Der Entwickler muss sich vor Gericht verantworten. (Foto: MR.Yanukit / Shutterstock)
Als ein Entwickler und Sicherheitsforscher im Juni 2021 im Auftrag eines Kunden von Modern Solution Fehler suchte, hätte er wohl nicht mit einer Anzeige gerechnet.
Das Unternehmen, das renommierten Kunden wie Otto, Check 24 und Kaufland dient und Daten von mehr als 700.000 Kunden verwaltet, hatte eine gravierende Sicherheitslücke: Passwörter waren im Klartext gespeichert.
Nachdem der Entwickler die Lücke bei Modern Solution meldete und sie nach deren Behebung veröffentlichte, kam anstelle von Dankbarkeit unerwartet eine juristische Anklage, wie Heise berichtet.
Sicherheitsforscher hat sich Zugang zum System verschafft
Die Grundlage für die Anklage? Er hatte sich in das System von Modern Solutions eingehackt, um die besagte Sicherheitslücke zu identifizieren. Der Fall landete zuerst vor dem Amtsgericht Jülich – angesichts einer Anklage durch die Staatsanwaltschaft Köln.
Hier wurde die Anklage abgelehnt, weil der Richter argumentierte, dass die Daten von vornherein unzureichend geschützt waren. Das Landgericht Aachen sah die Dinge jedoch anders: Ihrer Meinung nach benötigt es ein tiefgreifendes Verständnis für Programmiersprachen und Softwareentwicklung, um in das System eindringen zu können.
Daher sei es nur vor jenen geschützt, die keine Expertise in diesem Bereich besitzen. Dies bringt den sogenannten „Hackerparagrafen“ 202a StGB ins Spiel und der Entwickler muss nun vor Gericht.
Der Entwickler muss sich verantworten
Die Frage, ob die Daten ausreichend geschützt waren und der Forscher damit eine Straftat begangen hat, ist offensichtlich nicht eindeutig zu klären. Dennoch muss sich der Entwickler, der lediglich seiner beruflichen Pflicht nachkam und damit möglicherweise eine große Menge an Kundendaten schützte, vor Gericht rechtfertigen.
Diese Entwicklung könnte alarmierende Auswirkungen auf die Gemeinschaft der Entwickler und Sicherheitsforscher haben. Es besteht die Befürchtung, dass solche Vorfälle andere davon abhalten könnten, in Zukunft Sicherheitslücken offenzulegen.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Demnach darf man die Programme schreiben und nicht mehr auf Schwachstellen abklopfen? Ist wie wenn Auto baust und nicht testen darfst ob es Unfällen stand hält…..
Ist ja witzig. Eigentlich sollte man die Plattformen verklagen die so mit Kundendaten umgehen, das ist ja wirklich derb asozial…
Dann verklagen ich jetzt den Arzt, weil er mich bei der OP mit einem Skalpell schwer körperverletzt hat! Es wird immer dümmer in Deutschland…