Rechtsprechungsupdate: Ethical Hacking

00:00:02: Rosinus

00:00:03: on Air,

00:00:05: der Criminal Compliance

00:00:07: Podcast.

00:00:12: Herzlich willkommen zu einer neuen Folge des Criminal Compliance Podcast.

00:00:16: Heute ist Rechtsanwalt Dr.

00:00:17: Matthias Grizek zu Gast.

00:00:19: und spricht in unserem Rechtsprechungs-Update über ein Fall, der klingt wie aus einem Science-Fiction-Film, aber bittere Realität ist und die IT-Sicherheitsbranche in Deutschland nachhaltig prägen dürfte.

00:00:31: Es geht um das Unternehmen Modern Solution und das Thema Ethical Hacking.

00:00:36: Bevor wir in Medias Reß gehen, worin ging es in diesem Ausgangsverfahren ganz konkret?

00:00:41: Ja, ich freue mich heute wieder mal dabei zu sein.

00:00:43: Dieser spannende Fall spielt im Jahr zwanzig, einundzwanzig.

00:00:47: Ein freiberuflicher Programmierer, der für einen eigenen Kunden arbeitete, stößt bei der Fehlersuche auf eine massive Sicherheitslücke in einer Software der Firma Modern Solutions.

00:01:00: Bei der Installation des Programms, konkret einer Datei mit dem Namen msconnect.exe, entdeckt er, dass dort ein Passwort in Klartext sozusagen harkodiert ist.

00:01:17: Also nicht verschlüsselt, nicht versteckt, sondern lesbar im Programmcode.

00:01:22: Zur Einordnung für alle, die nicht täglich irgendwie im Quellcode unterwegs sind, das ist ungefähr so, als würde man die PIN direkt auf die Bankkarte schreiben.

00:01:32: Wer die Karte in der Hand hält, hat automatisch Zugang zum Bankkonto.

00:01:37: Genauso war es hier.

00:01:38: Wer die Software hatte, konnte über dieses Passwort auf eine Datenbank zugreifen.

00:01:44: Es

00:01:44: ging also um Kundendaten, die über Modern Solutions erarbeitet wurden.

00:01:47: Was macht dieses Unternehmen genau und was war das konkrete Risiko dieser Sicherheitslücke?

00:01:53: Das Unternehmen Modern Solutions ist ein sogenannte e-Commerce-Dienstleister.

00:01:57: Vereinfach, die bieten einen Schnittstellen-Software an, mit der Händler ihre wahren Wirtschaftssysteme an große e-Commerce-Handelsplattformen anbinden können.

00:02:07: Also etwa an bekannte Online-Marketplätze in Deutschland.

00:02:10: Im Rahmen eines Auftrags für einen Kunden stellte der Programmierer fest, bei der Installation der Software baut diese direkt eine Datenverbindung zu einem extraen Server auf.

00:02:20: So weit so gut.

00:02:21: Über diese Verbindung werden aber hochsensible Kundendaten ungesichert übertragen.

00:02:26: Durch das im Kot hinterlegte Passwort konnte man sich auf diese Datenbank aufschalten.

00:02:31: Und dort lagen nach den Berichten aus den Medien ungefähr siebenhunderttausend hochsensible Kundendatensätze von Kunden verschiedener Händler.

00:02:41: Also Namen, Adressen, Bestellinformation, Zahlungstaten usw.

00:02:46: Alles, was man so bei einer Online-Bestellung angibt.

00:02:48: Mit allen Folgen von Identitätsdiebstahl bis hin zu Betrug, Online-Betrug oder Großflächigen, Datenschutzverletzungen.

00:02:57: Was

00:02:58: hat der Programmierer gemacht, als er die Lücke entdeckt hat?

00:03:00: Er hat im Grunde das gemacht, was man sich von einem verantwortungsvollen Security-Researcher wünschen würde.

00:03:06: informierte das Unternehmen über die Schwachstelle und erklärte genau, wo das Problem liegt.

