Hackerparagraph: Hinweisgeber von Sicherheitslücke zur Geldstrafe verurteilt

Nun steht ein Urteil im Fall Modern Solutions: Der Hinweisgeber für eine Sicherheitslücke wurde zu einer Geldstrafe verurteilt, weil er trotz Responsible-Disclosure-Versuch gegen die Vorgaben aus dem Hackerparagraph verstoßen haben soll. Der Betroffene will in Berufung gehen, berichtet Heise Online.

Der Fall sorgt seit dem Start des Verfahrens für Aufsehen. Modern Solution ist ein Dienstleister für Handelssysteme, damit Kunden ihre Warenwirtschaftssysteme mit größeren Online-Shops wie Kaufland, Otto oder Idealo verbinden können. Ein Programmierer, der im Auftrag eines Modern-Solution-Kunden arbeitet, entdeckte 2021 eine Sicherheitslücke. Durch ein im Klartext sowie im Code fest verankertes Passwort hätte er auf bis zu 700.000 Kundendaten zugreifen können.

Der Programmierer wandte sich an einen Tech-Journalisten und meldete dann die Schwachstelle bei Modern Solution, wurde in der Folge aber angezeigt. Der Vorwurf war, er habe sich unberechtigt Zugriff auf die Kundendaten verschafft, was durch den § 202a StGB – auch „Hackerparagraph“ – unter Strafe steht. Wie Heise Online berichtet, folgte das Amtsgericht Jülich dieser Auffassung. Der Programmierer wurde zu einer Geldstrafe in Höhe von 3.000 Euro verurteilt und muss die Kosten des Verfahrens tragen.

Ein im Klartext hinterlegtes Passwort als ausreichender Schutz

Im Kern ging es bei dem Urteil um die Frage, ob ein Passwort für sich genommen bereits ausreichend ist, um die Vorgaben aus dem Hackerparagraphen greifen zu lassen. Für den Richter ist das laut dem Berichtet von Heise Online der Fall. Bei einem Datenbankzugriff sei das ein Schutzmechanismus, der „nicht für jedermann“ leicht zu umgehen sei und somit ausreichend ist, um den Straftatbestand zu erfüllen.

Die Verteidiger des Angeklagten hatten zuvor argumentiert, er habe lediglich eine „funktionale Analyse“ im Auftrag eines Kunden durchgeführt, der Probleme mit der Software hatte. Er sei selbst überrascht gewesen, als er mit dem in der Software hinterlegten Passwort nicht nur auf die Daten seines Kunden, sondern sämtliche Kundendaten zugreifen konnte. Die Verbindung habe er dann aber direkt getrennt.

Solche technischen Details spielten laut Heise Online bislang aber keine Rolle in dem Verfahren. Zeitweise ging es um die Frage, ob der Angeklagte die Software von Modern Solutions dekompiliert hatte. Der Anklagte sagte jedoch aus, er habe die fragliche Datei mit dem Passwort lediglich mit einem Texteditor geöffnet, der Datenbankzugriff erfolgte dann mit phpMyAdmin. Am Ende wurden diese Aspekte anscheinend nicht näher geprüft.

Hackerparagraph soll angepasst werden

Die Geldstrafe von 3.000 Euro blieb noch unter den von der Staatsanwaltschaft geforderten 5.400 Euro. Maximal möglich gewesen wäre eine Haftstrafe von bis zu drei Jahren. Noch ist das Urteil nicht rechtskräftig, der Angeklagte hat zudem Berufung angekündigt.

Nichtsdestotrotz steht der Fall beispielhaft für die Unwägbarkeiten, mit denen IT-Sicherheitsexperten beim Melden von Sicherheitslücken in Deutschland konfrontiert sind. Grund ist der äußerst umstrittene Hackerparagraph, der sowohl das Ausspähen von Daten und Passwörtern sowie den Einsatz dafür geeigneter Tools unter Strafe stellt. Selbst wenn sich Forschende korrekt verhalten, bleibt Unsicherheit, wie der Fall von Lilith Wittmann zeigt: Sie hatte eine Sicherheitslücke in einer Wahlkampf-App der CDU entdeckt. Die Partei stellte auch zunächst einen Strafantrag, zog die Anzeige – nach öffentlichem Druck – später wieder zurück.

Verbesserungen verspricht nun die Bundesregierung. Diese hat aber bereits im November 2023 angekündigt, den Hackerparagraphen reformieren zu wollen. Dieser steht auf einer Liste mit Gesetzen, die das Bundesjustizministerium anpassen will. Demnach soll das „Identifizieren, Melden und Schließen von Sicherheitslücken (…) in einem verantwortlichen Verfahren, z. B. in der IT-Sicherheitsforschung, legal durchführbar sein“.