Als ein Entwickler und Sicherheitsforscher im Juni 2021 im Auftrag eines Kunden von Modern Solution Fehler suchte, hätte er wohl nicht mit einer Anzeige gerechnet.

Das Unternehmen, das renommierten Kunden wie Otto, Check 24 und Kaufland dient und Daten von mehr als 700.000 Kunden verwaltet, hatte eine gravierende Sicherheitslücke: Passwörter waren im Klartext gespeichert.

Nachdem der Entwickler die Lücke bei Modern Solution meldete und sie nach deren Behebung veröffentlichte, kam anstelle von Dankbarkeit unerwartet eine juristische Anklage, wie Heise berichtet.

Die Grundlage für die Anklage? Er hatte sich in das System von Modern Solutions eingehackt, um die besagte Sicherheitslücke zu identifizieren. Der Fall landete zuerst vor dem Amtsgericht Jülich – angesichts einer Anklage durch die Staatsanwaltschaft Köln.

Hier wurde die Anklage abgelehnt, weil der Richter argumentierte, dass die Daten von vornherein unzureichend geschützt waren. Das Landgericht Aachen sah die Dinge jedoch anders: Ihrer Meinung nach benötigt es ein tiefgreifendes Verständnis für Programmiersprachen und Softwareentwicklung, um in das System eindringen zu können.

Daher sei es nur vor jenen geschützt, die keine Expertise in diesem Bereich besitzen. Dies bringt den sogenannten „Hackerparagrafen“ 202a StGB ins Spiel und der Entwickler muss nun vor Gericht.

Die Frage, ob die Daten ausreichend geschützt waren und der Forscher damit eine Straftat begangen hat, ist offensichtlich nicht eindeutig zu klären. Dennoch muss sich der Entwickler, der lediglich seiner beruflichen Pflicht nachkam und damit möglicherweise eine große Menge an Kundendaten schützte, vor Gericht rechtfertigen.

Diese Entwicklung könnte alarmierende Auswirkungen auf die Gemeinschaft der Entwickler und Sicherheitsforscher haben. Es besteht die Befürchtung, dass solche Vorfälle andere davon abhalten könnten, in Zukunft Sicherheitslücken offenzulegen.