Auf der 24. Gulaschprogrammiernacht durften wir gemeinsam mit der Gesellschaft für Informatik (GI) und Anoxinon e.V. einen Workshop zur Reform des Computerstrafrechts halten.
Das Interesse war groß, der Workshop war schnell ausgebucht und die Warteliste lang. Wir haben deshalb jeden verfügbaren Stuhl im Raum herangeschafft. Das freut uns einerseits, andererseits ist das große Interesse aber auch eine große Problemanzeige. Es gibt einen extrem großen Gesprächsbedarf. Nach dem Fall „Modern Solution” hat die Rechtsunsicherheit gefühlt und real zugenommen, während in anderen Ländern der Kulturwandel von Strafbarkeit zu Anerkennung eines sicherheitsrelevanten „digitalen” Ehrenamts geglückt ist.
Wir hatten uns bewusst für einen nicht aufgezeichneten Workshop entschieden, rückblickend der richtige Ansatz. Wegen des großen Diskussionsbedarfs haben wir das Format spontan angepasst und Raum für die Beiträge der Teilnehmenden geschaffen. Gekommen waren Betroffene, politisch Aktive und Interessierte, viele Menschen, die entweder selbst schon erlebt haben, dass auf das Melden einer Schwachstelle eine Hausdurchsuchung folgen kann, oder die genau das verhindern wollen. Und das, während das Bundesamt für Sicherheit in der Informationstechnik (BSI) schon längst nicht mehr alle Meldungen annehmen und bearbeiten kann. Dabei hat die berechtigte Kritik am sogenannten Hackerparagraphen eine lange Geschichte. Die geltende Rechtslage erschwert es Sicherheitsforschenden, Schwachstellen rechtssicher zu melden. Allein das Verwenden sogenannter „Hackertools” zur Sicherung oder deren Besitz kann als Indiz bei der Strafverfolgung gelten.
Eine Reform wurde von der Ampel-Koalition versprochen, es folgte ein breiter Beteiligungsprozess, der auch von der Zivilgesellschaft größtenteils positiv aufgenommen wurde. Der Einstieg in konkrete Verhandlungen wurde durch das Zerbrechen der Koalition aber gestoppt, die aktuelle Bundesregierung hat das Vorhaben erneut bekräftigt, aber bisher passierte seitdem leider nichts. Während also z.B. E-Sports gemeinnützig wurde (es sei allen Games-Begeisterten gegönnt), steht ausgerechnet dieses wichtige Thema weiter im Wartemodus. Die GI hat aus diesem Grund dankenswerterweise eine Konsultation als Erinnerungshilfe angestoßen, bei deren Verbreitung wir als LOAD e.V u.a. mit Teilnahme an Fachworkshops, einer Diskussion auf unserem eigenen Real-Life-Treffen mit Marieke, Helen und Wiebke und nun dem gemeinsamen Workshop gerne unterstützen.
In Karlsruhe stand neben der Frage, wie Responsible Disclosure aussehen kann, damit Menschen Schwachstellen melden können, ohne sich selbst zu gefährden (einschließlich der eigenen beruflichen Existenz, beispielsweise durch monatelang konfiszierte Arbeitsmittel), auch die Frage nach einer Kulturänderung im Zentrum der Diskussion.
Die Diskussion endete nicht mit dem Workshop. Während der gesamten GPN ergaben sich weitere Gespräche und Follow-Ups, und wir werden die unterschiedlichen Ideen über die Veranstaltung hinaus mit Interessierten aus der Community weiterverfolgen. Ein Strang, der uns besonders beschäftigt, ist der Kulturwandel. IT-Sicherheitsforschung ist Ehrenamt und sollte auch als solches anerkannt werden. Erste Ideen, die wir mit den Teilnehmenden gesammelt haben sind beispielsweise das gezielte Vorschlagen z.B. von Hall-of-Fame-Forschenden oder weiteren öffentlich bekannten Sicherheitsforschenden zum Tag des Ehrenamts, für Würdigungen im Rahmen von Ehrenamtspreisen, Einladung von Mandatsträger:innen von der Kommune bis zum Bund in Hackerspaces/Makerspaces. Zudem wollen wir das Thema auch in der Kommunalpolitik verankern. Denn das Bild und die Wertschätzung müssen sich ändern. Länder wie die Niederlande oder Portugal zeigen, wie ein Umdenken aussehen kann.
In einem nächsten Schritt entwickelt die GI aus den Ergebnissen der Workshops, an denen unter anderem juristische Expert:innen, Vertreter der Zivilgesellschaft sowie Wirtschafts- und Industrievertreter teilgenommen haben, und den weiteren Konsultationen ein Whitepaper als Grundlage für die Ansprache von Ministerien. Wir freuen uns gerade jetzt über Menschen, die sich mit Rückmeldungen, Wissen, der Verbreitung usw. einbringen wollen – in der Hoffnung, dass 2026 das Jahr wird, in dem wir auf dem 40C3 gemeinsam feiern können, dass es für das Finden und Melden von Sicherheitslücken Dank und/oder Bug Bounties statt Aktenzeichen gibt.