122
Gericht sieht Nutzung von Klartext-Passwörtern als Hacken an
(www.heise.de)
Diese Community wird zum 01.07 auf read-only gestellt. Durch die anhäufenden IT-Probleme und der fehlende Support wechseln wir als Community auf www.feddit.org/c/dach - Ihr seid herzlich eingeladen auch dort weiter zu diskutieren!
Das Sammelbecken auf feddit für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.
Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:
Eine ausführliche Sidebar findet ihr hier: Infothread: Regeln, Feedback & sonstige Infos
Auch hier gelten die Serverregeln von https://feddit.de !
Banner: SirSamuelVimes
Dass, das Passwort nicht verschlüsselt war, ist kein Argument. Man könnte Zweifel am Vorsatz haben, so wie es dargestellt wurde. Allerdings wäre er auch nicht unbedingt befugt gewesen, wenn es tatsächlich nur die Daten seines Kunden betroffen hätte. Der hatte ihm das PW ja nicht gegeben.
Das eigentliche Problem ist der Paragraf selber, dem es nicht auf die Absicht zum Datenspähen ankommt. Diebstahl, zum Vergleich, ist nur solcher, wenn man die Sache tatsächlich illegal behalten will. Hier reicht schon der Zugang, also das "Hacken".
Doch, es ist ein Argument. Sogar ein sehr gutes. § 202a StGb setzt nämlich das Überwinden einer Sicherung voraus. Das steht so sogar unmissverständlich im von dir zitierten Normtext.
Wenn ich ein Passwort im Klartext abspeichere, dann lässt sich sehr wohl und sehr gut argumentieren, dass es inherent keine Sicherungsfunktion erfüllen kann.
Der Schutz durch Passwörter ist zwar unzweifelhaft ein Sicherungsmechanismus, der mit § 202a StGb vor Überwindung geschützt werden soll. Das betrifft aber ganz klar Fälle, in denen man sein sicherndes Passwort nicht direkt an die Eingangstür schreibt.
Es kann für eine Strafbarkeit nach § 202a StGb schlichtweg nicht genügen, dass man ein Passwort hat, egal von welcher Qualität. "Passwort" oder "12345" als Passwort, selbst wenn es nicht irgendwo im Klartext ausgelesen werden könnte, halte ich schon für untauglich, weil dem Sicherungsmechanismus eine gewisse Sicherungsqualität innewohnen muss. Sonst fehlt es nämlich am vorausgesetzten "Überwinden". Ein Überwinden erfordert eine gewisse und nicht unerhebliche Energie, die man als Täter aufwenden müsste, um einen Schutz zu umgehen.
§ 202a StGb ist eine komplett verunglückte Strafnorm, aber einer von vornherein ungeeigneten Form der Sicherung irgendeine Sicherungsqualität beimessen zu wollen, das liefe absolut fehl. Erst Recht kann dann ein im Klartext auslesbares Passwort nicht genügen. Aber weil die Norm so ein Murks ist, darf am Ende wieder die höchstrichterliche Rechtsprechung Hilfsgesetzgeber spielen, sobald Fälle wie der jetzige in die höheren Instanzen gehen.
Ich stimme dir im Übrigen aber zu, dass die Norm in einer idealen Welt mehr subjektive Tatbestandsmerkmale erfordern sollte. Dass der reine Vorsatz genügt und keine "Ausspähabsicht" erforderlich ist, ist ohne Frage der Griff eines geriatrischen Gesetzgebers ins Klo.
Ist das die herrschende Meinung? Das überzeugt mich nicht so wirklich.
Sagen wir mal, man nimmt so eine Liste von Passwörtern, die nicht ausreichen, um besonderen Schutz zu gewährleisten. Dann benutzt man ein Programm, dass Brute Force Nutzernamen durchgeht und jeweils diese Passwörter ausprobiert. Da ist dann natürlich schon eine ziemliche Energie dahinter, aber man hat ja nur die Konten geknackt, die, per Definition, nicht besonders gesichert waren.
Oder, man geht irgendwo vorbei und erspäht den Login auf dem Klebezettel am Display. Sollte man das einfach mal ausprobieren dürfen, egal mit welcher Absicht?