Infolge der fortschreitenden Digitalisierung von Wirtschaft, Staat und Gesellschaft muss der Gesetzgeber laufend dafür Sorge tragen, dass das Computerstrafrecht an die geänderten technischen und tatsächlichen Verhältnisse angepasst wird, wenn dies notwendig ist, um den angestrebten Rechtsgüterschutz aufrechtzuerhalten oder auch zu verbessern. Es muss gleichzeitig aber auch verhindert werden, dass das Strafrecht von Handlungen abschreckt, die im gesellschaftlichen Interesse erfolgen und daher wünschenswert sind.
Ziel des Referentenentwurfs ist die klare gesetzliche Abgrenzung von nicht zu missbilligendem Handeln der IT-Sicherheitsforschung einerseits von strafwürdigem Verhalten andererseits. Der Entwurf soll die bestehende Rechtsunsicherheit beseitigen und zudem bei schweren Begehungsformen, bei denen zum Beispiel kritische Infrastrukturen gefährdet oder beeinträchtigt werden, den Strafrahmen erhöhen.
Dem Koalitionsvertrag entsprechend soll das „Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren, wie in der IT-Sicherheitsforschung, legal durchführbar sein“. Die Schließung von Sicherheitslücken hat allergrößte Bedeutung für die Abwehr von Cyberangriffen durch Kriminelle und durch fremde Mächte. Das Aufspüren von Sicherheitslücken in IT-Systemen gehört zu den typischen Tätigkeiten der IT-Sicherheitsforschung. Für ihre Tätigkeit ist regelmäßig ein Zugriff auf fremde Informations-systeme und Daten notwendig, die sich bereits im praktischen Einsatz befinden. Diese Ausgangslage birgt Strafbarkeitsrisiken, die sich kontraproduktiv auswirken können, weil sie nicht nur von verbotenem, sondern auch von gesellschaftlich erwünschtem Verhalten abschrecken: Die erforderlichen Zugriffshandlungen können jene Straftatbestände erfüllen, die dem Schutz des formellen Datengeheimnisses bzw. der Unversehrtheit von Daten und IT-Systemen dienen (§§ 202a ff., 303a f. des Strafgesetzbuches – StGB).
Um bei § 202a StGB (Ausspähen von Daten) sowie § 202b StGB (Abfangen von Daten) alle strafwürdigen Angriffe angemessen ahnden zu können, sollen Regelbeispiele mit erhöhtem Strafrahmen für besonders schwere Fälle eingeführt werden.
