gudn tach!

zunaechst moechte ich der vollstaendigkeit halber ein paar links zum stgb nennen:
http://bundesrecht.juris.de/bundesrecht/stgb/index.html
http://bundesrecht.juris.de/bundesrecht/stgb/__202a.html
http://bundesrecht.juris.de/bundesrecht/stgb/__303a.html

Wenn man diese [SQL-Injection-Attacke] nur ausnutzt, um zu sehen, ob diese überhaupt funktioniert und danach den Betreiber sofort informiert (und selbst nichts weiteres tut), ist das meiner Ansicht nach *nicht* strafbar.

meiner meinung nach auch nicht. aaaber in §202a(1) steht explizit "Daten, die nicht für ihn bestimmt [...] sind".
und das waere imho gegeben, denn nach dem ausprobieren der sicherheitsluecke, sind ja die eruierten daten im cache des "hackers" (=sicherheitsrisiko). aber auch wenn er den cache leere wuerde, waeren die daten evtl. in seinem kopf (wieder sicherheitsluecke).

in der praxis wird niemand, der vernuenftig ist und dem von einem sicherheitsloch berichtet wird, den berichterstatter lynchen wollen. zumal ihm danach wohl niemals wieder jemand von etwaigen weiteren sicherheitsloechern berichten wuerde.
der haken an der sache ist, dass nicht immer jeder vernuenftig ist.

hmm, merke beim erneuten durchlesen, dass sich mein kram ganz schon an den haaren herbeigezogen anhoert. aber aeh, den eindruck habe ich auch manchmal, wenn ich richtige juristische verteidigungen (nein, nicht die aus dem nachmittags-tv) lese/hoere. ;-)

prost
seth