00:03:12: Er setzte eine Frist, zwei Fristen, um genau zu sein, eine Woche zur Behebung dieser Sicherheitslücke und zwei Tage, um die betroffenen Kunden und den zuständigen Landesdatenschutzbeauftragten im jeweiligen Bundesland zu informieren.

00:03:26: Das Unternehmen reagierte nicht, beziehungsweise nicht so, wie man es aus Sicht vielleicht des Datenschutzes oder der IT-Sicherheit möglicherweise erwarten würde.

00:03:35: Daraufhin erwendete sich der Programmierer an Journalisten, um die Öffentlichkeit allgemein zu informieren, aber auch um Druck zu erzeugen, damit diese Sicherheitslücke geschlossen wird.

00:03:45: Die Reaktion des Unternehmens war dann sehr bemerkenswert, allerdings nicht so, wie man es vielleicht erwarten würde.

00:03:51: Sie erstatteten gegen den Programmierer Strafanzeige wegen des Tatbestandes oder des Vorwurfs des sogenannten Ausspäens von Daten sowie der Datenhelerei.

00:04:01: Die Staatsanwaltschaft ermittelte Und es kamen den Zuge des Ermittlungsverfahrens auch zu einer Hausdurchsuchung bei dem Programmierer.

00:04:08: Dabei wurden Geräte beschlagnahmt, Laptops, Speichermedien, also praktisch die komplette Arbeitsgrundlage des Entwicklers.

00:04:15: Anstelle irgendwie zu sagen, danke für den Hinweis, gab es also eine Hausdurchsuchung und dort einen Strafverfahren.

00:04:20: Worin liegt denn jetzt die Besonderheit dieses Falles?

00:04:23: Naja, die Besonderheit liegt darin, dass wir es hier mit einem klassischen Fall des sogenannten Ethical Hacking, man nennt es auch Whitehead Hacking, zu tun haben.

00:04:32: Anders als Cyberkriminelle wollte der Programmierer im hiesigen Fall keine Daten stehlen.

00:04:38: Da wollte sich auch nicht selbst bereichern und auch keine Systeme sabotieren.

00:04:43: Vielmehr hatte er eine Sicherheitslücke aufgedeckt, um sie zu melden.

00:04:47: In vielen Unternehmen ist dies auch ausdrücklich gewünscht.

00:04:50: So beauftragen etliche Unternehmen sogenannte Pentestar.

00:04:55: Penetration Tester oder Ethical Hacker, um ihre eigenen Sicherheitsvorkehrungen, also ihre IT-Sicherheitssysteme, IT-Sicherheitskonzept mal herauszufordern.

00:05:06: Entwickler von Software beauftragen auch oft sogenannte Bug Bounty Hunter oder Bug Bounty Programmierer, die bekommen sozusagen als Belohnung, wenn sie ein Bug finden oder eine Sicherheitslücke, Geld von dem Unternehmen.

00:05:19: In vielen Ländern ist diese Art der Sicherheitsforschung im IT-Bereich anerkannt und auch erwünscht.

00:05:26: Schließlich trägt sie dazu bei, Systeme letztendlich sicherer und stabiler zu machen, was allen zu gut kommt.

00:05:34: Der Programmierer in unserem Fall ist also das Gegenbild zum bösen Hacker.

00:05:39: Keine kriminelle Energie, keine persönliche Bereicherung, sondern rein präventive, man kann vielleicht sagen, redliche Motive.

00:05:47: Und genauso jemand wird dann strafrechtlich verfolgt.

00:05:50: Das ist so der Kern dieses Fals und der Problematik.

00:05:54: Wann, beziehungsweise nach welcher Vorschrift, wird dieses Hecken dann unter Strafe gestellt?

00:05:59: Die zentrale Vorschrift des Ausspäntens von Daten, ist übrigens Paragrafzahlernder IIa Strafgesetzbuch und landläufig als der Heckerparagraf bekannt, regelt eben den Schutz von sensiblen Daten, die geschützt sind.

