Sachstand im "Modern Solution"-Verfahren

Kleines Update im Sachstand zum sogenannten "Modern Solution"-Verfahren, bei dem der Entdecker einer Schwachstelle zu einer Geldstrafe verurteilt wurde – der sogenannte Hackerparagraph macht es möglich. Der Anwalt des Software-Entwicklers, der die Schwachstelle entdeckte, äußert sich zum juristischen Kern des Verfahrens und wirft ein Schlaglicht auf das, was die deutsche Justiz aus einem solchen Fall macht. Und ein kurzer Ausblick in Sachen "Novelle des Hackerparagraphen".

Worum geht es beim "Modern Solution"-Verfahren?

Einem IT-Spezialisten war bei der Installation einer (Händler-) Software eine Datenbankverbindung zu einem externen Server aufgefallen, wo die Daten aber ungesichert übermittelt wurden. Bei einem genauen Blick fiel dem Software-Entwickler auf, dass der Server von Modern Solution GmbH & Co. KG betrieben wurde. Dieser fungiert als E-Commerce-Dienstleister für die Online-Plattformen diverser Anbieter (Check24, Otto, Rakuten oder Kaufland).

Der schlecht gesicherter Zugang des Dienstleisters Modern Solution führte dazu, dass Händlerdaten (Bestellungen, Adressen und auch Kontodaten) für Dritte über das Internet abrufbar bzw. einsehbar waren (siehe Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar).

Da die Schwachstelle nicht zeitnah geschlossen wurde, ging der Entdecker der Sicherheitslücke an die Öffentlichkeit. Das veranlasste Modern Solution eine Anzeige zu stellen, worauf die Staatsanwaltschaft Köln ein Strafverfahren einleitete. Es kam zur Hausdurchsuchung samt Beschlagnahme von Arbeitsgeräten beim betreffenden Software-Entwickler.

Nach diversen Verhandlungen vor Gerichten wurde der Entdecker der Schwachstelle erstinstanzlich vom Amtsgericht Jülich auf Grund des "Hackerparagraphen" zu einer Geldstrafe von 3.000 Euro verurteilt (siehe Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)). Der Richter sah in der Verwendung von phpMyAdmin zum Zugriff auf die Datenbank der Modern Solutionen eine strafbare Handlung nach §202a ff. StGB. Das Landgericht Aachen bestätigte in der Berufungsverhandlung des Urteil des Amtsgerichts. Inzwischen geht das Verfahren am Oberlandesgericht Köln in eine weitere Berufung.

Der Anwalt skizziert die Probleme

Als normal denkender Mensch geht man davon aus, dass die Richter sich den Fall ansehen, das Ganze an Beweismitteln unter Berücksichtigung der Gesamtsicht spiegeln und dann urteilen. In der ersten Verhandlung vor dem Amtsgericht Jülich war dies womöglich der Fall – denn der Angeklagte wurde freigesprochen. Die staatsanwaltliche Berufung vor dem Landgericht Aachen führte zur Zurückverweisung des Falls am Amtsgericht Jülich und dann zur Verurteilung.

Der Anwalt des Software-Entwicklers hat den aktuellen Sachstand aus seiner Sicht in einigen Punkten zusammengefasst. Ich bin über nachfolgenden Tweet auf diese Stellungnahme gestoßen.

Geht man die Erläuterungen des Anwalts auf LinkedIn durch, fallen einem als juristischem Laien nur die Kinnladen herunter. Als erstes ist die Information, dass die Richter im Strafverfahren Beweisanträge ablehnen können, so dass wesentliche Sachfragen juristisch nicht erörtert werden konnten.

