Programmierer wegen unbefugtem Datenzugriff verurteilt: Was steckt hinter dem Fall Modern Solution?

Warum ein Sicherheitsforscher im Fall Modern Solution verurteilt wurde

Ein aktueller Fall sorgt für Aufsehen in der IT-Sicherheitsbranche: Ein Sicherheitsforscher wurde vom Amtsgericht Jülich wegen unbefugtem Zugriff auf fremde 💻 Computersysteme und Ausspähen von Daten verurteilt. Doch was steckt hinter diesem Urteil und diejenige Konsequenzen hat es für die Branche? Wir gehen den Hintergründen auf den Grund.



Die Ausgangslage: Eine Sicherheitslücke in der Software


Der verurteilte Programmierer war im Auftrag eines Kunden damit beauftragt worden, eine Software der Firma Modern Solution GmbH & Co. KG zu analysieren. Dabei stieß er auf eine Sicherheitslücke welche die Daten von knapp 700․000 Einkäufern in Online-Shops im Internet offengelegt hatte. Nachdem er die betroffene Firma darüber informiert hatte wurde er bei der Polizei angezeigt und daraufhin verurteilt.



Die Argumentation der Verteidigung


Die Verteidigung des Angeklagten betonte, daß keine Straftat vorliege da der Programmierer im Auftrag seines Kunden gehandelt habe. Er habe lediglich seine Arbeit als IT-Dienstleister ausgeführt und die Software im Rahmen seiner Auftragsarbeit analysiert. Zudem habe er die Sicherheitslücke umgehend gemeldet nachdem er sie entdeckt hatte. Dennoch sah das Gericht eine Straftat nach § 202a StGB als gegeben an und verhängte eine Geldstrafe von 3000 Euro.



Die Rolle des Datenzugriffs und der Software-Analyse


Ein zentraler Punkt des Prozesses war die Frage wie der Angeklagte an das Passwort für die Datenbankverbindung gelangt war. Die Staatsanwaltschaft behauptete » er habe den Programmcode der Software dekompiliert « um an das Passwort zu kommen. Der Angeklagte gab jedoch an • das Passwort lediglich aus den Rohdaten der Software ausgelesen zu haben • ohne diese zu dekompilieren.



Das Gericht argumentierte, dass allein die Umgehung eines Passwortes den Straftatbestand erfülle, unabhängig davon, ob dies im Rahmen einer „funktionalen Analyse“ im Auftrag eines Kunden geschah. Dabei bezog sich der Vorsitzende Richter auf die Verschärfung von § 202a StGB im Jahr 2007 die darauf abzielt, das Hacken als solches unter Strafe zu stellen.



Die Frage nach den Motiven des Angeklagten


Die Staatsanwaltschaft warf dem Programmierer vor der Firma Modern Solution schaden zu wollen, da seine Dienstleistungen mit denen des Unternehmens in Konkurrenz standen. Dies wurde jedoch von der Verteidigung bestritten die betonte, daß der Angeklagte im Sinne der Allgemeinheit gehandelt habe indem er die Sicherheitslücke gemeldet hatte, anstatt sie auszunutzen.



Die Konsequenzen und mögliche Berufung


Das Urteil gegen den Sicherheitsforscher ist noch nicht rechtskräftig da beide Parteien die Möglichkeit haben Berufung einzulegen. Sollte es zu einer Berufung kommen würde das Verfahren vor einem Landgericht neu verhandelt werden.



Die Bedeutung des Falls für die IT-Sicherheitsbranche


Der Fall wirft ein Schlaglicht auf die rechtlichen Hürden, mit denen Sicherheitsforscher konfrontiert sind, wenn sie auf Sicherheitslücken in Software stoßen. Die Frage inwieweit das Handeln im Auftrag eines Kunden vor Strafverfolgung schützt ist von essentieller Bedeutung für die Branche. Eine mögliche Reform der Gesetze im Umfeld der IT-Sicherheit könnte notwendig sein um eine angemessene Balance zwischen Sicherheit und Verantwortlichkeit herzustellen.






Kommentare


Anzeige