In Deutschland sorgt das Aufdecken von Sicherheitslücken in Computersystemen immer wieder für Diskussionen, insbesondere wenn die Frage der Strafbarkeit für sogenannte „White-Hat-Hacker“ ins Spiel kommt. Ein aktueller Fall bietet ein anschauliches Beispiel dafür, wie die rechtlichen Grenzen verlaufen und welche Konsequenzen die Veröffentlichung von Schwachstellen haben kann.
Prozessverlauf und rechtliche Bewertung
Ein freiberuflicher IT-Dienstleister wurde 2021 vom Software-Anbieter Modern Solution angezeigt, nachdem er eine erhebliche Sicherheitslücke in deren Software aufgedeckt und veröffentlicht hatte. Die Lücke ermöglichte Zugriff auf persönliche Daten von fast 700.000 Online-Shop-Kunden. Obwohl die Schwachstelle nach der Meldung an das Unternehmen behoben wurde, entschloss sich der Programmierer, sie in einem branchenrelevanten Blogbeitrag öffentlich zu machen. Einige Monate später kam es daraufhin zu einer polizeilichen Durchsuchung seiner Geschäftsräume und zur Beschlagnahme seines Arbeitsmaterials.
Der Prozess: Diskussion um § 202a StGB
Der Fall wurde zunächst vom Amtsgericht Jülich verhandelt. Die Staatsanwaltschaft beschuldigte den Programmierer des Ausspähens von Daten nach § 202a StGB, insbesondere weil er ein in der Software eingebettetes Passwort entschlüsselt und sich unbefugt Zugang zur Datenbank des Unternehmens verschafft habe. Nach Ansicht des Gerichts ist der bloße Passwortschutz jedoch nicht in jedem Fall eine hinreichende Schutzmaßnahme, um den Straftatbestand des § 202a StGB zu erfüllen – insbesondere, wenn das Passwort leicht zugänglich ist und die Entschlüsselung mit allgemein verfügbaren Programmen möglich ist.
Der Angeklagte hatte argumentiert, dass das Passwort in Klartext in der Software enthalten und mit standardmäßigen Dekompilier-Programmen zugänglich war, was aus technischer Sicht nicht die höchste Schutzstufe darstellt. Gleichwohl stufte das Amtsgericht den Zugriff als unbefugten Eingriff in das fremde Computersystem ein und verhängte eine Geldstrafe von 3000 Euro. Die Verteidigung kündigte jedoch Berufung an.
Berufung: Landgericht bestätigt Verurteilung
Im Berufungsprozess vor dem Landgericht Aachen blieb das Urteil gegen den IT-Experten bestehen. Das Gericht stellte klar, dass der Zugriff auf die Kunden-Datenbank strafbar sei, unabhängig davon, wie einfach das Passwort zu extrahieren war. Entscheidend war vielmehr, dass der Programmierer das System trotz seines Wissens um die unrechtmäßige Zugriffsrechte betrat und die Kundendaten sicherte. Anhand von Screenshots der sensiblen Daten, die der Angeklagte erstellt hatte, ließ sich der Zugriff zweifelsfrei belegen.
Das Gericht betonte, dass der Angeklagte den Zugriff hätte abbrechen können, als ihm bewusst wurde, dass er Zugang zu sensiblen Kundendaten hatte, die ihm nicht zustanden. Das Erstellen der Screenshots war für das Gericht der ausschlaggebende Punkt, um die Strafbarkeit zu bejahen. Für die Strafbarkeit sei es zudem unerheblich, wie der Beschuldigte an das Passwort gelangt sei, da dieses nicht öffentlich zugänglich war.
Ausblick: Revision und die Rolle des § 202a StGB
Die Verteidigung plant, Revision gegen das Urteil einzulegen, da die rechtliche Auslegung des Hackerparagrafen weiterhin umstritten ist. Die Entscheidung liegt nun beim Oberlandesgericht Köln, das prüfen wird, ob das Verfahren ordnungsgemäß durchgeführt wurde. Hier wird jedoch keine erneute Beweisaufnahme stattfinden; die Revision bezieht sich vor allem auf verfahrensrechtliche Aspekte.
Fazit zur Strafbarkeit der Aufdeckung von Sicherheitslücken
Dieser Fall zeigt die rechtlichen Herausforderungen und potenziellen Risiken, denen sich IT-Experten ausgesetzt sehen, wenn sie Sicherheitslücken aufdecken und veröffentlichen. Das deutsche Strafrecht schützt Daten, die gegen unberechtigten Zugriff gesichert sind. Im Falle von Sicherheitslücken, die leicht zugänglich sind, bleibt die strafrechtliche Bewertung jedoch eine Gratwanderung.
