Der im Fall Modern Solution wegen strafbarer Computervergehen verurteilte Sicherheitsforscher hat nun Verfassungsbeschwerde eingelegt. Seine Anwälte halten die Verfahrensführung für unfair und sehen die verfassungsmäßigen Rechte ihres Mandanten verletzt. Die Verfassungsbeschwerde ist notwendig, weil der normale Rechtsweg ausgeschöpft ist.

Der selbstständige Programmierer hatte im Auftrag eines Dritten ein Problem mit der Software des Gladbecker Unternehmens Modern Solution GmbH & Co. KG untersucht und dabei eine Sicherheitslücke entdeckt, welche die Daten von knapp 700.000 deutschen Verbrauchern im Internet offengelegt hatte. Betroffen waren Shop-Plattformen unter anderem von Kaufland, Otto und Check24, die die Modern-Solution-Software einsetzten. Das Passwort zu dieser Datenbank war unverschlüsselt in einer ausführbaren Datei des Middleware-Produktes gespeichert und für alle Modern-Solution-Kunden gleich.

Nachdem der Programmierer die Sicherheitslücke an Modern Solution gemeldet hatte, machte er sie kurz darauf in Zusammenarbeit mit dem Betreiber eines branchennahen Blogs öffentlich. Modern Solution zeigte den Sicherheitsforscher daraufhin an, die Polizei durchsuchte seine Wohnung und beschlagnahmte sein Arbeitsgerät.

Oberlandesgericht Köln bestätigt Urteil

Ende Juli 2025 hatte das Oberlandesgericht Köln über die Revision des Angeklagten entschieden und das Urteil des Landgerichts Aachen vom 4. November 2024 bestätigt. Der Programmierer ist somit rechtskräftig zu einer Geldstrafe von 3000 Euro verurteilt und muss die Kosten des Verfahrens tragen.

Das Gericht sah es als erwiesen an, dass sich der Mann strafbar gemacht hatte, als er ein Passwort in der Software seines Kunden ausgelesen hatte, um Zugriff auf die dazugehörige Datenbank auf den Modern-Solution-Servern zu bekommen. Der Entwickler bestand bis zum Schluss darauf, er habe nur Zugriff auf diese Datenbank genommen, um einen Fehler in der Modern-Solution-Software zu finden, die zu Problemen bei seinem Kunden führte. Modern Solution hatte in seiner Anzeige bei der Polizei ausgesagt, der Programmierer habe dem Unternehmen Schaden zufügen wollen, da er selbst an einer Konkurrenz-Software zu dem Modern-Solution-Produkt arbeite.

Der Anwalt des Verurteilten hat nun in dessen Namen eine Beschwerde beim Bundesverfassungsgericht eingelegt. Diese stützt sich sowohl auf den Vorwurf, das Verfahren sei unfair geführt worden, als auch das Argument, das verfassungsmäßige Recht des Angeklagten auf freie Berufsausübung (Art. 12 GG) sei eingeschränkt worden. Als Nächstes muss das Bundesverfassungsgericht entscheiden, ob die Verfassungsbeschwerde überhaupt Aussicht auf Erfolg hat und angenommen wird. Erfahrungsgemäß kann das Monate dauern.

Auch Ablehnung könnte Fortschritt bringen

Der Anwalt des Programmierers sagte im Gespräch mit heise online, dass auch schon eine Ablehnung der Beschwerde ein Sieg für die Allgemeinheit der Juristen und IT-Beschäftigten in Deutschland sein könne. Für den Angeklagten wäre das zwar wenig hilfreich, aber eine Ablehnung durch das BVerfG könnte etwa Hinweise für den zukünftigen Umgang mit §202a StGB enthalten.

