Bundesverfassungsgericht lehnt Beschwerde im Fall Modern Solution ab
Das Bundesverfassungsgericht hat die Verfassungsbeschwerde des im Modern-Solution-Prozess angeklagten IT-Experten ohne Begründung abgelehnt. In einer Entscheidung vom 15. September, die heise online vorliegt, heißt es, dass drei Richter und Richterinnen der Dritten Kammer des Zweiten Senats des Gerichtes einstimmig beschlossen haben, dass die Verfassungsbeschwerde nicht zur Entscheidung angenommen wird. Damit hat der Fall Modern Solution seit Juni 2021 alle deutschen Gerichtsinstanzen vom Amtsgericht Jülich bis hin zum Bundesverfassungsgericht in Karlsruhe durchlaufen.
Die Geschichte des freiberuflichen IT-Experten aus Heinsberg in Nordrhein-Westfalen, der eine Sicherheitslücke in einer E-Commerce-Software der Firma Moden Solution aus Gladbeck im Ruhrgebiet entdeckte und dafür statt einer Belohnung eine Anzeige und Durchsuchung erntete, war von vielen Beobachtern aus der deutschen IT-Branche mit Interesse verfolgt worden. Nicht wenige hatten sich nicht zuletzt von der Verfassungsbeschwerde eine Klärung der diversen Rechtsunsicherheiten im Alltag von IT-Experten und Sicherheitsforschern erhofft. Stattdessen liefert die letztinstanzliche Entscheidung des Oberlandesgerichts Köln und nun die Ablehnung der Verfassungsbeschwerde das Gegenteil: Der sogenannte Hackerparagraf 202 StGB macht es in Deutschland heikel wie nie, eine gefundene Sicherheitslücke ans Licht der Öffentlichkeit zu bringen.
Der Fall Modern Solution: ein modernes Märchen aus Neuland
Die Saga um Modern Solution nahm Ende Juni 2021 ihren Lauf, als die Öffentlichkeit von einer Sicherheitslücke erfuhr, die dazu geführt hatte, dass Namen, Adressen, Kontodaten und weitere Informationen von rund 700.000 Online-Shoppern frei im Internet abrufbar waren. Die Sicherheitslücke befand sich in einer E-Commerce-Middleware der Firma Modern Solution, die es Anbietern von kleineren Online-Shops ermöglichen sollte, ihre Waren in den großen Online-Shops von Kaufland, Otto, Check24 und anderen Unternehmen anzubieten. Modern Solution hatte die Daten aller Einkäufer, die über diese Software an die Betreiber der Modern-Solution-Software übermittelt worden waren, in einer einzigen Datenbank abgelegt. Das Passwort zu dieser Datenbank auf den Servern von Modern Solution war unverschlüsselt in einer ausführbaren Datei der Middleware-Software gespeichert und für alle Modern-Solution-Kunden gleich. Somit war es mit Zugang zu dieser Software, die zu diesem Zeitpunkt frei aus dem Netz heruntergeladen werden konnte, ziemlich einfach möglich, an diese Daten zu gelangen. Bei heise online hatten wir den öffentlichen Zugang zu diesen Daten damals selbst bestätigen können.
Anstatt den Fehler zu beheben, zeigte sich Modern Solution uneinsichtig, weshalb der IT-Berater, der die Lücke entdeckt hatte, diese an einen E-Commerce-Blogger meldete, um den Druck auf das Unternehmen zu erhöhen. Das führte dazu, dass Modern Solution die Lücke schloss, allerdings zeigte man zusätzlich den Berater, der die Lücke gemeldet, und den Blogger, der darüber berichtet hatte, an. Das Verfahren gegen den Blogger wurde eingestellt, bei dem unabhängigen IT-Experten wurde dann im Oktober 2021 allerdings eine Hausdurchsuchung durchgeführt und sein gesamtes Arbeitsgerät beschlagnahmt.
