Erst kürzlich habe ich hier berichtet, dass es nur eine geringe Zahl von Strafverfahren im Bereich des § 202c StGB gibt. Gleiches gilt eigentlich auch für § 202a StGB. Dass dies allerdings nicht jedes Risiko ausschließt, zeigt ein aktuelles Urteil des LG Aachen (Urteil vom 27.07.2023 – 60 Qs 16/23).
Ausgangslage
Im vorliegenden Fall hatte ein IT-Experte eine auf dem Datenbankserver eines Webhosting-Anbieters liegende Software dekompiliert. Im hierdurch erzeugten Quellcode war ein Passwort hinterlegt, mit welchem sich der IT-Experte Zugangsdaten zu Kundendatenbanken verschaffen konnte und diese auf seinen Computer kopierte.
Im Anschluss informierte der IT-Experten den Webhosting-Anbieter über seinen Fund. Nachdem dieser die Sicherheitslücken behoben hatte, veröffentlichte der IT-Experte seine Erkenntnisse – ein Vorgehen, welches international unter IT-Sicherheitsforschern durchaus üblich ist. Heise berichtete ausführlich über die Hintergründe.
Dennoch beantragte die Staatsanwaltschaft Köln den Erlass eines Strafbefehls beim AG Jülich wegen Ausspähens von Daten. Der Antrag wurde vom AG Jülich jedoch mit der Begründung abgelehnt, die Daten seien nicht gegen unberechtigten Zugriff besonders gesichert gewesen. Die Dekompilierung mittels eines gängigen Hilfsprogramms sei zur tatbestandlichen Überwindung einer besonderen Zugangssicherung nicht geeignet.
Mit dem vorliegenden Urteil hat das LG Aachen die Sache zur erneuten Entscheidung über den Strafantrag an das AG Jülich zurückverwiesen.
Gesetzliche Regelung
Dem Fall liegt die Stravorschrift des § 202a StGB (Ausspähen von Daten) zugrunde. Diese lautet:
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
Im vorliegenden Fall ist entscheidend, ob die Daten „gegen unberechtigten Zugang besonders gesichert“ waren. Dies verneinte das AG Jülich in seiner Entscheidung, das LG Aachen hingegen bejaht diese Voraussetzung.
Rechtsauffassung des LG Aachen
Zunächst einmal beschäftigt sich das LG Aachen in seiner Urteilsbegründung kurz damit, festzustellen, dass weder die Daten noch der Quellcode für den IT-Experten bestimmt gewesen seien. Für die Daten ergebe sich dies aus der Zugangsbeschränkung mittels Passwort, für den Quellcode, welcher mittels Dekompilierung gewonnen wurde, aus dem in der Dekompilierung liegenden Verstoß gegen Urheberrecht.
Die besondere Sicherung gegen unberechtigten Zugang setze voraus, dass Vorkehrungen getroffen sind, die den Zugriff auf die Daten ausschließen oder zumindest nicht unerheblich erschweren. Allgemein reiche eine Zugangssicherung mittels Passwort aus. In diesem Zusammenhang weist das LG Aachen darauf, dass das Abrufen der Passwörter „nur nach einer Dekompilierung möglich war“.
Danach beschäftigt sich das LG Aachen intensiver mit dem nicht unerheblichen zeitlichen oder technischen Aufwand, den das Überwinden der Sicherung laut Gesetzesbegründung erfordern muss. Die Voraussetzung sei jedenfalls dann erfüllt, wenn die Sicherung durch jeden interessierten Laien leicht überwunden werden könne. Wörtlich wird die folgende Aussage getroffen:
„Vom Schutzbereich ausgenommen sind insbesondere auch Fälle, in denen das Opfer selbst nachlässig mit den eigenen Daten umgeht und eine sehr leicht ausschaltbare Sicherung wählt.“
Dies sei zwar bei der Nutzung von standardisierten Zugangsdaten. Im Übrigen dürfen die Anforderungen laut LG Aachen jedoch nicht zu hoch angesetzt werden. Es komme nicht darauf an, ob Eingeweihte oder Experten leicht auf die Daten zugreifen könnten. Der Gesetzgeber habe nur solche Fälle ausschließen wollen, in denen eine Überwindung jedermann ohne weiters möglich ist. Vorliegend habe die Überwindung jedoch „ein tieferes Verständnis über Programmiersprachen und Softwareentwicklung als auch ausgeprägte Kenntnisse im Bereich der Anwendungsentwicklung und die Fähigkeit zum sogenannten Reverse Engeneering der Softwareschnittstelle“ vorausgesetzt.
