Vor vier Jahren erlebte Hendrik Heinle einen Tag, der sein Leben verändern sollte. Als selbständiger Software-Entwickler öffnete er die Tür, weil zwei angebliche DHL-Boten ein Paket für ihn abgeben wollten. Doch statt einer Lieferung wurde Heinle überraschend an die Wand gedrückt – die vermeintlichen Paketboten entpuppten sich als Polizeibeamte. Ihr Ziel: die Beschlagnahmung seines gesamten IT-Equipments, darunter Laptops, Smartphones und Festplatten. Der Grund? Heinle stand unter Verdacht, Daten ausspioniert zu haben.
Dabei hatte er eigentlich versucht, etwas Gutes zu tun. Bei der Lösung eines IT-Problems für einen Kunden stieß er auf eine gravierende Sicherheitslücke in der Software eines anderen Unternehmens. Diese ermöglichte ihm den Zugriff auf rund 700.000 sensible Verbraucherdaten, darunter Kreditkarteninformationen. Geschockt von diesem Fund sicherte er Beweise und kontaktierte das betroffene Unternehmen mit der dringenden Aufforderung, die Lücke zu schließen und die Behörden zu informieren. Doch statt Dankbarkeit erntete Heinle eine Strafanzeige – und plötzlich fand er sich in der Rolle des Beschuldigten wieder.
Im November letzten Jahres verurteilte ihn das Landgericht Aachen schließlich zu einer Geldstrafe. Zwar räumte das Gericht ein, dass Heinles Handeln letztlich zu besseren Sicherheitspraktiken geführt habe, doch das änderte nichts am Schuldspruch. Die Entscheidung ist noch nicht rechtskräftig, doch der Fall sorgt bereits jetzt für Unmut in der IT-Sicherheitscommunity.
Manuel Atug von der Arbeitsgruppe KRITIS kritisiert die grundsätzliche Kriminalisierung solcher Fälle. „Die Sicherheitsforschungs-Community könnte sehr viele Sicherheitslücken melden, aber die Angst vor rechtlichen Konsequenzen hält viele davon ab“, sagt er. Atug bemängelt die desolate IT-Sicherheitslage in Deutschland und fordert mehr Schutz für sogenannte White-Hat-Hacker, die mit guten Absichten Sicherheitslücken aufdecken. Ein ähnliches Problem gebe es beim Digitalfunk von Rettungskräften, wo gesetzliche Regelungen Tests der Kommunikationsnetze faktisch verbieten.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht sich für mehr Rechtssicherheit aus – nicht nur für Wissenschaftler, sondern auch für unabhängige Sicherheitsforscher. Doch Kritiker wie der White-Hat-Hacker Klaus Baumdick sehen das Problem tiefer verwurzelt. „Als der sogenannte Hackerparagraph in den 2000er Jahren eingeführt wurde, haben wir genau diese Entwicklung vorhergesehen“, sagt er. „Deutschland hat sich im Bereich IT-Sicherheit selbst abgeschafft.“ Sein bitteres Fazit: Wer heute eine Sicherheitslücke entdecke, solle sie besser für sich behalten.
Der Fall Heinle wirft grundsätzliche Fragen auf: Wie kann eine Gesellschaft sicherer werden, wenn diejenigen, die Schwachstellen aufdecken, bestraft werden? Und wo liegt die Grenze zwischen verantwortungsvollem Handeln und illegalem Datenzugriff? Solange diese Fragen unbeantwortet bleiben, dürften Fälle wie dieser weiterhin für Diskussionen und ein Gefühl der Ohnmacht sorgen.