Verfahren in Jülich
Im Juni 2023 war die Staatsanwaltschaft Köln zuerst damit gescheitert, den IT-Berater anzuklagen. Das Amtsgericht Jülich lehnte den Prozess mit der Begründung ab, es liege keine Straftat vor, da die Daten, auf die der Sicherheitsexperte im Zuge seiner Untersuchungen Zugriff hatte, nicht effektiv geschützt gewesen seien. Die Staatsanwaltschaft Köln ging in Berufung und im Juli 2023 entschied das Landgericht Aachen, der Fall müsse doch in Jülich verhandelt werden. Die Daten seien besonders gesichert gewesen, da ein Passwortschutz vorlag und das „Abrufen“ der Daten „zudem nur nach einer Dekompilierung möglich war“, lautete das Urteil des Landgerichts. „Die Sicherung des Zugangs mittels Passwort reicht als Zugangssicherung aus“, somit sei der Straftatbestand des Hackens erfüllt.
Im Januar 2024 kam es dann schließlich zum Verfahren vor dem beschaulichen Amtsgericht in Jülich. Die Verteidigung stellte sich auf den Standpunkt, der Angeklagte habe eine Software untersucht, die Modern Solution seinem Kunden zur Verfügung gestellt habe, und zwar mit allen dazugehörigen Daten. Er habe somit nur auf Daten zugegriffen, die für ihn bestimmt gewesen seien. Das Gericht schloss sich dieser Argumentation nicht an und sah eine Straftat im Sinne von § 202a StGB als gegeben an.
Die Staatsanwaltschaft hatte einen erheblichen Teil der Beweisaufnahme damit verbracht, dem Angeklagten nachzuweisen, er habe den Programmcode der Software von Modern Solution dekompiliert, um an das Passwort für die Datenbankverbindung zu kommen. Der Angeklagte gab zu Protokoll, die in Frage kommende Datei lediglich mit einem Texteditor betrachtet und so das Datenbankpasswort im Klartext ausgelesen zu haben. Er habe dies in der unmittelbaren Nähe anderer, bekannter Verbindungsdaten der von ihm zuvor beobachteten MySQL-Verbindung gefunden. In der Beweisaufnahme beschäftigte sich das Gericht nicht direkt mit der entsprechenden Datei, und es wurde auch nicht versucht, die Angaben des Angeklagten zu überprüfen. Auch die Polizei scheint dies nach den im Prozess verlesenen Teilen der Ermittlungsakte nicht getan zu haben. Des Weiteren konnte das Gericht dem Angeklagten nicht nachweisen, das Passwort durch Dekompilieren erlangt zu haben. Die Ermittler der Polizei konnten zwar Indizien für das Dekompilieren der Modern-Solution-Software auf den Rechnern des Angeklagten sicherstellen, dies belegte aber nur, dass er die Software *nach* seinem angeblichen Ausspähen der Daten zurückübersetzt hatte.
Am Ende des Prozesses hatte aber auch dies kaum Auswirkungen auf das Urteil. Der Vorsitzende Richter gab zu Protokoll, dass alleine die Tatsache, dass die Software ein Passwort für die Verbindung gesetzt habe, bedeute, dass ein Blick in die Rohdaten des Programms und eine anschließende Datenbankverbindung zu Modern Solution den Straftatbestand des Hackerparagrafen erfülle. Dass dies, wie die Verteidigung mehrmals betont hatte, im Zuge einer „funktionalen Analyse“ der Software im Auftrag eines Kunden von Modern Solution (der das in Frage kommende Passwort ja mit der Software ausgeliefert bekommen hatte) passiert war, schien bei dieser Entscheidung keine Rolle zu spielen. Mit Bezug auf die Entscheidung des Aachener Gerichts sagte der Jülicher Richter nun, nach eingehender Sichtung der Rechtslage sei man zu dem Schluss gekommen, dass der Gesetzgeber mit der Verschärfung von § 202a StGB im Jahre 2007 offensichtlich bezweckt habe, „das Hacken als Solches unter Strafe zu stellen.“ Unter diesem Aspekt sei ein Schutz der „nicht für Jedermann“ einfach zu umgehen sei, ausreichend, um den Straftatbestand zu erfüllen. Da der Angeklagte nicht vorbestraft war, wurde er zu einer Geldstrafe verurteilt und kam um eine Haftstrafe herum.
