Dass die Sicherung des Zugangs durch ein Passwort als Zugangssicherung ausreicht, hat das Landgericht Aachen, 60 Qs 16/23, unter Bezugnahme auf die Rechtsprechung des Bundesgerichtshofs festgestellt. Die Entscheidung macht deutlich, wo derzeit eklatante Probleme im IT-Sicherheitsrecht in Deutschland liegen und wird hier kurz vorgestellt.
Kurze Anmerkung: Ich nehme hier die Entscheidung unkommentiert, nur in Teilen zur Lesbarkeit ein wenig umformuliert auf. Als kurzer Hinweis soll hier genügen, dass die Entscheidung in rechtlicher Hinsicht mit Blick auf die (unsägliche) BGH-Rechtsprechung korrekte Ausführungen zur „besonderen Sicherung“ vornimmt.
Aber: Es verbleibt beim fachkundigen Leser der Eindruck, dass man die eigentliche Relevanz gar nicht verstanden hat. So taucht das Wort „Sicherheit“, trotz der IT-sicherheitsrechtlichen Relevanz, gar nicht auf. Und auch wenn man den §202d StGB richtig anwendet und auf den §69e UrhG zu sprechen kommt, so bleibt vollständig außen vor, dass hier eine grundrechtliche wie speziell unionsrechtliche Auslegung geboten ist; dies gerade mit Blick auf die politisch und gesellschaftlich gewünschte sicherheitsrechtliche Bewertung (dazu ausführlich: Vettermann/Wagner in InTer 2020, 126). All dies verwundert bei einem Sachverhalt, der bundespolitische Auswirkungen haben und auf absehbare Zeit den Gesetzgeber beschäftigen wird – am Ende hat man nach hiesigem Eindruck, mit „Schema-F“-Überlegungen einen vollkommen unterschätzten Sachverhalt versucht, in eine Schublade zu packen. Im Übrigen verbleibt es damit bei meinen Ausführungen zur Rechtslage beim Suchen nach Sicherheitslücken.
Sachverhalt der Entscheidung
Wichtiger Hinweis vorweg: Es handelt sich nicht um den rechtskräftigen, sondern nur um den derzeit vom Gericht festgestellten Sachverhalt! Mangels bisheriger Hauptverhandlung ist dies nur eine vorläufige Einschätzung, von der später noch abgewichen werden kann, das ist wichtig zu verstehen. Ich habe hier die Ausführungen des Gerichts (um persönliche Details gekürzt) übernommen und nur lesbarer umformuliert, ansonsten aber unangetastet gelassen, insbesondere keine Erläuterungen vorgenommen.
Das geschädigte Unternehmen ist ein Webhosting-Anbieter, der unter anderem den Online-Handel mit der Software JTL, einem Warenwirtschaftssystem, betreibt. Diese Software wird über eine eigene Schnittstelle zahlreichen Geschäftskunden entgeltlich zur Verfügung gestellt. Bestandteil des Hostings ist die Bereitstellung von Kundendatenbanken der Endkunden der jeweiligen Firmenkunden. Das Unternehmen verfügt über die Daten von ca. 600.000 – 700.000 Endkunden, verteilt auf die verschiedenen Online-Händler.
Zu einem nicht näher bekannten Zeitpunkt verschaffte sich der Beschuldigte von seiner Wohnung aus Zugang zum Datenbankserver des Unternehmens. Dabei erzeugte er zunächst mit Hilfe eines sogenannten Decompilers – einem für jedermann zugänglichen Programm – den Quellcode der von dem geschädigten Unternehmen eingesetzten Software. Aus dem durch Dekompilierung erlangten Quellcode entnahm er sodann das dort im Klartext hinterlegte Passwort, mit dem er die Zugangsdaten zu den jeweiligen Kundendatenbanken auslas und auf seinen eigenen Rechner kopierte.
