Nächste Runde in Sachen Klage gegen den Entdecker einer schweren Sicherheitslücke in der Software von Modern Solutions. Nachdem der E-Commerce-Dienstleister den Software-Entwickler und Entdecker der Sicherheitslücke angezeigt hatte, versucht die Staatsanwaltschaft Köln diesen vor Gericht dafür verurteilen zu lassen. Nun ist die Hauptverhandlung für den 17. Januar 2024 angesetzt, wo ein Gericht erneut darüber befinden muss, ob der Entdecker der Schwachstelle gemäß "Hackerparagraph" 202a StGB eine Straftat begangen hat.
Anzeige
Warum geht es genau?
Im Sommer 2021 wurde bekannt, dass ein schlecht gesicherter Zugang des Dienstleisters Modern Solution dazu führte, dass Händlerdaten (Bestellungen, Adressen und auch Kontodaten) für Dritte über das Internet abrufbar bzw. einsehbar waren (siehe Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar). Einem IT-Spezialisten war bei der Installation einer (Händler-) Software aufgefallen, dass eine Datenbankverbindung zu einem externen Server aufgebaut wurde, dort die Daten aber ungesichert übermittelt wurden. Die Modern Solution GmbH & Co. KG ist wohl E-Commerce-Dienstleister für die Online-Plattformen diverser Anbieter (Check24, Otto, Rakuten oder Kaufland).
Normalerweise läuft es so, dass die Schwachstelle beim Anbieter gemeldet wird, dieser schließt die Lücke und im Anschluss wird das Ganze offen gelegt. Habe ich hier schon in diversen Fällen (die von Lesern an mich herangetragen wurden) so praktiziert. Im obigem Fall ist es jedoch andere gelaufen – den mir vorliegenden Informationen nach hatte es Modern Solution nicht "eilig", die Schwachstelle zu beseitigen.
Der Sachverhalt wurde dann durch die Seite wortfilter.de (Mark Steier) und durch diesen Artikel des Spiegel publik. Ich selbst hatte im Blog-Beitrag Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar über diese Sicherheitslücke bzw. den Fall berichtet. Der Entwickler hatte sich im Rahmen der Berichterstattung auch bei mir gemeldet.
Justizposse nach Anzeige
An dieser Stelle hätte der Fall wieder abgeschlossen sein können. Aber die Firma Modern Solution, die sich als erfahrener E-Commerce Dienstleister mit Sitz in Gelsenkirchen bezeichnet, erstattete Anzeige gegen den IT-Entwickler und den Blogger Mark Steier wegen Ausspähung von Daten und Datenhehlerei (das ging später aus den Ermittlungsakten hervor). Mitte September 2021 veranlasste die zuständige Staatsanwaltschaft Köln die Durchsuchung der Räume des IT-Spezialisten durch die Polizei.
Anzeige
Dabei wurden auch die Arbeitsgeräte und Speichermedien des Entwicklers, der bei einem Kundenprojekt auf die Schwachstelle gestoßen war, beschlagnahmt. Ich hatte im Blog-Beitrag Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung berichtet. Modern Solution argumentiert, dass der IT-Spezialist "Mitbewerber" sei und die Daten ausspioniert habe. Der Blogger habe sich dann durch die Veröffentlichung der Datenhehlerei schuldig gemacht. heise hatte die Ermittlungsakten vom Beschuldigten einsehen können (ich hatte im Beitrag Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen berichtet).
Besonders krass: Die Ermittlungsakten beschuldigten den IT-Spezialisten und den Blogger m.W. nach eines DSGVO-Verstoßes. Dass die Daten von hunderttausenden von Kunden der obigen genannten Unternehmen bei Online-Käufen Dritten zugänglich waren – und damit ein fetter DSGVO-Verstoß des Unternehmens Modern Solution vorlag, interessierte m.W. weder Justiz noch Datenschutzaufsicht – jedenfalls liegen mir aktuell keine Informationen über einen entsprechenden Bußgeldbescheid gegen das Unternehmen vor.
