Anzeige statt Dank - Hacker soll 3.000 Euro zahlen

Stand: 18.01.2024, 15:17 Uhr

Das Jülicher Amtsgericht hat einen IT-Fachmann aus Linnich zu 3.000 Euro Strafe verurteilt. Er hatte 2021 eine Sicherheitslücke bei einem Online-Dienstleister aufgedeckt, die Firma informiert und die Softwarepanne im Internet veröffentlicht.

Von Michael Esser

Von dem Datenleck sollen 700.000 Kunden betroffen gewesen sein, mit Angaben zu Bestellvorgängen bis hin zu Bankverbindungen.

Die Firma, die als Online-Dienstleister den Internet-Warenshop für große bundesweit aktive Firmen betreut, zeigte sich aber nicht dankbar für die Hinweise, sondern erstatte Anzeige gegen den IT-Fachmann wegen Ausspähens von Daten. Eine Folge war eine Hausdurchsuchung bei dem IT-Fachmann samt Beschlagnahme von Computern und Festplatten.

Verstoß gegen den Hackerparagraphen

In einer ersten Verhandlung vor dem Amtsgericht Jülich wurde der Programmierer freigesprochen. Zentral war damals wie jetzt die Frage, ob die Daten auf dem Server mehr oder weniger ungehindert zugänglich waren oder ob eine Schutzbarriere überwunden wurde.

Letzteres wäre ein Verstoß gegen den sog. "Hackerparagraphen" im Strafgesetzbuch (§202a StGB). Gegen den Freispruch legte die Staatsanwaltschaft erfolgreich Rechtsmittel ein. Das angerufene Landgericht Aachen hielt eine Verurteilung für erforderlich. Jetzt nun die zweite Verhandlung.

Daten geschützt oder frei zugänglich

Anders als im ersten Prozess, sah der Richter in Jülich diesmal die Daten als hinreichend geschützt an. Die Passwortsperre hätte nicht durchbrochen werden dürfen, das Vorgehen zudem Fachkenntnisse vorausgesetzt.

Der Beschuldigte habe somit eine Hürde überwunden und eine Zugangssoftware eingesetzt. Mit einer Strafe von 3.000 Euro (50 Tagessätzen à 60 Euro) blieb der Richter unter den von der Staatsanwaltschaft geforderten 5.400 Euro (90 Tagesätze). Das Urteil ist noch nicht rechtskräftig.

Schlampiger Schutz oder nicht

Der IT-Freelancer hatte argumentiert, dass die Daten quasi frei zugänglich gewesen seien. Sie hätten auch nicht "dekompiliert", das heißt übersetzt werden müssen. Die Qualität der Software, die der Online-Dienstleister programmiert hatte, spielte in dem Verfahren keine große Rolle.

Nach Medienberichten soll das Passwort sogar unverschlüsselt in dem vom Online-Dienstleister eingesetzten Programm vorgelegen haben.

Bundesweite Aufmerksamkeit

Die Verhandlung vor dem Amtsgericht Jülich hat bundesweit Aufmerksamkeit gefunden. IT-Fachleute sehen den Fall kritisch. Das uneigennützige Melden von Sicherheitslücken dürfe nicht bestraft werden.

Nach Medienberichten plant die Bundesregierung schon seit längerem eine Überarbeitung des Hackerparagrafen.

Unsere Quellen:

  • Amtsgericht Jülich
  • Golem, Heise

Über dieses Thema berichtet der WDR am 18.01.2024 auch im Radio auf WDR 2.