Dieser Artikel beantwortet Ihnen folgende Fragen:
Was bestraft der sog. Hackerparagraph § 202a StGB?
Warum sorgt das aktuelle Urteil für so viel Kontroverse?
Warum steht § 202a StGB in der Kritik?
AG Jülich, Urteil vom 17.01.2024 (Az. 17 Cs-230 Js 99/21-55/23) Ein aktuelles Gerichtsurteil sorgt für Aufsehen: Ein Programmierer, der eine schwerwiegende Sicherheitslücke in der Software der Firma Modern Solution aufdeckte, wird nun unter den Hackerparagraphen gestellt. Dies wirft erneut die Frage auf, wie Deutschland mit IT-Sicherheitsforschern und Schwachstellenmeldungen umgeht.
Strafgesetzbuch (StGB)
§ 202a Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) […]
Kontext des aktuellen „Hackerparagraphen“-Urteils
Im Sommer 2021 wurde bekannt, dass ein Dienstleister namens Modern Solution einen schlecht gesicherten Zugang hatte, über den Dritte im Internet auf Händlerdaten zugreifen konnten. Ein IT-Spezialist entdeckte bei der Installation einer Software für einen Händler, dass Daten ungesichert über einen externen Server übertragen wurden. Dieser Server gehörte der Modern Solution GmbH & Co. KG und enthielt mehrere einsehbare Datenbanken. Modern Solution ist ein Dienstleister für verschiedene Online-Plattformen, darunter Check24, Otto, Rakuten und Kaufland (Real-Tochter). Nachdem der Entwickler den Hersteller über das Problem informiert hatte und keine Reaktion erhielt, ging er an die Presse. Der Vorfall wurde unter anderem durch einen Artikel im Spiegel öffentlich gemacht.
Normalerweise wird eine Schwachstelle beim Anbieter gemeldet, dieser schließt die Lücke, und erst danach wird das Ganze öffentlich gemacht. In diesem Fall jedoch erstattete die Firma Modern Solution, ein erfahrener E-Commerce-Dienstleister mit Sitz in Gelsenkirchen, Anzeige gegen den IT-Entwickler wegen Ausspähung von Daten und Datenhehlerei.
Das Amtsgericht Jülich hatte den Strafantrag im Sommer 2023 zunächst abgeweisen gegen den IT-Spezialisten. Der betreffende Richter kam zum Schluss, “es liege keine Straftat vor, da die Daten, auf die der Sicherheitsexperte im Zuge seiner Untersuchungen Zugriff hatte, nicht effektiv geschützt gewesen seien”.
Gegen dieses Urteil legte die Staatsanwaltschaft am Landgericht Aachen Berufung ein, weshalb das Verfahren an das Amtsgericht zurückverwiesen wurde. Dort wurde nun ein Urteil gefällt.
Zu den Urteilsgründen
Das Gericht befand den Angeklagten gemäß § 202a Abs. 1 StGB für schuldig, da er sich Zugang zu besonders gesicherten Daten verschafft hatte. Er nutzte ein zuvor ausgelesenes Passwort, um auf den Server der Geschädigten zuzugreifen, und fertigte Screenshots von Kundendaten an. Diese Daten waren nicht für ihn bestimmt und gegen unberechtigten Zugriff geschützt. Trotz der Tatsache, dass das Passwort im Klartext hinterlegt war und somit auch einem technischen Laien zugänglich war, entschied das Gericht, dass die Sicherung des Zugangs zu einer Datenbank durch ein Passwort als Zugangssicherung im Sinne des Straftatbestandes ausreicht. Die Geschädigte hatte nicht gewollt, dass das Passwort auf diese Weise entnommen wird. Trotz nachlässiger Sicherheitsmaßnahmen seitens der Geschädigten rechtfertigte dies nicht die Handlungen des Angeklagten.
Das Gericht berücksichtigte auch den erheblichen Imageschaden, den die Geschädigte durch das vom Angeklagten veranlasste Bekanntwerden der Sicherheitslücke erlitten hatte, was strafschärfend in die Entscheidung einfloss. Die Strafe für das Ausspähen von Daten beträgt bis zu drei Jahre Freiheitsstrafe oder Geldstrafe. Da der Angeklagte nicht vorbestraft war, wirkte sich dies strafmildernd aus. Ebenso wurde die lange Dauer des Ermittlungsverfahrens als strafmildernd berücksichtigt. Insgesamt hatte das Gericht den Angeklagten zu 50 Tagessätzen zu je 60,00 EUR verurteilt.
Dennoch geht das Verfahren in die nächste Runde: Der angeklagte Programmierer legte Berufung gegen das Urteil ein.
Reform des Hackerparagraphen § 202a StGB?
Der Fall verdeutlicht die aktuellen Herausforderungen in der deutschen Cybersicherheit, insbesondere im Zusammenhang mit dem Hackerparagraphen § 202a StGB. Statt den Entdecker einer Sicherheitslücke zu würdigen, drohen ihm juristische Konsequenzen. Diese Situation könnte dazu führen, dass Sicherheitsrisiken nicht gemeldet, sondern aus Angst vor Strafverfolgung verschwiegen werden.
Vor diesem Hintergrund plant die aktuelle Regierungskoalition eine Änderung des Hackerparagraphen § 202a StGB. Dieser Schritt wird von Experten unterstützt, die bereits bei seiner Einführung vor den möglichen negativen Auswirkungen auf die Cybersicherheit gewarnt hatten.
Es ist dringend geboten, dass die Gesetzgebung und die Justiz in Deutschland einen Kurswechsel vollziehen und die Meldung von Sicherheitslücken fördern, anstatt sie zu bestrafen. Nur so kann eine angemessene und effektive Cybersicherheit gewährleistet werden.
