Das Landgericht Jülich in Deutschland verkündete kürzlich das jüngste Urteil und kam zu dem Schluss, dass ein Programmierer wegen Verstoßes gegen die sogenannte Hacking-Klausel 202a des Strafgesetzbuches (StGB) wegen unerlaubten Zugriffs auf Computersysteme Dritter und Ausspionieren von Daten bestraft wurde .
Im Juni 2021 untersuchte der Forscher Hendrik H. Softwareprobleme für einen Kunden des IT-Dienstleistungsunternehmens Modern Solution GmbH, als er entdeckte, dass der Code von Modern Solution über MySQL eine Verbindung zu einem MariaDB-Datenbankserver herstellte. Das Passwort für den Zugriff auf den Remote-Server ist im Klartext in der Programmdatei MSConnect.exe gespeichert. Jeder, der einen einfachen Texteditor verwendet, kann die Datei öffnen, um den Inhalt anzuzeigen und das unverschlüsselte, fest codierte Passwort zu finden.
Gerade aufgrund dieses leicht zugänglichen Passworts kann sich jeder am Remote-Server anmelden, um auf die Daten der Kunden von Modern Solution zuzugreifen, und auch auf die Daten aller Kunden des Lieferanten, die auf dem Datenbankserver gespeichert sind. Insgesamt wurden durch den Datenbankverstoß fast 700.000 Kundendatensätze offengelegt, darunter Namen, E-Mail-Adressen, Telefonnummern, Bankinformationen, Passwörter sowie Gesprächs- und Anrufprotokolle.
Nachdem er die Sicherheitslücke entdeckt hatte, kontaktierte der Programmierer mit Hilfe des Technologie-Bloggers Mark Steier das entsprechende Unternehmen, das anschließend die Sicherheitslücke behob und die Polizei rief, um den Programmierer zur Verantwortung zu ziehen. Im September 2021 beschlagnahmte die deutsche Polizei den Computer von Hendrik H., nachdem Modern Solution ihm vorgeworfen hatte, durch interne Informationen an das Passwort gelangt zu sein, und behauptete, er sei ein Konkurrent.
Im Juni 2023 unterstützte das Landgericht Jülich in Deutschland die Klage von Hendrik H. mit der Begründung, dass die Software von Modern Solution schlecht geschützt sei. Das Landgericht Aachen wies jedoch das Landgericht Jülich an, den Fall erneut zu verhandeln, und das ursprüngliche Urteil wurde aufgehoben. Am 17. Januar 2024 verurteilte das Landgericht Jülich Hendrik H. schließlich zu einer Geldstrafe und verurteilte ihn zur Zahlung der Prozesskosten.
Dieses Urteil sorgte unweigerlich für Kontroversen bei einer Vielzahl von Netzwerksicherheitsexperten und -forschern. Steier gab an , dass das Urteil grundsätzlich falsch sei. „Passwörter, die nahezu im Klartext gehalten werden, stellen keine ‚besondere Sicherheit‘ im Sinne von Abschnitt 202 dar. Es ist verständlich, dass ein Richter nicht in der Lage wäre, dies zu beurteilen, aber dann müsste man Experten zu diesem Thema anhören. Leider , das ist nicht passiert.“
Das Urteil ist jedoch noch nicht rechtskräftig. Der Verteidiger des Angeklagten argumentierte, sein Mandant habe im öffentlichen Interesse gehandelt, selbst wenn das Gericht ihn für schuldig befunden habe. Der angeklagte Programmierer gab am 19. Januar bekannt, dass er gegen das Urteil Berufung einlege.