[ziesell]

Zitat:

White Hacking: Die gute Absicht reicht nicht

Sicherheitsforscher dringen in fremde Netzwerke ein, um Lücken aufzudecken – und finden sich plötzlich vor Gericht wieder. Die Rechtslage ist kompliziert, wie ein aktueller Fall zeigt.



Längst nicht alle Unternehmen schützen die ihnen anvertrauten personenbezogenen Daten ihrer Kunden. So können Hacker sie mitunter ins Netz stellen oder für kriminelle Zwecke missbrauchen. Datenschützer gehen gegen Firmen vor, wenn sie den Datenschutz verletzt haben – etwa bei der Plattform Knuddels, gegen deren Betreiber der baden-württembergische Datenschutzbeauftragte ein Bußgeld von 20.000 Euro verhängte.

Knuddels hatte die Daten seiner Kunden nicht verschlüsselt, sondern als Klartext gespeichert und dadurch nach Ansicht der Datenschützer gegen seine Verpflichtung aus Art. 32 Abs. 1 Buchstabe a DSGVO verstoßen. Aufgrund dieser Pflichtverletzung konnten Hacker sich Zugriff auf personenbezogene Daten von rund 1,8 Millionen Nutzern verschaffen und sie ins Internet stellen. Dem Betreiber kam zugute, dass er den Vorfall der Datenschutzaufsichtsbehörde gemeldet und sich somit kooperativ verhalten hatte.

Doch längst nicht jedes Unternehmen handelt so, obwohl es zur unverzüglichen Mitteilung einer damit verbundenen Verletzung des Schutzes persönlicher Daten nach Art. 33 Abs. 1 DSGVO verpflichtet ist, sofern ihm die Datenschutzverletzung bekannt ist.

Auch manche IT-Sicherheitsexperten dringen in fremde Netzwerke ein, weil sie dort Schwachstellen vermuten, die Hacker für Angriffe auf die Daten von Kunden missbrauchen könnten. Werden sie fündig, nehmen sie Kontakt mit dem Betreiber des Netzwerks auf. Gegebenenfalls gehen sie mit ihren Informationen auch an die Öffentlichkeit – vor allem, wenn der Betreiber des Netzwerks die Sicherheitslücke nicht behebt.

Nur: Dieses Vorgehen, das sich nicht gegen die Hacker, sondern gegen infiltrierte Netzwerke und deren Nutzer richtet, kann schwerwiegende rechtliche Konsequenzen für die Sicherheitsforscher haben.

Hat der Programmierer Daten ausgespäht?

Das wird an einem aktuellen Fall deutlich, in dem ein IT-Experte auf diese Weise herausgefunden hatte, dass auf dem Datenbank-Server des Webhosting-Anbieters Modern Solution die Zugangsdaten von rund 700.000 aller angeschlossenen Online-Händler unverschlüsselt im Klartext hinterlegt waren.

Hiervon erfuhr die Öffentlichkeit zunächst nichts. Zwar soll laut eines Sprechers der Landesbeauftragten für den Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Modern Solution die Datenpanne fristgemäß an das LDI NRW und die betroffenen-Online-Händler gemeldet haben. Die Datenschützer sollen von der Einleitung von aufsichtsbehördlichen Maßnahmen jedoch vor allem deshalb abgesehen haben, weil das Unternehmen sich kooperativ gezeigt und angemessene und geeignete Maßnahmen zur Behebung der Datenpanne eingeleitet habe.

Nachdem der IT-Experte darüber sowohl den Webhosting-Anbieter, den Blogger Mark Steier als auch die Öffentlichkeit über die Datenpanne informiert hatte, ermittelte die Staatsanwaltschaft Köln gegen ihn. Die Ermittler warfen ihm vor, sich illegal Zugriff auf den Server von Modern Solution verschafft zu haben.

Er soll hierzu mittels eines Decompilers – eines frei zugänglichen Programms – aus der von Modern Solution genutzten Software einen Quellcode erzeugt haben. Dann soll er dem Quellcode die im Klartext hinterlegten Passwörter entnommen, die Zugangsdaten zu den Kundendaten ausgelesen und auf seinen Rechner kopiert haben.