Daher hat das LG Aachen die Sache zur erneuten Entscheidung ans Amtsgericht zurückverwiesen.
Bewertung
Zunächst einmal ist bei der Bewertung einer solchen Entscheidung Vorsicht geboten. Man sollte Urteile nicht deshalb kritisieren, weil sie auf einer verfehlten Gesetzgebung beruhen oder zu unerwünschten Konsequenzen führen.
Die Gesetzgebung im Bereich des IT-Strafrechts scheint von Glauben geprägt zu sein, dass sich das deutsche Recht und die deutsche Strafverfolgung gegen die internationale Hackerszene durchsetzen könne. Daher legt sie die Verantwortung in staatliche Hände. Strafrechtliche Grenzen werden zumeist unabhängig von der Frage gesetzt, welchen Zweck ein Angreifer mit seinem Tun verfolgt. Dies hat zur Folge, dass IT-Sicherheitsforscher in Deutschland erheblichen Strafbarkeitsrisiken ausgesetzt werden. Von andernorts üblichen Vorgehensweisen, wie etwa dem Veröffentlichen von Proof of Concepts oder Exploits zu Sicherheitslücken, ist daher abzuraten. Dass der Glaube, gegen internationale Hackergruppen durch deutsche Strafverfolgung wirksam vorgehen zu können, reine Utopie ist, dürfte unstreitig sein.
Vorliegend erscheint aber auch die Bewertung durch das LG Aachen als kaum vertretbar. Beim Dekompilieren mithilfe einer Software handelt es sich nicht um eine komplexe Aufgabe, anders als beim Dekompilieren selbst. Es ist aber gerade das Wesen der IT, dass extrem komplexe Vorgänge mithilfe von Programmen durch Laien erledigt werden können. Die für das Dekompilieren notwendigen Kenntnisse und Programme kann sich jeder interessierte Laie innerhalb kurzer Zeit im Internet aneignen.
Das LG Aachen führt selbst in der Urteilsbegründung aus, dass Fälle ausgenommen sein sollen, in welchen das Opfer selbst nachlässig mit seinen Daten umgeht und eine leicht ausschaltbare Sicherung wählt. Genau dies ist hier aber der Fall, das Kompilieren stellt eine völlig unzureichende Maßnahme zum Schutz des Passworts dar. Eigentlich handelt es sich nicht wirklich um eine Maßnahme, da das Komplilieren primär der Ausführbarkeit des Programms, nicht dem Schutz des Quellcodes, dient. Der erzeugte Schutz lässt sich eher dem Prinzip von “security through obscurity” zuordnen, welches in der IT-Sicherheit als ungeeignet betrachtet wird.
Fazit
Die Entscheidung zeigt die Schwierigkeiten, welchen sich IT-Sicherheitsforscher ausgesetzt sehen. Statt eines Dankes, dass der IT-Experte eine potentiell extrem bedrohliche Sicherheitslücke aufgedeckt hat, gab es für ihn ein Strafverfahren.
Künftig werden Forscher in diesem Bereich zurückhaltender bei der Meldung solcher Lücken sein. Freuen wird dies ausländische Hacker, die es nicht bei einer Meldung an den Betreiber belassen werden. Und es darf bezweifelt werden, dass diese kriminellen Hacker durch ein mögliches Strafverfahren vor dem AG Jülich oder dem LG Aachen von ihren Taten abgehalten werden können.
Photo by Tingey Injury Law Firm on Unsplash