Der Entdecker der Sicherheitslücke wurde dann verurteilt, weil er über phpAdmin mittels Passwort auf die Datenbank von Modern Solutions zugegriffen hatte und dann dies per Screenshot dokumentierte. Dass das Passwort im Klartext durch einen Hexeditor in der Programmdatei gelesen werden konnte, interessierte das Gericht weniger. Hier einige Zitate aus der Zusammenfassung des Anwalts:

• de facto wurden nur zusammenfassende Ermittlungsberichte verlesen, ohne Zeugenvernehmung (nach höchstrichterlicher Rechtsprechung bereits unzulässig);
• es wurde eine E-Mail verlesen, in der auf einen Anhang verwiesen wurde, der einen Screenshot "der Daten" beinhalten sollte […], der ominöse Screenshot existiert […] bis heute weder in der Akte, noch wurden irgendwelche Feststellungen darüber getroffen, was darauf zu sehen ist.
• Der Empfänger der Mail wurde nicht als Zeuge dazu befragt, was darauf zu sehen gewesen sein soll. Insbesondere gab es keine (!) Feststellungen dazu, ob auf dem Screenshot Kundendaten oder nur die Datenbankstruktur zu sehen war.
• Das Urteil, das sich auf diesen Baustein ganz Wesentlich stützt, geht insoweit ausdrücklich von bloßen Vermutungen aus.

Erschreckend war für den Anwalt, so beschreibt dieser seinen Eindruck von der Verhandlung, dass sich die vorsitzende Richter im Rahmen der Urteilsbegründung direkt an das Publikum gewandt hat, um zu erklären, warum die öffentliche Berichterstattung und das Urteil des Gerichts voneinander abweichen. Der Anwalt zeigt sich verstört, scheint dieses Vorgehen vor Gericht wohl eher unüblich zu sein.

Der Anwalt stellt weiterhin fest, dass man nun über die zwei Gerichtsinstanzen immer weiter von der eigentlichen Rechtsfrage entfernt sei, die aber durch die Screenshot-Thematik noch interessanter wurde. Hier die Rechtsfrage:

• Wenn ein IT-Dienstleister im Rahmen seiner Tätigkeit für einen Kunden eine Sicherheitslücke entdeckt, darf er diese dann überhaupt offenlegen (das LG AC hat die Tätigkeit nun nach Lesart des Anwalts festgestellt, wenn auch nur konkludent)?
• Ist es zulässig, im Zuge der Entdeckung der Sicherheitslücke diese (a) niedrigschwellig zu verifizieren (hier: Login auf MySQL-Server) und (b) dies durch Screenshots, die möglicherweise geschützte/personenbezogene Daten enthalten, zu dokumentieren, auch um sich beim Vorwurf falscher Behauptungen zu wehren?

Zu (b) fehlen laut Anwalt die Feststellungen. Damit ist für ihn "das Verfahren vergiftet". Er schreibt, dass das unsaubere prozessuale Vorgehen der Gerichte in Jülich und Aachen jetzt beim OLG Köln im Fokus stehen. Was immer noch nicht geklärt ist, ist die eigentliche Rechtsfrage, wie der Hackerparagraph in einem solchen Fall auszulegen ist.

Jeder der eine Schwachstelle entdeckt, sollte sich besser drei Mal überlegen, ob er diese meldet – es ist höchstens eine Meldung über die Presse (die Quellenschutz beanspruchen kann) denkbar.

Wie steht es um die Novelle des Hackerparagraphen

Eigentlich hatte Justizminister Marco Buschmann (FDP) eine Novellierung des Paragraphen 203 StGB geplant. Die Gesellschaft für Informatik (GI) und die AG Kritis hatten sich mit dem Referentenentwurf auseinander gesetzt und forderten Korrekturen. heise hat in diesem Artikel aktuell den Sachstand zusammengefasst. Durch die geplatzte Koalition ist die Novellierung des §203 a bis c aber  in dieser Legislaturperiode Geschichte, ich erwarte da nichts mehr.

Ähnliche Artikel:
Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar
Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)
Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung
Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller
Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen
IT-Experte, der Modern Solutions Schwachstelle öffentlich gemacht hat, muss nun doch vor Gericht
Urteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor
Hauptverhandlung gegen Entdecker der Modern Solutions-Schwachstelle im Januar 2024
Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)
Landgericht Aachen bestätigt Urteil gegen Entdecker einer Modern Solution-Schwachstelle