|
Liebe Leserinnen und Leser,
in dieser Ausgabe geht es um Roboter in Pflegeheimen, den ersten autonom fahrenden Linienbus und die Aufhebung der Amtsverschwiegenheit in Österreich. Das Thema im Fokus behandelt das derzeitige Computerstrafrecht und zeigt auf, welche Risiken von ethisch verantwortlichem Hacking ausgehen können. In den GI-Mitteilungen weisen wir Sie auf den Livestream mit GI-Präsidentin Regitz zum Thema Digitalisierung und Nachhaltigkeit am heutigen Freitag um 18 Uhr hin, stellen die vier neuen Junior-Fellows vor, freuen uns mit Bo Xiong über seinen GI-Dissertationspreis, ermöglichen Ihnen einen ersten Blick auf die Kandidatinnen und Kandidaten für Vorstand und Präsidium und berichten aus der Regionalgruppe Braunschweig, wo unsere Präsidentin Christine Regitz zum Thema Digitalisierung und Nachhaltigkeit gesprochen hat. Im Fundstück geht es ums Vertrauen.
Wir wünschen Ihnen viel Spaß mit dieser Ausgabe.
auf gi-radar.de weiterlesen
Roboter im Pflegeheim + autonom fahrender Linienbus + Österreich nicht mehr verschwiegen + Computerstrafrecht + Livestream mit GI-Präsidentin Regitz zu Digitalisierung und Nachhaltigkeit + GI-Junior-Fellows + GI-Dissertationspreis + Wahllisten für Vorstand und Präsidium + GI-Präsidentin Christine Regitz bei der Regionalgruppe Braunschweig + Hello Stranger
KURZMITTEILUNGEN
Demographischer Wandel und Roboter im Einsatz (taz). Der Pflegenotstand in Heimen ist immer wieder ein Thema und mit dem demographischen Wandel wird dieses Problem zunehmen. Vermeintlich haben ältere Menschen Vorbehalte gegen technische Hilfsmittel, aber mitunter kann ein Roboter die Stimmung aufhellen. Roboter Charlie macht Gymnastikübungen vor und spielt Musik ab. Den älteren Menschen im Pflegeheim versüßt dies den Alltag. weiterlesen
Pilotprojekt autonom fahrender Linienbus (NDR). In Burgdorf bei Hannover startet Mitte September der erste autonom fahrende, elektrisch betriebene Linienbus. Der Bus namens albus soll künftig stündlich vom Bahnhof Burgdorf fahren und elf Haltestellen bedienen. weiterlesen
Amtsverschwiegenheit in Österreich endet (Netzpolitik.org). Bis jetzt galt in Österreich die sogenannte „Amtsverschwiegenheit“. Am 1. September ist nun das Gesetz für Informationsfreiheit in Kraft getreten, das der österreichischen Bevölkerung ermöglicht, Informationen vom Staat einzuholen. Darüber hinaus muss der Staat bestimmte Informationen auch von sich aus veröffentlichen. Es bleibt abzuwarten, inwieweit diese Möglichkeiten von der Bevölkerung genutzt werden. weiterlesen
THEMA IM FOKUS
Computerstrafrecht dringend reformbedürftig. Bereits im GI-Radar 383 wurden komplexe Fragestellungen der Cybersicherheitsforschung beleuchtet und aufgezeigt, wie Simulationsgerichte helfen können, juristische Grenzen zu erproben. Dennoch stehen IT-Sicherheitsforschende – obwohl sie im öffentlichen Interesse handeln und ihre Arbeit angesichts geopolitischer Spannungen und einer steigenden Bedrohungslage wichtiger denn je ist – weiterhin unter Druck und sie sehen sich teils erheblichen Repressionen ausgesetzt. Umso dringlicher ist es, dass die Politik schnell Rechtssicherheit schafft und ein grundlegendes Umdenken einsetzt.
Exkursion zu ethischem Hacking und Computerstrafrecht: Seit den 1980er Jahren gibt es in Deutschland ein Computerstrafrecht. 1986 wurde § 263a StGB („Computerbetrug“) durch das Zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität eingeführt, um eine Strafbarkeitslücke zu schließen: Gewöhnlicher Betrug setzte die Täuschung eines Menschen voraus, was bei Manipulationen an Computersystemen nicht gegeben war. Im Zuge weiterer Modernisierungen folgten 1998 Ergänzungen durch das Sechste Strafrechtsreformgesetz und 2003 ein weiteres Strafrechtsänderungsgesetz, das erstmals auch Vorbereitungshandlungen unter Strafe stellte. Dies wurde, wie eine weitere Reform 2007, massiv kritisiert (bundestag.de). In der Folge kam es sogar zu mehreren Selbstanzeigen (heise.de), die jedoch nie zu einer Verurteilung und damit auch nicht zu einer möglichen Abmilderung des sogenannten „Hackerparagraphen“ führten. Auch sonstige Verfassungsbeschwerden liefen ins Leere (heise.de).
