Gericht sieht Nutzung von Klartext-Passwörtern als Hacken an

Inhaltsverzeichnis

Das Amtsgericht Jülich hat am 17. Januar einen Programmierer verurteilt, der im Auftrag eines Kunden eine Software analysiert und darin eine Sicherheitslücke gefunden hatte, welche die Daten von knapp 700.000 Einkäufern in Online-Shops im Internet offengelegt hatte. Der Programmierer kontaktierte mit Hilfe eines Tech-Bloggers die betroffene Firma, die daraufhin die Sicherheitslücke schloss und den Programmierer bei der Polizei anzeigte. Aufgrund dieses Umstandes wurde der Programmierer nun wegen unbefugten Zugriffs auf fremde Computersysteme und Ausspähens von Daten – welches unter dem sogenannten Hacker-Paragrafen 202a StGB unter Strafe gestellt ist – zu einer Geldstrafe von 3000 Euro verurteilt; außerdem muss er die Kosten des Verfahrens tragen.

Vom Dienstleister zum bösen Hacker in einer Nacht

Der Verteidiger des Angeklagten hatte sich in seinem Plädoyer auf den Standpunkt gestellt, dass keine Straftat vorliege. Sein Mandant, der zum Zeitpunkt der Tat als freiberuflicher IT-Dienstleister firmierte, habe sich im Auftrag eines Kunden eine Software angeschaut, die auf dem Server dieses Kunden installiert war. Dabei handelte es sich um ein Dienstprogramm der Gladbecker Firma Modern Solution GmbH & Co. KG, die ihrerseits Dienstleistungen in Zusammenhang mit dem Warenwirtschaftssystem der Firma JTL anbietet. Die Software von Modern Solution hatte eine Datenbank des Kunden des Angeklagten "mit Log-Meldungen voll gemüllt", so der Verteidiger. Sein Mandant habe daraufhin von seinem Kunden den Auftrag bekommen, dieses Problem zu lösen.

Der Angeklagte stellte daraufhin fest, dass die Software von Modern Solution eine MySQL-Verbindung über das Internet zu den Servern der Gladbecker Firma aufbaute. Laut Aussage des Angeklagten ist dieser erst einmal davon ausgegangen, dass sich die Software auf dem Server seines Kunden mit einer Datenbank bei Modem Solution verbinde, die nur für seinen Kunden bestimmt sei und nur dessen Daten enthielt. Vom verlesenen Datenbanknamen her klang das auch durchaus plausibel.

Der Angeklagte musste allerdings schnell feststellen, dass die entsprechende Datenbank viel mehr Informationen enthielt. Es stellte sich später heraus, dass hier die Daten alle Modern-Solution-Kunden und von allen Endkunden aus deren Online-Shops enthalten waren. Der Angeklagte hatte nach eigener Aussage die Datenbankverbindung direkt getrennt, als er entdeckte, dass er auf die Daten anderer Kunden Zugriff hatte.

Darauf bezog sich auch sein Verteidiger in seinem Plädoyer: Sein Mandant habe hier eine Software untersucht, die Modern Solution seinem Kunden zur Verfügung gestellt habe, und zwar mit allen dazugehörigen Daten. Er habe somit nur auf Daten zugegriffen, die für ihn bestimmt gewesen seien. Jedenfalls im Sinne der von der Modern Solution GmbH programmierten Software, die diese Firma schließlich so ihren Kunden zur Verfügung gestellt hatte. Das Gericht schloss sich dieser Argumentation nicht an und sah eine Straftat im Sinne von § 202a StGB als gegeben an.

Die Polizei hält das Dekompilieren von Software für verdächtig

Die Staatsanwaltschaft hatte einen erheblichen Teil der Beweisaufnahme damit verbracht, dem Angeklagten nachzuweisen, er habe den Programmcode der Software von Modern Solution dekompiliert, um an das Passwort für die Datenbankverbindung zu kommen. Der Angeklagte gab zu Protokoll, die in Frage kommende Datei (MSConnect.exe) lediglich mit einem Texteditor betrachtet und so das Datenbankpasswort im Klartext ausgelesen zu haben. Er habe dies in der unmittelbaren Nähe anderer, bekannter Verbindungsdaten der von ihm zuvor beobachteten MySQL-Verbindung gefunden. In der Beweisaufnahme beschäftigte sich das Gericht nicht direkt mit der entsprechenden Datei und es wurde nicht versucht, die Angaben des Angeklagten zu überprüfen. Auch die Polizei scheint dies nach den im Prozess verlesenen Teilen der Ermittlungsakte nicht getan zu haben.

Im Gegensatz dazu hatte heise online schon im frühen Stadium unserer Berichterstattung zu dem Thema, im November 2021, selbst verifizieren können, dass die Faktenlage die Aussage des Angeklagten stützte. Auch wir fanden bei einer Untersuchung entsprechender, frei im Internet zugänglicher Binärdateien der Firma Modern Solution, Passwörter im Klartext. Ohne dafür die Software dekompilieren zu müssen.