Beschluss des Amtsgerichts Jülich
Zur Verneinung der Strafbarkeit führte das Amtsgericht Jülich vorher unter anderem aus, dass der Tatbestand des § 202 a StGB nicht erfüllt sei. Dem Schutzbereich des Tatbestandes unterlägen nur Daten, die gegen unbefugten Zugriff besonders gesichert seien. Dies setze voraus, dass Maßnahmen getroffen worden seien, die objektiv geeignet und nach dem Willen des Berechtigten auch dazu bestimmt seien, den Zugriff auf die Daten zu verhindern.
Ein Passwortschutz als solcher reiche nach Auffassung des Amtsgerichts bereits nicht aus, um eine besondere Sicherung im Sinne des § 202 a StGB zu begründen. Zudem habe der Angeklagte die Dekompilierung mit einem gängigen Hilfsprogramm vorgenommen, was für eine tatbestandsmäßige Überwindung einer besonderen Zugangssicherung im Sinne des § 202 a StGB nicht ausreiche.
Beschluss des Landgerichts Aachen
Nach § 202 a Abs. 1 StGB macht sich strafbar, wer sich oder einem anderen Zugang zu Daten verschafft, die nicht für ihn bestimmt und die gegen unbefugten Zugang besonders gesichert sind, indem er die Zugangssicherung überwindet. Indem der Angeklagte dem Quellcode der Software, den er durch Dekompilierung erlangt hatte, die dort hinterlegten Passwörter entnahm und die Daten auf seinen Computer übertrug, hat er nicht nur das bereits tatbestandsmäßige Verschaffen des bloßen Zugangs zu Daten verwirklicht, sondern sich darüber hinaus die Daten selbst verschafft, wie die Einträge in seiner Datenbank belegen, so das LG Aachen.
Dass die Daten nicht für den Angeklagten bestimmt waren, ergibt sich nach der Entscheidung des Landgerichts aus dem Umstand der Zugangsbeschränkung in Form eines Passworts. Denn nach dem Willen des verfügungsberechtigten Unternehmens sollte der Angeklagte keinen Zugriff haben und die Daten sollten nicht in seinen Herrschaftsbereich gelangen.
Soweit es um den dekompilierten Quellcode der Software als solchen geht, war auch dieser nicht für den Beschuldigten bestimmt. Denn insoweit gelten die für Daten entwickelten Grundsätze für Computerprogramme entsprechend. Soweit eine Dekompilierung des Objektcodes in den Quellcode urheberrechtlich nach § 69 e i.V.m. § 69 c Nr. 1 UrhG unzulässig ist – etwa wenn der Täter die durch den Lizenzvertrag und den Programmschutz gezogenen Grenzen nicht einhält -, fehlt es an einer Bestimmung der Daten durch den Täter mit der Folge, dass eine Strafbarkeit nach § 202 a StGB – vorbehaltlich des Vorliegens der weiteren Tatbestandsvoraussetzungen – eröffnet ist.
Die Daten waren dann auch mit dem Landgericht gegen unbefugten Zugriff besonders gesichert:
Dies ist der Fall, wenn Vorkehrungen getroffen sind, den Zugriff auf Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren. Das Erfordernis der besonderen Sicherung gegen unberechtigten Zugang zeigt die Schranke an, deren Überwindung kriminelles Unrecht begründet. Sie rechtfertigt sich, weil der Verfügungsberechtigte mit der Sicherung sein Interesse an der „Geheimhaltung“ – ähnlich wie in § 202 Abs. 2, § 243 Abs. 1 Satz 2 Nr. 2 – dokumentiert und – das ist in normativer Hinsicht ausschlaggebend – durch diese Wahrnehmung eines ohne Weiteres zumutbaren Selbstschutzes auch des zusätzlichen Strafrechtsschutzes würdig und bedürftig wird (vgl. BGH, Beschl. v. 13.05.2020 – 5 StR 614/19 – NStZ-RR 2020, 279 (280); Hilgendorf in: LK- StGB, 13. Aufl. 2023, § 202 a Rn. 18).
