Heise: "Gericht sieht Nutzung von Klartext-Passwörtern als Hacken an"

Habe grade den Artikel bei Heise gelesen und frage mich, ob es tatsächlich sein kann, dass ein IT Dienstleister, der im Rahmen seines Auftrags eine Sicherheitslücke in einer Software findet und die dem Hersteller meldet, dafür verurteilt werden kann. Klingt irgendwie unfair, aber Heise textet ja auch oft etwas reißerisch…

Wäre das evtl ein Thema für die Lage, oder erst wenn das Verfahren rechtskräftig ist? Mich würde dazu jedenfalls etwas mehr gut erklärter juristischer Kontext dazu interessieren

Wie immer bei diesen juristischen Themen gilt, dass es schwer ist, aus einem Nachrichtenartikel nachzuvollziehen, was das Gericht genau wie gewertet hat. Zudem war es erstmal ja nur ein Amtsgericht, also das letzte Wort ist hier noch lange nicht gesprochen, die Berufung ist mehr oder weniger schon angekündigt worden.

Die Kritik an der Verschärfung des § 202a StGB ist jetzt quasi mal wieder bestärkt worden, letztlich ist aber der Gesetzgeber hier Schuld, indem er die Strafbarkeit schon beim Akt den Hackens ansetzt und keine Aufhebungstatbestände geschaffen hat. Wäre die Strafbarkeit erst bei der Entstehung eines Schadens gegeben hätten wir das Problem nicht, ebenso dann nicht, wenn die Strafbarkeit aufgehoben würde, wenn der Hacker die Sicherheitslücke sofort und vertraulich meldet (entweder dem Unternehmen oder den Sicherheitsbehörden). Leider hat der Gesetzgeber 2007 das nicht getan. Internet Neuland Something Something…

Wichtig dabei ist anzumerken, dass der Auftrag nicht vom Hersteller der Software, sondern von einem Verwender der Software kam. Hätte der Hersteller der Software selbst einen Hacker beauftragt wäre das natürlich etwas anderes.

Eine andere wichtige Anmerkung ist noch, dass der „Hacker“ ähnliche Dienstleistungen angeboten hat wie der betroffene Hersteller und der Hersteller behauptet, der Hacker habe ihm schaden wollen. Das halte ich persönlich für wenig glaubhaft (dann hätte der Hacker die Lücke wohl nicht direkt dem Hersteller gemeldet…), ist aber dennoch etwas, das berücksichtigt werden muss.

Was mich bei solchen Meldungen immer sehr ärgert:

1.) warum lässt man Richter oder Gerichte, die keine Ahnung haben, über solche Sachen entscheiden?
2.) warum werden diese nie zur Rechenschaft gezogen, wenn die Urteile in der nächste Instanz revidiert werden?

Das Hamburger Landgericht ist ja so ein Negativbeispiel. Die hätte ich schon längst zu gemacht.

Die Antwort auf beide Fragen liegt in der richterlichen Unabhängigkeit - und die halte ich auch für sehr wichtig, auch wenn sie, wie im Falle des Hamburger Landgerichts insbesondere im Hinblick auf Urheberrechtssachen, oft zu problematischen Situationen führt.

Die Gerichte entscheiden im Rahmen des geltenden Rechts. Nur wenn sie sich wirklich deutlich davon entfernen, also in eklatanter Weise das geltende Recht missachten oder brechen, können daraus Konsequenzen erwachsen (siehe den Prozess gegen den Weimarer Familienrichter, der in der ersten Instanz wegen Rechtsbeugung verurteilt wurde, weil seine Argumentation, warum das Familiengericht zuständig sein soll, einfach offenkundig unhaltbar war und der Verdacht sehr stark wiegt, dass er diesen Fall gar „mit konstruiert“ hat. In solchen Extremfällen werden Richter zur Rechenschaft gezogen)

Richter stets zu „bestrafen“, wenn ihre Urteile in höheren Instanzen gekippt werden, wäre ein Fehler, ebenso wie es ein Fehler wäre, Politiker zu bestrafen, deren Gesetze vom BVerfG kassiert werden. Der Grund ist in beiden Fällen der gleiche: In den Rechtswissenschaften ist fast alles umstritten, die Fälle, in denen Politiker ein Gesetz erlassen oder Richter ein Urteil fällen, sind immer Fälle, in denen es zumindest denkbar ist, dass dieses Gesetz oder diese Rechtsprechung vor den höchsten Instanzen Bestand haben werden. Es sind grundsätzlich immer die Grauzonen, die vor Gericht landen, nicht die Schwarz-Weiß-Fälle. Und es kann nun mal kein Politiker oder Richter dafür bestraft werden, dass er eine vertretbare juristische Position einnimmt, auch wenn diese Position später von den höheren Instanzen zurückgewiesen wird. Gerade auch, weil der Richter in der unteren Instanz ja nicht mal weiß, wie die nächste Instanz entscheiden wird.

