Hacker - ja oder nein?

Das war auch mehr polemisch gemeint. Ich weiß, dass der Softwarefirma mit der massiven Sicherheitslücke (Sorry, aber ein Masterpasswort im Klartext, wenn auch im compilierten Programm "versteckt" ist aus Sicht jedes halbwegs ehrlichen Programmierers zumindest fahrlässig - wenn man darüber in einem kommerziellen Programm auch direkten Zugriff auf die Daten der Mitbewerber erhält, die das gleiche Programm nutzen, sogar grob fahrlässig) mit den aktuellen Gesetzen allenfalls zivilrechtlich beizukommen wäre, wenn denn ein realer Schaden entstanden, erkannt und auch nachweisbar ist.

Hier hat dagegen ein aufmerksamer Programmierer diese Lücke mehr oder weniger durch Zufall erkannt, darauf hingewiesen und diese erst nach deren Beseitigung auch veröffentlicht. Letzteres ist durchaus üblich, um eventuell Betroffenen die Möglichkeit zu geben, ob ihnen eventuell ein Schaden entstanden sein könnte und ggf. Gegenmaßnahmen zu ergreifen (Zugangsdaten ändern usw).
Und dafür wird er nun mit einer Strafe belegt.

Es mag sein, dass dies formal möglich sein kann - aber dann ist die Rechtsnorm dazu in meinen Augen mangelhaft und bedarf einer Konkretisierung. Denn so werden doch andere Fachleute abgeschreckt, selbst auf solche Schwachstellen in Software hinzuweisen, wenn sie ihnen durch Zufall bekannt werden (sie also nicht gezielt und autorisiert danach suchen sollten).

Ich übertrage das einmal zugespitzt auf einen anderen Sachverhalt:
Bei einem Reifenwechsel in einer Reifenbude fällt dem Mechaniker auf, dass da im Radkasten ein Bremskabel "komisch" auf dem Anschluss sitzt. Seiner Meinung nach könnte sich das dort jederzeit lösen (mit bekannter Maßen ggf verheerenden Folgen). Aber er ist ja nur ein Reifenschrauben und sagt lieber nix dazu. Oder doch?
In Analogie zu obigem müsste er dann damit rechnen, verklagt zu werden, wenn er darauf hinweist? *grübel*

Um den Sachverhalt noch einmal auf den Punkt zu bringen:
S ist eine Firma, die Server im Internet bereit stellt.
P ist ein freier Programmierer, der im Auftrag von S angefordert wird (und der Beklagte)
A ist ein Softwareanbieter, der seine Dienste (Softwarenutzung) über die Server von S anbietet (und der Kläger)
Kkkk seien der Vollständigkeit halber noch genannt - es sind die Kunden von A, die dessen Software nutzen und daruber Daten speichern und verarbeiten (was auf den Servern von S passiert).

S hat nun festgestellt, dass die Programme von A seine Server mit Protokolldateien "zumüllen". Daraufhin hat S den P beauftragt, herauszufinden, was die Ursache dafür ist. Meist passiert so etwas bei unvorhergesehenen Abläufen (viele Fehlermeldungen).

P hat daraufhin das Programm von A analysiert, um die Ursache für die Fehler zu finden (ob er es geschafft hat, tut hier nichts zur Sache) und dabei festgestellt, dass im Programm von A ein Generalpasswort unverschlüsselt zu sehen ist. Jeder Kkkk hat Zugriff auf die Datei mit diesem Passwort und kann es mit relativ geringen IT-Kenntnissen so ausspähen. Jeder, der das Passwort kennt, kann damit auf die gesamte (!) Datenbank des Programms von A zugreifen, welche die Daten aller Kkkk enthält.

Auf diese gravierende Sicherheitslücke hat P den A hingewiesen, woraufhin A die Lücke geschlossen hat.

Danach hat P diese Sicherheitslücke auch öffentlich gemacht, das z.B. die Kkkk Maßnahmen ergreifen können, falls bereits jemand unberechtigt Daten abgreifen oder verändern konnte. So etwas ist in der Branche allgemein üblich - auch weil andere IT-Firmen ebenfalls aus solchen Fehlern lernen können.

Daraufhin hat A und P wegen des Auslesens dieses Passworts (was relativ einfach möglich war, also ohne Rückübersetzung des Programms in den Quellcode). Das Passwort war mit einem einfachen Texteditor in der Ptogrammdatei lesbar. Vom Sicherheitsaspekt etwa so sicher wie ein Fahrrad mit einem Seil und drei Knoten gegen Diebstahl zu sichern.

Und P hat ja nicht das Fahrrad gestohlen, sondern nur dem Eigentümer aufgezeigt, wie einfach der Knoten im Seil zu lösen ist.