Bei manchem Amtsgericht scheint es noch "vernünftig" urteilende Richter zu geben. Im Sommer 2023 hatte ich im Beitrag Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen berichtet, dass das Amtsgericht Jülich den von der Staatsanwaltschaft Köln beantragten Strafantrag gegen die IT-Spezialisten abgewiesen habe. Der betreffende Richter kam laut Aussage von heise, denen das Urteil vorliegt, zum Schluss, "es liege keine Straftat vor, da die Daten, auf die der Sicherheitsexperte im Zuge seiner Untersuchungen Zugriff hatte, nicht effektiv geschützt gewesen seien".
Was das Ganze endgültig zur Justizposse macht: Die Staatsanwaltschaft Köln legte Beschwerde gegen das Urteil ein und beantragte Revision vor dem Landgericht Aachen. Die dortigen Richter gaben der Berufung der Staatsanwaltschaft Köln statt (weil die Daten ja durch ein, m.W. fest codiertes und im Programmcode lesbares, "Passwort geschützt" gewesen seien – feste Passwörter gehören zu den Kardinalfehlern in Sachen Cybersicherheit) und verwiesen das Verfahren an das Landgericht Jülich zurück (siehe Urteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor).
Neue Verhandlung im Januar 2024
Gerade bin ich nun auf weitere Informationen zur Entwicklung des Falls gestoßen. In nachfolgendem Tweet verweist jemand auf einen Artikel der Aachener Zeitung, die über den nächsten Termin vor dem Amtsgericht Jülich berichtet.
Am 17. Januar 2024 soll um 10 Uhr die nächste Verhandlung im Amtsgericht Jülich gegen den Entdecker der Schwachstelle stattfinden. Es geht um die Frage, ob der IT-Spezialist sich im Sinne des Hackerparagraphen (202a Strafgesetzbuch, Ausspähen von Daten) strafbar gemacht habe oder nicht. Das Amtsgericht Jülich hatte dies bereits in einem ersten Urteil verneint, die Richter am Landgericht Aachen hatten dies bejaht.
Nur um der Leserschaft mal ein Gefühl dafür zu geben, was die Staatsanwaltschaft Köln und die Justiz veranstalten: Durch die Schwachstelle bei Modern Solution wurden die Daten von Online-Einkäufen von um die 700.000 Nutzern der E-Commerce-Lösung offen gelegt. Aber die Justiz konzentriert sich nun auf den Entdecker der Schwachstelle. Die Staatsanwaltschaft beantragte eine Adressermittlung an Hand der web.de-E-Mail-Adresse, über die der Kontakt des IT-Spezialisten mit Modern Solution stattfand, und ließ anschließend eine Hausdurchsuchung beim IT-Entwickler mit Beschlagnahmung der Geräte zur Beweissicherung vornehmen.
Da kann es sich (bei diesem Aufwand) in meinen Augen doch nur um ein "gigantisches Ausspähen von Daten mit nationalen Auswirkungen" durch den IT-Entwickler gehandelt haben, oder? Im Artikel der Aachener Zeitung findet sich aber die Information, dass die Staatsanwaltschaft Köln seinerzeit im ersten Prozess beim Amtsgericht Jülich vorgeschlagen hat, den Sachverhalt mit einer Geldstrafe von 5400 Euro zu belegen – also ein Fall, den ein Banker einer Großbank nicht mal mit Peanuts bezeichnet hätte. Ein öffentliches Interesse kann ich persönlich auch nicht erkennen – gut, der Staatsanwalt in Köln sieht das wohl anders, was sein gutes Recht ist.
Was ich aber vermisse, ist Maß und Mitte (egal, wie der Sachverhalt am Ende des Tages von einem Richter bewertet wird). Im aktuellen Fall wurden Ermittler und ein Durchsuchungsteam der Polizei, sowie diverse Richter sowie Anwälte beschäftigt. Der Aufwand dürfte sich meinem Gefühl nach inzwischen bereits deutlich oberhalb der beantragten Geldstrafe von 5400 Euro bewegen. Scheint die Vorgesetzten und Dienstherren des Staatsanwalts nicht zu tangieren.
Beleg, was bei Cybersicherheit falsch läuft
Der Fall ist für mich ein Beleg dafür, was in Deutschland in Sachen Cybersicherheit und vor allem im Sinne des Hackerparagrafen 202a StGB fatal falsch läuft. Nicht der Verursacher einer Schwachstelle wird zur Verantwortung gezogen, sondern der Entdecker muss mit juristischen Konsequenzen rechnen. Ich mag nicht auf den Vorwurf von Modern Solution, dass der IT-Spezialist Mitbewerb sei, eingehen. Mir liegen diese Interna des Falls nicht eindeutig belegt vor – es gibt nur Anschuldigungen des Unternehmens und Mitteilungen des Entwicklers – und der Blogger von Wortfilter ist in Sachen "Mitbewerb" in meinen Augen außen vor – so dass da "ein Geschmäckle" bleibt. Die Entwicklung des Falls kann auch meiner Sicht nur als Desaster für alle Beteiligten bezeichnet werden.