Des Weiteren konnte das Gericht dem Angeklagten nicht nachweisen, das Passwort durch Dekompilieren erlangt zu haben. Die Ermittler der Polizei konnten zwar Indizien für das Dekompilieren der Modern-Solution-Software auf den Rechnern des Angeklagten sicherstellen, dies belegte aber nur, dass er die Software nach seinem angeblichen Ausspähen der Daten zurückübersetzt hatte.

Die Umgehung eines Passwortes, egal wie simpel, reicht zum Straftatbestand

Am Ende des Prozesses hatte aber auch dies kaum Auswirkungen auf das Urteil. Der Vorsitzende Richter gab zu Protokoll, dass alleine die Tatsache, dass die Software ein Passwort für die Verbindung gesetzt habe, bedeute, dass ein Blick in die Rohdaten des Programms und eine anschließende Datenbankverbindung zu Modern Solution den Straftatbestand des Hackerparagrafen erfülle. Dass dies, wie die Verteidigung mehrmals betont hatte, im Zuge einer "funktionalen Analyse" der Software im Auftrag eines Kunden von Modern Solution (der das in Frage kommende Passwort ja mit der Software ausgeliefert bekommen hatte) passiert war, schien bei dieser Entscheidung keine Rolle zu spielen.

Der Vorsitzende Richter ging auch auf die Vorgeschichte des Prozesses ein. Das Amtsgericht Jülich hatte diesen zuerst mit der Begründung abgelehnt, die Software sei nicht ausreichend geschützt gewesen. Daraufhin hatte das Landgericht Aachen entschieden, dass das AG Jülich den Prozess doch anzunehmen habe. Mit Bezug auf die Entscheidung des Aachener Gerichts sagte der Jülicher Richter nun, nach eingehender Sichtung der Rechtslage sei man zu dem Schluss gekommen, dass der Gesetzgeber mit der Verschärfung von § 202a StGB im Jahre 2007 offensichtlich bezweckt habe, "das Hacken als Solches unter Strafe zu stellen." Unter diesem Aspekt sei ein Schutz der "nicht für Jedermann" einfach zu umgehen sei, ausreichend, um den Straftatbestand zu erfüllen. Angesichts der Tatsache, dass der Angeklagte nicht vorbestraft ist, wurde dann bei der Strafe Milde walten gelassen. Im schlimmsten Fall hätte dem Angeklagten eine Haftstrafe von bis zu drei Jahren ins Haus stehen können.

Wollte der Angeklagte der Firma Modern Solution schaden?

Die Geldstrafe von 3000 Euro war deutlich hinter den von der Staatsanwaltschaft geforderten 5400 Euro geblieben. Die Staatsanwaltschaft sah es als erwiesen an, dass der Angeklagte – der damals als selbstständiger Programmierer Dienstleistungen angeboten hatte, die in Konkurrenz zu den Dienstleistungen der Modern Solution GmbH standen – versucht habe, der Gladbecker Firma zu schaden. Dies hatte Modern Solution bei der Anzeige bei der Polizei ebenfalls zu Protokoll gegeben. Freilich ist ein weit geschäftsschädigenderer Umgang mit dem Wissen über eine solche Sicherheitslücke denkbar, als diese beim Hersteller zu melden und dann nach Absicherung der Lücke über die Presse an die Öffentlichkeit zu gehen. Man stelle sich vor, was passiert wäre, wenn professionelle Hacker der Firma hätten schaden wollen. Diese hätten wohl deren Server gekapert und die Versorgungskette der Modern-Solution-Software angegriffen. Dass solche Angriffe weitaus größeren Schaden angerichtet hätten, steht wohl außer Frage.

Der Verteidiger des Angeklagten hatte noch argumentiert, dass sein Mandant, selbst wenn ihn das Gericht als schuldig befände, im Sinne der Allgemeinheit agiert habe. In seinem technisch sehr versierten Plädoyer an den Richter forderte er, dass hierzulande "ein Umdenken stattfinden" müsse. Im Jahr 2024 sei es nicht mehr zeitgemäß, Programmierer dafür zu bestrafen, im Auftrag eines Kunden das Verhalten einer Software lediglich zu beobachten. Er sprach auch entsprechende Reformbemühungen der Bundespolitik in diesem Zusammenhang an, allerdings stellte sich der Vorsitzende Richter auf den Standpunkt, dass die Justiz mit den Gesetzen arbeiten müsse, die ihr im Moment zur Verfügung ständen.

Das Urteil ist noch nicht rechtskräftig. Beide Parteien haben eine Woche Zeit, um Berufung gegen den Strafbeschluss einzulegen. In diesem Fall würde das Verfahren dann vor einem Landgericht, höchstwahrscheinlich in Aachen, neu verhandelt werden. Aus den Aussagen der Verteidigung im Prozess lässt sich schließen, dass dies durchaus wahrscheinlich sein könnte. Man sitze "auch aus Prinzip" vor Gericht, so der Anwalt des Angeklagten an einem Punkt während des Prozesses.

(nie)