Es ist imho ein (weiterer) schwarzer Tag für die IT-Security in Deutschland. Ein Software-Entwickler und Entdecker einer schweren Sicherheitslücke in der Software von Modern Solutions ist nun vom Amtsgericht Jülich zu einer Geldstrafe verurteilt worden. Die Verwendung von phpMyAdmin (auf seinem lokalen System) wurde wohl nach §202a StGB als eine strafbare Handlung angesehen. Eine Berufung vor dem Landgericht Aachen ist bereits geplant.
Anzeige
Rückblick auf den Kontext
Im Sommer 2021 wurde bekannt, dass ein schlecht gesicherter Zugang des Dienstleisters Modern Solution dazu führte, dass Händlerdaten (Bestellungen, Adressen und auch Kontodaten) für Dritte über das Internet abrufbar bzw. einsehbar waren (siehe Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar). Einem IT-Spezialisten war bei der Installation einer (Händler-) Software aufgefallen, dass eine Datenbankverbindung zu einem externen Server aufgebaut wurde, dort die Daten aber ungesichert übermittelt wurden.
Die Modern Solution GmbH & Co. KG ist wohl E-Commerce-Dienstleister für die Online-Plattformen diverser Anbieter (Check24, Otto, Rakuten oder Kaufland). Der Sachverhalt wurde dann durch die Seite wortfilter.de (Mark Steier) und durch diesen Artikel des Spiegel publik. Ich selbst hatte im Blog-Beitrag Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar über diese Sicherheitslücke bzw. den Fall berichtet. Der Entwickler hatte sich im Rahmen dieser Berichterstattung im Nachgang auch bei mir gemeldet.
Die Offenlegung der Schwachstelle war dann der Startschuss für eine (in meinen Augen) unsägliche Justiz-Posse. Statt die Schwachstelle zu beseitigen und künftig besser zu werden, stellte die Modern Solution GmbH & Co. KG Anzeige gegen den IT-Entwickler und den Blogger Mark Steier wegen Ausspähung von Daten und Datenhehlerei (das ging später aus den Ermittlungsakten hervor). Mitte September 2021 veranlasste die zuständige Staatsanwaltschaft Köln die Durchsuchung der Räume des IT-Spezialisten durch die Polizei.
Dabei wurden auch die Arbeitsgeräte und Speichermedien des Entwicklers, der m.W. bei einem Kundenprojekt auf die Schwachstelle gestoßen war, beschlagnahmt. Ich hatte im Blog-Beitrag Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung berichtet. Modern Solution argumentiert, dass der IT-Spezialist "Mitbewerber" sei und die Daten ausspioniert habe. Der Blogger habe sich dann durch die Veröffentlichung der Datenhehlerei schuldig gemacht. heise hatte die Ermittlungsakten vom Beschuldigten einsehen können (ich hatte im Beitrag Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen berichtet).
Anzeige
Besonders krass: Die Ermittlungsakten beschuldigten den IT-Spezialisten und den Blogger (m.W. nach) eines DSGVO-Verstoßes. Dass die Daten von hunderttausenden von Kunden der obigen genannten Unternehmen bei Online-Käufen Dritten zugänglich waren – und damit ein fetter DSGVO-Verstoß des Unternehmens Modern Solution vorlag, interessierte m.W. weder Justiz noch Datenschutzaufsicht – jedenfalls liegen mir aktuell keine Informationen über einen entsprechenden Bußgeldbescheid gegen das Unternehmen vor.
Nachtrag: Vom Entdecker der Schwachstelle habe ich gerade erfahren, dass von Seiten des LDI NRW alle Verfahren (gegen das Unternehmen, gegen den Entdecker der Schwachstelle und gegen den Blogger Mark Steier) eingestellt wurden.
Im Sommer 2023 hatte ich im Beitrag Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen berichtet, dass das Amtsgericht Jülich den von der Staatsanwaltschaft Köln beantragten Strafantrag gegen die IT-Spezialisten abgewiesen habe. Der betreffende Richter kam laut Aussage von heise, denen das Urteil vorliegt, zum Schluss, "es liege keine Straftat vor, da die Daten, auf die der Sicherheitsexperte im Zuge seiner Untersuchungen Zugriff hatte, nicht effektiv geschützt gewesen seien".
(Quelle: Pexels CC0 Lizenz)
Ergänzung: Gemäß diesem Kommentar gab es in dieser Sache seinerzeit einen Beschluss des Amtsgerichts Jülich, wo die Eröffnung eines Hauptverfahrens aus Rechtsgründen (Zugriff nicht effektiv geschützt) abgelehnt wurde.
Was das Ganze für außenstehende Beobachter endgültig zur Justizposse (die Juristen sehen das aus formalen Gründen wohl anders) macht: Die Staatsanwaltschaft Köln legte Beschwerde gegen das Urteil vor dem Landgericht Aachen ein. Die dortigen Richter gaben der Beschwerde der Staatsanwaltschaft Köln statt (weil die Daten ja durch ein, m.W. fest codiertes und im Programmcode lesbares, "Passwort geschützt" gewesen seien – feste Passwörter gehören zu den Kardinalfehlern in Sachen Cybersicherheit) und verwiesen das Verfahren an das Landgericht Jülich zurück (siehe Urteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor).
Amtsgericht Jülich fällt Urteil
Ich habe es gerade auf X vom Betroffenen gesehen, das Amtsgericht Jülich hat zum 17. Januar 2024 wohl ein Urteil im nun eröffneten Hauptverfahren gefällt. Nachfolgende Tweets geben einen kurzen Abriss. Zum Hintergrund: Der Software-Entwickler hat wohl eine lokale phpMyAdmin-Instanz verwendet, um während der Entwicklung einer Schnittstelle zur Modern Solutions-Lösung auf die Datenbank zuzugreifen (hätte er nach dem Urteil, dessen schriftliche Begründung noch nicht vorliegt, nicht tun dürfen).
