Der wegen der Veröffentlichung der Modern Solutions-Schwachstelle zu einer Geldstrafe verurteilte IT-Entwickler hatte Verfassungsbeschwerde vor dem Bundesverfassungsgericht eingelegt. Diese ist nicht angenommen worden.
Worum es geht im 'Modern Solution'-Fall?
Einem, mit einer Fehlersuche für einen Kunden betrauten, IT-Spezialisten war bei der Installation einer (Händler-) Software eine Datenbankverbindung zu einem externen Server aufgefallen, bei der die Daten ungesichert übermittelt wurden.
Es handelte sich um einen E-Commerce-Server Server von Modern Solution GmbH & Co. KG, und über die Datenbankverbindung waren persönliche Händlerdaten (Bestellungen, Adressen und auch Kontodaten) von hunderttausenden Kunden für Dritte über das Internet abrufbar bzw. einsehbar (siehe Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar).
Der IT-Spezialist meldete das Problem an Modern Solution und ging später, weil die Behebung der Sicherheitslücke nicht zeitnah erfolgte, über den Blog Wordfilter an die Öffentlichkeit. Damit nahm das Unheil für den Entwickler seinen Lauf.
Die Modern Solution stellte Strafanzeige; die Staatsanwaltschaft Köln leitete ein Strafverfahren samt Hausdurchsuchung mit Beschlagnahme von Arbeitsgeräten des Beschuldigten ein. Der Vorwurf lautete auf Verstoß gegen § 202a und §205 StGB (Vorbereiten des Ausspähens und Abfangens von Daten, Verwertung fremder Geheimnisse).
In einem Prozessmarathon, erst vor dem Amtsgericht Jülich, dann vor dem Landgericht Aachen und schließlich vor dem Oberlandesgericht Köln wurde der Entwickler zu einer Geldstrafe von 3000 Euro verurteilt. Dieses Urteil ist rechtskräftig.
Ich hatte im Beitrag Modern Solution-Urteil: Verurteilter IT-Spezialist reicht Verfassungsbeschwerde ein die sich aus dem Urteil ergebenden Implikationen für die Meldung von Schwachstellen aufgezeigt.
Der Entwickler legte Verfassungsbeschwerde vor dem Bundesverfassungsgericht ein, weil er seine Rechte zur freien Berufsausübung verletzt sah. Die Hoffnung war, dass das Bundesverfassungsgericht bei Annahme einen Fingerzeig geben würde, wie die betreffenden Paragraphen § 202a und §205 StGB zu interpretieren seien.
Mit Beschluss 2 BvR 1086/25 vom 15. September 2025 wurde diese Verfassungsbeschwerde abgelehnt. Danke an den Blog-Leser, der mir die Information zum Urteil zukommen ließ.
Dank des IT-Entwicklers an die Unterstützer
Der durch alle Instanzen klagende IT-Entwickler schreibt zur Ablehnung seiner Verfassungsbeschwerde:
Hiermit ist es offiziell: Ich bin verurteilter Hacker und meine rechtlichen Möglichkeiten sind ausgeschöpft.
Vielen Dank an alle, die mir Mut zugesprochen, mich finanziell unterstützt und in guter alter Stammtischmanier mit mir über den Staat abgerantet haben. Ihr habt mich in einem der wohl übelsten Lebensabschnitte begleitet und aufrecht gehalten. Danke.
Der IT-Entwickler schreibt, das es für ihn hätte schlimmer laufen können. Er muss nun weniger als 4.000 € für das gesamte Verfahren (Strafbefehl, erste Instanz nach Strafbefehl, Revision & Spesen) sowie die Geldstrafe an die StA Köln überweisen. Das deckt nicht einmal ansatzweise den betriebenen Ermittlungsaufwand. Wie drückt es der IT-Entwickler aus:
"Auf der anderen Seite weiß ich auch, da sitzt ein Unternehmen, das offensichtliche Grundlagen der Informationssicherheit (und generell Grundkurs C#) nicht verstanden hat. Ich kann nur mutmaßen, aber ich denke, dieses Unternehmen wird sich nun in seinem Handeln bestätigt fühlen.
Schade für die IT-Security-Branche und die allgemeine IT-Sicherheit in Deutschland.
