![\"Paragraph\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2018\/11\/Para.jpg\" "\\"Recht\\"")
Kurzer Nachtrag in Sachen Gerichtsurteil gegen einen IT-Spezialisten, der eine Sicherheitsl\u00fccke in der Software von Modern Solutions aufdeckte, meldete und ver\u00f6ffentlichte. Der Mann ist inzwischen rechtskr\u00e4ftig zu einer Strafe von 3.000 Euro verurteilt. Wegen des Urteils des OLG K\u00f6ln vom Juli 2025 hat der Verurteilte \u00fcber seinen Anwalt eine Verfassungsbeschwerde in Karlsruhe einreichen lassen.<\/p>\n
<\/p>\n
Der kurze Abriss des origin\u00e4ren Sachverhalts: Einem\u00a0IT-Spezialisten, der mit einer Fehlersuche f\u00fcr einen Kunden betraut war, fiel bei der Installation einer (H\u00e4ndler-) Software eine Datenbankverbindung zu einem externen Server auf, bei der die Daten ungesichert \u00fcbermittelt wurden.<\/p>\n
Es handelte sich um einen E-Commerce-Server Server von Modern Solution GmbH & Co. KG, und \u00fcber die Datenbankverbindung waren pers\u00f6nliche H\u00e4ndlerdaten (Bestellungen, Adressen und auch Kontodaten) von hunderttausenden Kunden\u00a0f\u00fcr Dritte \u00fcber das Internet abrufbar bzw. einsehbar (siehe Kundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a>).<\/p>\n Der IT-Spezialist meldete das Problem an Modern Solution und ging sp\u00e4ter, weil die Behebung der Sicherheitsl\u00fccke nicht zeitnah erfolgte, \u00fcber den Blog Wordfilter an die \u00d6ffentlichkeit.<\/p>\n Das veranlasste Modern Solution zu einer Anzeige; die Staatsanwaltschaft K\u00f6ln leitete ein Strafverfahren samt Hausdurchsuchung mit Beschlagnahme von Arbeitsger\u00e4ten des Beschuldigten ein. Der Vorwurf lautete auf Versto\u00df gegen \u00a7 202a und \u00a0\u00a7205 StGB (Vorbereiten des Aussp\u00e4hens und Abfangens von Daten, Verwertung fremder Geheimnisse) .<\/p>\n Was folgte, war ein Prozessmarathon, erst vor dem Amtsgericht J\u00fclich, dann vor dem Landgericht Aachen und schlie\u00dflich vor dem Oberlandesgericht K\u00f6ln.\u00a0Nach diversen Verhandlungen vor Gerichten wurde der Entdecker der Schwachstelle erstinstanzlich vom Amtsgericht J\u00fclich auf Grund des \"Hackerparagraphen\" zu einer Geldstrafe von 3.000 Euro verurteilt (siehe\u00a0Amtsgericht J\u00fclich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)<\/a>, Urteil 17 Cs-230 Js 99\/21-55\/23<\/a>). Der Richter sah in der Verwendung von phpMyAdmin zum Zugriff auf die Datenbank der Modern Solutionen eine strafbare Handlung nach \u00a7202a ff. StGB.<\/p>\n Das Landgericht Aachen best\u00e4tigte in der Berufungsverhandlung des Urteil des Amtsgerichts. Das Verfahren ging in der Berufung zum Oberlandesgericht K\u00f6ln, welches das Urteil des Landgerichts Aachen vom 4. November 2024 Ende Juli 2025 best\u00e4tigte. Das Urteil des Oberlandesgerichts K\u00f6ln ist inzwischen rechtskr\u00e4ftig, der IT-Spezialist muss die 3.000 Euro Geldstrafe zahlen. heise hatte Ende August 2025 im Artikel Modern Solution: Verurteilter IT-Experte reicht Verfassungsbeschwerde ein<\/a> dar\u00fcber berichtet.