Ein IT-Experte hat 2021 bei dem IT-Dienstleister Modern Solution GmbH & Co. KG eine Sicherheitslücke gemeldet und diese anschließend nach dem „Responsible Disclosure“ Prozess veröffentlicht. Daraufhin wurde er von Modern Solution angezeigt und die Staatsanwaltschaft klagte ihn an, sich nach § 202a (Ausspähen von Daten) unbefugt Zugang zu einem geschützten System verschafft zu haben. Das AG Jülich wies die Klage am 10.05.2023 (Az. 17 Cs-230 Js 99/21-55/23) mit der Begründung ab, der Schutzbereich des Straftatbestands sei nicht erfüllt, da die getroffenen Maßnahmen objektiv nicht geeignet waren, den Zugang zu den Daten zu verhindern. Zwar war der Zugang mit einem Passwort abgesichert, aber dieses wurde im Rahmen der Anwendung „standardisiert verwendet“. Genau diese „hartkodierte“ Speicherung des Passwort innerhalb der Software machte die gemeldete Sicherheitslücke aus.
Die zuständige Staatsanwalt Köln hat Berufung gegen das Urteil eingelegt, so dass es noch nicht rechtskräftig ist.
Der Fall zeigt eindrücklich, dass bei den sog. „Hackerparagraphen“ § 202a und Folgenden erhebliche Rechtsunsicherheiten für IT-Sicherheitsforschende bestehen.
Quelle(n):
https://www.justiz.nrw.de/nrwe/lgs/aachen/ag_juelich/j2023/17_Cs_230_Js_99_21_55_23_Beschluss_20230510.html
https://www.heise.de/news/Modern-Solution-Anklage-gegen-Aufdecker-von-Sicherheitsluecke-gescheitert-9182813.html
https://netzpolitik.org/2022/hackerparagrafen-sicherheit-fuer-die-sicherheitsforschung/
Dieser Artikel wurde im Rahmen des „Juristischen Internetprojekt Saarbrücken“ der Universität des Saarlandes – Fakultät Rechtswissenschaften von mir erstellt und parallel im JIPS veröffentlicht.