Plötzlich kriminell: Warum Hackerparagrafen im Strafgesetzbuch bedenklich sind
Ein aktueller Fall beleuchtet, wie problematisch die sogenannten Hackerparagrafen sind. Auch IT-Dienstleister mit guten Absichten können sich strafbar machen.
Mitte Januar 2024 wurde ein Programmierer nach Paragraf 202a des Strafgesetzbuches (StGB) verurteilt. Obwohl es um die Entscheidung eines Amtsgerichts geht, also den Anfang der Instanzenkette, obwohl der Programmierer zu einer Geld- und nicht zu einer Haftstrafe verurteilt wurde und obwohl die Entscheidung noch nicht rechtskräftig ist (der Angeklagte hat Berufung eingelegt), zog der Fall weite Kreise. Denn in ihm scheint sich eine lange gehegte Befürchtung zu verwirklichen, dass wohlmeinende Softwareentwickler bei der normalen Ausübung ihrer Arbeit straffällig werden.
Im konkreten Fall sollte der Angeklagte für einen seiner Kunden ein Softwareproblem lösen. Die fragliche Software stammte von der Modern Solution GmbH & Co. KG aus Gladbeck. Der Angeklagte bemerkte, dass sie eine MySQL-Verbindung zu einem Server dieser Firma unterhielt, und griff ebenfalls auf die Datenbank zu, mit der die Software kommunizierte. Nach eigenen Angaben tat er das in der Annahme, dass es sich um eine Datenbank spezifisch für seinen Kunden handele, die nur dessen Daten enthalte. Für den Zugriff nutzte er offenbar das bekannte DB-Admin-Tool phpMyAdmin; das nötige Passwort hatte er aus dem Binärcode der Modern-Solution-Software extrahiert. Nach Darstellung der Staatsanwaltschaft nutzte er dafür einen Decompiler. Der Angeklagte gab an, die Programmdatei lediglich in einem Texteditor geöffnet zu haben. Der zeigte dann neben binärem Kauderwelsch auch Verbindungsdaten und Passwort in Textform und nahe beieinander an.
Fatalerweise enthielt die Datenbank die Informationen von etwa 700.000 Kunden der Gladbecker Firma, auf die der Angeklagte mit dem Passwort zugreifen konnte. Aus IT-Sicherheits-Perspektive ist das ein massives Versagen von Modern Solution: Niemals sollte ein Kunde über Zugangsdaten verfügen, die auch den Zugriff auf Daten anderer Kunden ermöglichen. Um die technische Perspektive und auch die Art und Weise, wie das Problem öffentlich gemacht wurde, soll es hier aber nicht gehen. Heise online hat mehrfach darüber berichtet.
Das war die Leseprobe unseres heise-Plus-Artikels "Plötzlich kriminell: Warum Hackerparagrafen im Strafgesetzbuch bedenklich sind". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.