Modern Solution: IT-Experte wegen Nutzung einer Zugriffssoftware verurteilt

Das Amtsgericht Jülich hat gestern einen Softwareentwickler verurteilt, der im Juni 2021 eine Schwachstelle in einem IT-System des Gladbecker IT-Dienstleisters Modern Solution entdeckt und gemeldet hatte. Durch ein im Klartext hinterlegtes Passwort war es dem Entwickler damals möglich, auf Daten von mehr als 700.000 Kunden verschiedener Online-Marktplätze zuzugreifen. Statt sich zu bedanken, zeigte Modern Solution den Entdecker der Schwachstelle an – er habe sich unrechtmäßig Zugang zu den Kundendaten verschafft, hieß es damals.

Das Jülicher Gericht habe nun festgestellt, dass für den Zugriff auf die Datenbank eine Zugriffssoftware erforderlich war, erklärt Frank Reiermann von DN-News, der nach eigenen Angaben persönlich bei der mündlichen Verhandlung anwesend war. Mit dem Einsatz dieser Software habe der Beschuldigte nach Einschätzung des Amtsgerichts gemäß §202a StGB eine ausreichend hohe Hürde überwunden, um sich strafbar zu machen.

Konkret ging es wohl um die Verwendung des weitverbreiteten Datenbank-Administrationstools phpMyAdmin, in das der Angeklagte das entdeckte Passwort eingegeben hatte, um auf die Datenbank von Modern Solution zuzugreifen. Für das Gericht war die Nutzung des Tools offenbar Grund genug, den Entwickler zu einer Geldstrafe von 50 Tagessätzen respektive 3.000 Euro zu verurteilen.

Der Strafantrag wurde zuerst abgelehnt

Bemerkenswert ist, dass das Jülicher Gericht den von der Staatsanwaltschaft Köln eingereichten Strafantrag eigentlich erst im Mai letzten Jahres abgelehnt hatte. Die Daten seien ohnehin nicht ausreichend geschützt gewesen, so dass der Entwickler keine Straftat im Sinne des Hackerparagrafen 202a StGB begangen habe, hieß es damals noch.

Die Kölner Staatsanwaltschaft ging jedoch in Berufung, woraufhin das Landgericht Aachen Ende Juli entschied, das Amtsgericht Jülich müsse den Fall doch verhandeln. Mit dem Passwortschutz habe eine Sicherheitsbarriere vorgelegen, die der Beschuldigte bewusst passiert habe, so das Hauptargument. Obendrein sei ihm der Datenbankzugriff nur durch sein "tiefes Verständnis über Programmiersprachen und Softwareentwicklung" möglich gewesen.

Ein neuer Hackerparagraf ist in Arbeit

Für viele deutsche Sicherheitsforscher und andere IT-Experten ist dieser Fall von großem Interesse. Das Melden einer Sicherheitslücke zu bestrafen, könnte zur Folge haben, dass IT-Fachkräfte in Zukunft davor zurückschrecken, entdeckte Sicherheitslücken zu melden. Ohne die Kenntnis darüber würde diese dann aber auch gewiss niemand schließen.

Der Hackerparagraf steht ohnehin schon länger in der Kritik. Die Bundesregierung ist aber inzwischen dabei, diesen zu überarbeiten. Das sogenannte White-Hacking könnte damit legalisiert werden. Ein Entwurf für einen neuen Hackerparagrafen soll in der ersten Jahreshälfte 2024 vorgelegt werden.

Die deutsche IT-Sicherheitsexpertin und Aktivistin Lilith Wittmann appellierte angesichts des jüngsten Urteils in einem X-Beitrag an das BMJ, das Ministerium möge sich mit der Abschaffung des aktuellen Hackerparagrafen beeilen – "oder wir haben in Deutschland bald ein Problem".