Image

LG Aachen: Für Grey-Hat-Hacker gibt es keine Straffreiheit

Grey-Hat-Hacker handeln nicht straflos – selbst bei guter Absicht, entschied das LG Aachen. Wer ohne klaren Auftrag in fremde Systeme eindringt, überschreitet laut Gericht die Grenzen des Erlaubten und riskiert eine Verurteilung.

  • advomare
  • 24.04.2025
  • Zuletzt aktualisiert am: 24.04.2025

Für einen sogenannten Grey-Hat-Hacker gibt es keine Straffreiheit, entschied das LG Aachen (Az.: 74 NBs 34/24).

Ein Programmierer wurde von einem Onlinehändler beauftragt, die Homepage zu prüfen und mögliche Probleme ausfindig zu machen. Dabei stieß er dann im Quellcode eines Datenbankprogramms auf ein Passwort, welches im Klartext zu lesen war. Durch Nutzung eben dieses Passwortes konnten 700.000 Kundendaten des Entwicklers der Datenbank eingesehen werden. Darauf wies der Programmierer den Entwickler in einer E-Mail hin und fügte Screenshots der einsehbaren Daten mit an.

Deswegen wurde der Programmierer nun wegen Ausspähens von Daten zu einer Geldstrafe verurteilt. Die Begründung sowohl der ersten Instanz als auch in der Berufung: Der Beklagte hatte sich unbefugt Zugang zu den Daten verschafft, und zwar unter der Überwindung besonderer Zugangshindernisse – das Passwort, das er im Quellcode entdeckt hatte, hätte er nicht benutzen dürfen, denn dieser Zugriff sei nicht durch seinen Auftrag des Onlinehändlers abgedeckt gewesen.

Auch dass das Passwort im Quellcode zu finden war und so keine besondere Zugangssicherung mehr sei, lehnte das Gericht als Argument ab. Laien, ohne die spezifischen Berufskenntnisse des Programmierers, hätten das Passwort nämlich nicht finden können und die Sicherung gegenüber Laien sei laut Gericht ausreichend.

Durch das Erstellen der Screenshots habe sich der Beklagte außerdem gleich zweimal Zugriff auf die Daten verschafft: durch die Screenshots und durch die Nutzung des Passworts.

Es gibt prinzipiell eine rechtliche Unterscheidung zwischen Black-Hat-, Grey-Hat- und White-Hat-Hackern. Black-Hat-Hacker haben bei ihren Angriffen eine böswillige Absicht, um Daten zu erbeuten und für sich zu nutzen. White-Hat-Hacker arbeiten im Auftrag von Unternehmen, um in deren Netzwerke einzudringen und Sicherheitslücken zu finden. Dies bleibt meistens straffrei.

Grey-Hat-Hacker dringen ohne Auftrag in fremde Netzwerke ein, aber nicht mit böswilliger Absicht oder um sich zu bereichern, sondern um Unternehmen Hinweise auf Sicherheitslücken liefern zu können. Für manche solcher Grey-Hat-Hacker kann ein sogenannter rechtfertigender Notstand nach § 34 StGB greifen. Aber nur dann, wenn die Sicherheitslücke vorher schon bekannt gewesen ist. Das Eindringen auf Verdacht ist von diesem Paragrafen nicht erfasst, weshalb dieser auch nicht auf diesen Fall angewendet werden konnte.

Laut Gericht hätte der Hacker auch mildere Mittel ergreifen können, z. B. lediglich eine E-Mail ohne die Screenshots zu senden. Die fehlende Böswilligkeit wirkte sich daher nur auf die Höhe der Strafe aus.

(Bild: Who is Danny – stock.adobe.com)

Ähnliche Beiträge

Symbolbild für digitale Nutzerprofile auf einem Laptop – Darstellung der Rolle von Verbraucherverbänden beim Klagerecht gegen Datenschutzverstöße.
15.05.2025

BGH stärkt Klagerecht von Verbraucherschutzverbänden bei Datenschutzverstößen

Regal mit Arzneimittelverpackungen in einer Apotheke – Symbolbild für datenschutzrechtliche Anforderungen beim Online-Verkauf von Arzneimitteln.
09.05.2025

Datenschutz bei Online-Verkauf von Arzneimitteln

Digitale Benutzeroberfläche mit dem Begriff „Deepfake“ – symbolische Darstellung der Verantwortung von Plattformbetreibern bei der Entfernung rechtswidriger Inhalte.
02.05.2025

Plattformbetreiber müssen rechtswidrige Inhalte nach Hinweis löschen

Tastatur mit digitalen Schloss- und Schlüssel-Symbolen – symbolische Darstellung der Debatte um Ende-zu-Ende-Verschlüsselung durch Behörden.
30.04.2025

Behörden können Daten auch ohne Ende-zu-Ende-Verschlüsselung versenden