In diesem Artikel gibt es noch einige Hintergrundinformationen von jemandem, der der mündlichen Verhandlung vor dem Amtsgericht Jülich beiwohnte (ein Artikel der Aachener Zeitung ist hinter einer Paywall, dürfte aber nicht mehr Sachinformationen beinhalten). Die Aussage des Prozessbeobachters: Da vor dem Amtsgericht Jülich ein Strafbefehlsverfahren verhandelt wurde, hat der Richter aus Vereinfachungsgründen wohl nicht alle Aussagen im Detail überprüft. Es war lediglich zu klären, ob der Zugriff auf die Daten nur durch Überwindung eines Hindernisses möglich war und ob dieses Hindernis ausreichend hoch war (§202a StGB).
Das Gericht stellte in der (bisher nur mündlich verkündeten) Entscheidung fest, dass für den Zugriff auf die Datenbank eine Zugriffssoftware (hier phpAdmin) erforderlich war. Durch die Verwendung dieser Software, in die das Datenbankpasswort eingegeben wird, habe der Beschuldigte eine "ausreichend hohe Hürde" überwunden, um sich strafbar zu machen.
Deshalb erfolgte die Verurteilung zu 50 Tagessätzen (Quelle), was nach Medienberichten eine Summe von 3.000 Euro (Quelle) ergibt. Der Beschuldigte deutet in obigen Tweets an, dass er dieses Urteil nicht anerkennen wird und in Berufung vor dem Landgericht Aachen geht – wo dann wohl versucht wird, Gutachter zum Verfahren hinzuzuziehen.
Wenn ich es richtig mitbekommen bzw. in Erinnerung habe, konnte das Zugriffspasswort im Klartext über einen Log einer Firewall mitgeschnitten werden. Hier gehen aber die juristischen Argumentationen der Richter nach meiner Erinnerung etwas "durcheinander". Das Landgericht Aachen hatte in seiner Entscheidung, den Fall nach der Beschwerde der Staatsanwaltschaft Köln zur Wiederverhandlung vor dem Amtsgericht Jülich zurück zu geben, noch davon gesprochen, dass das Passwort "durch decompilieren des Quellcodes ermittelt wurde", was juristisch als erhebliche Hürde eingestuft wurde.
Wie dem auch immer sei – sobald ich ein Passwort ohne größeren Aufwand im Klartext extrahieren kann, ist die Cybersicherheit schlicht kaputt. §202a StGB versucht dann etwas zu "kriminalisieren", was einen Hacker mit kriminellen Absichten nicht von seinem Vorhaben abbringt, aber einen Entdecker eines solchen Sachverhalts davon abhält, das zu melden oder öffentlich zu machen.
Nachtrag: Die Kollegen von heise haben den technischen Sachverhalt in diesem Artikel sehr detailliert aufbereitet. Hintergrund ist, dass heise auch in den Vorverfahren die Beschlüsse vorlagen – es gibt einen Informationsfluss vom Beschuldigten zur Redaktion, wie ich mitbekommen habe (macht Sinn). Der Artikel von heise ist ganz lesenswert, um die Skurrilität des Ganzen zu erfassen.
Bärendienst für die Cybersicherheit?
Lange Rede kurzer Sinn: Das Urteil dürfte für weitere Kontroversen sorgen, da der sogenannte Hackerparagraph §202a StGB und dessen Strafbewehrung zu einer Situation führt, in der sich Sicherheitsforscher bei der Aufdeckung von Schwachstellen strafbar machen. Die ursprüngliche Intention des Hackerparagraphen §202a StGB, (vorsätzlich) kriminelle Handlungen im IT-Bereich unter Strafe zu stellen, wird durch Fälle wie oben konterkariert.
Um es mal klarzustellen: Die Juristen beharken sich in der Frage, ob der Entdecker der Sicherheitslücke auf die Daten zugreifen durfte und ob deren Schutzniveau "ausreichend hoch" für die Strafbarkeit nach §202a StGB war und die Veröffentlichung unter Datenhehlerei fällt. Der Begriff "ausreichend hoch" ist dann dehnbar wie Gummi und wohl selten zielführend, da es im Hinblick auf die ursprünglichen Ziele des §202a StGB auf die Intention ankommt (Fragestellung: Verschaffe ich mir die Daten oder den Zugriff in krimineller Absicht, oder versuche ich eine Schwachstelle zu evaluieren). Dass eine Schwachstelle existiert, weil die Daten mit einem (ohne größere Kenntnisse zu ermittelnden Passwort) zugreifbar waren, und das Cyberkriminelle dies ausnutzen konnten, ist in diesem Kontext für die Juristen (zumindest aus meiner Sicht) nicht relevant.
Fachleute hatten meiner Erinnerung nach bei der Verabschiedung von §202a StGB auf genau diese Problematik (Kriminalisierung von Sicherheitsforschern und White Hat-Hackern) hingewiesen, konnten aber seinerzeit bei den Parlamentariern von CDU und SPD wohl nicht durchdringen.
In Konsequenz bedeutet dies, dass Sicherheitsforscher da nicht mehr (risikolos) genauer hinschauen dürfen und Entdecker Sicherheitslücken nicht mehr melden (jedenfalls, wenn sie noch bei Trost sind) – der Cybersicherheit wird damit in meinen Augen ein Bärendienst erwiesen. Security by Obscurity ist die Devise, wenn ich eine Sicherheitslücke nicht kenne oder nicht öffentlich mache, ist alles gut. Justizminister Buschmann wollte daher §202a StGB in dieser Hinsicht novellieren – was bisher aber nicht geschehen ist (ob es wirklich in 2024 auf eine Novelle hinausläuft und wie diese ausfällt, da wage ich keine Prognose).
Das Jülicher Urteil (bzw. der noch nichts rechtskräftige Strafbefehl) dürfte Wasser auf die Mühlen der Kritiker sein. Denn es gibt noch viele "Modern Solutions-Fälle" – mir wurde ein Fall berichtet, wo eine breit im Einsatz befindliche Software das genau so macht und mit einem fest kodierten Zugangspasswort zur Datenbank operiert. Wer das Passwort kennt, könnte auf die persönlichen Daten von Millionen Kunden zugreifen. Momentan versuche ich herauszufinden, wer für diesen Sachverhalt verantwortlich ist.