Die Staatsanwaltschaft Köln sah darin eine Straftat in Form des Ausspähens von Daten gemäß § 202a StGB und beantragte beim Amtsgericht Jülich den Erlass eines Strafbefehls. In diesem sollte es eine Geldstrafe von 60 Tagessätzen festsetzen.

Die Gerichte sind sich uneins

Das Amtsgericht Jülich lehnte den Erlass des Strafbefehls jedoch ab. Es begründete das damit, dass der Straftatbestand des § 202a StGB voraussetzt, dass die Kundendaten gegen den unberechtigten Zugang besonders gesichert sind.

Dazu reiche es nicht aus, dass die im Klartext hinterlegten Daten lediglich durch ein Passwort gesichert wurden. Der IT-Experte hätte eine besondere Zugangssicherung überwinden müssen – von der könne aber nicht die Rede sein, weil er die Software durch ein gängiges Hilfsprogramm rückübersetzt habe (Beschluss vom 10.05.2023, Aktenzeichen 17 Cs-230 Js 99/21-55/23).

Die Staatsanwaltschaft Köln legte dagegen eine sofortige Beschwerde ein – mit Erfolg. Das Landgericht Aachen hob die Entscheidung des Amtsgerichts Jülich auf. Die Richter sahen den für den Erlass des Strafbefehls erforderlichen hinreichenden Tatverdacht des Ausspähens von Daten gem. § 202a StGB als gegeben an.

Sie begründeten das damit, dass an eine besondere Sicherung zum Schutze des Opfers weniger strenge Anforderungen zu stellen sind. Es genüge, dass der Zugang zum Server durch ein Passwort gesichert wurde.

Entgegen der Ansicht der Vorinstanz stelle das Auslesen des Passwortes nach Dekompilierung des Objektcodes in den Quellcode auch dann eine Überwindung einer besonderen Zugangssicherung dar, wenn sie mit einem für alle zugänglichen Tools erfolgte.

Das gelte jedenfalls dann, wenn – wie hier – ein IT-Experte aufgrund seiner speziellen Kenntnisse in der Lage war, die Daten der Kunden auszulesen. Das ergebe sich aus einem Beschluss des BGH vom 13. Mai 2020, Aktenzeichen 5 StR 614/19 (Urteil vom 27.07.2023, Aktenzeichen 60 Qs 16/23).

Möglicherweise noch über mehrere Instanzen

Das Landgericht Aachen verwies die Sache zurück an das Amtsgericht Jülich zur Entscheidung über den Strafbefehlsantrag des Staatsanwaltschaft Köln. Denn für den Erlass von Strafbefehlen ist die Vorinstanz zuständig. Das Landgericht Aachen durfte den Beschluss der Vorinstanz also lediglich aufheben und die Sache zur neuen Entscheidung dorthin zurückverweisen.

Das Amtsgericht Jülich erließ laut Auskunft von dessen Direktor den von der Staatsanwaltschaft Köln beantragten Strafbefehl. Aufgrund des Einspruches des IT-Experten ist das Verfahren derzeit vor dem Amtsgericht Jülich anhängig.

Es ist noch nicht abzusehen, wann das Gericht dazu verhandelt und in erster Instanz entscheidet. Möglicherweise wird sich das Verfahren über mehrere Instanzen hinziehen.

Unter Rechtsexperten ist die Frage umstritten, inwieweit der Tatbestand des § 202a StGB – also das Ausspähen von Daten – ausscheidet, wenn die Rückübersetzung mit gängigen Hilfsprogrammen möglich ist. Verneint wird das etwa von Graf im Münchner Kommentar, Strafgesetzbuch, 4. Aufl. 2021 zu § 202a StGB Rd. 34.

White Hacker brauchen einen guten Grund

Wenn der Sicherheitsexperte durch das Eindringen in das IT-System des Unternehmens zwecks Sicherheitstests den Tatbestand des Ausspähens erfüllt hat, stellt sich folgende Frage: Gab es einen Grund, der das rechtfertigt?

