{"id":258652,"date":"2021-10-16T07:19:47","date_gmt":"2021-10-16T05:19:47","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=258652"},"modified":"2023-08-17T15:13:46","modified_gmt":"2023-08-17T13:13:46","slug":"entwickler-meldet-modern-solution-datenleck-darauf-anzeige-und-hausdurchsuchung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/10\/16\/entwickler-meldet-modern-solution-datenleck-darauf-anzeige-und-hausdurchsuchung\/","title":{"rendered":"Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung"},"content":{"rendered":"

\"SicherheitIm Sommer 2021 wurde bekannt, dass ein schlecht gesicherter Zugang des Dienstleisters Modern Solution dazu f\u00fchrte, dass H\u00e4ndlerdaten (Bestellungen, Adressen und auch Kontodaten) f\u00fcr Dritte \u00fcber das Internet abrufbar bzw. einsehbar waren. Jetzt wurde bekannt, dass gegen den Entwickler, der die Schwachstelle aufdeckte, eine Anzeige gestellt wurde. Und in deren Folge fand am 15. September 2021 eine Hausdurchsuchung mit Beschlagnahmung der Arbeitsmittel statt – f\u00fcr den Entwickler existenzbedrohend.<\/p>\n

<\/p>\n

Zum Datenleck bei Modern Solution<\/h2>\n

\"\"Ein Entwickler stie\u00df im Sommer 2021 auf einen schlecht gesicherten H\u00e4ndlerzugang beim Dienstleister Modern Solution. Es war ein Zufallsfund, denn bei der Installation einer (H\u00e4ndler-) Software fiel dem IT-Spezialisten auf, dass eine Datenbankverbindung zu einem externen Server aufgebaut wurde. Da die f\u00fcr den Datenbankzugriff erforderlichen Zugangsdaten von einer Firewall des Systems protokolliert wurden, lie\u00dfen sich Details zu dieser Verbindung rekonstruieren.<\/p>\n

Dies f\u00fchrte dazu, dass H\u00e4ndlerdaten (Bestellungen, Adressen und auch Kontodaten) f\u00fcr Dritte \u00fcber das Internet abrufbar bzw. einsehbar waren. Es waren wohl pers\u00f6nliche Daten von ca. 700.000 Personen betroffen. Zu den Kunden des Dienstleisters z\u00e4hlen nach meinen Informationen auch Check24, Otto, Rakuten oder die ehemalige Real-Tochter Kaufland (heute im Besitz der Schwarz-Gruppe). Der Fall wurde durch die Seite wortfilter.de<\/a> (Mark Steier) und durch diesen Artikel<\/a> des Spiegel publik. Ich selbst hatte im Blog-Beitrag Kundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a> \u00fcber diese Sicherheitsl\u00fccke bzw. den Fall berichtet.<\/p>\n

Anzeige und Hausdurchsuchung beim Entdecker<\/h2>\n

Der normale Vorgang: Die betroffene Firma meldet den Datenschutzvorfall der Aussichtsbeh\u00f6rde und beseitigt den Fehler. Momentan sieht es so aus, als ob das Ganze in diesem Fall anders verlaufen ist. Ich bin die Woche bereits bei den Kollegen von Golem auf das Thema gesto\u00dfen<\/a>, habe das anschlie\u00dfend aber auch in folgendem Tweet<\/a> gesehen.<\/p>\n

\"Hausdurchsuchung<\/a><\/p>\n

Golem berichtet<\/a>, dass der Entwickler, der diese Schwachstelle im Rahmen eines Kunden-Projekts entdeckte, eine Anzeige erhalten habe – es wird vermutet, dass diese von Modern Solutions stammt, was bisher aber nicht belegt werden kann. In Folge dieser Anzeige fand am 15. September 2021 eine Hausdurchsuchung bei diesem Entwickler statt. Golem konnte ein Protokoll dieser Hausdurchsuchung einsehen, wo als Grund \"u.a. Aussp\u00e4hen von Daten<\/em>\" angegeben ist.<\/p>\n