In einem anderen Fall, den ich im Blog-Beitrag Festes SA SQL-Passwort bei windata 9-Banking-Software dokumentiert habe, war eine Software zur Verwaltung von Finanzdaten von Bankkunden betroffen. Dort hatte ich mit den Entwicklern (die sehr zugänglich waren) kooperiert und die Schwachstelle erst offen gelegt, als diese behoben war.
Als Blogger bin ich da, juristisch gesehen, weitgehend auf der sicheren Seite, da ich selbst solche Schwachstellen niemals selbst evaluiere und daher auch nicht auf die Daten zugreife. Sondern ich gehe Hinweisen aus der Leserschaft (die mir i.d.R. anonym zugehen) nach und versuche, den Sachverhalt mit den verantwortlichen Entwicklern zu klären und dann die Sicherheitslücke als responsible disclosure im Nachgang offen zu legen.
Eine Meldung an Landesdatenschutzbeauftragte ist übrigens sinnlos – wie ich in mehreren Fällen festgestellt habe. Die Landesdatenschutzbeauftragten (oder der Bundesdatenschutzbeauftragte) fühlen sich für Sicherheitslücken nicht zuständig (was juristisch wohl korrekt ist), sondern nur für Fälle, wenn eine DSGVO-Verletzung vorliegt und die Daten in unbefugte Hände gefallen sind. Und da sind Unternehmen, denen der DSGVO-Verstoß passiert, in der Pflicht zu melden. Oder Betroffene greifen das auf und versuchen beim Landesdatenschutzbeauftragten vorstellig zu werden, was oft aber im Sande verläuft.
Ich habe da noch einen Fall auf der Agenda, wo Sicherheitslücken im Bereich der Gesundheitsämter existieren (siehe Cyber-Security I: Massive Sicherheitslücken in deutschen Gesundheitsämtern – keinen interessiert es), aber keine Konsequenzen gezogen werden. Noch ist ja nichts gravierendes in Sachen Datenschutzskandal passiert.
In diesem Kontext würde ich Deutschland (für mich gefühlt) als "Bananenrepublik" einstufen, wo sich IT-Verantwortliche und die Politik nach den täglichen Cybervorfällen verwundert in "konnte ja keiner ahnen", "wir sind trotz Sicherheitssoftware von ausgebufften und kriminellen Angreifern gehackt worden", "passiert ja auch anderen Unternehmen/Behörden, kann man nichts machen, ist ein Naturgesetz" flüchten.
Natürlich heißt es bei solchen Cybervorfällen kernig "es wurde Strafanzeige bei der Polizei gestellt, und die Staatsanwaltschaft sowie die Cyberkriminalitäts-Spezialisten der LKAs sind eingeschaltet". Darin sind "wir" gut, sanktionieren können wir – wo es leider hapert, ist die Cybersicherheit im Vorfeld zu sicherzustellen. Politiker schwafeln dann schon mal von "Hackback-Operationen", ohne die naheliegenden Konsequenzen und Maßnahmen zur Verbesserung der Cyber-Resilienz umzusetzen. Und wenn sich jemand da bezüglich einer gefundenen Schwachstelle exponiert und es schlecht läuft, wird er kriminalisiert (die Ernüchterung in Kreisen von Leuten, die in Sachen Cybersicherheit unterwegs sind, ist nach meinen Beobachtungen schon mit Händen zu greifen, siehe z.B. den Tweet von Wittmann hier). Wie heißt es: "Es muss erst viel schlechter werden, bis es besser wird".
Nach dem Schreiben dieses Blog-Beitrags ging mir plötzlich eine Begebenheit aus dem Jahr 1990 durch den Kopf. Damals stand ich in Nikko (Japan) vor einem buddhistischen Tempel (bei einem meiner Arbeitsaufenthalte habe ich an Wochenende immer das Land bereist). Am (vermutlich Jahrhunderte alten) Fries des Tempels waren die drei Affen mit Händen vor den Augen, auf den Ohren und auf dem Mund zu sehen. Warum geht mir plötzlich dieses Motiv nicht mehr aus dem Kopf … ich komme einfach nicht drauf.
Ähnliche Artikel:
Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar
Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)
Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung
Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller
Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen
IT-Experte, der Modern Solutions Schwachstelle öffentlich gemacht hat, muss nun doch vor Gericht
Urteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor
Hauptverhandlung gegen Entdecker der Modern Solutions-Schwachstelle im Januar 2024
Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik
CDU zieht Anzeige gegen Sicherheitsforscherin Wittmann zurück
CDU Connect: DSGVO-Prüfverfahren der Landesdatenschutzbeauftragten läuft
CDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein
Cyber-Security I: Massive Sicherheitslücken in deutschen Gesundheitsämtern – keinen interessiert es
Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen
Stillstand nach Cyberangriffen auf Kommunen in Südwestfalen und Parkhäuser in Osnabrück
Cyberangriff auf Südwestfalen IT trifft mindestens 103 Kommunen
Neues zum Cyberangriff auf Südwestfalen IT
Convotis: ASP-Probleme mit GeigerCloud/GeigerASP; DATEV-Steuerberater betroffen
Festes SA SQL-Passwort bei windata 9-Banking-Software
Cyberangriffe auf Rechtsanwälte Kapellmann, Geomed-Klinik Gerolzhofen; Angriffe auf ESXi-Server
Anzeige
Das word wide web halt noch Neuland. Der Richter kennt wahrscheinlich nur Fax als letzte technische Neuerung. Staatsanwälte und Richter sind eher weisungsgebunden; das Urteil wurde wohl von den Oberen so gewünscht.
Das ist nicht ganz richtig. Staatsanwälte sind weisungsgebunden. Richter sind unabhängig und nur dem Gesetz unterworfen. Steht in unserem Grundgesetz. https://www.gesetze-im-internet.de/gg/art_97.html
Auch Richter haben Vorgesetzte aus der Politik. Es gibt bei uns keine unabhängige Justiz (in der Praxis). Was im Grundgesetz steht scheint mittlerweile egal zu sein.