Der Hauptkritikpunkt der IT-Sicherheitscommunity bleibt bis heute bestehen: Das bestehende Computerstrafrecht in Deutschland unterscheidet nicht zwischen maliziöser oder gutartiger Absicht, womit das Strafrecht unmittelbar IT-Fachleute und ihre (Forschungs-)arbeit betreffen kann und, wie wir später an Beispielen sehen werden, bereits betroffen hat. Sicherheitsforschende haben auf diesen Umstand in der Vergangenheit bereits mehrfach und nachdrücklich hingewiesen und auch die Vorteile von IT-Sicherheitsforschung dargelegt (sec4research.de). HackerInnen agieren zudem nicht nach Belieben, sondern haben sich selbst verantwortliche Regeln auferlegt, welche ein ethisches Handeln bewirken sollen – insbesondere die sogenannte Hackerethik (ccc.de). Ethisches Hacking und das verantwortungsvolle Offenlegen von Schwachstellen sind entscheidend für eine widerstandsfähige Cybersicherheit und Gesellschaft. Nur durch das Aufdecken von Fehlern können Systeme verbessert werden. Paradoxerweise stellt jedoch das Strafrecht diesem natürlichen Verbesserungsprozess Hindernisse in den Weg – mit der Folge, dass potenzielle Fortschritte ausbleiben oder sogar ein „Shooting-the-Messenger“-Verhalten entsteht, wie die untenstehenden Beispiele zeigen.
Ein besseres Computerstrafrecht ist möglich: International gibt es auch Positiv-Beispiele für ein entsprechend fortschrittliches Strafrecht (youtube.com). Aus einem umfassenden Rechtsvergleich des wissenschaftlichen Dienstes des deutschen Bundestages lässt sich beispielsweise entnehmen, dass einige Länder der EU bereits die entsprechende Absicht einer möglichen Tat in den Straftatbestand aufgenommen haben (bundestag.de), was meldende Personen, welche in guter Absicht handeln, schützen kann.
Konkrete Fälle: In den letzten Jahren gab es mehrere Fälle verantwortungsvoller Offenlegung von Schwachstellen, bei denen Handlungen, die offensichtlich im öffentlichen Interesse lagen, dennoch zu Einschüchterungen oder Beschuldigungen führten. Ein kurzer Überblick:
Im Mai 2021 entdeckte die Sicherheitsforscherin Lilith Wittmann in einer Wahlkampf-App der CDU, dass personenbezogene Daten ohne weitere Authentifizierung abrufbar waren. Die CDU erstattete anschließend Strafanzeige gegen Wittmann (lilithwittmann.medium.com). Als Reaktion verkündete der Chaos Computer Club (CCC), keine Sicherheitslücken mehr an die CDU melden zu wollen (ccc.de). Später wurden die Ermittlungen eingestellt und ein datenschutzrechtliches Prüfverfahren gegen die CDU eingeleitet (netzpolitik.org).
Der Softwareentwickler Hendrik Heinle entdeckte 2021, dass über 700.000 Kundendaten (darunter Bestellungen, Adressen, Kontodaten von Online-Diensten wie Otto, Check24 und Kaufland) schlecht gesichert waren und meldete dies dem verantwortlichen Dienstleister Modern Solution GmbH & Co. KG (spiegel.de). In der Folge erstattete das Unternehmen Strafanzeige. Es kam zu einer Hausdurchsuchung bei dem Sicherheitsforscher; Urteile und Geldstrafe wurden in mehreren Instanzen bestätigt (heise.de). Der IT-Sicherheitsforscher reichte zuletzt Verfassungsbeschwerde ein, sodass das Verfahren vor dem Bundesverfassungsgericht geführt wird, da der normale Rechtsweg ausgeschöpft ist (heise.de).
Der Softwareentwickler Daniel Ilin entdeckte im März 2022 eine kritische Sicherheitslücke im Musikdienst Beatclub und meldete diese verantwortlich an das Unternehmen. Anschließend setzte das Unternehmen offenbar einen Privatdetektiv auf den Softwareentwickler an, um ihn einzuschüchtern und informierte Betroffene des Vorfalls nur verzögert und unvollständig (golem.de).
