Anzeige als Dank: Passwort frei zugänglich: IT-Experte stolpert über riesige Lücke – und wird als Daten-Dieb verurteilt
Eigentlich sollte ein IT-Experte nur ein Problem lösen – dann entdeckte er die Datensätze von 700.000 Online-Shoppern quasi ungesichert im Netz. Statt ihm zu danken, zeigte die Firma ihn allerdings an.
Was genau ist ein Hack? Diese Frage ist rechtlich nicht so klar, wie man es vielleicht vermuten würde. Ein IT-Fachman aus Linnich wurde nun als Hacker zu einer Geldstrafe verurteilt. Dabei hatte er nur ein einfach zu beschaffendes Passwort genutzt.
Der als selbstständiger IT-Fachmann arbeitende Programmierer war 2021 von einer Firma beauftragt worden, ein Problem mit ihrer Server-Software zu lösen. Das Dienstprogramm für Handelssysteme des Dienstleisters Modern Solutions wird von zahlreichen Online-Shops genutzt. Durch einen Zufall entdeckte er, dass er mit einfachsten Mitteln Zugriff auf sämtliche Kunden aller dieser Shops bekommen konnte – mehr als 700.000 Datensätze. Er meldete das dem Betreiber. Und wurde dafür angezeigt.
PAID Schwarz-Konzern Cybersecurity 20.00
Ungewollte Attacke
Er habe sich unbefugt Zutritt zu den Datenbanken verschafft, argumentierte Mordern Solutions. Der nun Beschuldigte und seine Anwälte widersprechen dem. Nach seiner Darstellung hatte er beim Untersuchen der Software zufällig das Passwort zu der Datenbank gefunden. Als er sich über die Verbindung einloggte, dachte er demnach zunächst, dass er nur die Datenbank eines Kunden auf dem eigenen Server öffnet. Erst später habe er begriffen, dass er viel weitergehende Daten vor sich hatte. Und habe sofort Kontakt mit der Firma aufgenommen.
In einem ersten Anlauf des Verfahrens war diese Argumentation vom Gericht sogar akzeptiert worden. Die Daten seien unzureichend gesichert gewesen, entschied das Amtsgericht Jülich damals, lehnte das Verfahren ab. Nachdem das Landesgericht Aachen entschieden hatte, dass das jülicher Gericht das Verfahren doch zulassen müsse, wendete sich das Blatt allerdings: Das Amtsgericht sprach den Angeklagten schuldig und veurteilte ihn zu einer Geldstrafe von insgesamt 3000 Euro. Zusätzlich muss er die Verfahrenskosten tragen.
Was genau ist ein Hack?
Dass sich die Einschätzung so wandelte, liegt an den unterschiedlichen Herangehensweisen an den Fall. Während im ersten Versuch noch untersucht wurde, ob die Datensätze ausreichend gesichert waren, spielte das im zweiten Verfahren kaum eine Rolle. Stattdessen ging es dem Richter darum, ob der Angeklagte Schutzbarrieren überwunden hatte, um an sein Ziel zu kommen – und damit gegen den sogenannten "Hacker-Paragraphen" (§202a StGB) verstoßen hatte. Das sei der Fall gewesen, entschied der Richter letztlich.
Besonders viel Aufwand musste der vermeintliche Hacker indes nicht betreiben. Ein einfacher Texteditor reichte aus, um den Programmcode der ausführbaren Datei öffnen und auslesen zu können. Dort sei auch das Passwort zum Server in Klartext hinterlegt, direkt neben anderen Informationen zum Serverzugang, erklärte der IT-Fachmann. Ob das wirklich so war, wollte das Gericht im zweiten Verfahren offenbar nicht prüfen. Die Fachzeitschrift "Heise" hatte allerdings bereits 2021 verifizieren können, dass sich das Passwort einfach und ohne große Kenntnisse oder technischen Aufwand auslesen ließ.
Umstrittene Motivation
Wie sicher sich der IT-Fachmann war, im Recht zu sein, darauf deutet auch sein Verhalten gegenüber der Polizei hin. Er kooperierte nach Angaben von "Heise" nicht nur mit den Beamten, sondern übergab ihnen sogar Passwörter für seine verschlüsselten Geräte, damit sie seine Angaben prüfen konnten. Die Daten zum Fall waren nach Erkenntnis der Experten nicht gelöscht worden, was ebenfalls gegen eine böswilligen Umgang mit den Daten spricht.
Die Firma Modern Solutions sieht das anders. Der nun Experte hatte früher bei der Firma gearbeitet, von der die nun "gehackte" Software entwickelt wurde, verließ sie nach "Problemen", wie er auch zugibt. Nun wollte er ihr schaden, erklärte Modern Solutions gegenüber der Polizei. Der Angeklagte wies das zurück, betonte, dass er nur die Daten der Kunden schützen wollte. Tatsächlich hatte er aber nicht nur die Firma informiert, sondern die Erkenntnisse über einen Blogger öffentlich gemacht.
Ob er für den "Hack" nun wirklich eine Strafe zahlen muss, steht aber noch nicht fest. Das Urteil ist noch nicht rechtskräftig. Ein Berufungsgericht könnte den Fall schon wieder anders bewerten. Der nun Beschuldigte will daher Berufung einlegen.