Schon seit Jahren steht die Reform des nationalen Cyberstrafrechts weit oben auf der politischen Agenda – und seit Jahren passiert nichts. Nachfolgender Beitrag will den dringenden Bedarf zur Reform des deutschen Computerstrafrechts anhand des Falls Modern Solution aus den frühen Zwanzigerjahren aufzeigen.
Seinerzeit wurde ein Strafverfahren gegen einen IT-Sicherheitsexperten eröffnet, der eine gravierende Sicherheitslücke beim Unternehmen Modern Solution ausfindig gemacht hatte (DRiZ 2025, S. 72 ff.). Die geschädigte Firma ist Webhosting-Anbieter unter anderem für Onlinehandel mit JTL-Software, einem Warenwirtschaftssystem. Diese Software stellt das Unternehmen über eine hauseigene Schnittstelle zahlreichen Firmenkunden entgeltlich zur Verfügung. Bestandteil des Hostings ist die Zurverfügungstellung von Kundendatenbanken der Endkunden der jeweiligen Firmenkunden. Insgesamt sind die Datensätze von etwa 600.000 bis 700.000 Endkunden gespeichert. Der angeschuldigte IT-Experte nahm Zugriff auf den Datenbankserver des Anbieters. Dies tat er, indem er zunächst mittels eines sogenannten Decompilers – eines für jedermann zugänglichen Programms – aus der von der geschädigten Firma genutzten Software einen Quellcode erzeugte. Dem durch die Dekompilierung erlangten Quellcode entnahm er anschließend das dort im Klartext hinterlegte Passwort, mit dem er dann die Zugangsdaten zu den jeweiligen Kundendatenbanken auslas und diese auf seinen eigenen Computer kopierte.
Wann sind Daten „gegen unberechtigten Zugang besonders gesichert“?
Juristischer Dreh- und Angelpunkt des Falles ist der § 202a StGB, der vor einem unbefugten Ausspähen von Daten schützen soll. Nach dieser Vorschrift macht sich strafbar, wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft. Streitig dabei ist das Tatbestandsmerkmal „gegen unberechtigten Zugang besonders gesichert“. Denn § 202a StGB schützt nicht alle Daten, sondern eben nur solche, die „besonders gesichert“ sind. Ein Passwort beispielsweise ist eine solche typische Softwaresicherung und der Server des in Rede stehenden Unternehmens war passwortgeschützt. Von dieser grundsätzlichen juristischen Annahme gibt es aber auch Ausnahmen. Vom Schutzbereich der strafrechtlichen Vorschrift ausgenommen sind Fälle, in denen das Opfer selbst nachlässig mit den eigenen Daten umgeht. Keine angemessenen technischen Vorkehrungen wären folglich standardisierte Log-ins und Passwörter. Es kommen aber auch Fälle in Betracht, in denen das Opfer sein Passwort im Nahbereich seines PC notiert und in Kauf nimmt, dass es andere benutzen.
Will ein IT-Experte der Frage nachgehen, ob es sich bei der Übertragung der Daten auf den Server des Anbieters im Klartext um einen Fehlerfall oder den Sollzustand handelt, und dekompiliert er dazu die Software an der Schnittstelle und findet dort das entsprechende Passwort als Standardpasswort für alle Zugriffe im Klartext vor, so ist es zumindest technisch vertretbar, hierbei von einer (groben) Nachlässigkeit zu sprechen. Das mit dem Fall befasste Landgericht Aachen allerdings versucht, das Problem juristisch zu lösen, und stellt im Kern auf den Aufwand des Dekompilierens ab. Worauf es seine Erkenntnisse konkret stützt, bleibt jedoch offen. Juristisch wäre es entgegen einer abstrakten technischen Bewertung zumindest noch vertretbar gewesen, festzustellen, dass eine Nachlässigkeit nicht schon dann angenommen werden kann, wenn das Passwort im Quellcode selbst nicht „besonders gesichert“ ist.
