Ein Programmierer erhielt den Auftrag von einem Onlinehändler, auf dessen Homepage einen Fehler zu untersuchen. Auf der Suche nach dem Fehler stieß der Programmierer in dem Quellcode des verwendeten Datenbankprogramms auf ein Passwort im Klartext, mit dem er Zugriff auf alle rund 700.000 Kundendaten des Entwicklers des Datenbankprogramms erhielt. Daraufhin informierte er den Softwareentwickler anonym per E-Mail, um ihn auf den Fehler aufmerksam zu machen. Zur Veranschaulichung fügte er Screenshots der erhaltenen Kundendaten bei.
Das war keine gute Idee: Das AG Jülich verurteilte ihn wegen Ausspähens von Daten zu einer Geldstrafe von 50 Tagessätzen. Auch seine Berufung vor dem LG Aachen blieb erfolglos.
Das LG (Urteil vom 04.11.2024 – 74 NBs 34/24) bejahte ebenfalls das Vorliegen sämtlicher Tatbestandsvoraussetzungen des § 202a Abs. 1 StGB: Der Programmierer habe sich unbefugt unter Überwindung besonderer Zugangshindernisse Zugang zur Datenbank verschafft. Das zufällig entdeckte Passwort hat er nach Ansicht der Aachener Richterinnen und Richter unbefugt benutzt, denn der Zugriff auf fremde Kundendaten sei auf keinen Fall von der Nutzungslizenz der Auftraggeberin umfasst gewesen. Sie könne nur für die eigenen Kundendaten reichen.
Der Programmierer könne sich auch nicht damit herausreden, dass das Passwort im Quellcode keine besondere Zugangssicherung mehr darstelle, weil er ohne seine speziellen beruflichen Kenntnisse überhaupt nicht auf das Passwort gestoßen wäre. Es genüge schon die Sicherung gegenüber Laien – selbst eine nachlässige. Die Daten hat er sich dem LG zufolge gleich in zweifacher Hinsicht verschafft: Erst durch die Kenntnisnahme und dann auch noch durch die Anfertigung der Screenshots.
Rechtfertigung nach Notstandsparagraf greift nicht
Auch seine fehlende Böswilligkeit komme ihm nur im Rahmen der Strafzumessung zugute. Zwar habe der Gesetzgeber nur sogenannte Black-Hat-Hacker bestrafen wollen, also Personen, die sich mit böser Absicht einhacken, um Daten zu erbeuten und sie für sich zu nutzen. Sogenannte White-Hat-Hacker, die im Auftrag eines Unternehmens in deren Netzwerke eindringen, sollten straffrei bleiben. Dazwischen gibt es sogenannte Grey-Hat-Hacker, die zwar ohne Auftrag in fremde Netzwerke eindringen, ihre Erkenntnisse aber nicht für sich ausnutzen, im Gegenteil oftmals sogar den Unternehmen, in deren Netzwerke sie eingedrungen sind, Hinweise auf die Sicherheitslücken geben.
Für solche Grey-Hat-Hacker kommt ein rechtfertigender Notstand nach § 34 StGB in Betracht. Voraussetzung hierfür ist aber, dass die Sicherheitslücke schon vor dem Eindringen in das System bekannt ist. Ein verdachtsmäßiges Eindringen in ein Informationssystem wird von § 34 StGB regelmäßig nicht erfasst. Daran wäre die Anwendung hier wohl gescheitert, dem Gericht reichte es allerdings schon, dass der Hacker mildere Mittel hätte verwenden können - und müssen - als Screenshots anzufertigen. Eine einfache Mail hätte es auch getan.
Genau an diesem Punkt sollte eine Reform des Hackerparagrafen ansetzen. Der damalige Justizminister Marco Buschmann wollte Grey-Hat-Hacker unter bestimmten Voraussetzungen straffrei stellen: Erstens muss das Eindringen in der Absicht erfolgt sein, eine Sicherheitslücke festzustellen. Zweitens muss die Absicht bestehen, eine verantwortliche Stelle, die diese Lücke schließen kann, darüber zu informieren. Und drittens muss diese Handlung erforderlich sein, um eine Sicherheitslücke festzustellen. Der Gesetzesentwurf ist aber der Diskontinuität anheimgefallen, ein neuer Anlauf wird in der nächsten Legislaturperiode erwartet.