Wir haben getan, was wir konnten und allen gezeigt, wie schlecht es um die IT-Sicherheit in #Neuland steht.
Der IT-Entwickler verbucht diese Erkenntnis zumindest das als Sieg, auch wenn das Ergebnis aus sicherheitstechnischer Sicht ein Desaster ist. Niemand wird jetzt noch irgend eine gefundene Schwachstelle melden. "Security by obscurity, was ich nicht weiß, macht mich nicht heiß."
Aktenkundig sei außerdem, so der IT-Entwickler, dass man dort das Strafverfahren und eine Verurteilung abwarten wollte, um anschließend mit Regressansprüchen gegen ihn vorzugehen. Inwieweit das noch möglich oder überhaupt umsetzbar ist, sei dahingestellt (der IT-Entwickler vertritt die Meinung, dass das eher nicht möglich sei, weil Zivilrecht da nochmal anders als das Strafrecht gestrickt sei). Wird man abwarten müssen – zumindest hat Modern Solution seit Aufdeckung der Schwachstelle für meinen Geschmack genügend negative Berichterstattung erfahren und wird auch in Zukunft mit diesem Urteil in Verbindung gebracht werden.
Ergänzung: Ich habe gesehen, dass heise in diesem Artikel die Historie sehr detailliert nachgezeichnet hat und das Thema mit weiteren Aspekten beleuchtet.
Ähnliche Artikel:
Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar
Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)
Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung
Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller
Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen
IT-Experte, der Modern Solutions Schwachstelle öffentlich gemacht hat, muss nun doch vor Gericht
Urteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor
Hauptverhandlung gegen Entdecker der Modern Solutions-Schwachstelle im Januar 2024
Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)
Landgericht Aachen bestätigt Urteil gegen Entdecker einer Modern Solution-Schwachstelle
Sachstand im "Modern Solution"-Verfahren
Modern Solution-Urteil: Verurteilter IT-Spezialist reicht Verfassungsbeschwerde ein
MVP: 2013 – 2016
Sicherheitslücken nicht mehr melden und im Darknet verhöckern … /zyn
Mizaru, Kikazaru, Iwazaru
–
GB: "Nichts Böses sehen, nichts Böses hören, nichts Böses sagen" – oder "nichts sehen, nichts hören, nichts sagen" – ist mir vor sehr langer Zeit auf einem japanischen Tempelfries in Nikko als Schnitzerei mit den drei Affen untergekommen – ging mir auch bei der Geschichte durch den Kopf.
Ausflug nach Nikko
Ein echtes Armutszeugnis der deutschen Justiz!
Den Verantwortlichen bei Modern Solution und den Gerichten kann man nur wünschen,
dass sie selbst bald mal wegen einer nicht gemeldeten Sicherheitslücke zu den Opfern eines Cyberangriffs zählen, der für sie auch richtig übele Folgen hat und zum persönlichen Albtraum wird – manche lernen eben nur durch Schmerzen.
Da scheint mir sogar die KI mit den aktuellen Schwächen, selbst auf einem Server mit ner i386 CPU von 1985, schon ein guter Ersatz für die natürliche Dummheit von vielen Menschen zu sein…
Nun ja, das Gericht hatte nicht so viele Freiheitsgrade. Das Amtsgericht Jülich hatte ja im ersten Urteil den Sachverhalt mit einem glimpflichen Urteil belegt. Musste auf Beschwerde der Staatsanwaltschaft in Aachen vor dem LG neu verhandelt werden – mit bekanntem Ausgang. Der Sachverhalt wurde (wider besseres Wissen) politisch vor vielen Jahren vermurkst.
Was der Anwalt den Gerichten vorwirft – so wie ich es herauslese: Dass man in der Prozessführung nie in die Sachverhaltsermittlung (auch mit Gutachtern) eingestiegen, sondern in den Urteilen und der Begründung den vermeintlich "leichteren Weg" über die Auslegung der Paragraphen gegangen ist – mit den bekannten Folgen. Genau da hätte es wohl Spielraum gegeben, indem das Gericht den Punkt "besonders gesicherte Zugriffe" beleuchtet und vorgegeben hätte, was durchgeführt werden darf. Die jetzige Vorgabe, jedenfalls, was ich so aus den Urteilen herauslese, bindet eigentlich jedem White Hat-Hacker die Hände, was die Ermittlung von fest vorgegebenen Zugangsdaten betrifft (liegt einfach fern jeglicher Praxis, da Du nicht mal eine Konfigurationsdatei anzeigen lassen darfst, um ein Passwort herauszufinden).