Wenn das Landgericht demgegenüber jedoch die juristische Auffassung vertritt, dass das Kompilieren des Quellcodes in den Objektcode eine „besondere Sicherung“ im Sinne des § 202a StGB darstellt, so ist dem entschieden entgegenzutreten. Denn das Kompilieren dient der Herstellung eines ausführbaren Programms, nicht dem Schutz des Quellcodes. Für eine Strafbarkeit nach § 202a StGB kann und darf es ausdrücklich nicht ausreichen, wenn die Sicherung, auch wenn sie objektiv zugleich als Zugangssicherung wirkt, ausschließlich anderen Zwecken dient oder der Zweck der Datensicherheit nur von ganz untergeordneter Bedeutung oder bloße Nebenfolge ist. Dies würde den Straftatbestand inhaltlich grenzenlos überdehnen, denn vielmehr gibt es für Zwecke der Datensicherung besondere Schutzmaßnahmen, wie beispielsweise die Verschleierung des Programmcodes (Obfuskation), die Ablage von Passwörtern oder Schlüsseln in besonders gesicherten Hard- oder Softwarebereichen oder die Verschlüsselung von Passwörtern. Das Dekompilieren mag gegen das Urheberrecht verstoßen, nicht aber gegen § 202a StGB.
Wann handelt ein IT-Sicherheitsexperte „unbefugt“?
Die Verschaffung des Zugangs zu Daten unter Verletzung von IT-Sicherheitsvorkehrungen ist überdies nur dann strafbar, wenn der Täter unbefugt handelt. Wenn ein IT-Experte mit der Fehlerbehebung beauftragt ist und dieser Auftrag auch die Suche nach IT-Sicherheitslücken umfasst, so muss eine Strafbarkeit mangels unbefugten Handelns zwangsläufig ausscheiden. Nach Erwägungsgrund 17 der EU-Richtlinie zur Cyberkriminalität handeln Dienstleister, die mit Tests des Informationssystems eines Unternehmens beauftragt werden, nicht vorsätzlich. Darüber hinaus kann ein unbefugtes Handeln dann ausscheiden, wenn eine Dauergefahr im Sinne eines juristischen „Notstands“ besteht. Eine solche Dauergefahr liegt zum Beispiel dann vor, wenn der IT-Experte bei der Fehlerbehebung die Übermittlung der Kundendaten im Klartext tatsächlich bemerkt und sodann auf diese IT-Sicherheitslücke hinweist. Auch hierzu äußert sich das Landgericht Aachen leider nicht weiter.
Was können wir daraus lernen?
Der Fall zeigt sehr deutlich, wie schwer sich Staatsanwaltschaften und Gerichte mit den Hacking-Straftatbeständen tun, wie komplex die Diskussion ist und warum gerade deshalb klare Richtlinien für die strafrechtliche Nichtverfolgung von Forschern und Penetrationstestern im Bereich der Informationssicherheit dringend erforderlich sind. In Deutschland ist ein entsprechendes Vorhaben zur Reform des Computerstrafrechts, das im Herbst vergangenen Jahres durch das Bundesjustizministerium angestoßen wurde, bislang gescheitert. Der Staat aber ist in der Pflicht, die rechtlichen Rahmenbedingungen für IT-Sicherheitstests ohne strafrechtliche Risiken zu schaffen und gleichzeitig die Interessen der von Sicherheitstests Betroffenen zu schützen. CVD-Policys können hierzu ein zentraler Baustein sein. Es bedarf aber auch klarer Regelungen zu strafrechtlichen Sanktionen. Dies wird deutlicher denn je, wenn nicht einmal der deutschen Gerichtsbarkeit eine ordentliche und rechtsklare Subsumtion des nationalen Cyberstrafrechts gelingt. Deshalb ist die Befugnis zur Durchführung von IT-Sicherheitstests von vornherein als Tatbestandsausschluss gesetzlich zu verankern und nicht wie in Frankreich oder den USA auf eine bloße „Nichtverfolgung“ zu beschränken.