00:06:15: Die Struktur, stark vereinfacht, kann man sich dreistufig vorstellen.

00:06:20: Zunächst geht es um Daten, die nicht für den Täter bestimmt sind.

00:06:24: Nur die ist ein taugliches Tatobjekt.

00:06:26: Also Daten, auf die der Täter eigentlich keinen Zugriff hat oder haben soll.

00:06:32: Die Tathandlung besteht darin, dass sich der Täter Zugriff zu diesen Daten verschafft oder den Zugang dazu bekommt.

00:06:38: Vor der letzten Reform war nur das tatsächliche Erlangen der Daten erfasst.

00:06:43: Seit dem Jahr zwei Tausend Sieben reichte es schon, dass man sich den Zugang verschafft.

00:06:48: Also zumindest so tief ins System eindringt.

00:06:50: dass grundsätzlich ein ungehinderter Zugriff auf die Daten möglich wäre.

00:06:54: Das war eine deutliche Ausweitung der Strafbarkeit.

00:06:57: Und zuletzt, dritter Punkt, die Daten müssen besonders gesichert sein.

00:07:02: Das ist häufig der Knackpunkt.

00:07:04: Denn nur, wenn diese besondere Sicherung überwunden wird, ist der Straftatbestand erfolgt.

00:07:10: Besondere Sicherung meint, technische oder organisatorische Vorkehrungen, der kennt diesen Begriff aus dem Datenschutzrecht, die den Zugriff auf Daten ausschließen oder zumindest nicht unerheblich erschweren sollen.

00:07:22: Das Unrecht liegt dann in der Überwindung gerade dieser besonderen Sicherung.

00:07:27: Wichtig sind dabei zwei Dinge.

00:07:29: Die Überwindung muss typischerweise mit einem nicht unerheblichen technischen oder zeitlichen Aufwand verbunden sein.

00:07:36: Es kommt dabei nicht auf die individuellen Fähigkeiten des Täters an, weil er das zum ersten Mal macht oder nicht fähig ist, sondern vielmehr auf den sogenannten objektiven Aufwand.

00:07:45: Also der Aufwand, der erforderlich ist, die Sicherung überwinden zu können.

00:07:49: Auf subjektiver Seite reicht es, wenn der Täter zumindest erkennt, dass hier eine Barriere vorliegt, die der Berechtigte erkennbar zum Schutz der Daten eingebaut hat.

00:07:58: Und er diese Barriere bewusst umgeht.

00:08:00: Anders gesagt, nicht jede schlecht konfigurierbare Website ist automatisch ein Hacking-Opfer.

00:08:07: Es braucht erkennbare Schutzmaßnahmen und deren gezielte Umgehung.

00:08:11: Kommen wir zurück zu unserem Fall.

00:08:13: Was haben die Gerichte denn entschieden?

00:08:15: Der Fall ist deswegen so spannend, weil die prozessuale Reise, die strafrechtliche Reise, wenn man so will, relativ lang ist und die Rüste spannend.

00:08:23: Den Aufschlag machte das Amtsgericht Jülich.

00:08:26: Das war ungefähr Mai.

00:08:30: von der Staatsanwaltschaft einen Antrag auf Erlass eines Strafbefehlens auf den Tisch bekommen, der zuständige Strafrichter und musste darüber entscheiden und hat das abgelehnt.

00:08:41: Er hat sich geweigert in diesen Strafbefehl, also der eine Strafe für den beschuldigten Programmierer, vorsah, eine Geldstrafe zu erlassen.

00:08:50: Daraufhin die Staatsanwaltschaft, die natürlich in dieser Entscheidung nicht erlassen, nicht zufrieden war, in Beschwerde ging, also in Beschwerde ging die Entscheidung des Amtsrichters erlassen.

00:08:59: Dann lag der ganze Fall noch mal beim Landgericht Aachen.

00:09:03: Das Landgericht hat das Amtsgericht aufgefordert, den Strafbefehl doch zu erlassen, weil sie eben anderer Ansicht waren.