"[…] das Gericht hatte nicht so viele Freiheitsgrade.
[…]
Der Sachverhalt wurde (wider besseres Wissen) politisch vor vielen Jahren vermurkst."
Hmm… ist's denn nicht auch genau die Aufgabe von Gerichtsinstanzen als Kontrollorgane politische Säumnisse oder Fehler anzumahnen und nötigenfalls eben auch mit richtungsweisenden Präzedenzentscheidungen die Politik zu nachträglich zeitnaher Korrektur zu zwingen?
Insofern seh' ich da nicht, wo die Einschränkung in den "Freiheitsgraden" liegen soll – das eigtl. Problem ist leider nach wie vor die in manchen Sachbereichen fehlende bzw. mangelnde Fachkompetenz und es wird zu viel in der Aussicht von weitreichenden Konsequenzen nach "Vogel-Strauß-Politik" agiert! 🤷♂️
Ich habe das ganze nur überflogen – kann also sein, dass meine Meinung etwas zu pauschal war.
Aber für mein "Rechtsgefühl" hat der Angeklagte alles richtig gemacht, indem er Modern Solution über das Datenleck informiert hatte.
Schuldhaftes Verhalten kann man eigentlich nur Modern Solution vorwerfen, weil sie nicht reagiert haben!
Eine "gerechte Justiz" hätte Modern Solution für ihre Ignoranz alle Rechtsmittel für diesen Fall streichen müssen.
Und auch wenn ich kein Jurist bin, bin ich ziemlich sicher, dass irgendwo im GG steht:
"Das Wohl der Allgemeinheit steht über dem Wohl des Einzelnen".
Das haben die Richter aber anscheinend vergessen, denn durch das Urteil zu Gunsten von Modern Solution, werden die "unerkannten" Sicherheitslücken ja eine Gefahr für die IT-Sicherheit der Allgemeinheit.
In Anbetracht der Auswirkung des Urteils auf die IT-Sicherheit,
frage ich mich, welche Qualfikation für ein Richteramt in D ausreichend ist!?
Ich wage ja zu bezweifeln, dass beim Bundesverfassungsgericht
alle 3 Richter im Kopf falsch verdrahtet sind, aber vielleich leben die alle in ihrer eigenen kleinen heilen Welt…
Ist der Entwickler nun vorbestraft oder nicht? Nachdem Urteil werde ich mich hüten irgendetwas an Firmen zu melden, sollte ich mal etwas finden oder auffallen.
Als vorbestraft gilt man nach einer Verurteilung zu mehr als 3 Monaten Haft oder einer Geldstrafe von 90 Tagessätzen. Er wurde zu 50 Tagessätzen zu je 60,- € verurteilt, gilt daher nicht als vorbestraft:
Amtsgericht Jülich, 17 Cs-230 Js 99/21-55/23
Melden? Würde ich auf keinen Fall. Diese Firmen machen die Melder fertig, und die Politik ist froh, den "Russen" beschuldigen zu können.
Null Sachverstand in der Politik. Auch bei Gericht. Unfassbar.
Da wird doch wieder der Bock zum Gärtner gemacht. Eigentlich hätte Modern Solution bestraft werden müssen dass sie so einen Bockmist gebaut haben. Aber Recht haben und Recht bekommen sind leider immer noch zwei verschiedene Dinge. Wenn sich die Richter in der Materie auskennen würden bzw. fähige Berater hätten wäre das Urteil evtl. anders ausgefallen.
Ich persönlich kann jeden IT-Entwickler oder sonstigen Spezialisten in dem Bereich verstehen der gefundene Sicherheitslücken ab jetzt ignoriert und darüber hinwegsieht und nur seine Produkte sicher macht.
Aus meiner Sicht eine sehr schwere Abwägung. Es wird viele Fälle geben in denen die Daten nicht der Firma, sondern Dritten gehören. Diese Dritten wären am Ende die primär Geschädigten, sollte jemand die Sicherheitslücke später nutzen. Ist die Frage, ob man mit dem Wissen ruhig schlafen kann und wie es einem geht, wenn es später einen Hack gibt, welchen man vielleicht hätte verhindern können?
