Der Programmierer, der eine gravierende Lücke in der Software der Firma Modern Solution aufgedeckt hat, fällt unter den Hackerparagrafen, meint das Gericht.
Welche Folgen hat das? Kein Programmierer wird mehr irgendwelche Sicherheitslücken seinem Auftraggeber oder Dritten melden, weil er sonst angezeigt wird. Und dann werden sich viele iin einer falschen Sicherheit wiegen, denn alls Systeme sind ja sicher, sonst hätte man das ja gemeldet.
so, wie der Paragraf formuliert ist, fällt darunter nicht nur ethisches Hacking selbst, sondern vor allem auch der Schritt davor: Strafbar macht sich bereits, wer Computerprogramme herstellt oder sich verschafft oder diese verbreitet, die dazu geeignet sind, Daten auszuspähen oder abzufangen.
Damit mache ich mich im Berufsalltag als second level support schon täglich strafbar.
Wenn man dem Wortlaut folgt ist doch die mau gesicherte Software selbst das strafbare Programm, das geeignet ist Daten auszuspähen.
Das Passwort zum Zugriff auf Daten anderer Kunden hatte die auftraggebende Firma ja offenbar bereits vom Hersteller, und der 'schurkische' Programmierer hat verifiziert, dass das PW auch plain in der executable lebt.
facepalm
Einfach den ganzen Kram kopieren und verkaufen. Am Ende vom Tag hast du dann Geld in irgendeiner Form und keine Anzeige vom Unternehmen mit der Sicherheitslücke.
Wenn das Unternehmen sich nicht ans Gentlemen's agreement von responsible disclosure halten will, dann sollte der Hacker das auch nicht.
Wäre ja akzeptabel, wenn am Schluss nur die Unternehmen mit den Sicherheitslücken darunter leiden, aber die deren Daten dabei geleakt werden leiden halt auch darunter also keine wirklich gute Option.
Das Urteil ist noch nicht rechtskräftig. Beide Parteien haben eine Woche Zeit, um Berufung gegen den Strafbeschluss einzulegen. In diesem Fall würde das Verfahren dann vor einem Landgericht, höchstwahrscheinlich in Aachen, neu verhandelt werden.
Ist nur ein Amtsgericht. Das heißt nicht viel.
Es stimmt aber schon, dass genau das vorhergesagt wurde, als der Hackerparagraph damals beschlossen wurde: Responsible Disclosure kann zu Bestrafung führen.
Das heißt, wenn man mal über sowas stolpert lieber irgendwo verkaufen als dem Hersteller zu melden. Strafbar ist man ja sowieso schon und so kann man dann wenigstens die Strafe zahlen.
Genau der gleiche Scheiß wurde ja im Zusammenhang mit Kinderpornographie gemacht. Wurde letztens geändert, aber nur insofern, dass es jetzt im Ermessen der Justiz liegt, Verfahren einzustellen - aber das heißt ja, dass man es nicht einklagen kann, selbst wenn 100% offensichtlich und beweisbar wäre, dass kein einschlägiges Motiv vorhanden war.
Und jetzt haben wir eine Rechtslage, bei der Querdenker dann anonym Kinderpornos an politisch aktive Menschen schicken und diese in eine arge Zwickmühle bringen:
Ja, gut. Aber die Intention der Aussage sollte klar gewesen sein. Wobei mich das zu einer weitere Frage bringt (vielleicht ist ja ein Jurist anwesend), deren Antwort ähnlich absurd sein könnte...
Einbruch als Strafbestand existiert eh nicht allein, sondern nur in Verbindung mit anderen Straftaten. Also fällt das reine Betreten eher unter Hausfriedensbruch.
Aber: Zählt eine Tür, in der der Schlüssel steckt als "abgeschlosser Raum" in den man "widerrechtlich eindringt"? Oder um die Frage noch weiter zu spinnen. Die normale deutsche Außentür hat keine Klinke zum Öffnen, dazu dient der Schlüssel. Ist also ein Schlüssel der dort von außen steckt, und mit dem jeder die Tür öffnen kann, rechtlich dann anders zu behandeln als eine drückbare Türklinke (wenn vorhanden).
Der Verband der deutschen Lack- und Druckfarbenindustrie hat auch angefragt, die suchen einen erfahrenen Produkttester zur Bewertung des Geschmacks ihrer Erzeugnisse.
Dies erinnert mich immer wieder daran dass es mehr als einen Vorfall gab bei dem jemand an sensible Daten gekommen ist indem er F12 gedrückt hat, die Sicherheitslücke dann gemeldet hat und daraufhin eine Strafanzeige ins Haus bekommen hat. Meistens waren die Kläger Verwaltungs/Regierungsorgane...
Immer diese Kacknoobs die über Dinge entscheiden, von denen sie 0,0 Ahnung haben...
Aber naja, die nächst höhere Instanz ist dann meist n bisschen kompetenter.
Als jemand der bei einer größeren Behörde arbeitet: ich habe heute von unserer „IT“ ein Erklärhandbuch zu Excel geschickt bekommen. Da wird dann erklärt wie man auf das Icon drückt und Zellen ausfüllt.