Die aktuelle Regierungskoalition plant zwar, den Hackerparagrafen 202a StGB zu entschärfen, da bereits bei dessen Einführung von Fachleuten vor genau den oben skizzierten Konsequenzen gewarnt wurde. Der Cybersicherheit hat die Justiz in Form der Staatsanwaltschaft Köln in meinen Augen einen Bärendienst erwiesen. Niemand, der noch bei Trost ist, wird eine entdeckte Sicherheitslücke melden.
Ich selbst spiele nach der obigen Entwicklung, in den Fällen, in denen Leser so etwas an mich herantragen, inzwischen über Bande. Die Erstmeldung geht an die Landesdatenschutzbeauftragten, mit Kopie an den Datenschutzbeauftragten des betroffenen Unternehmens – wobei beide Stellen nur verschleierte Daten bekommen. Anschließend bekommen Landesdatenschutzbeauftragter und Unternehmen eine ausreichende Frist bis zur verantwortlichen Offenlegung. Bisher hat das auch alles gut und vor allem geräuschlos funktioniert. Bleibt im aktuellen Fall nur die Hoffnung, dass die Richter am Amtsgericht Jülich ein "weises Urteil" sprechen, so dass wieder Ruhe an dieser Front einkehrt – und die Regierungskoalition 2024 noch eine Revision des Hackerparagrafen 202a StGB auf die Kette bekommt.
Ähnliche Artikel:
Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar
Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)
Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung
Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller
Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen
IT-Experte, der Modern Solutions Schwachstelle öffentlich gemacht hat, muss nun doch vor Gericht
Urteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor
Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik
CDU zieht Anzeige gegen Sicherheitsforscherin Wittmann zurück
CDU Connect: DSGVO-Prüfverfahren der Landesdatenschutzbeauftragten läuft
CDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein
Anzeige
"In nachfolgendem Tweet verweist jemand"
Das ist nicht jemand, das ist der Entdecker der Lücke, der Benutzername mokillso wurde von einigen als "kill mo so" oder "kill modern solution" interpretiert. Er weiß, dass die Namenswahl doch nicht so "toll" war.
Ähm, soweit ich es verstanden habe, geht es im Verfahren vor dem Amtsgericht Jülich aber juristisch nicht um einen Twitter-Namen, in den Leute irgend etwas hinein interpretieren. Sondern der zuständige Richter muss entscheiden, ob ein fest im Code enthaltenes Passwort als Schutz ausreicht, um eine Straftat nach 202a StGB zu bejahen.
Ist nun leider die Krux, dass Juristen und das Volk sich lieber um solche Petitessen balgen, als sinnvoll dafür zu sorgen, dass solche Klöpse nicht vorkommen und die Cybersicherheit gefährden. Gerade über Südwestfalen IT und den Akira-Cybervorfall was geschrieben – wenn es stimmt, dass "Administrator1234" als Passwort verwendet wurde, dann gute Nacht.
mhmm – Passwort voll gut: Groß, Klein UND Ziffern … [roll-eye] oder nicht ?? Naja, kommt immer auf das "wo und wie" an – stell ich mir so ein PW am Offline-Snackautomaten vor … wird der wohl NIE gehackt geschweige nachgefüllt.
Warte gespannt auf den Artikel. Solange Weihnachtsgrüße an "ki11" "mo" oder "so" ;-)
Alter Spruch: "Namen sind opaq"
*****************************
wenn es stimmt, dass "Administrator1234" als Passwort verwendet wurde
*****************************
Scheiße jetzt muss ich meine Tastatur zerlegen und reinigen, da ich gerade den heissen Tee über die Tasta geprustet habe… das war hoffentlich nicht ernst gemeint?
Was macht man mit so einem Admin? Einweisen lassen?
Viel schlimmer, ich muss jetzt überall mein Passwort ändern, mist ihr₹kennt es jetzt! Gut, nehme ich 1234Administrator.