Ich denke es bleibt eine Option das Ganze über Bande zu spielen. Günter hat auch schon Infos von Tippgebern verwertet, die Quelle aber aus der Sache rausgehalten. Auf diese Weise ist eine Anzeige wesentlich unwahrscheinlicher, da "Täter" unbekannt.
Alles in allem eine sehr bedauerliche Entwicklung für die IT-Security in Deutschland.
Dann werden künftig Sicherheitslücken eben als Klage mit Verstoß gegen die DSGVO eingereicht. Dort ist doch festgelegt, dass Unternehmen Software und Services nach sicheren Standards anbieten müssen, das war ganz sicher das Gegenteil davon.
Also wirklich, das Unternehmen soll sich mal glücklich schätzen, dass da jemand ist der sowas meldet.
Wenn ich von Lesern- wegen des obigen Sachverhalts – auf Schwachstellen hingewiesen werde und als "Relais" fungiere, gehe ich inzwischen meist über den zuständigen Landes- oder Bundesdatenschutzbeauftragten und frage deren Presseabteilungen an. Meist wird ein förmliches Prüfverfahren eingeleitet und die Unternehmen kommen in die Pushen. Bis zum Punkt, an dem ich im Blog berichte, wissen die nicht mal, woher die Infos kommen – und meine Quellen bleiben grundsätzlich im Hintergrund (Quellenschutz der Presse).
Ich selbst habe in solchen Fälle ja nie Zugriff auf die betreffenden Plattformen und Sicherheitslücken. Zudem lege ich auch keine Details wie Passwörter offen, wenn diese mir von meinen Quellen bekannt werden.
So sehe ich das auch. DSGVO oder Produkthaftungsgesetz. Sollte ja beides tun, da festcodierte Passwörter nicht stand der Technik sind.
Das passt doch auch zur aktuellen Art, erst einmal eine unausgegorene Idee auf die Menschheit loslassen ohne sich zu frage, ob das alles so Gewollt und in Ordnung ist. Die Scherben (wird schon nicht so schlimm sein) kann man ja immer noch unter den Teppich kehren. Und wenn man dann noch so ein aktuelles Urteil gegen jemanden, der auf einen Missstand hingewiesen und verloren hat, in der Rückhand hält da hat man doch freie Bahn.
Siehe ePA & Co. – Hauptsache es APP't und KI't!
Leider gibt es keine Fachrichter sondern nur Fachanwälte. Das ist ein Systemfehler.
Wenn ich mich nicht irre gibt es überhaupt keine Fachrichter. Es wird bei Gericht nur unterschieden ob der Angeklagte in das Jugendstrafrecht fällt oder nicht und ob der Angeklagte eine Firma ist oder nicht.
Bin mir jetzt da nicht zu 100% sicher, da das Ganze ja schon ne Weile her ist, aber vielleicht ist das Urteil ja auch so ausgefallen weil der"White Hat" hier ja nicht nur auf die Lücke hingewiesen hat sondern auch abgezogene Daten veröffentlicht hat, womit dann der Hackerparagraf durchaus zu recht zur Anwendung kam!
Kann sein das ich das aber auch mit nem anderen Falll verwechsele.
Du liegst da schon richtig – das hat die Justiz in diesem Fall ausgenutzt. Aber der Fall hätte schon hergegeben, dass man das in der Prozessführung Gutachterlich begleiten lassen hätte. Die Richter hätten Rechtsgeschichte schreiben können, indem sie, gestützt auf einen Gutachter, in der Urteilsbegründung festgelegt hätten "bis dahin kann ein White Hat Hacker gehen und für sich dokumentieren – aber das und das darf er dann nicht".
Hätte, hätte Fahrradkette – die Justiz hat es sich einfach gemacht und ein Urteil gefällt, was rechtsgültig ist, welches in meinen Augen weit ab der Praxis segelt. Platt ausgedrückt: Wenn Du auf eine Sicherheitslücke stößt, musst Du vor dem Zugriff auf die irgendwie geschützten Daten abbrechen – ohne dass Du verifizieren kannst, ob da wirklich relevante Daten vorliegen. Sobald jemand etwas dokumentiert, um einen Beleg für die Vermutung zu haben, ist er mit einem Bein im Straftatbestand.
