von Quellcode in den Objektcode gelten, wie das Gericht unzutreffenderweise feststellt. Deutlich wird mit dieser technisch fehl gehenden juristischen Auffassung ein gravierendes Problem, das weit über die abstrakten Rechtsnormen des Cyberstrafrechts hinausgeht: Die Richter waren mangels Know-how offenkundig nicht in der Lage, den technischen Sachverhalt juristisch angemessen zu bewerten. Allein mit einer Änderung des Cyberstrafrechts für mehr Rechtssicherheit für IT-Sicherheitsforscher:innen ist es deshalb nicht getan, sondern wir müssen endlich die seit Jahrzehnten unveränderten und überkommenen juristischen Ausbildungsmodelle reformieren und Jurist:innen dazu befähigen, grundlegende technische Sachverhalte selbst zu verstehen, wenn sie denn Recht sprechen wollen im IT-Sicherheitsrecht – denn nur so ist eine für alle nachvollziehbare und rechtssichere juristische Bewertung möglich.
#cybersecurity #hackerparagraf #whitehat #denniskenjikipker #jura #recht #law #gericht #staatsanwaltschaft #bremen #uni #hsb #mmr #beck #münchen