Das könnte das aktuelle Minenfeld, mit dem sich viele Sicherheitsforscher und andere IT-Experten konfrontiert sehen, wenigstens etwas entschärfen. Manche Sicherheitsforscher kommentierten den Fall so, dass sie in einer solchen Situation neue Sicherheitslücken nicht melden würden, um eine strafrechtliche Verfolgung der betroffenen Firma zu vermeiden. Wenn sich diese Haltung in der Branche durchsetzt, würde das unweigerlich zu einer landesweiten Verschlechterung der IT-Sicherheit führen.

Eine Entscheidung des Bundesverfassungsgerichts zum Hackerparagrafen sehen Teile der Branche daher als wünschenswert. Im Jahr 2009 hatte das Gericht eine Verfassungsbeschwerde zu §202c StGB abgelehnt, aber dabei immerhin klargestellt, dass alleine die Tatsache, dass ein Programm zu illegalen Handlungen verwendet werden kann, dessen Einsatz noch nicht strafbar macht. Allerdings ist der Bezug einer solchen Software zu §202a StGB offensichtlich immer noch nicht abschließend geklärt.

Das zeigt unter anderem das Modern-Solution-Verfahren, in dem einer der Staatsanwälte als Begründung für die unlauteren Absichten des Angeklagten angeführt hatte, dass dieser eine Software zur Dekompilierung von Programmcode eingesetzt habe. Dabei handelt es sich genau um ein solches „dual use“-Produkt, wie es die Karlsruher Richter in ihrer Entscheidung von 2009 eigentlich für unbedenklich erklärt hatten.

Unverständnis bei IT-Profis

Der Fall Modern Solution betrifft zum einen die anhaltenden Unsicherheiten im Umgang mit Software, die sowohl für legitimes Troubleshooting eines IT-Beraters als auch für den Hackerangriff eines Kriminellen eingesetzt werden kann. Zum anderen ist dabei auch zu klären, ab wann sich ein Techniker schuldig macht, wenn er im Auftrag eines Kunden ein Computersystem einer Drittfirma untersucht. Und zwar, wenn er sich nach §202a StGB Zugang zu Daten verschafft, „die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind“.

Die Ansicht der Richter, dass schon ein im Quellcode im Klartext abgelegtes Standardpasswort genügt, um eine „besondere Sicherung“ zu gewährleisten, trifft in der Praxis auf das Unverständnis von Experten, die einen solchen Zustand eher als Sicherheitslücke und nicht als wirksame Sicherung begreifen.

Es sei überraschend gewesen, wie die Richter in Aachen und Köln entschieden hatten, sagte der Anwalt des Sicherheitsforschers im Gespräch mit heise online. Eine Motivation für die Verfassungsbeschwerde sei, dass der Beschluss des OLG Köln wenig Substanz habe. Zudem sei der Fall nicht nur in der IT-Branche, sondern auch aufseiten der juristischen Fachliteratur mit Interesse verfolgt worden.

Eine Orientierungshilfe vom Bundesverfassungsgericht scheint schon allein vor diesem Hintergrund wünschenswert. Auch deswegen, weil die im November angedachte Gesetzesänderung des Hackerparagrafen bisher anscheinend keine Fortschritte gemacht hat und vielen Experten ohnehin nicht weit genug ging.

Keine technische Untersuchung

In der Beweisaufnahme beschäftigte sich das Gericht in Jülich nicht direkt mit der Passwort-Datei und es wurde nicht versucht, die Angaben des Angeklagten zu überprüfen. Auch die Polizei scheint dies nach den im Prozess verlesenen Teilen der Ermittlungsakte nicht getan zu haben. Des Weiteren konnte das Gericht dem Angeklagten nicht nachweisen, das Passwort durch Dekompilieren erlangt zu haben.