Dass die nächste Instanz kompetenter ist ist reine Glückssache. Ich würde da nicht drauf wetten bei dem technologischen Stand den manche meiner Kollegen haben….
Ok finde jetzt die Strafe schon sehr milde gewählt. Vlt ein halbes Monatsgehalt. Und wahrscheinlich bezahlt ihm das noch die Firma die ihn beauftragt hat. Denke mal der Richter hat hier wirklich keine Möglichkeit gesehen das Gesetz anders zu deuten und ich denke er hat nicht Unrecht. Das Gesetz selber ist natürlich Müll und die Folgen alles andere als milde.
War das Linus vom CCC der mal gesagt hat in Deutschland versuchen wir gerne technische inkompetenz mit juristischen Maßnahmen zu fixen?
Natürlich ist es prinzipiell schon nicht schlecht so einen paragraphen in irgendeiner Form zu haben. Man will ja schon juristisch was gegen hacker in der Hand haben... Aber bringt nicht viel weil die sich ja nicht erwischen lassen, bzw gar nicht in Deutschland sind.
Ist halt doppelt ärgerlich weil wenn der Programmierer nix gesagt hätte wäre auch nichts passiert. Glaubt doch keiner dass die Firma, die ihre Datenbank mit klartext passwort im Programmcode "sichert", einen unbekannten Zugriff bemerkt.
Was mich aber richtig aufregt ist dieser compilat-fetischismus... Wtf das ist ne Reihe von Zahlen von denen manche halt Buchstaben sind und der Rest ist halt was das Programm macht. Wieso immer gleich durchdrehen wenn man das ein bisschen verarbeitet... Ist ja schlimm
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Dass, das Passwort nicht verschlüsselt war, ist kein Argument. Man könnte Zweifel am Vorsatz haben, so wie es dargestellt wurde. Allerdings wäre er auch nicht unbedingt befugt gewesen, wenn es tatsächlich nur die Daten seines Kunden betroffen hätte. Der hatte ihm das PW ja nicht gegeben.
Das eigentliche Problem ist der Paragraf selber, dem es nicht auf die Absicht zum Datenspähen ankommt. Diebstahl, zum Vergleich, ist nur solcher, wenn man die Sache tatsächlich illegal behalten will. Hier reicht schon der Zugang, also das "Hacken".
Doch, es ist ein Argument. Sogar ein sehr gutes. § 202a StGb setzt nämlich das Überwinden einer Sicherung voraus. Das steht so sogar unmissverständlich im von dir zitierten Normtext.
Wenn ich ein Passwort im Klartext abspeichere, dann lässt sich sehr wohl und sehr gut argumentieren, dass es inherent keine Sicherungsfunktion erfüllen kann.
Der Schutz durch Passwörter ist zwar unzweifelhaft ein Sicherungsmechanismus, der mit § 202a StGb vor Überwindung geschützt werden soll.
Das betrifft aber ganz klar Fälle, in denen man sein sicherndes Passwort nicht direkt an die Eingangstür schreibt.
Es kann für eine Strafbarkeit nach § 202a StGb schlichtweg nicht genügen, dass man ein Passwort hat, egal von welcher Qualität. "Passwort" oder "12345" als Passwort, selbst wenn es nicht irgendwo im Klartext ausgelesen werden könnte, halte ich schon für untauglich, weil dem Sicherungsmechanismus eine gewisse Sicherungsqualität innewohnen muss. Sonst fehlt es nämlich am vorausgesetzten "Überwinden". Ein Überwinden erfordert eine gewisse und nicht unerhebliche Energie, die man als Täter aufwenden müsste, um einen Schutz zu umgehen.
§ 202a StGb ist eine komplett verunglückte Strafnorm, aber einer von vornherein ungeeigneten Form der Sicherung irgendeine Sicherungsqualität beimessen zu wollen, das liefe absolut fehl.
Erst Recht kann dann ein im Klartext auslesbares Passwort nicht genügen.
Aber weil die Norm so ein Murks ist, darf am Ende wieder die höchstrichterliche Rechtsprechung Hilfsgesetzgeber spielen, sobald Fälle wie der jetzige in die höheren Instanzen gehen.
Ich stimme dir im Übrigen aber zu, dass die Norm in einer idealen Welt mehr subjektive Tatbestandsmerkmale erfordern sollte. Dass der reine Vorsatz genügt und keine "Ausspähabsicht" erforderlich ist, ist ohne Frage der Griff eines geriatrischen Gesetzgebers ins Klo.
Ist das die herrschende Meinung? Das überzeugt mich nicht so wirklich.
Sagen wir mal, man nimmt so eine Liste von Passwörtern, die nicht ausreichen, um besonderen Schutz zu gewährleisten. Dann benutzt man ein Programm, dass Brute Force Nutzernamen durchgeht und jeweils diese Passwörter ausprobiert. Da ist dann natürlich schon eine ziemliche Energie dahinter, aber man hat ja nur die Konten geknackt, die, per Definition, nicht besonders gesichert waren.
Oder, man geht irgendwo vorbei und erspäht den Login auf dem Klebezettel am Display. Sollte man das einfach mal ausprobieren dürfen, egal mit welcher Absicht?