Im vorliegenden Fall war der Zugang durch Passwörter gesichert, deren Abrufen zudem nur nach einer Dekompilierung möglich war. Die Sicherung des Zugangs mittels Passwort reicht als Zugangssicherung aus (BGH, Beschl. v. 13.05.2020 – 5 StR 614/19 –, a.a.O.).
Bei einem Passwort handelt es sich um eine typische Software- Sicherung, die das Interesse an einer Zugangssicherung eindeutig dokumentiert. Maßgeblich ist, ob die Sicherung geeignet erscheint, einen wirksamen, wenn auch nicht absoluten Schutz zu erreichen. Erforderlich ist – nach der Gesetzesbegründung – dass die Überwindung dieser Sicherung einen nicht unerheblichen zeitlichen oder technischen Aufwand erfordert (vgl. BT- Drs. 16/3656). Dies wäre jedenfalls dann zu verneinen, wenn die Aufhebung des Schutzes ohne weiteres möglich ist und durch jeden interessierten Laien leicht überwunden werden könnte. Vom Schutzbereich ausgenommen sind insbesondere auch Fälle, in denen das Opfer selbst nachlässig mit den eigenen Daten umgeht und eine sehr leicht ausschaltbare Sicherung wählt. Keine technischen Vorkehrungen wären folglich standardisierte Logins und Passwörter (zB Ziffernfolge 0000 bei allen Geräten), da hier zur Dokumentation der Geheimhaltung zunächst eine Änderung notwendig wäre (…)
Entgegen der Auffassung des Amtsgerichts stellt das Auslesen des Passwortes nach Dekompilierung des Objektcodes in den Quellcode eine Überwindung einer besonderen Zugangssicherung im Sinne des § 202 a StGB auch dann dar, wenn sie mit für jedermann zugänglichen Tools erfolgt ist.
Soweit in den Gesetzesmaterialien von einer „Überwindung mit einem nicht unerheblichen zeitlichen oder technischen Aufwand“ die Rede ist, ist dies dahingehend zu verstehen, dass die Überwindung der Zugangssicherung typischerweise – also unabhängig von spezifischen Möglichkeiten oder Kenntnissen des konkreten Täters – einen nicht unerheblichen Aufwand erfordern muss. Auch wenn eine Zugangssicherung auf Grund besonderer Kenntnisse, Fähigkeiten oder Möglichkeiten schnell und ohne besonderen Aufwand überwunden wird, ist der Tatbestand erfüllt (BGH, Beschl. v. 13.05.2020 – 5 StR 614/19, a.a.O.).
Mit der Änderung des § 202a StGB durch das 41. StrÄndG im Jahre 2007 hat der Gesetzgeber unter Umsetzung des Übereinkommens des Europarates über Computerkriminalität aus dem Jahre 2001 und des entsprechenden Rahmenbeschlusses, u.a. das „Hacking“ unter Strafe gestellt. Maßgeblich ist seitdem bereits das Verschaffen von Zugang, nicht erst das Abrufen der Daten. Der Tatbestand soll damit den persönlichen- und Geheimbereich des Verfügungsberechtigten der Daten sichern, als auch seine wirtschaftlichen Interessen auf seine Daten vor unbefugtem Zugriff schützen (vgl. Fischer, StGB, 70. Aufl. 2023, § 202a Rn. 2; Vassilaki in: CR 2008, 131). Der Umstand, dass bereits der Zugang – unabhängig von der Motivation mit der sich der Betreffende den Zugang verschafft – unter Strafe gestellt ist, zeigt, dass die Norm zudem auch dem Schutz der Integrität der Informationssysteme als solchen und nicht nur dem Datenschutz des Einzelnen dient. Dieser Schutzzweck wäre nicht gewährleistet, wenn die Strafbarkeit alleine an die Verwendung bestimmter Programme geknüpft wäre. Schließlich wäre eine Abgrenzung zwischen leicht und schwer zugänglichen Hilfsprogrammen zu unkonkret, um dem im Strafrecht gebotenen Bestimmtheitsgrundsatz gerecht zu werden.
