Kommentar zu Modern Solution: Wer gemeinnützig handelt, wird bestraft

Der Fall um "Modern Solution" und den wegen des Ausnutzens einer Sicherheitslücke verurteilten Programmierers wird katastrophale Konsequenzen haben. Die Entscheidung des Landgerichts Aachen mag gängigem Recht entsprechen. Nichtsdestotrotz ist sie ein Desaster für die IT-Sicherheit in unserem Land.

Ein Kommentar von Fabian A. Scherschel

Fabian A. Scherschel schrieb von 2012 bis 2018 als Redakteur täglich für heise online und c't, zuerst in London auf Englisch, später auf Deutsch aus Hannover. Seit 2019 berichtet er als freier Autor und unabhängiger Podcaster über IT-Sicherheit, Betriebssysteme, Open-Source-Software und Videospiele.

Nicht nur, dass sich Justiz und Strafverfolgungsbehörden zum Instrument einer Firma haben machen lassen, die lieber um sich schlägt, als ihre eigenen Fehler einzusehen: Sie kriminalisieren mit diesem Urteil einen gemeinnützigen Akt. Das bringt nicht nur Sicherheitsforscher in Gefahr, die Schwachstellen an betroffene Firmen melden, sondern auch Whistleblower, die Gefahren durch renitente Security-Analphabeten offenlegen wollen.

Knackpunkt Screenshots

Knackpunkt in dem Aachener Verfahren waren Screenshots, mit denen der Angeklagte die gefundene Sicherheitslücke dokumentiert hat. Ohne Dokumentation glauben weder betroffene Firmen noch seriöse Journalisten, an die sich ein Sicherheitsforscher wendet, dass eine Sicherheitslücke wirklich besteht. Aber genau diese Dokumentation der Lücke war es, die dem Programmierer zum Verhängnis wurde, denn die Screenshots bestätigten letzten Endes seine Schuld.

Was bedeutet das für Programmierer oder Support-Mitarbeiter, die im Zuge ihrer Arbeit auf Sicherheitslücken stoßen? Dass sie diese am besten nicht an die betroffene Firma melden, denn das könnte sie im schlimmsten Fall in den Knast bringen. Ich bin geneigt, Fefe zuzustimmen, wenn er kommentiert, dass es wahrscheinlich weniger riskant ist, "die Daten direkt im Darknet zu verkloppen."

Die einzige Option für solche Menschen, die trotz aller Gefahren das Richtige für die Gesellschaft tun wollen, ist nach diesem Urteil, sich an einen vertrauenswürdigen Journalisten zu wenden, für den Quellenschutz oberste Priorität hat (zum Beispiel der Autor dieses Kommentars oder die Kollegen von Heise Security). Denn nur ein gewissenhafter Journalist kann die Lücke bei der Firma melden und anschließend die Öffentlichkeit informieren, ohne sich selbst und den Whistleblower unnötig in Gefahr zu bringen.

Die Luft wird dünner

Zwar wird auch für Journalisten die Luft dünner, seit das Medienfreiheitsgesetz der EU das Ausspionieren der Presse zur Aufdeckung der Straftaten von Quellen eindeutig erlaubt hat. Journalisten sind aber nach wie vor die beste Option für Sicherheitsforscher, die gewissenhaft handeln wollen, ohne sich dabei unnötig selbst zu gefährden.

(vbr)