Bundesverfassungsgericht lehnt Beschwerde gegen Modern Solution ab – Ethical Hacking bleibt riskant
02. Oktober 2025Im Fall eines IT-Experten aus Nordrhein-Westfalen, der 2021 eine Sicherheitslücke in der E-Commerce-Software von Modern Solution entdeckte, hat das Bundesverfassungsgericht nun endgültig entschieden: Keine Annahme der Verfassungsbeschwerde. Damit ist die Entscheidung des Oberlandesgerichts Köln rechtskräftig.
Der Vorfall begann, als der IT-Berater eine unverschlüsselte Datenbank entdeckte, die Informationen von rund 700.000 Online-Shoppern enthielt. Anstatt für die Aufdeckung belohnt zu werden, sah er sich Anzeige, Hausdurchsuchung und Beschlagnahme seiner Arbeitsgeräte gegenüber.
In allen Instanzen wurde der Zugriff auf die Passwort-geschützten Daten als verbotenes Hacking bewertet – obwohl es sich um Ethical Hacking handelte: Ziel war nicht Schaden, sondern die Schließung einer Sicherheitslücke und der Schutz der Kund*innen vor Datenmissbrauch. Selbst die funktionale Analyse der Software im Auftrag eines Kunden wurde strafrechtlich problematisch.
Warum Ethical Hacking gesellschaftlich relevant ist
Ethical Hacking sollte keine Straftat sein – es ist ein Beitrag zur gesellschaftlichen Sicherheit. Wenn Sicherheitslücken unentdeckt bleiben, entsteht ein Risiko für digitale Integrität, Privatsphäre und demokratische Diskurse. Ethical Hacker*innen helfen, diese Risiken zu minimieren, indem sie Systeme prüfen, Schwachstellen offenlegen und so die digitale Infrastruktur unserer Gesellschaft stabilisieren.
Warum das so wichtig ist, haben wir auf unserer Themenseite „Nur sicher ist sicher“ dargestellt. Datenschutz ist kein individuelles „Bastelprojekt“, sondern ein strukturelles Fundament unserer digitalen Zukunft. Ein starker Datenschutz schützt die Integrität jeder Person, sichert demokratische Prozesse und macht unsere Gesellschaft widerstandsfähiger gegen hybride Bedrohungen.
Kirsten Bock fasst zusammen: „Ethical Hacking ist wünschenswert, weil es die Sicherheit für alle erhöht. Erforderlich sind klare Anforderungen und Verhaltensvorgaben. Der CCC hat dazu Vorgaben gemacht. Die Bundesagentur für Arbeit schlägt gar das Ethical Hacking als Beruf vor und der TÜV Rheinland zertifiziert nach CEH 312-50 (VUE). Trotzdem stellt das StGB jede Form von Hacking unter Strafe. Das ist weder zeitgemäß, noch macht es das Internet sicherer.“
Fazit:
- §202a StGB macht auch Ethical Hacking strafbar
- Sicherheitsforschung schützt nicht nur einzelne Unternehmen oder Kund*innen, sondern die digitale Integrität und Fairness unserer Gesellschaft.
- Wer Software analysiert oder Sicherheitslücken meldet, übernimmt Verantwortung für digitale Souveränität und demokratische Stabilität.
Ethical Hacking trägt dazu bei, unsere digitale Welt sicherer, gerechter und demokratischer zu machen, auch wenn das Gesetz dies derzeit nicht anerkennt.