Werbung
Wem das Gezerre zwischen der CDU und einer Hackerin des CCC hinsichtlich einer Sicherheitslücke innerhalb der eigenen CDU-App von 2021 noch in Erinnerung ist, der dürfte Parallelen in der folgende Konstellation erkennen können. Denn ähnlich ergeht es derzeit einem Softwareentwickler, welcher im Juni 2021 eine Sicherheitslücke in einem System von Modern Solution aufgespürt hatte. Dabei ging der IT-Experten sogar vorbildlich vor. Er informierte den Software-Dienstleister und veröffentlichte die Lücke erst, nachdem das Unternehmen den Fehler beseitigt hatten. Allerdings hatte der IT-Experte die juristischen Konsequenzen seines Handels dabei scheinbar unterschätzt.
Denn die Staatsanwaltschaft Köln reichte daraufhin einen Anklageschrift wegen des Verstoßes gegen § 202a StGB, besser bekannt als sogenannter Hacker-Paragraf, beim zuständigen Amtsgericht in Jülich ein. Konkret geht es um Daten von mehr als 700.000 Kunden verschiedenster Online-Marktplätze, welche durch ein Passwort in Klartext-Form nur unzureichend geschützt gewesen waren. Die zuständigen Jülicher Richter lehnten das Begehren der Staatsanwaltschaft Köln aber zunächst ab. Sie waren der Ansicht, dass "ein Passwort nicht in jedem Fall eine effektive Datensicherung" darstellt und lehnten so schon die Erfüllung des Tatbestands des § 202a StGB ab.
Die Staatsanwaltschaft Köln legte jedoch in der Folge gegen diese Entscheidung Berufung vor dem Landgericht Aachen ein, welches der Argumentation der Kollegen aus Jülich nicht folgte und Ende Juli 2023 entschied, dass der Fall nun doch vom Amtsgericht Jülich beurteilt werden muss. Neben dem Überwinden eines im Klartext vorliegenden Passwortes war den Richtern noch wichtiger, dass der Zugriff auf die Daten nur nach einer Dekompilierung möglich war. Daraus folgerten sie, dass der Zugriff "nur für einen eingeschränkten Personenkreis, der über das erforderliche Fachwissen verfügt" möglich gewesen und somit der Tatbestand an sich erfüllt sei.
Dass das Prozedere dabei juristisch formal korrekt sein könnte, ändert leider an der Tatsache nichts, dass sich IT'ler, die sich um die Sicherheit im Netz bemühen, so zur Zielscheibe für Strafverfolgungsbehörden machen.