Kann man solche Schwachsinnskommentare nicht löschen? Herr Born, irgendwie moderieren sie die falschen Leute.
Ich hatte mal einen Prof, der war zuvor Staatsanwalt. Den Justizjob hat er an den Nagel gehängt, weil er es leid war ständig von Oben gesagt zu bekommen, wer wie zu verurteilen ist oder eben nicht. Der hat in der Vorlesung einige laufende Verfahren genannt, die eigentlich er zu verantworten hatte bis er gegangen ist, er hat uns Anwesenden Studis exakt gesagt wie diese Verfahren ausgehen werden und genau so kam es dann auch. Das war bereits vor 25 Jahren!
Also träum weiter dass das alles noch so super ist in der Justiz wie es auf dem Papier steht.
"Ich hatte mal einen Prof, der war zuvor Staatsanwalt. Den Justizjob hat er an den Nagel gehängt, weil er es leid war ständig von Oben gesagt zu bekommen, wer wie zu verurteilen ist oder eben nicht."
Irgendetwas stimmt mit dir nicht. Nicht Staatsanwälte urteilen, das obliegt Richtern.
Staatsanwälte klagen und und fordern Strafen. Oder Sie klagen eben nicht an, oder sie klagen nicht alles an, oder sie fordern nur geringe Strafen. Das hat schon Einfluss!
Das ändert nichts an der Tatsache, dass Richter urteilen, beschließen, freisprechen und die jeweilige Strafzumessung bestimmen. Du schreibst schlicht unsachlichen Unsinn.
Ist vielleicht schräg formuliert – Richter haben i.d.R. Vorgesetzte beim jeweiligen Gericht.
Formal gilt die richterliche Unabhängigkeit – und jedes Urteil kann in der nächsten Instanz durch weitere Richter überprüft werden.
Aber es soll ja durchaus Richter geben, die mit politischen Ambitionen liebäugeln. Und wie ausgeführt, sind manche Kriterien zur Urteilsfindung dehnbar.
Lassen wir das einfach mal so stehen – wenn ich es richtig mitbekomme, geht der Beschuldigte in Revision. Dann wird man am Ende des Tages sehen, was bei herum kommt.
Vielleicht nicht politisch liebäugeln aber jetzt sind die Kinder der '68-Generation am Zug. Jurastudium hin oder her. Es ändert nichts an der Geisteshaltung.
Mmmh, genau! "Löschen und verbieten" … Steht gerade aktuell mal wieder hoch im Kurs in diesem Land. Ich will keine anderen Meinungen, Sichtweisen, Kommentare lesen, ertrage diese nicht und überhaupt: Wer was anderes denkt als wie ich, hat eh unrecht! Gute Einstellung …
Hierzu:
Der O-Ton meines Rechtsanwalts, den ich vor einiger Zeit leider mal wieder in einer privaten Sache brauchte:
"Ich bin seit 35 Jahren Anwalt und hätte früher jedem Schulabgänger geraten Jura zu studieren. Heute bin ich froh, dass ich nur noch ein paar Jahre habe. Unser Rechtssystem erodiert seit rund 30 Jahren schleichend-permanent – und ein Ende ist nicht in Sicht. In weiten Teilen ist es politisch unterwandert und leider nicht mehr frei und neutral. Das zieht sich bis ins Bundesverfassungsgericht hinein. Auch gibt es immer weniger Rechtssicherheit, da es immer mehr Gesetzeslücken gibt und die richterliche Auslegung der Gesetze zum Teil haarsträubend ist. Bei vielen Urteilen fällt einem einfach nur noch die Klappe runter …" (… Er hat noch mehr gesagt, das wäre jetzt aber hier zu umfangreich.)
Und nein, diese Aussage ist jetzt nicht von mir erfunden – auch wenn du dies wohl jetzt unterstellen wirst. Ist übrigens ein sehr guter Anwalt, den ich inzwischen dreimal benötigt habe (zweimal in beruflichen Dingen und einmal privatrechtlich) und jedes Mal hab ich sehr zufriedenstellend gewonnen – zweimal außergerichtlich und einmal musste es leider vors Arbeitsgericht.
"Was im Grundgesetz steht scheint mittlerweile egal zu sein."
Dieser Eindruck hat sich in mehr als 30 Jahren Beobachtung mehr als Erhärtet! Meistens allerdings von Seiten der Politik und der Behörden, die mehr oder minder machen was sie wollen und je nach gewünschten Ergebnis die Dinge mal so und mal so "Auslegen" … wie eben auch Richter. Drum heißt es ja auch "Vor Gericht und auf hoher See sei man in Gottes Hand" …
Übrigens:
"Illegales Glückspiel: Lootbox Urteil in Österreich – Verbot auch in Deutschland denkbar?"
Quelle: https://blog.verbraucherdienst.com/urteile/illegales-glueckspiel-lootbox-urteil-in-oesterreich-verbot-auch-in-deutschland-denkbar/
Diese Frage wurde in einem Fernsehbeitrag bereits beantwortet, dort hieß es, dass es in Deutschland seitens der Justiz wohl kaum dazu kommen würde, WEIL die "Publisher" entsprechender Spiele sonst Insolvenz anmelden müssten, da Deutschland der zentrale europäische Markt für diese Art der Abzockerei ist.
Was Ihr Kommentar sich mit dem Thema "Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe" deckt, müßten Sie mir mal erklären…
das unsere Richter vom #Neuland null Ahnung haben?
Dabei sind sie ja aber in guter gesellschaft unsere Politker auch nicht und selbst der Mob hat Null Ahnung!
Der entscheidende Punkt ist, daß die Justiz als Ganzes nicht weisungsgebunden ist=> muß keinen Anweisungen aus der Exekutive folgen. Das nennt sich Gewaltenteilung.
Ich sage mal so: wenn Du in einem Beruf/Amt Karriere machen willst, dann wirst Du schlussendlich nichts tun, was dafür sorgt, das wer auch immer Deiner Karriere irgendwie im Weg steht.