Zweite Berufung, Revision und Verfassungsbeschwerde
Der Angeklagte legte Berufung beim Landgericht Aachen ein, das somit zum zweiten Mal über eine Berufung in dem Fall entscheiden musste. Im November 2024 entschied das Gericht, diese als unbegründet abzuweisen. In dem Prozess übernahm das LG Aachen durchgängig die Einschätzung des AG Jülich, dass der Zugriff auf die gesicherte Datenbank den Straftatbestand erfülle. Zudem war es dem Gericht anscheinend egal, wie der Angeklagte an das Passwort gelangt sei. Das Passwort sei nicht ohne Weiteres zu erraten oder öffentlich bekannt gewesen, das mache den Zugriff zu einer Straftat. In dem Prozess betonte die kleine Strafkammer des Gerichts, dass der Angeklagte eine Strafbarkeit hätte vermeiden können, wenn er den Zugriff in dem Moment abgebrochen hätte, als ihm klar wurde, dass er auf die Daten von Kunden zugreifen konnte, die er nicht hätte sehen dürfen. Dass er diese Daten mit Screenshots dokumentiert habe, was im Prozess unstrittig war, besiegele seine Strafbarkeit.
Die Verteidigung beantragte daraufhin eine Revision des Prozesses beim Oberlandesgericht Köln, dessen 1. Strafsenat am 3. Juli 2025 entschied, dass die Entscheidung des LG Aachen keine Rechtsfehler enthielt und somit rechtskräftig sei. Wie bei Revisionen üblich, wurden in diesem Verfahren die tatsächlichen Umstände des Falles nicht noch einmal untersucht. Da die Verteidigung den Umgang mit dem Angeklagten in den zwei Prozessen in Jülich und Aachen nach wie vor als ungerecht ansah und davon ausging, dass seine verfassungsmäßigen Rechte verletzt worden waren, der Rechtsweg nun aber ausgeschöpft war, legte man im August 2025 Beschwerde beim Bundesverfassungsgericht ein, die nun abgelehnt wurde. Die Entscheidung des Bundesverfassungsgerichts ist unanfechtbar.
Fazit für IT-Experten und Sicherheitsforscher
Aus diesem Verfahren ergeben sich mehrere wichtige Erkenntnisse für alle, die bei ihrer Arbeit auf Sicherheitslücken in IT-Systemen stoßen könnten. Der Umgang mit dem IT-Experten in diesem Fall zeigt, dass es in Deutschland ein fataler Fehler sein kann, Details zu Sicherheitslücken zu veröffentlichen – auch wenn diese bereits geschlossen wurden. Des Weiteren macht das Verfahren deutlich, dass deutsche Gerichte es unter Umständen als strafbar ansehen, wenn sich ein Programmierer im Auftrag seines Kunden, und zur Lösung von Softwareproblemen, Zugriff auf Daten verschafft, die diesem Kunden von Geschäftspartnern zur Verfügung gestellt wurden
Die Sicherung solcher Daten durch ein wie auch immer geartetes Passwort – und sei dies auch noch so simpel und einfach zu erraten – reicht im Zweifel als Zugriffssicherung im Sinne des Gesetzes aus und macht einen Zugriff auf die Daten zur Straftat. Das trifft auch zu, wenn dieses Passwort als Klartext in einer im Internet öffentlich zugänglichen Software zu finden ist. Jedem, der von Berufs wegen Software analysieren muss, sollte es außerdem zu denken geben, dass deutsche Staatsanwälte es offensichtlich als Indiz für strafbares Verhalten ansehen, wenn man einen Dekompilierer auf dem Rechner hat. Diese Meinung wurde in diesem Fall mehrmals vor Gericht geäußert und teilweise sogar von Richtern übernommen.
