German: Fremde Daten schützen? Kein Problem, wenn's nicht klappt.

German: Fremde Daten schützen? Kein Problem, wenn's nicht klappt.
Warum Geld und Kundendaten wegschliessen? Wird schon nichts passieren.

Bestraft werden ja die anderen.

Eine Firma hat eine Software bereitgestellt, die Online-Shopping und Warenwirtschaftssysteme miteinander verbindet. Weil anscheinend die Leistungsfähigkeit dieser Software unzureichend war, hat sich jemand angesehen, was diese Software macht.

Dabei sind zwei Dinge aufgefallen, die im Jahr 2023 unverständlich und unfassbar sind. Der Blog-Beitrag, der die Situation zusammenfasst, spricht dann auch von "ungenügender Sach- und Fachkenntnis" in der Softwareentwicklung.

  • Die Software hat sich mit einem zentralen Datenbankserver verbunden, der von "Modern Solution" betrieben wurde. Die Verbindung zu diesem Server erfolgte unverschlüsselt. Das bedeutet, dass die Daten auf dem Weg durch das Internet einfach mitgeschnitten werden können, sich also auf dem Sicherheitsniveau einer Postkarte bewegen, die zudem noch auf und nicht im Briefkasten liegt.
  • Das Passwort für den Zugriff auf die Datenbank war unverschlüsselt in der Software abgelegt, die bei den Kunden vor Ort installiert wurde. Warum das keine gute Idee ist und wie einfach mit geringem Aufwand mehr Sicherheit hergestellt werden kann, habe ich hier erklärt.

In gute Schweizerischer Manier möchte ich jetzt ein "es kann ja nicht angehen, dass..." in den Raum stellen. Keine Software und keine Architektur ist "sicher" in dem Sinne, dass alle möglichen Angriffe verhindert werden können.

Was aber nicht angehen kann ist, dass Kundendaten überhaupt nicht geschützt werden.

Wer nicht verschlüsselt, wird nicht bestraft. Aber..

Als ich mich zuerst mit der Frage beschäftigt habe, wie eigentlich das Strafrecht grob nachlässigen Umgang mit Kundendaten reflektiert, dachte ich, dass es keine passende Strafnorm gäbe. Es gibt zwar eine Norm zum Geheimnisverrat, die erfasst jedoch nur bestimmte Personen und es sind vielleicht nicht alle Kundendaten Geheimnisse.

Dann fiel mein Blick auf §202c StGB:

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

Der Tatbestand des Abs. 1 der Norm bezieht sich auf Passwörter und ähnliches ("sonstige Sicherheitscodes"), die den Zugang zu Daten ermöglichen. Der Verweis auf §202a Abs. 2 bezieht nur die Definition von Daten ein, was an dieser Stelle nicht wichtig ist, weil sich alle einig sind, dass es um Daten geht.

Dabei müssen diese Passwörter genutzt werden, um eine Straftat nach §202a StGB vorzubereiten. Das ist dann gegeben, wenn sich jemand "unbefugt Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung" verschaffen könnte.

Zusammengefasst: Wenn A dem B das Passwort gibt, um unberechtigt auf die Daten der C zuzugreifen, ist der Tatbestand erfüllt.

Im Vorliegenden Fall hat ein Softwarehersteller das Passwort für den Zugriff auf die Daten Dritter im Klartext sowohl in seiner Software, als auch im Rahmen der Verbindung mit der Datenbank bereitgestellt.

Man könnte also durchaus zum Schluss kommen, dass der Softwarelieferant durch die Verteilung des Passwortes im Klartext die Tatbestandsvoraussetzungen des §202c Abs. 1 StGB erfüllt hat.

Sich dabei auf "das wollten wir ja nicht" herauszureden könnte der Hersteller versuchen, allerdings können Taten eben auch durch Unterlassen begangen werden, wenn der Hersteller dazu verpflichtet wäre, zum Beispiel Kundendaten zu schützen.

Wer Passwörter im Klartext verteilt..

..der könnte sich nach §202c Abs. 1 StGB strafbar gemacht haben, denn es reicht, wenn die Straftat durch Unterlassen begangen wird. Sensible Daten zu schützen, ist eine vertragliche Nebenpflicht, dafür muss man nicht einmal das Datenschutzrecht bemühen. Das unverschlüsselte Passwort für die Kundendaten in der Welt zu verteilen, erfüllt diese Pflichten sicher nicht.

Deswegen sitzt meiner Ansicht nach die falsche Person auf der Anklagebank.

Das Amtsgericht Jülich meint zwar, dass "Die Sicherung des Zugangs zu einer Datenbank durch ein Passwort [..] als Zugangssicherung im Sinne des Straftatbestandes [..] (BGH Beschl. v. 13.05.2020 – N06 StR 614/19 –, juris = NStZ-RR 2020, 278). [ausreicht]" - in dem Beschluss geht es aber um etwas anderes:

Ein Administrator hatte kraft seiner erweiterten Zugangsberechtigungen auf die Mailkonten von Benutzern zugegriffen. Es war nicht so, dass die Benutzer ihre Passwörter mit einem Post-It an ihrem Bildschirm angeklebt hatten, und jede Besucherin somit Kenntnis vom Passwort hatte oder ihm, vielleicht passender, sogar das Passwort persönlich und unaufgefordert mitgeteilt hätten, wie im vorliegenden Fall. Denn dann sieht selbst der BGH keine besondere Zugangssicherung mehr..