Der gute alte Opportunismus. Doch wer sind denn diese Leute, die da im Weg stehen könnten und warum? Und wer steht wiederum über deren Köpfen und "erpresst" sie gleichermaßen … " Geld regiert die Welt "
Die Antwort kannst Du googlen. Letzten Endes und grob gesagt: Politiker bzw. von und mit Politikern zusammengestellte Gremien.
Erst wenn Du ganz oben (BVerfG) angekommen bist, kannst Du anfangen zu vergessen, wie Du auf den Posten gekommen bist. Die einen tun das auch, andere nicht.
Klar, das Volk wählt die Politiker/Parteien, und diese sind nur für eine bestimmte Zeit im Amt, können aber leider in dieser Zeit einen immensen Schaden anrichten, der weit über die Amtszeit hinaus reicht. Im Grunde ist das das gleiche Problem wie in den USA mit dem Obersten Gericht. Wenn da die politische Marschrichtung durch die Besetzung quasi festgezurrt ist, haben die politischen Nachfolger enorme Schwierigkeiten. Es sei denn, eine Partei bekäme eine Zweidrittelmehrheit. Das wird dann aber auch wieder gefährlich, egal ob "rechts" oder "links", beide "Ideologien" würden dieses Land in kürzester Zeit in den Abgrund führen.
@M.D.: "Erst wenn Du ganz oben (BVerfG) angekommen bist, kannst Du anfangen zu vergessen, wie Du auf den Posten gekommen bist. Die einen tun das auch, andere nicht."
Dafür fällen BVerG und auch der BGH ganz schön schräge Urteile.
Diese Richter fühlen sich dann gerne berufen, Politik zu machen, obwohl Sie gar nicht gewählt wurden.
"jedenfalls liegen mir aktuell keine Informationen über einen entsprechenden Bußgeldbescheid gegen das Unternehmen vor"
Stelle doch eine journalistische Anfrage bei der für das Bundesland zuständigen Datenschutzbehörde.
Zum Thema:
Prinzipiell müsste man Verdachtsmomente dieser Art der Datenschutzbehörde melden, die daraufhin Prüfungen vornimmt und bei Feststellung grober Fahrlässigkeit ein knackiges Bußgeld verhängt.
ABER: Die haben weder Zeit, Personal noch Ahnung.
"Die haben weder Zeit, Personal noch Ahnung."
Ein vom Kapital zersetztes Staatswesen hat keine Verwendung für Personal mit "Ahnung", drum wird dieses mit diversen Methoden Gemobbt, Kaltgestellt und durch gefügige Ja-Sager ersetzt. Warum wohl, wird das so sein?
Das Staatswesen ist nicht vom "Kapital" zersetzt, sondern unter anderem von Ideologen, die behaupten, es wäre vom "Kapital" zersetzt.
Mit der Unfähigkeit von Politikern und Richtern hat das aber nicht gar so viel zu tun.
Ich würde, auf Basis diese Urteils, jede gefundene Sicherheitslücke ohne jegliche Vorwarnung, inkl. PoC, anonym posten und zusehen wie die Welt brennt – vor allem bei deutschen Unternehmen – die haben es nicht mittlerweile nicht anders verdient – vor allem Modern Solution nicht.
Korrekt – einfach veröffentlichen.
Nicht nur deutsche Unternehmen, sondern vor allem die ganzen Verwaltungen (die ja praktischerweise schön bei Kommunaldienstleistern dicht bei dicht, teils nicht mal nicht isoliert voneinander in der gleichen Infrastruktur herum dümpeln), Gerichte, etc. – es gab ja allein letztes Jahr schon unzählige Vorfälle.
Blöd natürlich, wenn dann auch ein Versorger darunter ist, aber offensichtlich gilt nur noch lernen durch Schmerz.
Das Problem ist hier nicht der Richter, die Gerichte müssen im Rahmen der Gesetze handeln. Nicht umsonst haben wir in Deutschland die Gewaltenteilung und das ist auch gut so. Hier ist es die Aufgabe der Politik, den Hackerparagraphen, wie auch viele andere antiquierte Gesetze, auf den neuesten Stand zu bringen. Der Richter kann sich die Gesetze nicht so biegen, wie es ihm passt. Wenn hier ein Shitstorm losgelassen wird, dann gehört er der Politik zugeschrieben.
"Der Richter kann sich die Gesetze nicht so biegen, wie es ihm passt. "
Naja, die meisten Gesetze werden doch seit längerem von vornherein hinreichend flexibel Gestaltet, das man da einiges zurecht biegen kann. Weshalb vieles das die Politik zu klären hätte, erst von Gerichten endgültig Entschieden wird. Die Justiz ist seit langem der verlängerte Arm der Legislative…
Im Übrigen haben Richter beim Strafmaß einen ganz erheblichen Ermessensspielraum, häufig sehr zum Frust von Opfern und Angehörigen… denn hierzulande gilt "Täterschutz vor Opferschutz" …
Würde ich etwas relativieren. Der Richter darf die Gesetze nicht biegen – dann wäre das Rechtsbeugung. Da bin ich bei dir, dass hatte ich oben im Text auch ausgeführt, dass der grundsätzliche Konstruktionsfehler in der Formulierung des §202a StGB liegt.
Aber: Der "Auslegungsspielraum" für den Richter liegt in der Frage "wurde eine relevante Hürde" beim Zugriff übersprungen. Im ersten Verfahren wurde vom Amtsgericht Jülich die Frage verneint. Das Landgericht Aachen hat in der Revision den Fall an das Amtsgericht Jülich zurück verwiesen, wo jetzt ein neues Urteil gefällt wurde.
Den gleichen Fall haben wir beim Urheberrecht für Fototapeten (siehe Foto von Fototapete: Uneinheitliche Rechtsprechung zu Urheberrecht).
Hoffentlich wird die nächste Instanz anders entscheiden. Ich kenne aber die Begründung nicht.
Einspruch:
"Der Richter darf das Gesetz nicht biegen." richtig.
ABER:
Es gibt verschiedene Auslegungsfragen und die Richter legen es unterscheidlich aus. Dafür gibt es u.a. den sog. Großen Senat in den Obersten Gerichten.