Abschließend lässt sich sagen, dass über vier Jahre Modern-Solution-Saga nicht dazu geführt haben, die rechtlichen Unsicherheiten bei der Strafbarkeit von Software-Analyse und dem Veröffentlichen von Sicherheitslücken in Deutschland einzuschränken. Ganz im Gegenteil: Die von den Gerichten vertretenen Rechtsmeinungen machen § 202 StGB, wenn überhaupt, zu einer noch größeren Gefahr denn je für alle, die Software-Qualität in Deutschland verbessern wollen. Und auch das Bundesverfassungsgericht scheint eher dazu geneigt, jedwedes sogenanntes „Hacken“ an sich unter Strafe stellen zu wollen, als sich zum Ziel zu setzen, die Arbeitsumstände für solche IT-Profis zu verbessern, die mit guten Absichten im Sinne der Allgemeinheit handeln.
Cyberattacke auf Dienstleister behindert Flughäfen in Europa
Ein Cyberangriff hat Verspätungen am Berliner Flughafen BER und anderen Airports zur Folge. Ein Dienstleister für die Systeme zur Passagierabfertigung ist am Freitagabend angegriffen worden, wie der Berliner Flughafen mitteilte. Die Verbindungen zu den Systemen habe der Flughafen BER daraufhin gekappt. Passagiere müssen nun mit längeren Wartezeiten beim Check-in und Boarding und mit Verspätungen rechnen. „Der Flughafen selbst ist nicht Ziel des Cyber-Angriffs gewesen und davon nur indirekt betroffen“, teilte der BER mit.
Der Systemanbieter wird europaweit an Flughäfen eingesetzt. Neben Berlin sind noch andere europäische Flughäfen betroffen, eine Bestätigung dafür gibt es vom Flughafen Brüssel. Es sei mit erheblichen Auswirkungen auf den Flugbetrieb zu rechnen, teilte der Flughafen Brüssel auf seiner Homepage mit.
Mehrere Flughäfen betroffen
Der Flughafen London Heathrow erklärte, es könne zu Verspätungen kommen, sprach aber von einem technischen Problem. Welche weiteren Flughäfen betroffen sind, steht noch nicht fest. Ein Sprecher des BER sagte jedoch einem Bericht von BR24 Radio zufolge, man rechne mit Auswirkungen in ganz Europa. Flüge könnten sich verspäten, was auch für manche Anschlussflüge gelte.
Aus Brüssel hieß es, derzeit sei aufgrund der Attacke nur manuelles Einchecken und Boarding möglich. Der Dienstleister versuche so schnell wie möglich, das Problem zu beheben. Es werde zu Verspätungen und Flugausfällen kommen. Passagiere sollten ihren Flugstatus bei der Airline checken, bevor sie anreisten, und ausreichend Zeit am Flughafen einplanen, hieß es weiter. Heathrow teilte lediglich mit, ein Drittanbieter für Check-in- und Boarding-Systeme mehrerer Fluggesellschaften habe ein technisches Problem. Daran werde schnellstmöglich gearbeitet.
Schnelle Reaktion in Münster
Die Attacke hat auch den Flughafen Münster/Osnabrück betroffen. Allerdings sei es sehr schnell gelungen, die eigenen Systeme von dem betroffenen Dienstleister abzukoppeln, sagte eine Sprecherin. „Fluggäste haben davon überhaupt nichts mitbekommen“, betonte sie. Zuvor hatte der WDR berichtet. Der Cyberangriff habe die Systeme des Dienstleisters am Freitagabend ab etwa 22:00 Uhr lahmgelegt.
„Wir konnten sehr schnell reagieren. Unsere IT hat unsere Server von dem betroffenen System getrennt“, sagte die Sprecherin. „Im Moment läuft unser Check-in autark über unsere eigenen Server.“ Starts und Landungen verliefen nach Plan. Zwei Verspätungen an dem Regionalflughafen hätten andere Gründe gehabt. Die anderen NRW-Airports in Düsseldorf, Köln/Bonn, Dortmund und Weeze waren nach Angaben von Sprechern nicht von dem Cyberangriff betroffen.
