Datenleck LEG

Anfang August berichtete ich auf mkg-online.de über den jungen Informatikstudenten David Kurz, der eher zufällig über ein mächtiges Datenleck bei der LEG – einem großen Wohnungsunternehmen mit Sitz in Düsseldorf – stolperte. Nachdem er dieses Leck publik machte, ging die LEG in die Offensive: Sie ließ all ihre Mieter in einem Schreiben wissen, dass sich ein Mieter mit unerlaubten Mitteln Zugriff zu einem Teil der Mieterdaten durch Manipulation an dem Mieterportal verschafft und dazu einen potenziellen Angriffspunkt des Portals mit krimineller Energie ausgenutzt habe. Darüber hinaus habe dieser Mieter den potenziellen Angriffspunkt nicht unverzüglich an den Dienstleister gemeldet und sich zunächst Daten verschafft und Teile der so erlangten Mieterdaten anonymisiert im Internet verbreitet. Nun hat das Landgericht Düsseldorf ein erstes Urteil zu Gunsten von David Kurz gefällt.

Antrag auf Erlass einer einstweiligen Verfügung

Da David Kurz für alle Empfängerinnen und Empfänger aufgrund seiner eigenen Veröffentlichungen im Internet und über Messanger-Dienste für die Empfänger des Schreibens identifizierbar war, setzte er sich gegen diese Behauptungen zur Wehr und beantragte beim Landgericht Düsseldorf den Erlass einer einstweiligen Verfügung gegen die Urheberin des Schreibens, die LEG Management GmbH. Sie sollte es unterlassen, die genannten Behauptungen über Herrn Kurz wörtlich oder sinngemäß aufzustellen und/oder aufstellen zu lassen, zu verbreiten und/oder verbreiten zu lassen.

Entscheidung des Landgerichts Düsseldorf

In der mündlichen Verhandlung am 03.09.2019 erlangte die 1. Zivilkammer des Landgerichts Düsseldorf einige interessante und entscheidungserhebliche Erkenntnisse und gab dem Antrag des Verfügungsklägers (David Kurz) mit Urteil vom 14.10.2019 in vollem Umfang statt. Mit bemerkenswert deutlichen Worten strafte das LG Düsseldorf das Verhalten der Verfügungsbeklagten (LEG Management GmbH) ab. Nach Ansicht des Vorsitzenden Richters liege der Schwerpunkt der Aussage der Verfügungsbeklagten in der Mitteilung, der Verfügungskläger habe mit verbotenen Methoden eine Sicherheitslücke ausgenutzt. Es habe aber schon keine Sicherheitslücke bestanden, weshalb von verbotenen Methoden nicht die Rede sein könne. Die Darstellung der Verfügungsbeklagten sei daher „eine grobe Verdrehung von Tatsachen mit dem offensichtlichen Ziel, nach dem Motto: Angriff ist die beste Verteidigung, eigenes Fehlverhalten durch behauptetes Fehlverhalten anderer zu entschuldigen“.

Gericht kann kein strafbares Verhalten erkennen

Wie ich bereits in meinem ersten Beitrag ausführlich erläuterte habe, vermochte ich in den Handlungen von David Kurz kein strafbares Verhalten zu erkennen. Nach meiner Rechtsauffassung kommt ohnehin nur § 202a StGB als möglicher Straftatbestand in Betracht, aber auch dieser scheidet mangels besonderer Sicherung der Daten gegen unberechtigten Zugriff aus. Dieser Auffassung war auch das LG Düsseldorf. Die Kammer sah die Voraussetzungen des § 202a StGB ebenfalls als nicht gegeben an, weil die heruntergeladenen Daten nicht „gegen unberechtigten Zugang besonders gesichert“ seien. Die Adressleiste sei Teil des Internet-Browsers, über die das Internetportal abrufbar sei. Daten, die über die zweckentsprechende Verwendung der Adressleiste abrufbar waren, seien demzufolge denknotwendig nicht im vorstehenden Sinne „besonders gesichert“.

Darüber hinaus kam der Vorsitzende Richter zu dem Ergebnis, dass die von David Kurz eingesetzte Software „cURL“ zur automatischen Eingabe von Dateinamen in der Adressleiste des Browsers kein technisches Mittel im Sinne von § 202a StGB sei.

Nun steht es also 1:0 zwischen David Kurz und der LEG. Man darf gespannt sein, wie diese Geschichte weitergeht, denn zu Ende ist sie wohl noch (lange) nicht.

Alle Hintergründe zum Fall lesen Sie hier: “Unschuldiger Whistleblower oder kriminieller Hacker”

Write a comment:

*

Your email address will not be published.