§ 202a StGB („Ausspähen von Daten“) – Wie (un-)sicher darf ein Passwort versteckt werden?

Entscheidungsanmerkung zu LG Aachen, Urteil vom 27.07.2023, Az. 60 Qs 16/23

Im (Früh-)Sommer dieses Jahres sorgten zwei Entscheidungen zu § 202a StGB („Ausspähen von Daten“) für Aufsehen. Zunächst machte das Amtsgericht Jülich auf sich aufmerksam: Ein Passwort sei keine „besondere Zugangssicherung“, wenn dieses im Objektcode einer Software „versteckt“ worden sei und dieser wiederum mithilfe gängiger technischer Hilfsmittel in einen lesbaren Quellcode übersetzt werden kann. Das Landgericht Aachen sah das grundlegend anders – und hob den Beschluss zwei Monate später wieder auf. Warum das Landgericht Aachen im Ergebnis Recht hat und wieso die Rechtslage momentan auf dem Prüfstand steht, berichtet Rechtsanwalt Dr. Arne Klaas.

Sachverhalt

Was war passiert? Der Angeschuldigte soll auf den Datenbankserver eines Webhosting-Anbieters zugegriffen haben. Hierzu nutzte er einen sog. „Decompiler“, mit dem er den sichtbaren Objektcode der Software des Anbieters in einen lesbaren Quellcode übersetzte. Dem Quellcode entnahm er ein dort im Klartext hinterlegtes Passwort. Mithilfe des Passworts las der Angeschuldigte die Zugangsdaten zu den beim Webhosting-Anbieter gelisteten Kundendatenbanken aus und speicherte diese auf seinem eigenen Computer ab. Auf die Kundendatenbanken selbst soll er – wohl – nicht zugegriffen haben. Die Staatsanwaltschaft Köln beantragte den Erlass eines Strafbefehls mit dem eine Geldstrafe in Höhe von 90 Tagessätzen festgesetzt werden sollte.

Beschluss des AG Jülich

Das Amtsgericht Jülich lehnte mit Beschluss vom 10. Mai 2023 (Az. 17 Cs-230 Js 99/21-55/23) den Erlass des Strafbefehls mangels hinreichenden Tatverdachts aus Rechtsgründen ab. Ein Passwort begründe keine „besondere Zugangssicherung“, wenn dieses durch Rückübersetzung des Objektcodes in den lesbaren Quellcode (sog. „dekompilieren“) mithilfe gängiger technischer Hilfsmittel ausgelesen werden könne.

Urteil des LG Aachen

Das sah das Landgericht Aachen anders. Auf die sofortige Beschwerde der Staatsanwaltschaft Köln wurde der hinreichende Tatverdacht bejaht und der Beschluss des AG Jülich aufgehoben.

Das Landgericht Aachen verweist sowohl auf die Entscheidung des 5. Strafsenats des BGH aus dem Jahre 2020 („Administratorenpasswörter“, BGH, Beschl. v. 13.05.2020 – 5 StR 614/19 – NStZ-RR 2020, 279) sowie auf die Gesetzesbegründung (BT- Drs. 16/3656, S. 10). Danach sei „auf die allgemeine Sicherung der Daten gegenüber dem Zugriff Unbefugter abzustellen, nicht darauf, ob Eingeweihte oder Experten leicht auf die Daten zugreifen können“ (Rn. 30). Eine besondere Zugangssicherung soll nur dann nicht bestehen, wenn „die Durchbrechung des Schutzes für jedermann ohne weiteres möglich ist, nicht aber (…) [bereits dann, wenn] die Zugangssicherung auf Grund spezieller Kenntnisse oder Möglichkeiten im Einzelfall leicht überwunden wird“ (Rn. 30).

Ausgehend hiervon habe der Angeschuldigte „eine Zugangssicherung überwunden, durch die der Verfügungsberechtigte erkennbar den Zugang zu den Daten verhindern wollte (…). Dass dies für ihn einfach (…) [war] hindert eine Strafbarkeit nicht. Auch wenn er für die Dekompilierung frei zugängliche Programme verwendet (…) [habe], so setzt eine solche Vorgehensweise sowohl ein tieferes Verständnis über Programmiersprachen und Softwareentwicklung (…) voraus. Die in Rede stehenden Daten waren – eine abstrakt generelle Betrachtungsweise zugrunde gelegt – für den Angeschuldigten aufgrund seiner Kenntnisse leicht abgreifbar, indes ‚typischerweise‘ nicht für Jedermann ohne weiteres möglich.“ (Rn. 31).