Am Ende des Prozesses hatte aber auch dies kaum Auswirkungen auf das Urteil. Laut dem Vorsitzenden Richter bedeute allein das gesetzte Passwort, dass ein Blick in die Rohdaten des Programms und eine anschließende Datenbankverbindung zu Modern Solution den Straftatbestand des Hackerparagrafen erfülle. Dass dies, wie die Verteidigung mehrmals betont hatte, im Zuge einer „funktionalen Analyse“ der Software im Auftrag eines Kunden von Modern Solution geschah, schien bei dieser Entscheidung keine Rolle zu spielen. Das gilt auch für die Tatsache, dass das infrage kommende Passwort zusammen mit der Software ausgeliefert wurde.

Gericht: „Hacken ist generell strafbar“

Der Jülicher Richter begründete seine Entscheidung, dass der Gesetzgeber mit der Verschärfung von § 202a StGB im Jahre 2007 offensichtlich bezweckt habe, „das Hacken als solches unter Strafe zu stellen.“ Unter diesem Aspekt sei ein Schutz, der „nicht für jedermann“ einfach zu umgehen sei, ausreichend, um den Straftatbestand zu erfüllen. Da der Angeklagte nicht vorbestraft war, wurde er zu einer Geldstrafe verurteilt und kam um eine Haftstrafe herum.

Der Mann legte Berufung beim Landgericht Aachen ein. Im November 2024 entschied das Gericht, diese als unbegründet abzuweisen. In dem Prozess übernahm das LG Aachen durchgängig die Einschätzung des AG Jülich, dass der Zugriff auf die gesicherte Datenbank den Straftatbestand erfülle, weil das Passwort nicht ohne Weiteres zu erraten oder öffentlich bekannt gewesen sei. Die kleine Strafkammer des Gerichts betonte, dass sich der Angeklagte nicht strafbar gemacht hätte, wenn er den Zugriff bei Sicht fremder Kundendaten abgebrochen hätte. Die erstellten Screenshots besiegelten demnach seine Strafbarkeit.

Die Verteidigung beantragte daraufhin eine Revision des Prozesses beim Oberlandesgericht Köln. Dessen 1. Strafsenat entschied am 3. Juli 2025, dass die Entscheidung des LG Aachen keine Rechtsfehler enthalte und somit rechtskräftig sei. Wie bei Revisionen üblich wurden in diesem Verfahren die tatsächlichen Umstände des Falles nicht noch einmal untersucht.

(nie)

Zwar werden bereits in wenigen Wochen Apples große Upgrades auf iOS 26 und macOS 26 (Tahoe) erwartet, dennoch hat der Konzern nun noch einmal Aktualisierungen für die Vorversionen iOS 18, iPadOS 18 und macOS 15 (Sequoia) vorgelegt. Grund sind Sicherheitslücken in den Systemen, die laut Hersteller bereits aktiv ausgenutzt werden. Betroffen sind auch ältere iOS-Versionen, die Apple aber wie üblich nur teilweise patcht. Sonstige Neuerungen enthalten die Aktualisierungen nach Angaben des Unternehmens nicht.

Komplexer Angriff auf bestimmte Zielpersonen

Apple erwähnt in seinen Beipackzetteln für sicherheitsrelevante Veränderungen jeweils nur eine einzige Lücke: Einen Bug in der Bildverarbeitungsbibliothek Image I/O. Dazu heißt es, dass die Verarbeitung böswillig manipulierter Bilder zu einem Speicherfehler führen kann. „Apple ist ein Bericht bekannt, wonach dieses Problem möglicherweise in einem äußerst komplexen Angriff auf gezielt ausgewählte Personen ausgenutzt wurde.“ Das heißt in der Praxis, dass es sich wohl um staatliche Akteure handelte – oder Firmen, die diese unterstützten.

Wer von dem Angriff betroffen war, teilte Apple nicht mit. Der Konzern nennt sich selbst als Entdecker der Lücke, die die CVE-ID CVE-2025-43300 trägt. Der Fehler wurde behoben, indem ein Out-of-Bounds-Schreibproblem behoben wurde – durch verbessertes Bounds-Checking. Der Bug könnte Teil einer ganzen Exploit-Kette sein, bei der Image I/O wahrscheinlich als Einfallstor verwendet wird – beispielsweise über den Versand eines manipulierten Bildes via iMessage. Technische Details fehlen jedoch noch – ob Apple diese zu einem späteren Zeitpunkt kommuniziert, bleibt offen.