00:09:10: Hiergegen hat der Beschuldigte Einspruch eingelegt und es kam zur Verhandlung beim Amtsgericht Jülich, also dann doch zum Hauptverfahren.

00:09:19: Es endete damit, dass er verurteilt wurde und zwar wegen des Vorwurs des Ausspins von Daten und zu einer Geldstrafe von insgesamt dreitausend Euro verurteilt wurde.

00:09:29: Das Gerichts erklärte in der Entscheidung drei wesentliche Punkte.

00:09:34: Erstens, der Passwortschutz, der im fiesigen Fall relevant war, sei eine ausreichende Zugangssicherung.

00:09:41: Der Zugriff auf die Rohdaten der Software und die Datenbankverbindung zu den Servern erfüllt den Tatbestand.

00:09:49: Und die Zwecke der letzten Reform, der Kernzweck der letzten Form, sei eben gewesen, das Hecken als solches unter Strafe zu stellen.

00:09:57: Gegen diese Entscheidung, also die Verurteilung, ist natürlich der dann angeklagte oder verurteilte in Berufung gegangen.

00:10:04: Das heißt, das ging wieder hoch zum Landgericht Aachen.

00:10:07: Die Berufung wurde jedoch verworfen.

00:10:10: Auch eine Revision zum OLG Köln, also Oberlandesgericht, ist ebenfalls erfolglos geblieben.

00:10:16: Die Verurteilung ist damit recht kräftig.

00:10:19: Zwischenzeitlich wurde sie auch etliche Male umfangreich kommentiert, verweisen in den Shownotes auf die entsprechenden Quellen.

00:10:27: Nun hat sich auch das Bundesverfassungsgericht mit dem Fall befasst.

00:10:30: Was hat Karlsruhe entschieden?

00:10:31: Ja, der Programmierer hat auch Verfassungsbeschwerde eingelegt zum Bundesverfassungsgericht im Kern mit der Argumentation, dass seine freie Berufsausübung nach Artikel zwölf Grund gesetzt verletzt sei.

00:10:44: Und der Straftatbestand des Ausspins von Daten verfassungskonform eingeschränkt ausgelegt werden müsse, um sozusagen Ethical Hacking zu ermöglichen.

00:10:54: Leider hat das Bundesverfassungsgericht die Verfassungsschwerde nicht zur Entscheidung angenommen, und zwar mit einem sogenannten Nicht-Annahmebeschluss.

00:11:03: Das heißt konkret, es gibt keine inhaltliche Entscheidung zu Frage, wie weit der Straftatbestand des Zauner-Zwei-Ahr-Strafgesetzbuch bei Ethical Hacking reichen darf.

00:11:14: Aus meiner Sicht sagt Karlsruhe ein Ergebnis, die Beschwerde erreicht nicht die Jürde für eine Annahme, sei es, weil keine hinreichende grundsätzliche verfassungsrechtliche Bedeutung vorliegt oder weil keine offensichtliche Verletzung von Grundrechten dargelegt wurde.

00:11:31: Für die Praxis bedeutet das, die straffrechtliche Verurteilung bleibt bestehen.

00:11:35: Und wir haben keine verfassungskriechtliche Leitentscheidung, die eben Sicherheitsforschern Rechtssicherheit geben würde, weit sie gehen dürfen.

00:11:44: Die Auslegung der besonderen Datensicherung durch die Gerichte sorgt für viel Kritik.

00:11:49: Warum genau?

00:11:50: Der Knackpunkt ist die Frage, wann ist eine Datensicherung?

00:11:54: besonders im Sinne der Strafnormen.

00:11:56: Seit der Gesetzesreform in dem Jahr ist bereits die Zugangsverschaffung strafbar.

00:12:01: Wenn man jetzt gleichzeitig die Anforderungen an die besondere Sicherung stark absenkt, bekommt man eine sehr weitreichende Strafnorm.

00:12:10: Im Fall von Modern Solutions ist im Grunde folgendes passiert.

