Thought Leadership
Ein Sicherheitsforscher aus Deutschland wurde zu einer Geldstrafe von 3.000 Euro verurteilt, weil er eine Schwachstelle in einer E-Commerce-Datenbank entdeckt und gemeldet hatte. Diese Schwachstelle gefährdete fast 700.000 Kundendaten.
Es geht dabei um einen Vorfall, der sich im Juni 2021 ereignete. Der Forscher und IT Consultant Hendrik H. ist bei der Fehlersuche in der Software eines Kunden der IT-Firma Modern Solution GmbH auf diese Sicherheitslücke gestoßen. Er entdeckte, dass die Software von Modern Solution eine Verbindung zu einem MariaDB-Datenbankserver herstellte. Das Passwort für diesen Server war unverschlüsselt in der Programmdatei MSConnect.exe gespeichert. Mit diesem leicht auffindbaren Passwort konnte demnach jeder auf den Server zugreifen und Daten von Kunden von Modern Solution einsehen. Zu den betroffenen Informationen gehörten persönliche Details der Kunden und auch deren Kunden.
Das hat Modern Solution überhaupt nicht geschmeckt. Im September 2021 beschlagnahmte die Polizei die Computer des IT-Beraters. Das Unternehmen hatte behauptet, er könne das Passwort nur durch Insiderwissen erlangt haben. Hendrik H. wurde daraufhin wegen unbefugten Datenzugriffs angeklagt. Im Juni 2023 entschied das Amtsgericht Jülich zunächst zugunsten des IT-Beraters, da die Software von Modern Solution unzureichend geschützt war. Das Landgericht Aachen wies jedoch das Amtsgericht an, die Beschwerde erneut zu verhandeln. Schließlich verurteilte das Amtsgericht Jülich Hendrik H. gemäß Paragraph 202a des deutschen Strafgesetzbuches zu einer Geldstrafe und übertrug ihm die Gerichtskosten. Laut heise online hat der Angeklagte Berufung gegen das Urteil eingelegt.
Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Strafgesetzbuch (StGB), § 202a Ausspähen von Daten