So lange sich der Richter daher innerhalb des zulässigen Interpretationsspielraums bewegt wäre es fatal, ihn dafür zu bestrafen, nicht richtig vorhergesehen zu haben, welche Position die höheren Instanzen schließlich wählen werden. Selbst wenn es schon Urteile des OLG gibt muss es einem Richter am Amts- oder Landgericht sogar möglich sein, gezielt anders zu entscheiden, wenn der Richter zu der Überzeugung kommt, dass die aktuell dominante Rechtsprechung der höheren Instanzen nicht richtig ist. Selbst in diesem Fall sollte man das dem Richter nicht zum Vorwurf machen, eben weil wir kein Case Law in Deutschland haben, weil die Urteile der nächsten Instanz daher nicht bindend, sondern allenfalls leitend sind (dh. der Amtsgerichts-Richter sollte sich am Urteil des OLG orientieren und ebenso urteilen, wenn er nicht wirklich gute Gründe hat, das anders zu sehen, aber er muss nicht).

Zur Frage der Ahnungslosigkeit muss man eben anmerken, dass wir nicht für jedes Spezialgebiet Spezialgerichte einführen können. Daher: Über Hacker-Straftaten muss jedes Strafgericht entscheiden können, welches Gericht entscheidet ist letztlich im Verteilungsplan vorgesehen und es soll gerade nicht so sein, dass das Gericht sagen kann: „Nee, davon habe ich keine Ahnung, gib den Fall mal der anderen Kammer“ - gerade das soll über Verteilungspläne verhindert werden.

Wenn wir also keine Spezialgerichte für jedes Sonderthema haben wollen (und das wollen wir nicht, weil es sonst zum einen extrem unübersichtlich wird und zum anderen Kompetenzgerangel entstehen, weil es immer Überschneidungen geben wird) müssen wir damit leben, dass manche Gerichte mehr und manche weniger Ahnung vom Thema haben. Die Richter haben dabei natürlich die Pflicht, die notwendige Fachkunde herbeizuschaffen, z.B. durch Gutachten und Anhörungen dieser Gutachter (Experten). Ein Richter kann eben nicht alles wissen, damit müssen wir einfach leben. Wenn ein Richter sich vor seinem Urteilsspruch nicht hinreichend informiert und von nachweislich falschen Sachverhalten / wissenschaftlichen Zusammenhängen ausgeht ist das dann in jedem Fall ein guter Grund für eine Berufung.

Sorry, @ffiene, aber da muss ich mal 'reingrätschen. Dein Beitrag ist in dreierlei Hinsicht fragwürdig:

• Die Forderung, dass nur „Experten“ Politiker, Richter, Unternehmer etc. werden dürfen, unterschlägt, dass Politiker, Richter, Unternehmer, etc. frei sind, sich von Experten bzw. Sachverständigen beraten zu lassen. Was hilft ein Experte für IT-Forensik bei der Beurteilung der von der Gesellschaft gewünschten Strafbarkeit von Hacking? Den Experten fehlt oft die Vogelperspektive.
• Fehlerkultur ist ganz wesentlich für die kontinuierliche Verbesserung von Organisationen. Wenn Fehler unter Strafe gestellt werden, wird es keine mutigen Entscheidungen mehr geben.
• Ein Gericht „zuzumachen“ zu wollen, entbehrt den Respekt vor demokratischer Kultur, insbesondere vor der Gewaltenteilung. Was genau ist Dein Problem mit dem Hamburger Landgericht?

In der Gesamtschau empfinde ich Deine Argumente als tendenziell autoritär. Die Forderung nach Experten in der Politik, nach Rechenschaft für „Fehler“ von „denen da oben“ und nach dem Feuern von Richtern oder Schließen von ganzen Gerichten kennen wir alle aus nur einer Ecke.

Ich, jedenfalls, möchte nicht, dass diese „Ecke“ hier unwidersprochen zu Wort kommt. Gerade in diesen Zeiten empfinde ich es als wichtig, autoritären Haltungen deutlich entgegenzutreten.

OK, verstehe ich alles.
Aber warum gibt das Gericht oder der Richter den Fall nicht an jemanden ab, der auch den Sachverstand hat. Es gibt nicht umsonst den Spruch „Vor Gericht bekommt man ein Urteil, aber nicht immer Recht.!

