Hallo seth,

Wenn man diese [SQL-Injection-Attacke] nur ausnutzt, um zu sehen, ob diese überhaupt funktioniert und danach den Betreiber sofort informiert (und selbst nichts weiteres tut), ist das meiner Ansicht nach *nicht* strafbar.

meiner meinung nach auch nicht. aaaber in §202a(1) steht explizit "Daten, die nicht für ihn bestimmt [...] sind".
und das waere imho gegeben, denn nach dem ausprobieren der sicherheitsluecke, sind ja die eruierten daten im cache des "hackers" (=sicherheitsrisiko). aber auch wenn er den cache leere wuerde, waeren die daten evtl. in seinem kopf (wieder sicherheitsluecke).

Allerdings steht da auch »und die gegen unberechtigten Zugang besonders gesichert sind« - man könnte dann ja argumentieren, dass man aufgedeckt hat, dass sie eben nicht "besonders gesichert" waren. Aber Du hast Recht, es ist eine Grauzone.

Viele Grüße,
Christian