Modern Solution: Verurteilter IT-Experte reicht Verfassungsbeschwerde ein

Der im Fall Modern Solution wegen strafbarer Computervergehen verurteilte Sicherheitsforscher hat nun Verfassungsbeschwerde eingelegt. Seine Anwälte halten die Verfahrensführung für unfair und sehen die verfassungsmäßigen Rechte ihres Mandanten verletzt. Die Verfassungsbeschwerde ist notwendig, weil der normale Rechtsweg ausgeschöpft ist.

Der selbstständige Programmierer hatte im Auftrag eines Dritten ein Problem mit der Software des Gladbecker Unternehmens Modern Solution GmbH & Co. KG untersucht und dabei eine Sicherheitslücke entdeckt, welche die Daten von knapp 700.000 deutschen Verbrauchern im Internet offengelegt hatte. Betroffen waren Shop-Plattformen unter anderem von Kaufland, Otto und Check24, die die Modern-Solution-Software einsetzten. Das Passwort zu dieser Datenbank war unverschlüsselt in einer ausführbaren Datei des Middleware-Produktes gespeichert und für alle Modern-Solution-Kunden gleich.

Nachdem der Programmierer die Sicherheitslücke an Modern Solution gemeldet hatte, machte er sie kurz darauf in Zusammenarbeit mit dem Betreiber eines branchennahen Blogs öffentlich. Modern Solution zeigte den Sicherheitsforscher daraufhin an, die Polizei durchsuchte seine Wohnung und beschlagnahmte sein Arbeitsgerät.

Oberlandesgericht Köln bestätigt Urteil

Ende Juli 2025 hatte das Oberlandesgericht Köln über die Revision des Angeklagten entschieden und das Urteil des Landgerichts Aachen vom 4. November 2024 bestätigt. Der Programmierer ist somit rechtskräftig zu einer Geldstrafe von 3000 Euro verurteilt und muss die Kosten des Verfahrens tragen.

Das Gericht sah es als erwiesen an, dass sich der Mann strafbar gemacht hatte, als er ein Passwort in der Software seines Kunden ausgelesen hatte, um Zugriff auf die dazugehörige Datenbank auf den Modern-Solution-Servern zu bekommen. Der Entwickler bestand bis zum Schluss darauf, er habe nur Zugriff auf diese Datenbank genommen, um einen Fehler in der Modern-Solution-Software zu finden, die zu Problemen bei seinem Kunden führte. Modern Solution hatte in seiner Anzeige bei der Polizei ausgesagt, der Programmierer habe dem Unternehmen Schaden zufügen wollen, da er selbst an einer Konkurrenz-Software zu dem Modern-Solution-Produkt arbeite.

Der Anwalt des Verurteilten hat nun in dessen Namen eine Beschwerde beim Bundesverfassungsgericht eingelegt. Diese stützt sich sowohl auf den Vorwurf, das Verfahren sei unfair geführt worden, als auch das Argument, das verfassungsmäßige Recht des Angeklagten auf freie Berufsausübung (Art. 12 GG) sei eingeschränkt worden. Als Nächstes muss das Bundesverfassungsgericht entscheiden, ob die Verfassungsbeschwerde überhaupt Aussicht auf Erfolg hat und angenommen wird. Erfahrungsgemäß kann das Monate dauern.

Auch Ablehnung könnte Fortschritt bringen

Der Anwalt des Programmierers sagte im Gespräch mit heise online, dass auch schon eine Ablehnung der Beschwerde ein Sieg für die Allgemeinheit der Juristen und IT-Beschäftigten in Deutschland sein könne. Für den Angeklagten wäre das zwar wenig hilfreich, aber eine Ablehnung durch das BVerfG könnte etwa Hinweise für den zukünftigen Umgang mit §202a StGB enthalten.

Das könnte das aktuelle Minenfeld, mit dem sich viele Sicherheitsforscher und andere IT-Experten konfrontiert sehen, wenigstens etwas entschärfen. Manche Sicherheitsforscher kommentierten den Fall so, dass sie in einer solchen Situation neue Sicherheitslücken nicht melden würden, um eine strafrechtliche Verfolgung der betroffenen Firma zu vermeiden. Wenn sich diese Haltung in der Branche durchsetzt, würde das unweigerlich zu einer landesweiten Verschlechterung der IT-Sicherheit führen.

Eine Entscheidung des Bundesverfassungsgerichts zum Hackerparagrafen sehen Teile der Branche daher als wünschenswert. Im Jahr 2009 hatte das Gericht eine Verfassungsbeschwerde zu §202c StGB abgelehnt, aber dabei immerhin klargestellt, dass alleine die Tatsache, dass ein Programm zu illegalen Handlungen verwendet werden kann, dessen Einsatz noch nicht strafbar macht. Allerdings ist der Bezug einer solchen Software zu §202a StGB offensichtlich immer noch nicht abschließend geklärt.

