Modern Solution: Berufungsgericht bestätigt Schuld des Sicherheitsforschers

In der Berufung des Programmierers, der eine Sicherheitslücke in einer Software von Modern Solution aufdeckte, bestätigte das Landgericht den Strafbefehl.

In Pocket speichern vorlesen Druckansicht 108 Kommentare lesen
Paragraphen-Symbol

(Bild: Maksim Kabakou/Shutterstock.com)

Lesezeit: 4 Min.
Von
  • Fabian A. Scherschel

Das Landgericht Aachen hat die Berufung des von Software-Anbieter "Modern Solution" angezeigten und anschließend verurteilten Programmierers am Montag als unbegründet abgewiesen. Damit hat das Urteil der Vorinstanz Bestand. Das Urteil ist aber noch nicht rechtskräftig und die Verteidigung teilte heise online mit, in Revision gehen zu wollen (LG Aachen Az 74 NBs 34/24).

Der Programmierer war im Januar vom Amtsgericht Jülich zu einer Geldstrafe von 3000 Euro verurteilt worden, weil er sich im Zuge der Enthüllung einer Sicherheitslücke des unbefugten Zugriffs auf fremde Computersysteme und Ausspähens von Daten schuldig gemacht hatte (AG Jülich Az 17 Cs 55/23). Modern Solution hatte den Experten angezeigt, anstatt ihn für das Finden der Sicherheitslücke zu belohnen.

Der in diesem Fall angeklagte freiberufliche IT-Dienstleister hatte im Juni 2021 für einen Kunden die Software der Gladbecker Firma Modern Solution wegen eines Datenbankfehlers untersucht. Dabei entdeckte er eine gravierende Sicherheitslücke, die den Zugriff auf persönliche Daten von knapp 700.000 Online-Shop-Kunden ermöglichte. Der Programmierer veröffentlichte die Existenz der Sicherheitslücke, nachdem diese durch die Firma behoben worden war, mithilfe eines in der E-Commerce-Branche einschlägigen Blogs. Einige Monate später durchsuchte die Polizei seine Geschäftsräume und beschlagnahmte sein Arbeitsmaterial.

Das Amtsgericht Jülich hatte den Fall 2023 zuerst abgelehnt. In der von der Staatsanwaltschaft Köln eingelegten Berufung entschied das Landgericht Aachen, dass die Richter in Jülich den Fall neu zu verhandeln hätten. In der Verhandlung Anfang des Jahres wollte die Staatsanwaltschaft dem Angeklagten nachweisen, mit einem Dekompilierer ein Passwort aus der Modern-Solution-Software extrahiert zu haben.

Der Angeklagte hatte festgestellt, dass die Probleme seines Kunden darauf zurĂĽckzufĂĽhren waren, dass die Software eine Internetverbindung zu einer Datenbank auf den Servern von Modern Solution aufbaute. Mit dem im Sourcecode der Software hinterlegten Passwort hatte er sich diese Datenbank angesehen, da sie die Software "mit Log-Meldungen vollgemĂĽllt" habe.

Die eigentliche ausführbare Datei, in der nach Angaben des Angeklagten das Passwort im Klartext enthalten war, wurde im Prozess in Jülich nicht untersucht. Auch die Strafverfolgungsbehörden scheinen das im Vorfeld nicht getan zu haben. heise online konnte im Juni 2021 durch eigene Untersuchungen bestätigen, dass das Passwort im Klartext in der Datei vorhanden war.

Im Berufungsprozess am Montag übernahm das LG Aachen die Einschätzung des AG Jülich, dass der Zugriff auf die gesicherte Datenbank den Straftatbestand erfülle. Prozessbeobachter vom Chaos Computer Club berichten, es dem Gericht zudem egal gewesen, wie der Angeklagte an das Passwort gelangt sei. Das Passwort sei nicht ohne Weiteres zu erraten oder öffentlich bekannt gewesen, das mache den Zugriff zu einer Straftat.

In dem Prozess betonte die kleine Strafkammer, dass der Angeklagte eine Strafbarkeit hätte vermeiden können, wenn er den Zugriff in dem Moment abgebrochen hätte, als ihm klar wurde, dass er auf die Daten von Kunden zugreifen konnte, die er nicht hätte sehen dürfen. Dass er diese Daten mit Screenshots dokumentiert habe, was im Prozess unstrittig war, besiegele seine Strafbarkeit.

Laut mehreren Prozessbeobachtern, mit denen heise online nach dem Prozess sprach und deren Notizen uns zum Teil vorliegen, waren diese Screenshots der Dreh- und Angelpunkt der Verhandlung. An ihnen macht das Gericht fest, dass der Angeklagte zweifelsfrei auf die Daten zugegriffen habe und auch hätte wissen müssen, dass er sich damit im Sinne des "Hackerparagrafen" 202a StGB schuldig macht. Wie der Beschuldigte an das Passwort gelangt war, spielte offenbar keine Rolle.

Das Urteil ist bisher nicht rechtskräftig und die Verteidigung hat angekündigt, in Revision gehen zu wollen. Diese wurde vom LG Aachen zugelassen und würde voraussichtlich vor dem Oberlandesgericht in Köln verhandelt. Bei der Revision werden allerdings die von den Vorinstanzen getroffenen Feststellungen nur noch sehr begrenzt überprüft und es gibt keine erneute Beweisaufnahme. Es wird vor allem darum gehen, ob das Urteil verfahrensrechtlich ordnungsgemäß zustande gekommen ist.

(vbr)