Laut Heathrow Probleme bei Collins Aerospace
Einer Mitteilung auf der Homepage von London Heathrow zufolge, und ebenso einem Post auf X vom Account des Flughafens, handelt es sich bei dem angegriffenen Dienstleister um Collins Aerospace. Dieses Unternehmen ist eine Tochter der RTX Corporation, die bis 2023 noch als Raytheon bekannt war. Collins betreibt eine Vielzahl von Systemen nicht nur für Boarding und Check-in und bietet Dienstleistungen für die militärische wie zivile Luftfahrt an.
Verfassungsschutz: Mehr Angriffe auf deutsche Firmen aus China und Russland
close notice
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
.
Fast jedes deutsche Unternehmen war im vergangenen Jahr von Datendiebstahl, Sabotage oder Industriespionage betroffen, stellt der IT-Verband Bitkom in einer nun vorgestellten Studie fest. Gemeinsam mit dem Vizepräsidenten des Bundesamts für Verfassungsschutz (BfV) präsentierte Bitkom-Präsident Wintergerst die Ergebnisse. Fast die Hälfte der Betroffenen wurde mindestens einmal aus China oder Russland angegriffen.
Fast drei Viertel der befragten Unternehmen waren von digitaler Sabotage mutmaßlich betroffen, bei fast zwei Dritteln wurde vermutlich digitale Kommunikation ausgespäht und Geschäftsdaten gestohlen. Doch nicht nur digitale Kriminalität erfasste die Bitkom-Studie, auch der physische Diebstahl von Dokumenten, Mustern oder Bauteilen (41 Prozent) sowie die physische Sabotage von Produktionssystemen (22 Prozent) thematisiert sie.
Taten mit mutmaßlichem Ursprung in China haben dabei nur leicht, solche aus Russland jedoch deutlich zugenommen. Etwa ein Viertel der Angriffe kam aus den USA, knapp ein Drittel war unbekannter Herkunft. Während knapp 30 Prozent der Straftaten mutmaßlich von ausländischen Geheimdiensten begangen wurden, stellt die organisierte Kriminalität mit 68 Prozent das Gros der Delikte.
„Die Frage ist nicht, ob Unternehmen angegriffen werden, sondern wann – und ob sie diese Angriffe erfolgreich abwehren können“, wird Bitkom-Präsident Wintergert zitiert, der weiter fordert: „Unsere Verteidigungsfähigkeit muss zudem in den Fokus der Politik rücken – auch im Cyberraum.“
Verfassungsschutz als Hinweisgeber
Der Verfassungsschutz sieht seine Ausrichtung bestätigt, so Vizepräsident Sinan Selen. Man werde den Schwerpunkt weiter auf die Detektion und Verhinderung von Übergriffen staatlicher und staatsnaher Akteure setzen und die Tätigkeiten ausbauen. Mittlerweile, so der Verfassungsschützer, erhielten mehr als 35 Prozent der Unternehmen Hinweise auf Angreifer durch Behörden – Ergebnis einer verstärkten Zusammenarbeit der Akteure.
Erstmals stieg die Schadenssumme auf über 200 Milliarden Euro, etwa durch Ransomware, andere Schadsoftware und distributed Denial of Service (dDoS). Schäden durch neuere Methoden wie Deepfakes und Robocalls spielen noch keine große Rolle, Unternehmen berichten jedoch, dass Angriffe verstärkt mit Hilfe von KI (Künstlicher Intelligenz) erfolgen. Nicht nur die Schadenssumme, auch das Budget für IT-Sicherheit steigt, wenn auch nur um leicht. Statt 17 im Vorjahr beträgt der Anteil des Security-Budgets am IT-Etat der Unternehmen nun 18 Prozent.
Grundlage für die Studie ist eine Umfrage der Bitkom-eigenen Marktforscher, bei der in der ersten Jahreshälfte 1.002 Unternehmen mit einem Jahresumsatz von mindestens 1 Million Euro und 10 Beschäftigten oder mehr befragt wurden. Die Umfrage ist repräsentativ, gibt die Bitkom an.
Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski
Liebe Leser*innen,
diese Woche hat meine Kollegin Karoline einen Text darüber geschrieben, wie Menschen anhand ihrer Art zu gehen eindeutig identifiziert werden können. In Russland und China wird solche Gangerkennung schon lange eingesetzt, auch deutsche Polizeibehörden beschäftigen sich bereits mit dem Thema.
Amnesty International und AlgorithmWatch warnen davor, dass die Technologie das Ende der Anonymität im öffentlichen Raum bedeuten könnte. Denn gegen Gangerkennung hilft – anders als gegen Gesichtserkennung – keine Maskierung. Vor der Technologie kann man sich nicht verstecken.
KI, die menschliche Bewegungen analysiert, wird in Mannheim seit sieben Jahren getestet. Das ist die technologische Grundlage, die zur Gangerkennung nötig ist. Seit 1. September wird sie auch in Hamburg eingesetzt. Zahlreiche weitere Länder und Städte haben Interesse angemeldet. Die Technologie ist dazu gedacht, Straftaten zu detektieren, etwa Schlagen oder Treten. Die Erkennung weiterer Bewegungsabfolgen, etwa derer, die bei einem Drogendeal ausgeführt werden, ist geplant. Von da ist es nur ein kleiner Schritt bis zur Analyse der jeweils persönlichen Art zu gehen.
Die Technologie wird als besonders privatsphärenfreundlich beworben, weil sie die Bilder der betroffenen Menschen zu Strichzeichnungen abstrahiert. Weder Gesicht noch Statur spielen dabei eine Rolle. Doch wie der Text von Karoline zeigt, können genau solche Strichmännchen und die persönliche Art, die Glieder zu bewegen, Menschen eben doch eindeutig identifizieren.
Das ist ein Problem. Denn mit dem Argument, dass die Verhaltenserkennung ja so privatsphärenfreundlich sei, wird der Aufbau neuer Überwachungskameras deutlich erleichtert. Wenn die dann aber doch zur Identifikation von Personen eingesetzt werden können, schlägt der versprochene Privatsphärenvorteil ins Gegenteil um.
Viel Spaß beim Lesen!
Martin
Wir sind ein spendenfinanziertes Medium
Unterstütze auch Du unsere Arbeit mit einer Spende.
Gerade wenn ein Problem rein technisch erscheint, lohnt es sich, eine Frage zu stellen: Was macht das mit den Menschen? Das könnte einigen Schaden verhindern, bevor etwas wild drauf los digitalisiert wird, findet unsere Kolumnistin Bianca Kastl.
Lesen Sie diesen Artikel: Die Abkürzung weiterlesen
Der Berliner Verfassungsschutz soll neue Regeln bekommen. Ginge es nach dem schwarz-roten Senat, dürfte er künftig live auf Videoüberwachung von Einkaufszentren oder Krankenhauseingängen zugreifen, um Menschen zu observieren. Fachleute stufen das als verfassungswidrig ein.
Lesen Sie diesen Artikel: Der Spion im Einkaufszentrum weiterlesen
Was früher noch händisch im Kalender gezählt wurde, machen viele mittlerweile mit einer App: den Zyklus tracken. Doch viele bekannte Apps geben die intimen Daten zu Werbezwecken weiter. Deswegen hat netzpolitik.org besonders datensparsame Zyklus-Apps zusammengetragen.
Lesen Sie diesen Artikel: Zyklus-Tracking ohne Tracking weiterlesen
Die Folgen des KI-Hypes für den Datenschutz sind schwer absehbar. Im Fall von Metas KI-Training zögern Aufsichtsbehörden, das Oberlandesgericht Köln gab dem Konzern sogar – fürs Erste – grünes Licht. Jura-Professorin Paulina Jo Pesch zeigt Schwächen des Urteils auf und fordert eine entschiedenere Durchsetzung der Datenschutzvorgaben.
Lesen Sie diesen Artikel: Schluss mit der Zögerlichkeit! weiterlesen
