SQL-Injection (und nicht "SQL-Anfragen", wie die NZZ schreibt) heisst, was ein Comparis-Mann am 28.9.2011 ab 10:45 während 6 Sekunden - offenbar erfolglos - versuchte auf der BAG-Website priminfo.ch. Berichtet die NZZ, schreibe l'hébdo. Das heisst ungefähr, der Comparis-ler schrieb in eines oder mehrere der Textfelder in der Suchmaske nicht, was verlangt wird (Postleitzahl / Jahrgang), sondern etwas irgendwie in der Art:

SELECT * FROM plz ORDER BY name, id DESC

Also eine SQL-Abfrage. Wenn die datenbankbasierte Anwendung, welche die Suchanfrage entgegennimmt, schlecht programmiert und das Serversystem nicht aktuell gehalten ist, liefert sowas eventuell Dinge zu Tage, die mit einer normalen Anfrage nicht zu erhalten sind.

Dafür wollte das Bundesamt für Informatik und Technologie (BIT), das die absichtliche Falscheingabe mit seinen speziellen Firewalls bemerkte, dem Comparis-Mann einen Verstoss gegen StGB Art 143 anhängen:

Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff besonders gesichert sind, wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft.

Und auf dieses Posting hier stehen also offenbar bis zu drei Jahre Knast, gemäss Art. 143bis, Absatz 2:

1 Wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, wird, auf Antrag, mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. 2 Wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft.

Übrigens: Wenn Du weitererzählst, was Du hier gelesen hast, wanderst Du, unter Berufung auf denselben Paragraphen, auch gleich in den Knast, denn damit brächtest Du "Daten" in Umlauf, von denen Du weisst... blablabla etc. pp.! infamy lesen ist gefährlich!

P.S. Absatz 1 von 143 und 143bis verlangen, dass das Zielsystem "besonders gesichert" sein muss gegen unbefugte Zugriffe. Erfüllt ein schlecht gewarteter, drum löchriger Server dieses Kriterium überhaupt? In der Botschaft über die Genehmigung und die Umsetzung des Übereinkommens des Europarates über die Cyberkriminalität auf Seite 4705 steht explizit:

Der unbefugte Zugriff auf nicht gesicherte Daten oder deren unbefugte Verwendung fällt nicht unter den Tatbestand.

P.S. Comparis ist sofort einknickt und hat die Person, die mit völlig alltäglichen IT-Mitteln ihrer sachbezogenen Neugierde folgte und - nota bene - keinerlei Schaden angerichtet hat, auf die Strasse gestellt. Ist nicht eher das der Skandal, als die Tatsache, dass sich der Entlassene nicht an die Bedienungsanleitung des BAG-Prämienrechners gehalten hat?