Wenn ich es recht verstehe, war dieses Passwort sogar als Passwort in der Installierten Software enthalten. (Also nicht das der SIT).
Liebe Programmierer. Es ist keine gute Idee, das Passwort nur mit einem XOR verdecken zu wollen.
Es reicht schon XOR über das File zu machen und zu schauen, und dann neue Strings suchen zu lassen.
Ist der XOR Programm Einsatz schon eine Straftat oder diese "Anleitung"?
IANAL.
Ich würde die Beschreibung so interpretieren, dass der Entdecker so ein Tool wie Wireshark eingesetzt hatte um einen Fehler zu suchen. Das zeigt ihn den Traffic auf seinem Netzwerk an. Wer Fehler in seiner Software sucht benutzt so etwas.(Übrigens hat der System Befehl netsh eine ähnliche Möglichkeit, aber sehr schlecht dokumentiert und benötigt Eingabn im schwarzen Fenster) Dabei sah er dann wohl das Klartext Passwort über seinen Bildschirm flitzen?
Das Symbolfoto der Aachener Zeitung finde ich ja sehr suggestiv.
Der hat sich die Software nur angeschaut, niemanden gehackt und nix angegriffen.
1. Fehler: Er hat das Passwort unbefugt benutzt um zu gucken, ob es stimmt, was er da entdeckt hat.
2. Fehler: Er hat es zugegeben.
Bei den Cyber kriminellen knallen die Sektkorken.
Wer will es in Deutschland riskieren, das wegen einer Exploit Meldung seine Werkzeuge beschlagnahmt werden?
Der Profi hätte sich anonym an die Presse gewandt.
Aber ein ahnungsloser Entwickler mit einem Zufallsfund?
Okay, habe ich nicht gewusst. Das er Einzelperson ein ernsthafter Mitbewerber für besagte Firma sein soll erscheint mir aber immer noch abenteuerlich.
Ist man im selben Umfeld tätig, ist man immer Mitbewerber! (Ob einzelner Freelancer oder Angestellter einer Firma) Nur spielt das hier ja eigentlich gar keine Rolle. Er sind seiner Pflicht als pflichtbewusster Bürger nachgekommen und hat die Firma über eine Schwachstelle informiert bevor er die Lücke veröffentlichte… währe er als Konkurenz tätig gewesen und hätte die Mitbewerber schädigen wollen hätte er nicht informiert sondern einfach direkt veröffentlicht.
/edit/
aber wie heisst es so schön:
Tue nichts Gutes, dann widerfährt dir nichts Böses
Und "die Presse" hätte nichts gemacht? Ausgenommen Herr Born?
Hi…
Eine Farce und an Lächerlichkeit nicht zu übertreffen, nur weil da mal wieder ein Unternehmen seinen offensichtlichen Fehler nicht eingestehen will – allerdings eben genau Spiegelbild über die ach so gepriesene Qualität "Made in Germany", insbesondere bei der Analyse von Sachverhalten.
Man kann wirklich nur darum beten, dass auch hier nicht wieder i-welche (Volks-)wirtschaftlichen Interessen bevorzugt berücksichtigt werden, sondern die im Sinne von Datensicherheit "richtige" Entscheidung getroffen wird.
Hallo Herr Born,
interessanter Artikel, die Justiz in Deutschland ist ein Trauerspiel.
Kurzer Hinweis noch am Rande. Kaufland ist keine Real-Tochter. Im Gegenteil hat Kaufland (Schwarz Gruppe) einen Großteil der Realmärkte aufgekauft und zu Kaufland-Filialen umgebaut.
1968 eröffnete Dieter Schwarz mit seinem Vater den ersten Supermarkt unter dem Namen „Handelshof" im schwäbischen Backnang. 1984 eröffnete in Neckarsulm der allererste Supermarkt unter dem damals neuen Namen „Kaufland". Die Schwarz-Gruppe ist ein deutscher Lebensmitteleinzelhändler mit faktischem Sitz in Neckarsulm. Im Geschäftsjahr 2022/23 wurde nach eigenen Angaben von rund 575.000 Mitarbeitern ein Umsatz von 154,1 Mrd. Euro erwirtschaftet. Dieter möchte keine Fotos von sich im "Inet" sehen. :)