Vor eineinhalb Jahren sorgte die Meldung weltweit für Schlagzeilen: Unbekannte Hacker waren in die Rechner des World Economic Forum (WEF) eingedrungen und hatten dabei eine umfangreiche Datensammlung erbeutet. Darin waren Namen, Zugangscodes, Kreditkartennummern und andere mehr oder weniger heikle Angaben von WEF-Teilnehmern enthalten. Es dauerte nicht lange, da konnten die ursprünglich zuständigen Genfer Untersuchungsbehörden scheinbar einen Erfolg vorweisen: Ein 20-jähriger Berner Informatiker namens David S. soll es gewesen sein.
Der für Schweizer Verhältnisse Aufsehen erregende Fall wurde daraufhin nach Bern übertragen und hat sich dort inzwischen still und leise erledigt: Wie vor einigen Tagen bekannt wurde, musste das Verfahren gegen David S. mangels nachweisbar strafbarem Verhalten eingestellt werden. Er hatte beim WEF-Rechner einen Port-Scan durchgeführt, mithin also nach möglichen Schlupflöchern in die Server gesucht. Er hat dem Vernehmen nach sogar zugegeben, die WEF-Datenbank am fraglichen 5. Januar 2001 "betreten" zu haben. Heruntergeladen habe er allerdings nichts, sagte er. Inzwischen spottet David S. öffentlich über den Genfer Untersuchungsrichter, der ihn in den Medien vorschnell vorverurteilt hatte. Mit den 2000 Franken, die er als Entschädigung für das Verfahren erhielt, werde er eine "Stiftung zur Förderung der Informatikkenntnisse bei Untersuchungsrichtern" errichten.
Damit dürfte er bei seinem Widersacher in Genf vielleicht auch ins Schwarze treffen. Doch das Hauptproblem scheint in diesem Falle woanders zu liegen: Bei den Verantwortlichen des WEF. Es wäre ihre Aufgabe gewesen, für eine hinreichende Absicherung der Systeme zu sorgen. Zwar widerspricht das WEF heute der Darstellung in den Medien, die Systembetreuer hätten beim Passwort geschlampt. Bisher hiess es, die fragliche Microsoft-Datenbank sei nur durch das Hersteller-Standardpasswort "sa" (Systemadministrator) geschützt gewesen. Doch davon abgesehen, hatten es die Verantwortlich offenbar ebenso unterlassen, den Zugangsport zu sperren und die Datenbankbewegungen laufend zu protokollieren. Inzwischen wurde die Sicherheit verbessert, und siehe da: Grössere Angriffe gibt es gemäss WEF jede Woche.
Unter diesen Umständen kann den Untersuchungsbehörden kaum ein Vorwurf gemacht werden. Selbst wenn David S. der gesuchte Hacker und Datendieb gewesen wäre, hätten sie ihn wohl nur mit Mühe zur Verantwortung ziehen können. Abgesehen von einem kaum bekannten Datenschutz-Straftatbestand wäre am ehesten Art. 143bis Strafgesetzbuch (StGB) zur Anwendung gekommen: Die Anwendung dieses Hacker-Artikels setzt jedoch voraus, dass das fragliche System gegen den Zugriff des Täters "besonders gesichert" gewesen ist. Eben daran mangelte es den Behörden zufolge im vorliegenden Fall. Das Standardpasswort war kein genügender Schutz, um aus David S. einen strafbaren Hacker zu machen.
Wie gut ein Computer gesichert sein muss, um vom Strafgesetzbuch vor Hackern "geschützt" zu werden, ist in der Schweiz allerdings weitgehend ungeklärt; es ist mithin keineswegs klar, dass ein Gericht das Hersteller-Standardpasswort "sa" tatsächlich als ungenügende Sicherung betrachtet hätte. Schliesslich geht es bei diesem Punkt nicht darum, nur besonders clevere Hacker zu bestrafen. Vielmehr sollen jene "Hacker"-Fälle ausgeschieden werden, in denen der Täter sich gar nicht im Klaren darüber sein konnte, dass er im fraglichen Computersystem gänzlich unerwünscht ist.
Zum ebenfalls zur Diskussion stehenden Datendiebstahl (Art. 143 StGB) hätte es schon gar nicht gereicht. Dieser verlangt nebst der besonderen Sicherung, dass der Täter sich oder einen anderen unrechtmässig bereichern wollte. Politische Motive sind damit nicht erfasst. Zudem muss dem Täter nachgewiesen werden, dass er sich die Daten in einer Form beschafft habe, die ihm die Weiterbearbeitung der Daten ermöglichte. Mit anderen Worten: Die blosse Kenntnisnahme fremder Daten in einem gehackten Computersystem mit Bereicherungsabsicht ist in der Schweiz kein Datendiebstahl. Es wäre notabene auch kein strafbares Hacking, weil letzteres nach dem Willen des Gesetzgebers nur denjenigen erfasst, der ohne Bereicherungsabsicht handelt.
So bleibt die Frage nach der Verantwortlichkeit des WEF. Hier wäre ein Vorgehen rechtlich ironischerweise um einiges einfacher. Zwar gibt es keine Hinweise darauf, dass sich die Verantwortlichen wegen zu geringen Sicherheitsvorkehrungen strafbar gemacht hätten.
Zivilrechtlich sind die Schranken für eine Haftung aber tiefer: Betroffene, wozu jede in der WEF-Datenbank verzeichnete Person gehört, könnten eine Datenschutzverletzung geltend machen. Denn das Datenschutzgesetz verlangt von Inhabern von Personendatensammlungen in Artikel 7 "angemessene technische und organisatorische Massnahmen" gegen unbefugte Zugriffe. Bestand der Schutz der Datenbank vor Internetzugriffen tatsächlich nur aus dem Hersteller-Standardpasswort, so wäre diese Bedingung zweifellos nicht erfüllt. Während einem Hacker vorsätzliches Handeln hätte nachgewiesen werden müssen, würde für Schadenersatzansprüche gegen den Betreiber einer solchen Datenbank der Nachweis fahrlässigen Verhaltens vollauf genügen.
