Hartkodiertes Passwort ist keine besondere Sicherung im Sinne des § 202a StGB

Ein IT-Experte hat 2021 bei dem IT-Dienstleister Modern Solution GmbH & Co. KG eine Sicherheitslücke entdeckt, diesem gemeldet und die entdeckte Lücke anschließend nach dem „Responsible Disclosure“ Prozess, d.h. nach Abwarten einer entsprechenden Frist zur Behebung, veröffentlicht.

Daraufhin wurde er von Modern Solution angezeigt und durch die Staatsanwaltschaft angeklagt, sich nach § 202a StGB (Ausspähen von Daten) unbefugt Zugang zu einem geschützten System verschafft zu haben.

Das AG Jülich wies die Klage am 10.05.2023 (Az. 17 Cs-230 Js 99/21-55/23) mit der Begründung ab, der Straftatbestand sei nicht erfüllt, da die durch die Modern Solution GmbH & Co. KG getroffenen Maßnahmen objektiv nicht geeignet seien, den Zugang zu den Daten zu verhindern.

Zwar war der Zugang mit einem Passwort abgesichert, aber dieses wurde im Rahmen der Anwendung „standardisiert verwendet“. Genau diese „hartkodierte“ Speicherung des Passwort innerhalb der Software machte die gemeldete Sicherheitslücke aus.

Die zuständige Staatsanwalt Köln hat Berufung gegen das Urteil eingelegt, so dass es noch nicht rechtskräftig ist.

Der Fall zeigt eindrucksvoll auf, dass bei den sog. „Hackerparagraphen“ § 202a StGB ff. erhebliche Rechtsunsicherheiten für IT-Sicherheitsforschende bestehen.

Quelle(n):

• https://www.heise.de/news/Modern-Solution-Anklage-gegen-Aufdecker-von-Sicherheitsluecke-gescheitert-9182813.html
• https://netzpolitik.org/2022/hackerparagrafen-sicherheit-fuer-die-sicherheitsforschung/