Eine Rechtfertigung wegen Notwehr gemäß § 32 Abs. 1 StGB in Form der Nothilfe setzt voraus, dass auf das IT-System des Kunden ein gegenwärtiger rechtswidriger Angriff erfolgt ist. Gegenwärtig bedeutet, dass die Verteidigungshandlung zum Zeitpunkt des Angriffs erfolgt sein muss.

Hinzu kommt, dass sich die Verteidigungshandlung nur gegen die Rechtsgüter des Angreifers richten darf. Vor allem Letzteres ist fragwürdig, weil der Angriff hier nicht auf ein Unternehmen erfolgt ist, das von einem Hacker für seine Zwecke missbraucht wurde. Das gilt erst recht für die ausgelesenen personenbezogenen Daten der Kunden. Von daher scheidet eine Rechtfertigung wegen Notwehr aus.

Eine Rechtfertigung wegen Notstands gemäß § 34 StGB setzt zunächst voraus, dass eine gegenwärtige Gefahr für ein Rechtsgut des Auftraggebers des IT-Experten in Form einer Dauergefahr bestand – wenn also eine permanente Gefährdung gegeben ist.

Diese zeichnet sich dadurch aus, dass sich der Zeitpunkt ihrer Realisierung nicht bestimmen lässt. Das heißt, dass die Gefahr jederzeit in einen Schaden umschlagen kann. Typisches Beispiel ist ein baufälliges Haus, das jeden Moment einstürzen kann (Neumann in: Kindhäuser/Neumann/Paeffgen/Saliger, Strafgesetzbuch, 6. Aufl. 2023 zu § 34 Rd. 56).

Davon ist auszugehen, wenn der Kunde stets damit rechnen muss, dass ein Hacker in absehbarer Zeit eine Attacke über die Sicherheitslücke ausübt. Hierfür müssen konkrete Anhaltspunkte sprechen.

Darüber hinaus müsste das Kundeninteresse, dessen Schutz der IT-Experte im Sinne hatte, wesentlich schützenswerter sein als das beeinträchtigte Interesse des Unternehmens. Das erscheint ebenfalls fraglich, weil diese Interessen gleich schützenswert sind.

Dessen ungeachtet müsste das Eindringen in das System eines anderen Unternehmens gemäß § 34 Satz 2 StGB ein angemessenes Mittel sein, um den Angriff durch Hacker abzuwehren. Angemessen heißt: geeignet und erforderlich, wobei "erforderlich" bedeutet, dass es kein milderes Mittel gibt.

Zum Beispiel wäre es auch möglich gewesen, dass der IT-Experte sich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) wendet und ihm erklärt, was für eine Sicherheitslücke spricht. Darüber hinaus hätte er sich wegen des Verstoßes gegen die Datenschutzgrundverordnung an die Datenschutzaufsichtsbehörde des Bundeslandes wenden können, in dem das Unternehmen seinen Sitz hat.

Nicht heimlich reinhacken

Aufgrund dieser rechtlichen Situation sollten IT-Experten zum Aufdecken von Sicherheitslücken nicht heimlich auf Server von Unternehmen eindringen. Das gilt auch, wenn konkrete Anhaltspunkte dafür bestehen, dass es dort Sicherheitslücken gibt, die von Hackern für Angriffe missbraucht werden.

Stattdessen sollten sie allenfalls Honeypots verwenden. Das sind absichtlich verwundbare Systeme, die als Köder dienen und Angreifer anlocken sollen. Honeypots werden eingesetzt, um Informationen über Angriffe, Identität der Angreifer und deren Vorgehensweisen zu erhalten. Allerdings ist auch hier in der Rechtsprechung noch nicht abschließend geklärt, ob der Einsatz zulässig ist (vgl. Böken in: Kipker, Cybersecurity, 2. Aufl. 2023, Kapitel 15 Rd. 83-86).

Wer auf Nummer sicher gehen möchte, wendet sich stattdessen an das BSI sowie die zuständige Datenschutzaufsichtsbehörde. Dafür spricht, dass der Gesetzgeber dem BSI den Einsatz von Honeypots ausdrücklich erlaubt. Das ergibt sich aus § 7b Abs. 4 Satz 1 BSI-Gesetz - BSIG.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]