Welche Versionen man schnell installieren sollte

Der ausnutzbare Fehler steckt interessanterweise offenbar nur in macOS, iPadOS und iOS – zumindest hat Apple bislang keine Aktualisierungen für seine anderen Betriebssysteme watchOS, visionOS und tvOS vorgelegt, obwohl auch diese die Image-I/O-Bibliothek enthalten. tvOS hat keine eigene Nachrichten-App, visionOS und watchOS hingegen schon. Die jeweils aktuellen Version sind nun iOS 18.6.2 und iPadOS 18.6.2 sowie macOS 15.6.1. Auf einem Test-Mac war die Aktualisierung mit 1,5 GByte ziemlich mächtig, könnte also auch noch andere Neuerungen enthalten. Warum Apple für einen ausgenutzten Fehler sein dafür geeignetes Rapid-Security-Response-System nicht nutzt, bleibt unklar.

Nutzer älterer macOS- und iPadOS-Versionen erhalten ebenfalls Updates, iOS-17-Nutzer müssen auf iOS 18 aktualisieren. Aktuell sind nun iPadOS 17.7.10, macOS 13.7.8 Ventura und macOS 14.7.8 Sonoma. Einzige von Apple kommunizierte Änderung ist die Behebung des Image-I/O-Bugs.

(bsc)

In der Container-Software Docker Desktop können Angreifer aus bösartigen Containern auf die Docker-Engine und in der Folge auf das Dateisystem des Host-Systems zugreifen. Aktualisierte Software steht bereit, um die Sicherheitslücke zu schließen.

In der Versionsankündigung fasst Docker knapp zusammen: Bösartige Container, die in Docker Desktop laufen, können auf die Docker-Engine zugreifen und weitere Container starten, ohne, dass der Docker-Socket gemountet sein müsste. Dies kann unautorisierten Zugriff auf Nutzerdateien im Host-System ermöglichen, Enhanced Container Isolation (ECI) richtet nichts gegen diese Schwachstelle aus (CVE-2025-9074 / EUVD-2025-25308, CVSS 9.3, Risiko „kritisch„).

Die Schwachstellenmeldung selbst geht weiter ins Detail. Lokal laufende Linux-Container können die Docker-Engine-API über das konfigurierte Subnetz erreichen, standardmäßig unter 192.168.65.7:2375. Die Schwachstelle tritt unabhängig davon auf, ob Enhanced Container Isolation (ECI) aktiviert oder wie die Option „Expose daemon on tcp://localhost:2375 without TLS“ konfiguriert wurde. Dadurch lassen sich eine Reihe an privilegierten Befehlen an die Docker-Engine-API ausführen, einschließlich der Kontrolle anderer Container, Erstellen neuer Container, Verwalten von Images und so weiter. Unter Umständen, etwa wenn Docker Desktop für Windows mit WSL-Backend läuft, erlaubt das auch das Mounten des Hostlaufwerks mit den Rechten des Nutzerkontos, in dem Docker Desktop läuft.

Sicherheitslücke mit Update geschlossen

Um das zu verhindern, sollten IT-Verantwortliche auf Docker Desktop 4.44.3 oder neuer aktualisieren. Darin haben die Entwickler die sicherheitsrelevanten Fehler ausgebügelt.

Die aktualisierten Docker-Pakete stehen direkt zum Herunterladen bereit:

Ende April hatte Docker ein Update für Docker Desktop für Windows herausgegeben. Darin haben die Programmierer eine als hochriskant eingestufte Schwachstelle geschlossen, durch die Angreifer ihre Rechte ausweiten konnten.

(dmk)