Wie gesagt, es gilt der Grundsatz, dass die Fälle nach einem Geschäftsverteilungsplan an die Kammern zugewiesen werden, meist ist das im Strafrecht nach dem Anfangsbuchstaben des Angeklagten. Das bedeutet, dass es gerade nicht so sein soll, dass sich ein Richter / eine Kammer einen Fall aussuchen kann oder Fälle im Gericht „herumgereicht“ werden können sollen.

Der Grund ist hier auch wieder in der Geschichte, vor allem während des Dritten Reiches, zu suchen, wo die Nazis „Spezialgerichte“ mit „besonders scharfen“ Richtern gegründet haben, um bei bestimmten Straftaten besonders drakonische Urteile zu erwirken. Genau so etwas wollen wir nicht, weshalb wir diese bereits im Vorfeld determinierte Zuständigkeit über Geschäftsverteilungspläne eingeführt haben.

Alles hat seine Vor- und Nachteile - und ja, ein Nachteil ist sicherlich, dass dadurch auch mal ein Richter einen Fall bekommt, zu dem er bisher keinen inhaltlichen Zugang hatte. Aber wie gesagt, dafür gibt es Experten / Gutachter, die dieses Problem beheben sollen. Wer Richter wird, hat durch seine Prädikatsexamen im Jurastudium gezeigt, dass er in der Lage ist, komplexe Sachverhalte zu analysieren. Die Einstellungsvoraussetzungen für Richter sind genau aus diesem Grund so hoch, dass es uns schwer fällt, die Stellen zu besetzen, gerade weil ein Richter dazu in der Lage sein muss, alles inhaltlich verstehen zu können,.worüber er urteilt.

Ich habe nur von Richtern gesprochen. Und von offensichtlichen Fehlurteilen, wo eben genau nicht auf die Experten gehört wird.

Üblicherweise sollte es ja so sein, dass Urteile in ganz Deutschland vergleichbar sein sollten, bei den Verfahren wegen Urheberrecht entscheidet das LG aber sehr häufig anders.
Das ist der Grund, warum sich findige (ich sage nicht „windige“) Anwaltskanzleien sich genau dieses Gericht für ihre Fälle aussuchen.

Das wiederspricht jetzt wieder meiner These mit den Experten. Oh Mann. Das nervt.

Warum fühlen sich so viele Gerichtsurteile ungerecht an?

Wir müssen drei Fälle unterscheiden:

1. Urteile, die uns nicht gefallen.
   Das sind Urteile, die von den zulässigen Auslegungen jene wählen, die wir - aus politischen, ideologischen oder sonstigen Vorlieben - für weniger zutreffend halten. Die sind daher nur „subjektiv falsch“, aber „objektiv richtig“.

2. Fehlurteile
   Das sind Urteile, die an logischen Fehlern oder tatsächlich mangelnder Fachkenntnis der Richter kranken, die daher tatsächlich „objektiv falsch“ sind. Hier gilt aber: Irren ist Menschlich, daher auch Richter machen Fehler und dafür direkt strafen zu wollen wäre übertrieben. Auf die Aussichten, die Karriereleiter hochzusteigen, haben solche Fehlurteile aber tatsächlich Auswirkungen, weil bei der Frage, welcher Richter zu den Obergerichten berufen wird, natürlich die Qualität der Arbeit relevant ist. Aber Strafen wäre hier einfach zu viel.

3. Rechtsbeugung
   Das ist der Fall, wenn der Richter nicht nur einen Fehler macht, sondern wenn man dem Richter unterstellt, er wusste, dass er sich von der Rechtsordnung entfernt und das Urteil aus externen Gründen (z.B. auch wieder Ideologie, siehe den Weimarer Familienrichter, der gegen die Corona-Maßnahmen agitieren wollte) bewusst falsch trifft. Das ist der Fall, in dem wir strafen wollen und müssen - und es auch tun (wobei der Nachweis eben oft schwierig ist, natürlich wird jeder Richter, der Rechtsbeugung begeht, behaupten, es sei nur ein „honest mistake“ gewesen)