Der Autor dieses Themas im Fokus meldete Ende 2024 eine kritische Sicherheitslücke an einen israelischen Softwarehersteller von Videoobservationssystemen (mint-secure.de). Da eine Rückmeldung durch den Hersteller über Monate ausblieb, wandte er sich anschließend an betroffene Ermittlungsbehörden weltweit. Eine der betroffenen Behörden war eine Spezialeinheit der Polizei in Luxemburg (wikipedia.org), welche über das nationale CERT informiert wurde. Zunächst bedankte man sich für den Hinweis und nahm ihn in die „Hall of Fame“ auf (govcert.lu). Einige Tage nach einem Vortrag auf einer Veranstaltung des Chaos Computer Club (media.ccc.de) wurde ein Ermittlungsverfahren eröffnet, in dem der Autor dieses Beitrags als Beschuldigter geführt wurde. Das Verfahren wurde Mitte 2025 ergebnislos eingestellt (mint-secure.de). Einen Patch vom Hersteller gab es jedoch nicht.
Sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI), ausgerechnet die Behörde, die für Cybersicherheit in Deutschland hauptsächlich zuständig ist, hat 2013 einmal Sicherheitsforschenden mit juristischen Schritten gedroht als diese Sicherheitsmängel in Verschlüsselungsalgorithmen im BSI-Tool „GSTool“ gefunden haben (golem.de).
Es ist Zeit zu handeln – Koalitionsvertrag sieht mehr Rechtssicherheit vor: Die geschilderten Fälle zeigen eindrücklich, dass akuter Handlungsbedarf besteht und das Computerstrafrecht dringend reformiert werden muss. Die Ampel-Regierung hatte 2024 bereits eine Reform des Computerstrafrechts geplant und es gab Gesetzentwürfe dazu, die sich bis heute auf der Website des BMJV abrufen lassen (bmjv.de). Die GI und weitere Verbände haben umfassende Stellungnahmen dazu abgegeben (gi.de) und teilweise weitergehenden Schutz gefordert (heise.de). Das Ampel-Aus verhinderte jedoch die Umsetzung der Reform. Unter anderem aufgrund einer starken Stimme der Sicherheitsforschenden (cysec-reform.jetzt) wurde das Thema im Koalitionsvertrag aufgenommen, dort heißt es auf Seite 92: „Wir werden im Computerstrafrecht Rechtssicherheit für IT-Sicherheitsforschung schaffen, wobei wir Missbrauchsmöglichkeiten verhindern.“ (koalitionsvertrag2025.de). Passiert ist, trotz steigender Bedrohung, seitdem: Nichts. Jüngst hat das Bundeskabinett zwar Eckpunkte für mehr Cybersicherheit beschlossen (bundesregierung.de), jedoch bleiben die Vorhaben abstrakt und weit hinter den Erwartungen zurück (netzpolitik.org). Besonders eine Reform des Computerstrafrechts sowie die Einführung einer rechtlich bindenden Verpflichtung, auf externe Hinweise zu Sicherheitslücken reagieren zu müssen, könnten eine echte Kehrtwende bewirken und langfristig für mehr Cybersicherheit sorgen.
Aktuelle Auswege aus der Rechtsunsicherheit & Ausblick: Solange diese rechtlichen Unsicherheiten bestehen, bleibt Sicherheitsforschenden beim Entdecken gravierender Sicherheitslücken derzeit oft nur die Möglichkeit, diese anonym oder über einen Vermittler wie den Chaos Computer Club (ccc.de) zu melden, um dennoch verantwortungsvoll zu handeln. Ende letzten Jahres konnte so beispielsweise offengelegt werden, dass Bewegungs- und Kontaktdaten von 800.000 Volkswagenbesitzern ungeschützt im Internet erreichbar waren (spiegel.de). Auch auf dem diesjährigen Internet Governance Forum des IGF-D am 10.09.2025 in Berlin (igf-d.de) wird über ein zukunftsfähiges Computerstrafrecht debattiert. Es ist zu hoffen, dass zeitnah eine Reform umgesetzt wird, die Sicherheitsforschenden die Möglichkeit gibt, rechtssicher einen entscheidenden Beitrag zur Absicherung von IT-Systemen zu leisten, ohne das Risiko unangemessener Strafverfolgung tragen zu müssen. Schließlich profitiert die gesamte Gesellschaft davon, wenn auf Sicherheitslücken hingewiesen und transparent darüber berichtet wird (ccc.de). So lässt sich lernen, Fehler künftig zu vermeiden und Daten effektiv zu schützen – was im Interesse aller sein sollte.
Diesen Beitrag hat Tim Philipp Schäfers beigesteuert. Er wurde 2017 zum Junior-Fellow der Gesellschaft für Informatik ernannt und ist Gründer und Geschäftsführer der Mint Secure GmbH, meldet verantwortlich Sicherheitslücken und lehrt IT-Security an der Fachhochschule der Wirtschaft in Paderborn.