Hinzu kommt, dass Richter ernannt werden. Die Richter am BVerfG werden durch Parteien ernannt. Man kann darüber denke wie maln will. Es ist merkwürdig.
Das Grundgesetz hat sich in den Kernelementen nicht geändert. Mann sollte sich wirkllich mal die Mühe machen die Sammlung BVerfGE (Budnesverfassunggericht in Entscheidungssachen ) seit Beginn zu letzen. Ich habe es gemacht. Es wird sehr unterscheidlich bis heute entschieden und das sogar gegensätzlich.
Bei den unteren Gerichten ist es sehr schlimm. Richter entscheiden ohne von der Materie überhaupt Ahnung zu haben. Das kommt nicht selten vor.
Es sind auch bewußt Rechtsradikale zu Richtern ernennt worden (Bayern). Es hat eine Weile gedauert, bis er nicht mehr Richter war.
Wer sich ein bisschen damit zu tun hat und mal diverse Rechtssprechnungen zum identische Sachverahlt studieret und veegleicht, wird schon sehr Merkwürdiges feststellen können.
Hinzukommt, dass der Gesetzgeber in den letzten Jahren keine richtige Gesetze mehr macht. Diese werden teilweise nur hingerotzt und innerhalb eines Jahres mehrfach geändert. Hauptschach man ist "gendergerecht". Was das ist weiß ich nicht.
Bei solchen Urteilen braucht man gar nicht mehr über sowas wie "Responsible Disclosure" nachzudenken. Anscheinend möchte man in Deutschland keine IT-Sicherheit, also kann mans auch sein lassen. Am besten wir schalten einfach alles ab und benutzen wieder Schiefertafeln und Brieftauben zur Kommunikation.
Einfach nur zum Kopfschütteln.
Wer schwachsinnige Wählt, wird von schwachsinnigen Regiert und bekommt eben solche schwachsinnigen Gesetze … und eine löchrige "Digitalisierung", die man gerade auf biegen und brechen ohne Sinn und Verstand voran treibt …
(Nein, ich weiß auch nicht was man überhaupt wählen sollte, es gibt derzeit keine Partei mit Personal das tatsächlich über "gesunden Menschenverstand" verfügen würde. Bei diesem komischen BSW sehe ich das jedenfalls auch nicht! )
Dieses Kürzel ist übrigens seltendämlich! Das "Bahn Sozial Werk" gibt es seit 1904! Und hat sicher nichts mit Sahra zu tun …
Interessant ist, daß sie dem Entdecker der Schwachstelle vorwerfen, daß er auf Daten zugegriffen habe, aber gleichzeitig den rechtlich relevanten DSGVO-Vorfall (jemand hat auf Daten zugegriffen) verneinen.
Würde das bitte jemand melden :D
Ja, daran dachte ich auch. Wenn sie jetzt gerichtlich einen Datenabluss haben feststellen lassen, müssen sie gleich noch den DSGVO Verstoß melden.
Was man hier in den Kommentaren mittlerweile lesen kann ist wirklich erschreckend. >>hierzulande gilt "Täterschutz vor Opferschutz" …<> Es gibt bei uns keine unabhängige Justiz<>Wer schwachsinnige Wählt, wird von schwachsinnigen Regiert<< (sic!).
Ich verstehe das nicht, war die Leserschaft hier vor ein paar Jahren auch schon so drauf oder ist mir das nur nicht aufgefallen?
Wenn man sich mal Art. 3 S. 1 GG ansieht: (Zitat: Alle Menschen sind vor dem Gesetz gleich.) und gleichzeitig den Sachverhalt "Einführung ePA" vor Augen führt, wo die verpflichtende ePA per Gesetz nur für die gesetzlich Krankenversicherten kommt, nicht aber für die Privatversicherten und nicht für die Beamten, erhält man gefühlt den Eindruck, dass Menschen vor dem Gesetz eben nicht gleich behandelt werden. Daraus entsteht ein Ungerechtigkeitsgefühl. Und dies ist nur ein Beispiel von vielen. Daher lässt es sich eventuell erklären, warum Menschen beginnen, ihren Unmut kund zu tun. Ich verstehe das.
Im Allgemeinen Ja, im Speziellen nein!
Denn wenn man den Artikel auch auf spezielle Dinge anwenden würde, dann wäre damit Anarchie verbunden.
Speispielsweise dürften dann Leute ohne Führerschein nicht anders behandelt werden als mit Führerschein, d.h. auch Leute ohne Führerscheon dürften im öffentlichen Verkehr Fahrzeuge führen.
Und da kommt dann Artikel 19 GG ins Spiel:
(Zitat: Soweit nach diesem Grundgesetz ein Grundrecht durch Gesetz oder auf Grund eines Gesetzes eingeschränkt werden kann, muß das Gesetz allgemein und nicht nur für den Einzelfall gelten. Außerdem muß das Gesetz das Grundrecht unter Angabe des Artikels nennen.)
D.H., auch Artikel 3 GG könnte per Gesetz eingeschränkt werden.
Diesbezüglich fällt mir da §183 StGB ein, der exhibitionistische Handlungen nur für Männer unter Strafe stellt, nicht jedoch für Frauen!
Vor einigen Jahren gabs eine Verfassungsklage dagegen, das Bundesverfassungsgericht hat aber entschieden, das der Paragraph verfassungsgemäß ist, obwohl er schon im Wortlaut Männer und Frauen ungleich behandelt.
Die Urteilsbegründung kenne ich nicht, aber es wird wohl auf Artikel 19 GG hinausgelaufen sein.
Danke für den Kommentar. Mir hilft das weiter, zu verstehen, wie das Zusammenspiel zwischen Gesetzgebung und Rechtsprechung funktionieren könnte. Ich bin juristisch nicht bewandert und mir fehlt da auch viel grundsätzliches Verständnis. Weil es vermutlich einigen so geht, habe ich für diejenigen Verständnis, die Ungerechtigkeit fühlen könnten.
Ob und wie man das Ganze zum Ausdruck bringt, steht dann wieder auf einem anderen Blatt.
