Im September 2024 wurde der erste Fall zum Rechtsrahmen der Cyber­sicher­heits­forschung vor ein Si­mu­la­tionsgericht gestellt.

Der erste fiktive Fall handelt von den Cyber­sicher­heits­forschenden A und B, die regelmäßig im Darknet nach den neuesten Angriffsmethoden und -werkzeugen recherchieren. Dort stoßen sie auf eine Datei „Angebot-zur-Übernahme-von-Cyberangriffen-im-Auftrag.pdf“. A und B entscheiden sich, die Datei herunterzuladen, um sich darüber zu informieren, welche Cyberangriffe im Auftrag angeboten werden. Doch die Datei enthält – als „Arbeitsprobe“ der kriminellen Anbieter –überraschenderweise auch eine Liste mit tausenden gestohlenen Zugangsdaten zweier großer Unternehmen. Person A und Person B gehen mit dem zufälligen Fund unterschiedlich um. So dokumentiert A etwa jeden zentralen Schritt seines Umgangs mit den gefundenen Daten und loggt sich probeweise auch in einen Account ein, um zu testen, ob der Fund echt und aktuell ist, unterlässt jedoch eine Benachrichtigung der geschädigten Unternehmen, während B zwar die geschädigten Unternehmen benachrichtigt, jedoch keine Dokumentation über den Umgang mit den gefundenen Daten anfertigt und die Logins auch nicht austestet.

Durch den unterschiedlichen Umgang der Cyber­sicher­heits­forschenden mit dem ungeplanten Datenfund im Darknet sollen Cyber­sicher­heits­forschenden möglichst viele Leitplanken für die rechtskonforme Umsetzung ihrer Forschung gegeben werden, weshalb die Forscher im fiktiven Fall z.T. auch anders handeln, als es verantwortungsvolle Cyber­sicher­heits­forschende tun würden.

Das Gericht hat Person A aufgrund des probeweisen Logins in einen Account schuldig gesprochen, sie verwarnt und die Verurteilung zu einer Strafe von 20 Tagessätzen in Höhe von je 100 EUR vorbehalten. Zudem erteilte das Gericht der Person A die Auflage, 4000 Euro an eine gemeinnützige Organisation zu zahlen. Zur Begründung erklärt der an der Studie teilnehmende Richter, dass Person A durch das Einloggen in einen fremden Account die Interessen der Dateninhaber verletzt habe, auch wenn es nur kurz und zu Testzwecken war. „Der Zweck heiligt in diesem Fall eben nicht die Mittel“, begründet der Richter. In allen weiteren Anklagepunkten wurde Person A freigesprochen, Person B wurde vollständig freigesprochen.

Auch wenn die Entscheidung nur auf einem fiktiven Fall basiert und endgültige Beurteilungen grundsätzlich einzelfallabhängig sind und nur durch die zuständigen Gerichte erfolgen können, liefert das Si­mu­la­tionsgericht wichtige Anhaltspunkte für die Praxis rund um die Strafbarkeit von Handlungen Cyber­sicher­heits­forschender, etwa in Bezug auf die Überwindung von Zugangssicherungen, den Voraus­setzungen für ein vorsätzliches Handeln und den Möglich­keiten der Rechtfertigung von strafrechtsrelevanten Handlungen.

Die genaue Beschreibung des fiktiven Falls sowie das Gerichtsurteil werden in der Dezemberausgabe der Fachzeitschrift Datenschutz und Datensicherheit (DuD) veröffentlicht und im Nachgang auch auf dieser ATHENE-URL zur Verfügung gestellt.