GI-MELDUNGEN
Freitag, 5. September 18 Uhr: Livestream „Digitalisierung & Nachhaltigkeit: So transformieren Megatrends unsere Wirtschaft“ mit GI-Präsidentin Christine Regitz. Wolfgang Bogler diskutiert mit der GI-Präsidentin unter anderem über zentrale Erfolgsfaktoren der digitalen Transformation wie die Sicherung digitaler Souveränität, die Förderung von Innovationen und die Gewinnung von Fachkräften. Seien Sie live dabei! weiterlesen
Neugierig auf die neuen Junior-Fellows? Am 16. September beim Abendempfang küren wir vier neue Junior-Fellows. Aus vielen Bewerbungen hat die Jury unter Leitung von Andreas Oberweis vier tolle junge Leute ausgesucht, die zu ganz unterschiedlichen Themen forschen. Seien Sie gespannt! weiterlesen
Wo der Mensch schlauer ist als die KI: GI-Dissertationspreis für Bo Xiong. Auch wenn manche der KI übernatürliche Fähigkeiten zusprechen, kann sie nicht alles. Eindrucksvoll hat dies Bo Xiong in seiner Dissertation „Geometric Relational Embeddings“ bewiesen. Seine geometrischen Modelle ermöglichen eine weitaus größere Präzision als die reine KI-Anamnese. Wir gratulieren. weiterlesen
Neugierig auf die Wahllisten für Vorstand und Präsidium? Offiziell werden die Kandidatinnen und Kandidaten für Vorstand und Präsidium auf der Mitgliederversammlung vorgestellt und verabschiedet. Die vom Präsidium eingesetzten Kommissionen haben bereits ihre Vorarbeit geleistet. Wenn Sie neugierig sind, wer sich für unsere Fachgesellschaft zur Wahl stellt, können Sie sich hier einen ersten Eindruck verschaffen. weiterlesen
GI-Präsidentin bei der Regionalgruppe Braunschweig. Auf Einladung der Regionalgruppe Braunschweig hat GI-Präsidentin Christine Regitz bei der dortigen Veranstaltung einen Vortrag gehalten zum Thema Digitalisierung und Nachhaltigkeit. Einen Schwerpunkt legte sie dabei auf das Thema Informatik in der Schule. weiterlesen
Kennen Sie eigentlich den GI-Pressespiegel? Dort sammeln wir die Berichterstattung über unsere Fachgesellschaft in Zeitungs-, Radio- und Fernsehbeiträgen. Schauen Sie rein, es gibt da immer wieder Neues oder auch ältere Fundstücke.
FUNDSTÜCK
Experiment zum sozialen Vertrauen visualisiert. Was passiert wohl, wenn man zwei wildfremde Menschen per Videocall zusammenbringt und sie bittet, 30 Minuten lang miteinander zu plaudern? Das Team von „The Pudding“ hat fast 1700 solcher Gespräche aus einem Forschungsprojekt ausgewertet und die Ergebnisse in eine wunderbar gestaltete, interaktive Story verpackt. Verblüffend: Obwohl die meisten Teilnehmer vorher skeptisch waren, fühlten sich die allermeisten nach dem Gespräch deutlich besser – egal ob jung mit alt sprach, verschiedene ethnische Hintergründe aufeinandertrafen oder unterschiedliche politische Ansichten im Raum standen. Ein toller Einblick in die Wissenschaft des sozialen Vertrauens, der zeigt, warum wir die Begegnung mit Fremden systematisch unterschätzen und was das mit dem schwindenden gesellschaftlichen Zusammenhalt zu tun hat. Es lohnt sich! Zum Fundstück (pudding.cool)
Welches Fundstück hat Sie zuletzt inspiriert? Senden Sie uns Ihre Ideen!
Dies war Ausgabe 385 des GI-Radars vom 05.09.2025. Zusammengestellt hat diese Ausgabe Dominik Herrmann – der darauf hofft, dass Sie der Redaktion auch in Zukunft vertrauen, auch wenn die Kommunikation über das Radar meist eine Einbahnstraße ist. Die Kurzmitteilungen und die GI-Meldungen hat GI-Geschäftsführerin Cornelia Winter zusammengestellt. Das nächste GI-Radar erscheint am 19. September.
Im GI-Radar berichten wir alle zwei Wochen über ausgewählte Informatik-Themen. Wir sind sehr an Ihrer Meinung interessiert. Für Anregungen und Kritik haben wir ein offenes Ohr, entweder per E-Mail (redaktion@gi-radar.de) oder über das Feedback-Formular bei SurveyMonkey. Links und Texte können Sie uns auch via X unter @informatikradar zukommen lassen.
|
