Deutsche Justiz: Verloren im Neuland

x-default

Mitte Januar hatte ich die fragwürdige Ehre, einem Gerichtsprozess beizuwohnen, der als Präzedenzfall in die deutsche Rechtsgeschichte eingehen könnte. Ort der Handlung war ausgerechnet das beschauliche Amtsgericht Jülich und es ging wieder einmal um den leidigen Hackerparagrafen 202 StGB. In dem Strafprozessverfahren verurteilte der Richter einen Programmierer zu einer Geldstrafe von mehreren Tausend Euro, weil dieser eine gravierende Sicherheitslücke in den Servern des Gladbecker IT-Unternehmens Modern Solution entdeckt und veröffentlicht hatte.

Als freiberuflicher IT-Dienstleister hatte der Programmierer sich im Auftrag eines Kunden eine Software angeschaut, die dieser von Modern Solution erhalten hatte und deren Datenbankverbindung haufenweise Fehlermeldungen ausspuckte. In der entsprechenden .EXE fand er die Zugangsdaten zu der Datenbank im Klartext fest in den Quellcode verbaut. Als er sich die Datenbank bei Modern Solution anschaute, fand er neben den Daten seines Kunden allerdings Adress- und Bankdaten von knapp 700 000 Endkunden, die über Software von Modern Solution Produkte in deutschen Onlineshops gekauft hatten.

Er meldete diese Lücke umgehend an die Gladbecker Firma. Da deren Antwort allerdings nicht besonders professionell war – als IT-Journalist kennt man das –, entschied sich der Programmierer, die Presse einzuschalten. Er kontaktierte einen in der Onlineshop-Szene bekannten Blogger, der ebenfalls Modern Solution anschrieb, um der Firma den Ernst der Lage bewusst zu machen. Der Blogger schaltete außerdem den zuständigen Datenschutzbeauftragten des Landes Nordrhein-Westfalen ein.

Statt den unfreiwilligen Sicherheitsforscher zu belohnen, zeigte Modern Solution ihn und den Blogger an. Bei dem Programmierer wurde ein paar Monate später die Wohnung durchsucht und sämtliches Arbeitsgerät mitgenommen. Das Ganze mündete mehr als zwei Jahre später schließlich in der Verurteilung in Jülich. Die Ermittlungen gegen den Blogger wurden eingestellt. Ebenso wie die Untersuchung gegen Modern Solution beim Datenschutzbeauftragten. Da der Programmierer gegen das Urteil Berufung eingelegt hat, wird sein Verfahren die deutschen Gerichte allerdings weiter beschäftigen.

Das Urteil, wie auch die Tatsache, dass die Staatsanwaltschaft Köln es überhaupt zu diesem Verfahren hat kommen lassen, sind ein Armutszeugnis für den IT-Standort Deutschland. Behörden schüren fast täglich die Angst vorm bösen russischen Hacker, aber anstatt diejenigen zu belohnen, die Sicherheitslücken im Sinne der Allgemeinheit aufdecken und eben kein Kapital daraus schlagen, bestrafen wir sie auch noch. Und anstatt Firmen zu bestrafen, die mit ihrem grob fahrlässigen Schrott-Code Bürger gefährden, belohnen wir deren Inkompetenz. Auf der einen Seite wollen wir digitale Vorreiter sein und unsere ganze Gesellschaft möglichst noch gestern digitalisieren, auf der anderen Seite machen wir dann solchen kurzsichtigen Bockmist. Internet ist halt immer noch Neuland.

Fabian A. Scherschel: ist freier Journalist und Autor. Auf seiner Webseite fab.industries schreibt er regelmäßig über Technik, Politik und Journalismus.