00:12:14: Die Gerichte sagen, es gab ein Passwort, also gab es auch eine besondere Sicherung.

00:12:19: Dass dieses Passwort aber quasi im Klartext sichtbar unverschlüsselt, im Programm an sich zu finden war, spielte keine entscheidende Rolle.

00:12:28: Die Konsequenz ist klar, schon sehr simple technisch mangelhafte Sicherung wie ein schlecht geschütztes Passwort, die wahrscheinlich nicht den technischen organisatorischen Anforderungen und dem Stand der Technik entsprechen, diese genügend wohl, um den vollen strafrechtlichen Schutz des Paragraphen Zonder IIa auszulösen.

00:12:47: Heißt also, Unternehmen, die ihre Systeme unzureichend absichern, können sich trotzdem auf den Straftatbestand berufen und könnten auch gegen Security Forscher vorgehen.

00:12:58: Dies führt dem Ergebnis zu einer drastischen Absenkung der Strafbarkeitsschwelle.

00:13:01: Auf der einen Seite werden kleinere Unternehmen geschützt, die teils fahrlässig, kann man vielleicht schon sagen, mit ihrer IT-Sicherheit umgehen.

00:13:10: Auf der anderen Seite riskieren ethische Sicherheitsforscher, also Whitehead, Hacker, strafrechtlich Konsequenzen, wenn sie auf solche Missstände hinweisen, auch wenn sie damit nur Gutes bezwecken wollen.

00:13:21: Für die IT-Community wirkt sich das wie eine verkehrte Welt an.

00:13:25: Oder fühlt sich so an.

00:13:26: Diejenigen, die ein Problem melden, stehen unter Strafandrohung.

00:13:30: Diejenigen, die das Problem verursachen oder nicht beheben, stehen straflächlich außen vor.

00:13:36: Welche Folgen könnte diese Entwicklung für die Datensicherheit in Deutschland haben?

00:13:40: Ich befürchte, dass die Entscheidungen, können ja nicht nur von einer Entscheidung sprechen, sondern die Entscheidungen der Gerichte in diesem Fall.

00:13:47: Das Potenzial haben die IT-Sicherheitslandschaft in deutlich negativ zu beeinflussen.

00:13:53: Aus Sicht der Security Forscher bedeutet sie ein hohes persönliches Risiko bei Melden von Sicherheitslücken.

00:14:00: Ich melde die Lücke, die ich entdeckt habe.

00:14:03: Durch einfache Hackingversuche riskiert damit ein Strafeverfahren gegen mich, eine Hausdurchsuchung, eine Beschlagnahme meiner ganzen IT-Arbeitsausrüstung vom Laptop zum Smartphone und im schlimmsten Fall sogar eine Verurteilung mit Geldstrafe und eine damit möglicherweise verbundene Vorstrafe.

00:14:20: Der Straftatbestand kennt leider keine Ausnahme für eine gute Absicht oder ethische Motive.

00:14:25: Das ist am Ende einfach die Frage der Strafzumessung und das tatricht das, wie er das entscheidet.

00:14:31: Die Folgen sind absehbar.

00:14:33: Viele Forscher werden sich künftig fragen, melde ich diese Lücke oder lasse ich es lieber, um nicht selbst ins Visier von Strafverfolgungsorganen zu geraten.

00:14:42: Es ist deswegen zu erwarten, dass insgesamt weniger Sicherheitslücken gemeldet werden.

00:14:46: Damit steigt das Risiko, dass bekannte Schwachstellen länger offen bleiben, und dann von echten Kriminellen, Cyberkriminellen ausgenutzt werden.

00:14:55: Die Paradoxie im Fall von Modern Solutions bringt es gut auf den Punkt.

00:14:58: Die Daten von fast siebenhunderttausend Betroffenen waren wegen unzureichender Datensicherung ernsthaft gefährdet.

00:15:05: Strafrechtlich im Fokus stand aber nicht das Unternehmen, sondern derjenige, der die Schwachstelle gefunden und gemeldet hat.

