Strafverfahren: IT-Experte für das Melden einer Sicherheitslücke verklagt
Einem IT-Sicherheitsexperten, der 2021 eine schwerwiegende Sicherheitslücke bei dem Software-Dienstleister Modern Solution entdeckte, muss sich nun einem Strafverfahren vor dem Amtsgericht Jülich stellen. Das hat ein Berufungsverfahren vor dem Landgericht Aachen ergeben, berichtet Heise Online.
Dem auf den 27. Juli datierten Beschluss (Az. 60 Qs 16/23) zufolge muss das Amtsgericht den Fall verhandeln. Zuvor hatten die Jülicher Richter einen Antrag der Kölner Staatsanwaltschaft noch abgelehnt, weil sein Vorgehen keine Straftat im Sinne des Hackerparagraph 202a StGB sei.
Sicherheitslücke bei Handelsdienstleister
Modern Solution ist ein Dienstleister aus Gladbeck für Handelssysteme, die Firma bietet eine Lösung an, damit Kunden die Warenwirtschaftssysteme ihrer Online-Shops mit größeren Plattformen wie Kaufland, Otto oder Idealo verbinden können. Ein Programmierer, der im Auftrag eines Modern-Solution-Kunden arbeitete, hatte 2021 eine Sicherheitslücke entdeckt, die bis zu 700.000 Kundendaten hätte gefährden können. Details zum Sicherheitsleck hat der Journalist Mark Steier bereits 2021 im einem Blog-Beitrag veröffentlicht. Er wurde als einer der ersten von dem Programmierer kontaktiert.
Dieser meldete die Sicherheitslücke an Modern Solution und veröffentlichte seinen Fund, nachdem die Sicherheitslücke geschlossen wurde. Laut Heise Online erhielt der Programmierer jedoch keine Belohnung, sondern wurde angezeigt. Eine der Konsequenzen war eine Hausdurchsuchung samt Beschlagnahme seiner Arbeitsgeräte wie PC, Laptops und Smartphones, nun droht das Verfahren vor dem Amtsgericht.
Im Kern geht es um die Frage, ob er die Vorgaben aus dem Hackerparagraphen eingehalten hat. Relevant ist laut dem Bericht vor allem, inwieweit ein fest in der Software verankertes Passwort ausreichend ist, um Kundendaten vor fremden Zugriff zu schützen. Die Richter vom Amtsgericht Jülich bezweifelten das, während man beim Landgericht Aachen nun die Ansicht vertritt, der „Zugang mittels Passwort reicht als Zugangssicherung aus“. Um an das fest verankerte Passwort zu gelangen, wäre eine Dekompilierung der Software nötig, was aber ein „tiefes Verständnis über Programmiersprachen und Softwareentwicklung“ erfordere – daher könnten die Lücken nur wenige Experten ausnutzen.
Die Richter des Landgerichts kommen somit zu der Auffassung, der Programmierer habe nur durch ein „Ausspähen von Daten“ im Sinne des Hackerparagraphen einen Zugang erhalten. Wie Heise Online analysiert, ist für IT-Sicherheitsexperten aber nur schwer nachvollziehbar, wie es sich bei einem fest in der Software verankerten – und damit bei jeder Installation gleichem – sowie leicht zu erratenen Passwort um einen sicheren Schutzmechanismus handeln soll.
Klagen gegen Responsible Disclosure als Risiko für IT-Sicherheit
Umso brisanter ist der Fall, weil es erneut um die Frage geht, inwieweit IT-Experten selbst bei Responsible Disclosure von Sicherheitslücken vor Klagen geschützt sind. Bei einem Responsible Disclosure melden die Entdecker eine Sicherheitslücke zuerst den jeweiligen Firmen oder Entwicklern und veröffentlichen diese im Nachklang mit einer angemessenen Frist.
Trotz eines solchen Vorgehens sind in Deutschland aber aufgrund des vagen und vielfach kritisierten Hackerparagaphen Klagen möglich, wie etwa das Hacker-Kollektiv Zerforschung beschreibt. Prominent ist der Fall der IT-Expertin Lilith Wittmann, die bei Zerforschung aktiv ist und 2021 eine Sicherheitslücke in einer Wahlkampf-App der CDU entdeckte, die einen Zugang zu den persönlichen Daten von Wahlkampfhelfern und Unterstützern der Partei ermöglichte. Abrufbar waren zudem die abgespeicherten Informationen über die politischen Einstellungen kontaktierter Personen.
Wittmann meldete die Schwachstelle der CDU, die in der Folge aber einen Strafantrag stellte. Die Partei zog zwar die Anzeige zurück und entschuldigte sich, dennoch kündigte der Chaos Computer Club (CCC) an, der Partei keine Sicherheitslücken mehr zu melden.
Symptomatisch für dieses Vorgehen ist die existierende Unsicherheit, selbst wenn sich IT-Experten korrekt verhalten. Die Gefahr ist, dass verantwortungsvoll agierende Forscher abgehalten werden, Sicherheitslücken zu melden, die womöglich viele Tausend Menschen betreffen können. Dementsprechend wird mit besonderem Interesse nun das Verfahren in Jülich verfolgt.