Und was in meinen Augen noch fetter kommt: Fest "verdrahtete Passwörter" im Code gelten weltweit bei Sicherheitsexperten als Backdoor und schwere Sicherheitslücke. Die deutsche Justiz macht daraus "abgesicherte Daten, wo jemand nicht einmal nachschauen dürfte, dass das Passwort im Klartext in einer Konfigurationsdatei oder in der Programmdaten in einem String steht", weil das als ausspähen gewertet werden kann. Genau das wurde dem IT-Entwickler in der Urteilsbegründung (jedenfalls nach meiner Interpretation) ja für die Verurteilung vorgeworfen und zum Verhängnis.
Wieder mal ein Beweis warum Deutschland bei der IT auf dem Stand von Windows 95 ist.
Was ist die Lehre daraus? Sag deinem Haus-Nachbarn nicht mehr, dass er vergessen hat, vor Abfahrt seine Haustür zu verschließen? Dem älteren Herrn auf dem Supermarktparkplatz nicht mehr sagen, dass die Seitenscheibe seines Autos noch offen ist, als er Einkaufen geht?
Supertoll. Man könnte sich ja strafbar machen, wenn man das tut.
Du machst dich ggf. verdächtig, falls ihm die Hütte leergeräumt wird, denn du hast ja gewusst, dass sie offen ist.
Ich hatte mal Glück:
Freitag Mittag: Meldung an Security: das elektronische Schloss an einer Tür zum Gebäude ist defekt, jeder kann rein.
Montag morgen: Büros ausgeräumt, zum Glück hat mich (zu Recht) keiner verdächtigt. Kameras gab es nicht.
So sieht es leider aus.
Der Vergleich ist unvollständig. Denn du darfst natürlich nicht vorher in die Wohnung schauen, ob überhaupt was wertvolles da ist. Genauso darfst du natürlich nicht ins Auto schauen, ob da was wertvolles ist. Man darf es halt nur von außen bewerten. Das ist hier ein bisschen das Problem. Ich darf also aus Rechtssicht auch nicht erst schauen, ob es denn hinter der gefunden Schwachstelle wirklich was verbirgt, sonst sollte eben nur "das offene Fenster" melden. Die Auslegung hat am Ende Vor- und Nachteile.
verrückt, es zeigt einmal mehr, gesunder Menschenverstand zählt oft nicht wirklich.
Schwer sich daran zu gewöhnen.
Déformation professionnelle
SSKM: selbst schuld, kein Mitleid. Alle, die von einer Cyberattacke gtroffen werden sind selbst schuld. Weil sie ranzige Software einsetzen und niemand die Sicherheitslücken aufdecken will, weil er dann kriminalisiert wird. Unsere Regierung hat diesen Zusatnd selbst verschuldet. Dadurch gibt es kaum Experten und diese wollen unter diesen Bedingungen auch nicht helfen.
Nicht immer, sondern weil sie ggf. auch Ziel sind. Das hat mit ranziger Software erst einmal wenig zu tun oder behautest du das bei dir alles zu 100% super safe ist? Soll ich lachen?
Hier noch eine hervorragende Analyse von Mike Kuketz, kam gerade:
https://www.kuketz-blog.de/modern-solution-bundesverfassungsgerich-bestaetigt-wegsehen-ist-sicherer-als-aufdecken/
Nur mal so am Rande: es ist ein großes
Unglück, daß die Sache dieses Ende gefunden hat, aber vielleicht sollte man das auch einmal zum Anlaß nehmen, daß man nur dann vor höchste Gerichte
ziehen sollte, wenn die Wahrscheinlichkeit zu obsiegen sehr
hoch ist. Insofern müssen sich auch
die Anwälte des Klägers fragen lassen,
ob hier alles optimal gelaufen ist.
So bleibt nur die Hoffnung, daß die
Politik neue und bessere Gesetze,
speziell für den IT-Bereich schafft.
Das kann aber dauern und wird dem
Kläger in diesem Falle nichts nützen, da
neue Gesetze ja nicht rückwirkend
gelten.