Einordnung: Ein kompilierter Objektcode ist kein Passwort-Notizzettel

Die Entscheidung des LG Aachen ist im Ergebnis richtig. Die mit dem Passwortschutz begründete „besondere Zugangssicherung“ zu den Zugangsdaten der Kundendatenbanken wird nicht dadurch ausgehebelt, dass das entsprechende Passwort über die Dekompilierung des Objektcodes in den lesbaren Quellcode entdeckt werden kann.

„Daten“ (§ 202a Abs. 2 StGB) sind gegen unberechtigten Zugang besonders gesichert, „wenn der Berechtigte Vorkehrungen getroffen hat, um den allgemeinen Zugriff auf sie auszuschließen oder wenigstens nicht unerheblich zu erschweren“.[1] In den ergriffenen Vorkehrungen muss sich das Interesse des Verfügungsberechtigten an der Geheimhaltung ausdrücken.[2] Nach Ansicht des 5. Strafsenat des BGHs steht einer „besonderen Sicherung“ nicht entgegen, dass „Eingeweihte oder Experten leicht auf die Daten zurückgreifen können“.[3] Bei der Verwendung ist aufgrund des Erfordernisses einer „besonderen“ Sicherung eine gewisse Komplexität eines Passwortes zu fordern.[4] Ansonsten wird der Zugriff mithilfe von Password-Detection-Tools – bspw. bei simplen „dictionary“- oder „brute force“-Attacken – auch nicht „unerheblich erschwert“.

Allerdings begründen auch komplexe Zeichenfolgen keine „besondere Zugangssicherung“, wenn das Passwort selbst nicht ausreichend vor unbefugter Kenntnisnahme geschützt wird. Ein klassisches Beispiel ist das auf einen Klebezettel am (Dienst-)Laptop notierte Passwort.[5] Der Maßstab für einen „ausreichenden Schutz“ vor unbefugter Kenntnisnahme eines Passworts (bzw. abstrakt: Informationen, mithilfe derer die Zugangssicherung überwunden werden kann) muss sich aus teleologischen Gründen ebenfalls an den Fähigkeiten des „Durchschnittsbürgers“ orientieren. Hand aufs Herz: Der sog. „Durchschnittsbürger“ wird – selbst bei einer gewissen IT-Affinität – bereits Probleme damit haben, den Objektcode zu lokalisieren, geschweige denn über das Wissen verfügen, dass und wie er diesen in einen Quellcode übersetzen kann. Hinzutreten muss das Wissen, dass sich im Quellcode ein Passwort verbergen kann. Vor diesem Hintergrund ist mit dem Landgericht Aachen von einem ausreichenden Passwortschutz auszugehen.

Alles gut also? Nicht ganz – in den Urteilsgründen bleibt die notwendige Differenzierung zwischen

• (1) dem Zugang zu den Passwortdaten selbst sowie
• (2) das anschließende Nutzen des Passworts, mit dem der Zugang zu den weiteren Zugangsdaten der Kundendatenbanken verschafft wird,

auf der Strecke. Hierbei könnte es sich – je nach Ergebnis der ggf. noch anzustellenden (Nach-)Ermittlungen – um zwei Taten nach § 202a Abs. 1 StGB handeln:

Kompilierung als eigenständige „besondere Zugangssicherung“?

Denn bereits der Kompilierungsvorgang könnte eine eigenständige „besondere Zugangssicherung“ darstellen. Entscheidend ist, ob der Webhostinganbieter das Passwort bewusst im Quellcode stehen ließ und durch die nachfolgende Kompilierung im Objektcode „verstecken“ wollte[6] – oder ob das Passwort aus Nachlässigkeit im Quellcode „stehen geblieben“ ist. Nur in der ersten Varianten drückt sich in der Übersetzung des Quellcodes in den nicht lesbaren Objektcode auch sein Interesse an der Geheimhaltung der Passwortdaten aus. Die Konsequenz: In diesem Fall verschafft sich der Angeschuldigte bereits mit dem Dekompilierungsvorgang – d.h. unter Überwindung dieses Zugangshindernisses – den Zugang zu den Passwortdaten. Bereits in diesem Moment wird der objektive Tatbestand von § 202a Abs. 1 StGB verwirklicht.