Das zeigt unter anderem das Modern-Solution-Verfahren, in dem einer der Staatsanwälte als Begründung für die unlauteren Absichten des Angeklagten angeführt hatte, dass dieser eine Software zur Dekompilierung von Programmcode eingesetzt habe. Dabei handelt es sich genau um ein solches „dual use“-Produkt, wie es die Karlsruher Richter in ihrer Entscheidung von 2009 eigentlich für unbedenklich erklärt hatten.

Unverständnis bei IT-Profis

Der Fall Modern Solution betrifft zum einen die anhaltenden Unsicherheiten im Umgang mit Software, die sowohl für legitimes Troubleshooting eines IT-Beraters als auch für den Hackerangriff eines Kriminellen eingesetzt werden kann. Zum anderen ist dabei auch zu klären, ab wann sich ein Techniker schuldig macht, wenn er im Auftrag eines Kunden ein Computersystem einer Drittfirma untersucht. Und zwar, wenn er sich nach §202a StGB Zugang zu Daten verschafft, „die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind“.

Die Ansicht der Richter, dass schon ein im Quellcode im Klartext abgelegtes Standardpasswort genügt, um eine „besondere Sicherung“ zu gewährleisten, trifft in der Praxis auf das Unverständnis von Experten, die einen solchen Zustand eher als Sicherheitslücke und nicht als wirksame Sicherung begreifen.

Es sei überraschend gewesen, wie die Richter in Aachen und Köln entschieden hatten, sagte der Anwalt des Sicherheitsforschers im Gespräch mit heise online. Eine Motivation für die Verfassungsbeschwerde sei, dass der Beschluss des OLG Köln wenig Substanz habe. Zudem sei der Fall nicht nur in der IT-Branche, sondern auch aufseiten der juristischen Fachliteratur mit Interesse verfolgt worden.

Eine Orientierungshilfe vom Bundesverfassungsgericht scheint schon allein vor diesem Hintergrund wünschenswert. Auch deswegen, weil die im November angedachte Gesetzesänderung des Hackerparagrafen bisher anscheinend keine Fortschritte gemacht hat und vielen Experten ohnehin nicht weit genug ging.

Keine technische Untersuchung

In der Beweisaufnahme beschäftigte sich das Gericht in Jülich nicht direkt mit der Passwort-Datei und es wurde nicht versucht, die Angaben des Angeklagten zu überprüfen. Auch die Polizei scheint dies nach den im Prozess verlesenen Teilen der Ermittlungsakte nicht getan zu haben. Des Weiteren konnte das Gericht dem Angeklagten nicht nachweisen, das Passwort durch Dekompilieren erlangt zu haben.

Am Ende des Prozesses hatte aber auch dies kaum Auswirkungen auf das Urteil. Laut dem Vorsitzenden Richter bedeute allein das gesetzte Passwort, dass ein Blick in die Rohdaten des Programms und eine anschließende Datenbankverbindung zu Modern Solution den Straftatbestand des Hackerparagrafen erfülle. Dass dies, wie die Verteidigung mehrmals betont hatte, im Zuge einer „funktionalen Analyse“ der Software im Auftrag eines Kunden von Modern Solution geschah, schien bei dieser Entscheidung keine Rolle zu spielen. Das gilt auch für die Tatsache, dass das infrage kommende Passwort zusammen mit der Software ausgeliefert wurde.

Gericht: „Hacken ist generell strafbar“

Der Jülicher Richter begründete seine Entscheidung, dass der Gesetzgeber mit der Verschärfung von § 202a StGB im Jahre 2007 offensichtlich bezweckt habe, „das Hacken als solches unter Strafe zu stellen.“ Unter diesem Aspekt sei ein Schutz, der „nicht für jedermann“ einfach zu umgehen sei, ausreichend, um den Straftatbestand zu erfüllen. Da der Angeklagte nicht vorbestraft war, wurde er zu einer Geldstrafe verurteilt und kam um eine Haftstrafe herum.

Der Mann legte Berufung beim Landgericht Aachen ein. Im November 2024 entschied das Gericht, diese als unbegründet abzuweisen. In dem Prozess übernahm das LG Aachen durchgängig die Einschätzung des AG Jülich, dass der Zugriff auf die gesicherte Datenbank den Straftatbestand erfülle, weil das Passwort nicht ohne Weiteres zu erraten oder öffentlich bekannt gewesen sei. Die kleine Strafkammer des Gerichts betonte, dass sich der Angeklagte nicht strafbar gemacht hätte, wenn er den Zugriff bei Sicht fremder Kundendaten abgebrochen hätte. Die erstellten Screenshots besiegelten demnach seine Strafbarkeit.

Die Verteidigung beantragte daraufhin eine Revision des Prozesses beim Oberlandesgericht Köln. Dessen 1. Strafsenat entschied am 3. Juli 2025, dass die Entscheidung des LG Aachen keine Rechtsfehler enthalte und somit rechtskräftig sei. Wie bei Revisionen üblich wurden in diesem Verfahren die tatsächlichen Umstände des Falles nicht noch einmal untersucht.

(nie)