00:15:13: Mögliche Pflichtverletzungen des Unternehmens, etwa nach Datenschutzrecht, waren im Strafverfahren gegen den Programmierer kein Thema.

00:15:21: Diese Asymetrie sorgt dafür, dass Deutschland als Standort für IT-Sicherheitsforschung und Backbound die Programme deutlich unattraktiv wirkt.

00:15:30: In der Summe schwächt das, unsere Cyberresilienz anstatt sie zu stärken.

00:15:34: Gibt es denn Reformbestrebungen, um ethical hacking rechtssicher zu ermöglichen?

00:15:39: Ja, gibt es schon, aber leider auch keine endgültige Lösung.

00:15:42: Im Oktober November letzten Jahres, meine ich, hat das Bundesjustizministerium einen Referentenentwurf zur Modernisierung des Computerstrafrechts vorgelegt.

00:15:52: Ziel war es unter anderem gute Hacker, also die genannten Sicherheitsforschung Whitehead Hacker, teilweise zu entkriminalisieren und klare Regeln zu schaffen.

00:16:01: Der Entwurf sah vor, dass bestimmte Handlungen im Rahmen von Sicherheitsforschung straffrei bleiben sollen, wenn die definierten Voraussetzungen erfüllt sind.

00:16:09: In der Fachliteratur ist das Meinungsbild gespalten.

00:16:11: Viele Stimmen halten den Entwurf in der Praxis für kaum handhabbar, zu unbestimmt, zu viele Haken und Ösen.

00:16:19: Außerdem wird darauf hingewiesen, dass selbst ein solcher Entwurf nicht alle Strafbarkeitsrisiken beseitigt.

00:16:24: Insbesondere nicht im Ohieberstrafrecht oder bei anderen flankierenden Normen.

00:16:28: Gleichzeitig wächst der politische Druck.

00:16:30: aus der IT-Sicherheitscommunity und von Instituten wie zum Beispiel den BSI kommen inzwischen deutliche Forderungen.

00:16:36: Den Heckererparagrafen, den Paragraf-Zohler IIa, grundlegend zu überarbeiten und Sicherheitsforscher verlässlich zu schützen.

00:16:44: Stand heute kann man sagen, es gibt Entwürfe und Diskussionen, es gibt klare Forderungen aus Wissenschaft und Praxis, aber noch keine abgeschlossene Reform, die Cyberforschenden wirklich Rechtssicherheit geben würde.

00:16:56: Es gilt also, wenn Deutschland Cyberforschung betreibt, bewegt sich jedenfalls bei echten Angriffen auf produktive Systeme ohne Auftrag des Betreibers weiterhin in einem Hochrisiko-Umfeld.

00:17:08: Vielen Dank Matthias für diese Einordnung und für den Einblick in einen Fall, der wirklich exemplarisch zeigt, wie schwierig der Spagat zwischen Strafrecht, Datenschutz und IT-Sicherheit ist.

00:17:18: Ja,

00:17:18: vielen Dank für die Einladung.

00:17:19: Das hatten wir wie immer viel Freude gemacht.

00:17:21: Das war dieser Episode des Criminal Compliance Podcast.

00:17:24: Wenn Sie Fragen oder Anmerkungen zu dieser Episode haben oder Themenvorschläge für zukünftige Folgen, melden Sie sich wie immer gerne unter InfoEd Rosinos-on-air kommen.

00:17:35: Danke fürs Zuhören und bis zum nächsten Mal.

00:17:39: Der Podcast stellt lediglich einen allgemeinen Überblick über rechtliche Themen dar und ersetzt selbstverständlich keine Rechtsberatung zu konkreten Fragestellungen im Einzelfall.

00:17:49: Bei Fragen wenden sie sich an Rechtsanwältinnen und Rechtsanwälte ihres Vertrauens, natürlich auch gerne an uns.

00:17:55: www.rosinus-on-r.com oder unter

00:18:00: www.rosinus-partner.com.