LG Aachen: Passwort in kompilierter Software reicht aus, um Strafbarkeit nach § 202a StGB zu begründen

Ein IT-Entwickler, der eine Software dekompiliert und das gefundene Passwort nutzt, macht sich nach § 202a StGB (sog. Hacker-Paragraph) strafbar, da das Auslesen des Passworts als Überwindung einer besonderen Zugangssicherung gilt.

Wer eine Software dekompiliert und ein im Quellcode platzierten Passwort später verwendet, macht sich des Ausspähens von Daten nach § 202a StGB (sog. Hacker-Paragraph) strafbar (LG Aachen, Urt. v. 27.07.2023 - Az.: 60 Qs 16/23).

Inhaltlich ging es um die Software des Anbieters Modern Solution. Die Firma hatte in ihrem Programm damals im Quellcode ein Passwort im Klartext hinterlegt, auf das jeder, der die Anwendung dekompilierte, Zugriff hatte. Mit diesem Passwort waren umfangreiche Datenbankzugriffe auf Fremdsysteme (ca. Daten von 700.000 Endkunden) möglich.

Ein IT-Entwickler dekompilierte die Software und erhielt so das Passwort. Mit diesem las er dann die Zugangsdaten zu den jeweiligen Kundendatenbanken aus und kopierte diese auf seinen eigenen Computer. Er informierte den Anbieter über die Sicherheitslücke und machte den Fall öffentlich, nachdem die Sicherheitslücke geschlossen worden war.

Es stellte sich nun die Frage, ob der IT-Entwickler wegen Ausspähens von Daten nach § 202a StGB (sog. Hacker-Paragraph) strafbar gemacht hatte.

Das AG Jülich lehnte den Antrag der zuständigen Staatsanwaltschaft auf Erlass eines Strafbefehls ab. Eine Strafbarkeit, so das AG Jülich, komme nur dann in Betracht, wenn die Daten besonders gegen den unberechtigten Zugang gesichert worden seien. Ein Passwortschutz als solcher genüge bereits nicht, um eine besondere Sicherung begründen. Darüber hinaus habe der Angeschuldigte die Dekompilierung mittels einer gängigen Software durchgeführt, was auch gegen eine besondere Zugangssicherung spreche.

In der Beschwerdeinstanz entschied das LG Aachen jedoch genau anders herum und bejahte eine Strafbarkeit:

"Dass die Daten nicht für den Angeschuldigten bestimmt waren, folgt aus der Tatsache der Zugangsbeschränkung in Form eines Passwortes. Denn nach dem Willen der Verfügungsberechtigten (…) sollte der Angeschuldigte keinen Zugang zu diesen haben und die Daten sollten nicht in seinen Herrschaftsbereich gelangen (…). 

Soweit es um den dekompilierten Quellcode der Software als solcher geht, ist auch dieser nicht für den Angeschuldigten bestimmt gewesen. Denn insoweit gelten die für Daten entwickelten Grundsätze entsprechend auch für Computerprogramme. Soweit eine Dekompilierung des Objektcodes in den Quellcode urheberrechtlich nach den § 69 e i.V.m. § 69 c Nr. 1 UrhG unzulässig ist - etwa wenn sich der Täter nicht an die durch den Lizenzvertrag und den Programmschutz gezogenen Grenzen hält - fehlt es an einer Datenbestimmung für den Täter mit der Folge, dass eine Strafbarkeit nach§ 202 a StGB- vorbehaltlich des Vorliegens der weiteren Tatbestandsvoraussetzungen - eröffnet ist (…)."

Und weiter:

"Die Daten waren auch gegen unberechtigten Zugang besonders gesichert. (…) Im vorliegenden Fall war der Zugang durch Passwörter gesichert, deren Abrufen zudem nur nach einer Dekompilierung möglich war. Die Sicherung des Zugangs mittels Passwort reicht als Zugangssicherung aus (BGH, Beschl. v. 13.05.2020 - 5 StR 614/19 -, a.a.O.).

Bei einem Passwort handelt es sich um eine typische Software-Sicherung, die das Interesse an einer Zugangssicherung eindeutig dokumentiert. Maßgeblich ist, ob die Sicherung geeignet erscheint, einen wirksamen, wenn auch nicht absoluten Schutz zu erreichen. Erforderlich ist - nach der Gesetzesbegründung - dass die Überwindung dieser Sicherung einen nicht unerheblichen zeitlichen oder technischen Aufwand erfordert (vgl. BT- Drs. 16/3656). Dies wäre jedenfalls dann zu verneinen, wenn die Aufhebung des Schutzes ohne weiteres möglich ist und durch jeden interessierten Laien leicht überwunden werden könnte. 

Vom Schutzbereich ausgenommen sind insbesondere auch Fälle, in denen das Opfer selbst nachlässig mit den eigenen Daten umgeht und eine sehr leicht ausschaltbare Sicherung wählt. Keine technischen Vorkehrungen wären folglich standardisierte Logins und Passwörter (zB Ziffernfolge 0000 bei allen Geräten), da hier zur Dokumentation der Geheimhaltung zunächst eine Änderung notwendig wäre (…)."

Ausdrücklich schließt sich das LG Aachen nicht der Rechtsauffassung des AG Jülich an, dass durch Platzieren des Passwortes im Quellcode der Straftatbestand nicht erfüllt sei:

"Entgegen der Auffassung des Amtsgerichts stellt das Auslesen des Passwortes nach Dekompilierung des Objektcodes in den Quellcode eine Überwindung einer besonderen Zugangssicherung im Sinne des § 202 a StGB auch dann dar, wenn sie mit für jedermann zugänglichen Tools erfolgt ist. (…) 

Mit der Änderung des § 202a StGB durch das 41. StrÄndG im Jahre 2007 hat der Gesetzgeber unter Umsetzung des Übereinkommens des Europarates über Computerkriminalität aus dem Jahre 2001 und des entsprechenden Rahmenbeschlusses, u.a. das "Hacking" unter Strafe gestellt. (…)

Die Anforderungen an den notwendigen "nicht unerheblichen zeitlichen oder technischen Aufwand" zur Überwindung der Sicherung (so BT-Drs. 16/3656 S. 10) dürfen daher zum Schutz technischer Laien und vor dem Hintergrund des Bestimmtheitsgrundsatzes nicht zu hoch angesetzt werden. Der Zugangsschutz muss nicht vollständig sein. 

Es ist ein "weites Verständnis" des Überwindens einer Zugangssicherung zugrunde zu legen, bei dem eine Orientierung am technischen Laien angezeigt ist. Denn auch dem technischen Laien muss die grundrechtlich garantierte Möglichkeit eingeräumt werden, geschützte formale Geheimbereiche zu schaffen. Auch dass der Gesetzgeber mit § 202 a StGB nur einen eingeschränkten Täterkreis erfassen wollte, ergibt sich weder aus dem Wortlaut der Norm noch aus den Motiven. § 202 a StGB ist kein auf professionelle Angreifer beschränktes Sonderdelikt (…)."

Anmerkung von RA Dr. Bahr:
Die Entscheidung des LG Aachen betraf nur die Eröffnung des Strafbefehlsverfahrens, nicht eine endgültige strafrechtliche Verurteilung des Betroffenen. Nun muss das AG Jülich erneut über den Antrag der Staatsanwaltschaft entscheiden.