<\/p>\n Ich selbst bin kein Rechtsanwalt, und bez\u00fcglich der juristischen Feinheiten des Prozessrechts eine Nullstelle. Im Artikel Sachstand im \"Modern Solution\"-Verfahren<\/a> hatte ich die juristische Bewertung des Falls durch den betreffenden Anwalt angesprochen. Der Anwalt stellt in einem LinkedIn-Beitrag fest<\/a>, dass man sich \u00fcber die Gerichtsinstanzen immer weiter von der eigentlichen Rechtsfrage entfernt habe, aber relevante Rechtsfragen ungekl\u00e4rt geblieben w\u00e4ren. Die Knackpunkte:<\/p>\n Ein weiterer Rechtsanwalt, RA Kramarz, hat in diesem Artikel<\/a> den Sachverhalt nachgezeichnet und die rechtlichen Fallstricke f\u00fcr den Entdecker von Sicherheitsl\u00fccken offen gelegt. Wobei die Frage: \"Wenn ich eine Sicherheitsl\u00fccke entdecke, bei der ich potentiell Zugriff auf pers\u00f6nliche Daten erhalte, darf ich dann durch Zugriff verifizieren, dass der Zugriff auch funktioniert?\", die das praxisfremde Urteil der Richter aufwirft, nicht mal adressiert wird. Das Gericht f\u00fchrt nach meiner Lesart in seinem Urteil aus, dass bei Entdeckung einer Sicherheitsl\u00fccke sofort abgebrochen werden muss, um sich nicht strafbar zu machen.<\/p>\n Das nun rechtskr\u00e4ftige Urteil legt nahe, dass ein Entdecker einer Schwachstelle diese nicht meldet – jedenfalls nicht, wenn er klug ist – und nicht als Pentester vom Unternehmen mit der Aufdeckung von Schwachstellen beauftragt wurde. Also Stillschweigen bewahren, um einer potentiellen Strafbarkeit zu entgehen. Der IT-Sicherheitskultur in Deutschland hat man damit juristisch, zumindest in meinen Augen, einen B\u00e4rendienst erwiesen.<\/p>\n Auf Grund der misslichen rechtlichen Lage wurde von der vorhergehenden Bundesregierung unter Justizminister Marco Buschmann (FDP) eine Novellierung des Paragraphen 203 StGB geplant und es lag sogar ein Referentenentwurf vor. Dieser wollte die Untersuchung von Sicherheitsl\u00fccken durch Sicherheitsforscher \"entkriminalisieren\".<\/p>\n heise hatte den damaligen Sachstand im Herbst 2024 in diesem Artikel<\/a> zusammengefasst. Durch die geplatzte Koalition wurde die Novellierung des \u00a7203 a bis c in der vorherigen Legislaturperiode Geschichte, und ob in dieser Legislaturperiode was kommt, steht in den Sternen – ich erwarte da nichts mehr.<\/p>\n Wer aktuell auf eine Schwachstelle st\u00f6\u00dft und sich nicht dem Risiko des Paragraphen 203 StGB ff. aussetzen, aber nicht schweigen m\u00f6chte, hat derzeit in Deutschland nur die M\u00f6glichkeit sich an die Presse zu wenden. Bei einer Meldung an die Presse kann das Presseorgan Quellenschutz beanspruchen.<\/p>\n Blog-Leser haben dies in der Vergangenheit mehrfach so gehandhabt, indem sie mir (manchmal sogar anonym) die Informationen \u00fcber die Sicherheitsl\u00fccke zukommen lie\u00dfen. Da ich in diesen F\u00e4llen nie mit den Details befasst war oder Zugriff auf die betroffenen Systeme hatte, und auch keine Screenshots von Daten oder Details ver\u00f6ffentliche, greifen \u00a7203 a-c bei mir nicht – und f\u00fcr die Quelle beanspruchte ich Quellenschutz bzw. kannte die teilweise nicht einmal.<\/p>\n Je nach gelagertem Fall habe ich zur Meldung sogar das BSI oder den zust\u00e4ndigen Landesdatenschutzbeauftragten eingeschaltet. In einigen F\u00e4llen, wo es nach meiner Sch\u00e4tzung opportun war, hatte ich auch direkten Kontakt mit den Verantwortlichen in den Unternehmen. Im Anschluss an die Beseitigung der Schwachstelle wurden die Informationen im Rahmen einer verantwortlichen Offenlegung dann im Blog dokumentiert. Es ist aber ein aufw\u00e4ndiges und langwieriges Prozedere.