Allerdings müsste der Angeschuldigte zumindest „billigend in Kauf genommen haben“, dass das Passwort auch tatsächlich im Objektcode versteckt werden sollte. Ansonsten handelt er unvorsätzlich hinsichtlich des Bestehens und der Überwindung einer besonderen Zugangssicherung. Dieser Nachweis dürfte nur schwer zu führen sein. Passwörter werden nicht selten während des Programmiervorgangs im Quellcode „vergessen“. Daher dürfte eine entsprechende Einlassung des Angeschuldigten zu seinem Vorstellungsbild nur schwer widerlegt werden können.

Jedenfalls aber begründet das anschließende Nutzen des Passworts um die hinter der Passwortschranke liegenden Zugangsdaten zu den Kundendatenbanken auszulesen eine eigenständige – ggf. weitere – Tathandlung.

„White-Hat-Hacking“ – Rechtfertigung über den Notstand?

Damit ist das letzte Wort jedoch nicht zwangsläufig gesprochen. Auch das tatbestandsmäßige Eindringen in die IT eines Unternehmens kann sich – je nach Umgang mit der bekanntgewordenen Sicherheitslücke – als gerechtfertigte Notstandshandlung (§ 34 StGB) erweisen.

Hierbei gilt allerdings: Das tatsächliche Ausnutzen des im Quellcode entdeckten Passworts könnte nicht das von § 34 StGB vorausgesetzte „relativ mildeste Mittel“ sein. Grundsätzlich sollten bekanntgewordene Passwörter nur dann zum Eindringen in die IT-Infrastruktur verwendet werden, wenn die Gefährdungssituation nicht bereits mit einem Hinweis an das Unternehmen auf die ggf. öffentlich zugänglichen Informationen abgewendet werden kann. Jedenfalls aber sollte nicht – wie hier offenbar geschehen – auf die hinter dem Passwort liegenden Zugangsdaten zugegriffen werden. Siehe hierzu umfassend: Klaas, MMR 2022, 187.

Ausblick: Straflosigkeit unbeauftragter Penetrationstests?

Wie geht es weiter mit § 202a StGB und dem sog. „White-Hat-Hacking“? Das Bundesministerium der Justiz überprüft gegenwärtig, ob das sog. Cyberstrafrecht reformiert werden muss. Hierbei geht es auch um die Frage, ob das Aufspüren von Sicherheitslücken durch auf eigene Initiative handelnde IT-Sicherheitsforscher nicht sogar ein wichtiger und wünschenswerter Baustein der nationalen Cybersecurity-Strategie ist und Anpassungen an § 202a StGB notwendig werden lässt. Das aktuelle Fallbeispiel zeigt, dass nach der gegenwärtigen Rechtslage ohne Auftrag des/der Unternehmensinhabers/-in durchgeführte Penetrationstests einem hohen Strafbarkeitsrisiko ausgesetzt sind.

[1] BGH, BeckRS 2020, 12264 Rn. 19; BGH, NStZ 2018, 401 (403); BT-Drs. 16/3656, S. 10.

[2] BGH, BeckRS 2020, 12264 Rn. 19; BGH, NStZ 2018, 401 (403); BGH, NStZ 2016, 339 (340); BT-Drs. 16/3656, S. 10; BeckOK StGB/Weidemann, 54. Ed. 1.8.2022, StGB § 202a Rn. 15.

[3] BGH, BeckRS 2020, 12264 Rn. 21.

[4] BT-Drs. 16/3656, S. 10; vgl. MüKoStGB/Graf, 4. Aufl. 2021, StGB § 202a Rn. 36, 46; vgl. Lackner/Kühl/Heger, 29. Aufl. 2018, StGB § 202a Rn. 4; Vassilaki, CR 2008, 131 (132). Sehr weitgehend: Rübenstahl/Debus, NZWiSt 2012, 129 (131) („(…) nur ein einer Verschlüsselung vergleichbar sicheres Passwort (…) ca. 16-20 alphanumerisch zufällig gemischte Zeichen (…)“). A.A.: Schönke/Schröder/Eisele, 30. Aufl. 2019, StGB § 202a Rn. 14; Ernst, NJW 2003, 3233 (3236).

[5] MüKoStGB/Graf, 4. Aufl. 2021, StGB § 202a Rn. 46.

[6] Vgl. MüKoStGB/Graf, 4. Aufl. 2021, StGB § 202a Rn. 53.