Die Anforderungen an den notwendigen „nicht unerheblichen zeitlichen oder technischen Aufwand“ zur Überwindung der Sicherung (so BT-Drs. 16/3656 S. 10) dürfen daher zum Schutz technischer Laien und vor dem Hintergrund des Bestimmtheitsgrundsatzes nicht zu hoch angesetzt werden. Der Zugangsschutz muss nicht vollständig sein. Es ist ein „weites Verständnis“ des Überwindens einer Zugangssicherung zugrunde zu legen, bei dem eine Orientierung am technischen Laien angezeigt ist. Denn auch dem technischen Laien muss die grundrechtlich garantierte Möglichkeit eingeräumt werden, geschützte formale Geheimbereiche zu schaffen. Auch dass der Gesetzgeber mit § 202 a StGB nur einen eingeschränkten Täterkreis erfassen wollte, ergibt sich weder aus dem Wortlaut der Norm noch aus den Motiven. § 202 a StGB ist kein auf professionelle Angreifer beschränktes Sonderdelikt (vgl. Kargl in: Kindhäuser/Neumann/Paeffgen/Saliger StGB a.a.O. Rn. 42; Schumann, NStZ 2007, 677).
Es ist auf die allgemeine Sicherung der Daten gegenüber dem Zugriff Unbefugter abzustellen, nicht darauf, ob Eingeweihte oder Experten leicht auf die Daten zugreifen können. Für das geschützte Rechtsgut ist es unerheblich, ob die Sicherung von Daten vor unberechtigtem Zugang schnell oder langsam, mit viel oder wenig Aufwand überwunden wird. Der Gesetzgeber wollte aus dem Tatbestand neben Bagatelltaten lediglich solche Fälle ausschließen, in denen die Durchbrechung des Schutzes für jedermann ohne weiteres möglich ist, nicht aber solche, in denen die Zugangssicherung auf Grund spezieller Kenntnisse oder Möglichkeiten im Einzelfall leicht überwunden wird. Nur eine solche abstrakt-generelle Betrachtungsweise lässt sich mit dem Schutzzweck der Norm vereinbaren (vgl. BGH, Beschl. v. 13.05.2020, a.a.O).
Ausgehend hiervon hat der Angeschuldigte eine Zugangssicherung überwunden, durch die der Verfügungsberechtigte erkennbar den Zugang zu den Daten verhindern wollte und dadurch die strafwürdige kriminelle Energie manifestiert. Dass dies für ihn einfach – und gegebenenfalls mit wenigen „Maus- Clicks“ möglich war – hindert eine Strafbarkeit nicht (vgl. BGH, Beschl. v. 13.05.2020 a.a.O). Auch wenn er für die Dekompilierung frei zugängliche Programme verwendet hat, so setzt eine solche Vorgehensweise sowohl ein tieferes Verständnis über Programmiersprachen und Softwareentwicklung als auch ausgeprägte Kenntnisse im Bereich der Anwendungsentwicklung und die Fähigkeit zum sogenannten Reverse Engeneering der Softwareschnittstelle voraus. Die in Rede stehenden Daten waren – eine abstrakt generelle Betrachtungsweise zugrunde gelegt – für den Angeschuldigten aufgrund seiner Kenntnisse leicht abgreifbar, indes „typischerweise“ nicht für Jedermann ohne weiteres möglich.
Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.
- Keine Beihilfe zur Einfuhr bei beendeter Tat - 29. April 2024
- Zumutbarkeit der Weiterbeschäftigung - 29. April 2024
- Arbeit auf Abruf – Dauer der wöchentlichen Arbeitszeit - 29. April 2024