Zu diesem Thema hoffe ich, dass nicht nur die reine Gesetzeslage betrachtet wird, sondern ein Gutachter die Gelegenheit bekommt, den Sachverhalt darzustellen, den dann auch der nächste Richter in seine Entscheidung einfließen lassen könnte.
Was diesen Fall angeht:
Die Gerichte haben nicht darüber zu entscheiden, ob denn Modern Solutions einen Rechtsverstoß begangen hat, denn das ist gar nicht Bestandteil des Verfahrens.
Sie haben sondern über einen möglichen Rechtsverstoß des Beklagten zu befinden.
Der Rechtsverstoß von Modern Solutions müsste in einem gesonderten Verfahren behandelt werden.
Aber dazu müsste erst einmal jemand klagen, was anscheinend bisher nicht geschehen ist.
Und sowohl Modern Solutions als auch der Beklagte haben so lange als unschuldig zu gelten, bis ein rechtskräftiges Urteil gefällt wurde.
Nein, war früher nicht so. Das heise Forum habe ich genau wegen solchen Leuten gemieden, die jetzt scheinbar auch hierher kommen.
Meine Rede. Das wird auch hier immer schlimmer, ganz schlimm ist es übrigens bei focus.de unter den Artikeln, und natürlich telepolis bei Heise. Aber wenn man sich hier gegen solche radikalen Beiträge sachlich verbal wehrt, wird man selbst moderiert, vermutlich weil man negative Stimmung gegen "Die" verbreitet. "Die" aber können ihren Müll hier weiter ungebremst abkippen. Müll ist nicht so schlimm wie wenn sich einer dagegen wehrt. Wäre ich hier der Boss, würde ich den ganzen Schei? löschen, weil der mir auch meinen Blog kaputt macht.
1. bin ich noch immer derjenige, der die Knochen hinhält. 2. Schaue ich mir die Kommentare an. Beim dritten Kommentar unter einem Beitrag, der sachlich nichts mehr zur Lösungsfindung beiträgt, dafür aber jeweils darauf abhebt, wie mies OSS doch sei, nehme ich mir die Freiheit zu löschen, wobei ich da vor allem die Leserschaft im Auge habe, die da schlicht genervt ist!
Nur mal so: Suche ich in den Kommentaren des Blogs nach 1st1, gibt es aktuell 4229 Kommentare. Da kann also wenig moderiert worden sein. Und Hand auf's Herz: wenn da nicht sehr viele Beiträge mit Substanz dabei gewesen wären, hätte ich längst den Filter auf ungelesen löschen gesetzt. So hege ich immer noch die Hoffnung, dass bestimmte Leser lernen, als absolute Fachleute über gewissen Dingen zu stehen, und nicht in Kindergartenmarnier 'mein rotes Förmchen ist aber besser'zu rufen. Aber die Hoffnung stirbt zuletzt, und so sind manche Leser, zu meinem Leidwesen gezwungenermaßen, permanent in Moderation. Und da dort ein HI-Algorithmus mitläuft, könnte der Filter auch irgendwann aufgehoben werden. Mein Job wird leichter, wenn ich nicht moderieren muss. Komischerweise kommen Beschwerden über die Moderation von Leuten, die ich erinnerungsmäßig häufiger moderieren muss. Spaß macht das alles nicht. Nur mal wieder angemerkt.
1ST1 sagt:
Dein Kommentar wartet auf Moderation. Dies ist eine Vorschau; dein Kommentar wird sichtbar, nachdem er freigegeben wurde.
—
Naja, wenn sie ja auch löschen würden, wenn Beitragsfaden ins Offtopic (Gesellschafts, Politik, Querdenkermilleu) abdriften, oder unter einem Windows-Artikel die Einstreuungen wie toll doch dieses Linux ist, löschen würden, dann wäre alles ja gut. Aber eben genau das passiert ja oft nicht, und das ist das was nervt. Deswegen meine Einstreuungen und Seitenhiebe diesbezüglich.
Ich nutze privat vorrangig Linux (Slackware, openSuse Leap) und FreeBSD aber auch momentan immer weniger Windows 10, beruflich leider nur Windows.
Nur kann ich das Urteil nicht nachvollziehen bzw. gutheißen. Wenn auf einen Sicherheitsvorfall hingewiesen wird, sollte man/frau doch zufrieden sein … Mehr gibt es doch eigentlich dazu nicht zu sagen.
Wie oben schon geschrieben:
Du erträgst in der Regel einfach keine anderen Meinungen, Standpunkte und Sichtweisen. Ist nicht nur bei diesem Artikel so. Die Welt ist aber nicht nur für dich gemacht. Und noch leben wir in einer Demokratie und dort gilt die Meinungsfreiheit und -vielfalt. Gilt übrigens auch für extrem dumme und krude Meinungen – und auch, wie von dier geschrieben, "radikale" und "ganzen Schei?"; nur mal so angemerkt. Man muss ja auch nicht alles supertoll finden. Wenn man andere Meinungen usw. nicht erträgt, dann einfach nicht lesen, oder besser einfach überlesen. Oder den sachlichen Diskurs suchen und den anderen Teilnehmer versuchen von seiner Sichtweise zu überzeugen. Sind alles legitime Möglichkeiten. Aber "löschen" ist "ich bin der Chef und nur ich sage wo's lang geht". Kann man machen, aber Freunde wirst du dir damit nicht machen …
Und zum Thema "war das früher auch schon so?"
"Früher" (übrigens ein extremer Gummibegriff) war meist so manches anders. Einfach, weil es eine andere Zeit war, mit anderen Grundvoraussetzungen, Begebenheiten, Situationen. Dass es heute "schlechter" ist (wenn dem wirklich so ist …) sollte evtl. eher mal zum Nachdenken anregen und nicht, um undemokratische "Lösch-Methoden" anzuwenden, nach dem Motto: "Was ich nicht sehe (lösche) ist nicht vorhanden". Genau daran, krankt es nämlich gerade auch in der gesamten, durchgedrehten, aktuellen Politik z. B. >> Realitäten und Fakten nicht anerkennen, ignorieren, totschweigen, aussitzen (…) (Nach mir (2025) die Sintflut-Denken …)
In Konsequenz daraus in Deutschland keine Sicherheitslücken mehr melden. Sollen die Firmen brennen. Verdient haben sie es allemal.