Das gilt erst, wenn die obersten Bundesgerichte (BGH, BVerwG, BSG, Bundesfinanzhof…) etwas abschließend entschieden haben. Wie gesagt, wir haben in Deutschland kein „Case Law“, im „Case Law“ wäre die Argumentation tatsächlich, dass das Amtsgericht in Berlin genau so zu entscheiden hat, wie es das Amtsgericht in Dortmund in der gleichen Sache zuvor getan hat. Das gibt es in Deutschland nicht. In Deutschland ist das System, dass erstmal jedes Amtsgericht selbst entscheiden kann, dann die Landgerichte und Oberlandesgerichte (bzw. die Äquivalente in den anderen Rechtszweigen) etwas „aussieben“ und bei strittigen Fällen irgendwann die obersten Bundesgerichte die Rechtsfrage abschließend beurteilen. Erst dann gibt es quasi einen Anspruch darauf, dass die untergeordneten Gerichte diese Rechtsprechung beachten. Was das Amtsgericht Dortmund entscheidet spielt für das Amtsgericht Berlin hingegen absolut keine Rolle - es kann sich daran orientieren (alleine schon aus Praktikabilitätserwägungen), aber es steht ihm völlig frei, anders zu entscheiden. Und das ist auch gut so. Denn im Case Law gibt es ja sonst gerade das Problem des Windhundprinzips: Die erste Rechtsprechung, egal wie gut oder schlecht sie ist, gibt den Takt an und es wird sehr schwer, im Falle eine schlechten Rechtsprechung diese Rechtsprechung wieder zu beseitigen.

Hier ist der Grund, dass der Gerichtsstand im Zivilrecht teilweise disponibel ist, daher unter bestimmten Umständen eine Wahl des zuständigen Gerichts möglich ist. Vertreter der Urheberrechteinhaber wählen daher wegen seiner „Urheberfreundlichen“ Rechtsprechung i.d.R. immer das LG Hamburg. Das ist übrigens genau der Grund, warum wir so ein System im Strafrecht nicht wollen, weil sonst die Staatsanwaltschaften z.B. linke Delikte an besonders scharfe Gerichte oder Einzelrichter verweisen könnte (nur ein Beispiel!)

Weil Gerichtsurteile in der Regel in Fällen ergehen, die umstritten sind. Und es liegt in der Natur der Sache, dass die Dinge umstritten sind, weil man unterschiedliche Auffassungen zu der zu Grunde liegenden Rechtsfrage vertreten kann. Ein Gericht wird hier niemals alle Auffassungen befriedigen können, sondern es muss sich für eine Auffassung entscheiden. Deshalb ist die oben gemachte Unterteilung (unliebsame Urteile, Fehlurteile, Rechtsbeugung) so wichtig.

In der aktuellen c’t 5/24 ist auch wieder ein Bericht über den Modern Solution Fall.

Ich muss sagen, ich bin schockiert, dass das “auslesen” eines Passworts, das man mit dem 50 Jahre alten UNIX Tool strings bewerkstelligen könnte, in Deutschland offenbar strafbar ist.

Passwörter bieten schon für sich genommen nur sehr geringen Schutz. Ein einziges Passwort für 700.000 Kunden im Klartext in einer Software an alle zu verteilen, das ist die eigentliche Straftat!

Das einzige, was man als Gesellschaft damit erreicht, ist die Hersteller zu belohnen, die sich um Sicherheit ihrer Kundendaten Null Gedanken machen, und die zu bestrafen, die es herausfinden und darauf hinweisen.

Bleibt dieses Urteil und insbesondere Paragraph 202a StGB so bestehen, fördert man den Schwarzmarkt für solche entdeckten Lücken, weil das Risiko, sich durch einen Hinweis darauf strafbar zu machen, zu hoch ist.

Ich finde, das wäre ein super Thema für die Lage, da hier juristisches und technisches Fachwissen auf sehr fruchtbare Weise vereint werden könnten.

Die Frage ist weniger, ob § 202a StGB so bestehen bleibt, sondern ob die vom Landgericht Aachen vertretene Auffassung, wann Daten „gegen unberechtigten Zugang besonders gesichert“ sind und was eine „Zugangssicherung“ ist, die „Überwunden“ werden muss.

Das Amtsgericht Jülich hat es ja erst gut gemacht, indem es den Prozess abgeschmettert hat, weil es gesagt hat, dass gar keine hinreichende Zugangssicherung vorlag, um den § 202a StGB zu begründen. Leider hat das LG Aachen das gekippt.

Gerade weil der § 202a StGB unheimlich weit reicht, ist mMn eine restriktive Auslegung der Tatbestandsmerkmale zwingend nötig. Die Hoffnung ist daher, dass der BGH in diese Richtung entscheiden wird, sobald mal ein solcher Fall beim BGH ankommt. Aber das wird noch ewig dauern.

Und das ist das Problem mit der Langsamkeit unseres Justizsystems - bis diese wichtige Entscheidung gefällt ist, wird es eine massive Unsicherheit geben, welche zu Lasten der IT-Sicherheit geht. Ich wünschte wirklich, dass es Wege gäbe, solche höchstrichterlichen Entscheidungen schneller herbeizuführen und nicht erst Fälle über viele Jahre durch alle Instanzen prügeln zu müssen…