<\/p>\n Ein Aktenzeichen f\u00fcr das oben erwartete Urteil des OLG-K\u00f6ln liegt mir nicht vor. Aber heise hatte Ende August 2025 im Artikel Modern Solution: Verurteilter IT-Experte reicht Verfassungsbeschwerde ein<\/a> best\u00e4tigt, dass durch das OLG-Urteil die Rechtsm\u00f6glichkeiten des IT-Experten ausgesch\u00f6pft sind. Er muss die 3.000 Geldstrafe sowie die Anwaltskosten zahlen.<\/p>\n Da aber grundlegende Rechtsfragen ungekl\u00e4rt sind und der Anwalt sich auch \u00fcber die aus seiner Sicht \"merkw\u00fcrdige\" Prozessf\u00fchrung beklagt, hat er f\u00fcr seinen Mandanten eine Verfassungsbeschwerde vor dem Bundesverfassungsgericht eingereicht. Es steht der Vorwurf eines unfair gef\u00fchrten Verfahrens im Raum. Zudem sei durch das Urteil das verfassungsm\u00e4\u00dfige Recht des Angeklagten auf freie Berufsaus\u00fcbung (Art. 12 GG) eingeschr\u00e4nkt worden.<\/p>\n Das Bundesverfassungsgericht pr\u00fcft und entscheidet, ob die Verfassungsbeschwerde\u00a0 angenommen und \u00fcberhaupt Aussicht auf Erfolg hat. Das werden wir erst nach vielen Monaten erfahren. Der Anwalt des Verurteilten dr\u00fcckte im Gespr\u00e4ch mit heise die Hoffnung aus, dass selbst eine Ablehnung durch Karlsruhe Hinweise geben k\u00f6nnten, wie IT-Experten k\u00fcnftig mit gefundenen Sicherheitsl\u00fccken umgehen. heise geht in obigem Beitrag auf die Ausf\u00fchrungen des Sachverhalts durch den Anwalt ein, und erw\u00e4hnt die\u00a0 – aus\u00a0 Sicht der Praxis – sehr kruden Ansicht der Richter, dass selbst ein im Quellcode im Klartext abgelegtes Passwort bereits eine \"besondere Sicherung\" darstellt, also \u00a72023c greift. Bei Sicherheitsforschern gelten feste Zugangsdaten in einer Software dagegen als Sicherheitsl\u00fccke oder Backdoor, die beseitigt werden muss.<\/p>\n Wird die Verfassungsbeschwerde angenommen, k\u00f6nnte in Sachen \"Hackerparagraph\" (\u00a7203c) eine weitere Kl\u00e4rung durch das Bundesverfassungsgericht erfolgen. Der Fall zeigt erneut, was in Deutschland bez\u00fcglich IT schief l\u00e4uft.<\/p>\n \u00c4hnliche Artikel:<\/strong> Kurzer Nachtrag in Sachen Gerichtsurteil gegen einen IT-Spezialisten, der eine Sicherheitsl\u00fccke in der Software von Modern Solutions aufdeckte, meldete und ver\u00f6ffentlichte. Der Mann ist inzwischen rechtskr\u00e4ftig zu einer Strafe von 3.000 Euro verurteilt. Wegen des Urteils des OLG K\u00f6ln vom … Weiterlesen Rechtsprechung abseits der Praxis?<\/h2>\n
Das Problem des Urteils<\/h3>\n
\n
Novelle des Hackerparagraphen in weiter Ferne<\/h3>\n
Was bleibt, ist die Presse als Relais<\/h3>\n
Verfassungsbeschwerde in Karlsruhe eingereicht<\/h2>\n
\nKundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a>
\nDatenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)<\/a>
\nEntwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung<\/a>
\nModern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller<\/a>
\nAnzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen<\/a>
\nIT-Experte, der Modern Solutions Schwachstelle \u00f6ffentlich gemacht hat, muss nun doch vor Gericht<\/a>
\nUrteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor<\/a>
\nHauptverhandlung gegen Entdecker der Modern Solutions-Schwachstelle im Januar 2024<\/a>
\nAmtsgericht J\u00fclich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)<\/a>
\nLandgericht Aachen best\u00e4tigt Urteil gegen Entdecker einer Modern Solution-Schwachstelle<\/a>
\nSachstand im \"Modern Solution\"-Verfahren<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"