So "krass" würde ich es nicht schreiben, aber im Grunde ("…Deutschland keine Sicherheitslücken mehr melden…") stimme ich Ihnen zu!
Leider geht in dem Beitrag einiges juristisch durcheinander.
Das Amtsgericht hatte ursprünglich die Eröffnung des Hauptverfahrens aus Rechtsgründen abgelehnt, und zwar nicht durch Urteil sondern durch Beschluß. Dagegen hat die Staatsanwaltschaft Beschwerde erhoben, die erfolgreich war. Über die Beschwerde hat das Landgericht ebenfalls durch Beschluß entschieden.
Gegen ein Strafurteil eines Amtsgerichts, wie es jetzt ergangen ist, gibt es als Rechtsmittel die Berufung (zum Landgericht) oder die Revision (zum Oberlandesgericht, wird auch als Sprungrevision bezeichnet, weil die Berufung übersprungen wird) möglich. Eine Revision zum Landgericht gibt es nicht. Da die Berufung eine zusätzliche Tatsacheninstanz ist und hier auch in erheblichem Umfang die Tatsachengrundlage streitig sein dürfte, ist die Berufung das wahrscheinlichere Rechtsmittel, denn in der Revision wird das Urteil nur auf Rechtsfehler überprüft, und z.B. eine Beweisaufnahme durch Sachverständige findet nicht statt (diese wird hier aber angestrebt).
Die Revision kann anschließend immer noch eingelegt werden, falls die Berufung nicht erfolgreich sein sollte. In ihr könnte aber z.B. (nur) gerügt werden, daß rechtsfehlerhaft die Beweiserhebung durch Sachverständige unterblieben ist und das Gericht unzulässig eigene Sachkenntnis angenommen hat. Die Sprungrevision würde ich hier taktisch für nicht besser halten. Außerdem kann die Staatsanwaltschaft die Sprungrevision leicht verhindern, indem sie selbst Berufung einlegt.
Danke für die Präzisierung aus juristischer Sicht – ich hoffe, ich habe die Begrifflichkeiten in obigem Text nun sauber korrigiert, damit es "formal seine Ordnung hat". Nicht dass sich den mitlesenden Juristen die Fußnägel hochrollen. Meine das durchaus nicht ironisch – es sollte von der Terminologie schon korrekt sein.
Fatal finde ich lediglich: An diesem Fall arbeiten sich Juristen formal ab (aus juristischer Sicht sicher korrekt). Der Beobachter bleibt aber ob der Argumentation kopfschüttelnd zurück. Am Ende des Tages lehnen sich die Juristen befriedigt zurück, denn es ist formal dann wohl "rechtssicher" gelaufen. Und der Cybersicherheit erweist man mit diesem Verfahren einen Bärendienst – imho.
Vielen Dank!
Ich bin momentan mit einer Kritik der Entscheidung noch zurückhaltend, denn ich möchte erst den Volltext des Urteils sehen. Daraus ergibt sich, welchen Sachverhalt das Gericht festgestellt hat, und wie es welche Vorschriften darauf angewendet hat. Momentan bin ich auch deswegen noch zurückhaltend, weil die Sachverhaltsdarstellungen, die man im Internet finden kann, einige Widersprüchlichkeiten aufweisen und selbst Personen, die das Verfahren offenbar selbst verfolgt haben, objektiv einiges durcheinanderbringen (Revision zum Landgericht usw.).
Darüber hinaus stellen sich durchaus komplexe Rechtsfragen, vor allem, wenn man bedenkt, daß Vorschriften der DSGVO angewendet worden sein sollen. Obwohl die Straf- und Ordnungswidrigkeitenvorschriften im BDSG und nicht in der DSGVO enthalten sind, verlangt die Anwendung der DSGVO auf einen solchen Sachverhalt eine komplexe Subsumtion und ein genaues Verständnis der oft handwerklich extrem schlechten Vorschriften der DSGVO (Arbeitsgerichte sind damit z.B. regelmäßig überfordert).
Das alles wird sich aber erst dann besser beurteilen lassen, wenn der Volltext des Urteils vorliegt.
Den "Hackerparagraphen" halte ich unabhängig von dem Urteil für völlig mißlungen, er sollte am besten abgeschafft werden. Ob die Verurteilung aber "nur" daran liegt, das wissen wir jetzt noch nicht.
Vielleicht sollte man einmal verpflichtende Fortbildung in Sachen Cybersicherheit für Staatsanwälte und Richter bzw. für Juristen allgemein schon während des Studiums einführen, dann könnte ein im Seitenquelltext vorhandenes Passwort oder aus dem Seitenquelltext ersehbare ungesicherte DB-Verbindungen als Beweis für eben NICHT "besonders gesicherte Daten" gelten.
Unter den Juristen, die ich kenne, gibts eigentlich nur 2 Gruppen, was die Lernwilligkeit betrifft: diejenigen, die glauben dass man als Jurist durch Kenntnis der Gesetze eh schon alles weiß (zum Glück die kleinere Gruppe), und die, die dem zu beurteilenden Sachverhalt rechtlich *und* sachlich gerecht werden wollen.
Das wär mal was, erst ein technisches oder naturwissenschaftliches Studium mit Abschluss und dann ein Jurastudium on top. Dann könnten die Richter passend den verhandelten Fällen zugewiesen werden und den Gutachtern und Experten bei deren Berichten auch einigermaßen fundiert folgen.
Und nach dem Urteil fühlt sich die unterlegene Seite trotzdem betrogen, vor allem dann, wenn politisch gewollt das Urteil in eine bestimmte Richtung gehen soll oder muss.
Meine Erfahrung ist: Juristen leben in ihrer eigenen Welt, die dem "Normalbürger" nur eingeschränkt zugänglich ist. Gefühlt nimmt leider der Anteil an Juristen unter den Politikern immer mehr zu.