Auf die Adresse des Entwicklers sei man, so Golem, \u00fcber eine E-Mail-Adresse bei Web.de gelangt. Dies war aber die E-Mail-Adresse, \u00fcber die der Entwickler die Firma Modern Solution mehrfach auf die Sicherheitsl\u00fccke hingewiesen hatte.<\/p>\n

Auch der Betreiber der Seite wortfilter.de, der Blogger Mark Steier, der nach Hinweisen des Entwicklers \u00fcber die Schwachstelle berichtete, wurde f\u00fcr seine Berichterstattung angezeigt. Mark Steier hat bereits am 18. September 2021 in diesem neue Beitrag<\/a> auf diese Aktion aufmerksam gemacht (ist aber an mir vorbei gegangen). Laut Steier arbeitet Modern Solutions noch immer an der Behebung der im Sommer gemeldeten Schwachstelle.<\/p>\n

F\u00fcr den Entwickler hat das Ganze gravierende Folgen, denn in dessen Firma wurden laut Golem f\u00fcnf Notebooks, drei externe Festplatten, zwei USB-Sticks sowie der Rechner, in dem sie steckten, sowie das Smartphone des Betroffenen beschlagnahmt. Das ist eine existenzbedrohende Situation, da dem Betroffenen nicht nur die Arbeitsger\u00e4te, sondern auch alle Arbeits- und Projektdaten samt Quellcodes fehlen. Golem schreibt, dass der Betroffene ein Fundraising-Projekt zur Finanzierung der Prozesskosten gestartet habe. Statt der erhofften 2000 Euro zur Deckung der Gerichtskosten seien 5.000 Euro an Spenden eingegangen. Das nicht f\u00fcr den Prozess ben\u00f6tigte Geld will der Entwickler an die Kinderkrebshilfe spenden.<\/p>\n

Whistleblower in Deutschland in 2021<\/h2>\n

Man kann zwar dar\u00fcber streiten, ob die Ver\u00f6ffentlichung der Details im Sinne eines responsible disclosure gedeckt war (zwischen den Zeilen der damaligen Berichterstattung lese ich aber heraus, dass das Unternehmen auf die Hinweise des Entwicklers nicht reagierte und erst nach Offenlegung des Sachverhalts samt Pressecho in die Pushen kam), das wird wohl jetzt juristisch aufgearbeitet.<\/p>\n

Aber der Fall hat mal wieder grunds\u00e4tzliche Bedeutung. Dass, mutma\u00dflich auf Grund einer Anzeige, Strafverfahren wegen \"Aussp\u00e4hen von Daten\" und ggf. wegen \"Datenhehlerei\" gestartet werden, und mit Hausdurchsuchung samt Beschlagnahme aller Arbeitsger\u00e4te beim Entdecker der Sicherheitsl\u00fccke folgen (wobei sich die Frage der Verh\u00e4ltnism\u00e4\u00dfigkeit stellt), ist dem deutschen Strafrecht und \u00a7202 a\/b\/c StGB<\/a> (sogenannte Hackerparagraphen) zu verdanken. Diese wurden 2007 gegen den Widerstand der Zivilgesellschaft von CDU und SPD beschlossen und waren auch Grundlage des Verfahrens gegen die Sicherheitsforscherin Lilith Wittmann, die die Sicherheitsl\u00fccke in der CDU Connect-Wahlkampf-App aufgedeckt hatte (siehe meinen Blog-Beitrag CDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein<\/a>).<\/p>\n

Pers\u00f6nlich beschleicht mich das Gef\u00fchl, dass wir im Bereich Digitalisierung endlich im Bereich der Bananenrepubliken angekommen sind. Digitalprojekte werden regelm\u00e4\u00dfig in den Sand gesetzt, mutieren zu Millionengr\u00e4bern und strotzen oft auch nur so vor Schwachstellen. Meldet jemand dann eine gefundene Schwachstelle, setzt er sich der Gefahr eines Strafverfahrens samt Hausdurchsuchung und Beschlagnahmung aus.<\/p>\n

Bleibt nur zu hoffen dass im aktuellen Fall der Streisand-Effekt greift (neben Golem berichteten andere Medien wie die TAZ<\/a> \u00fcber den Fall) und der Markt dieses Verhalten reguliert. Wer in die Lage kommt, und eine Schwachstelle entdeckt und melden will, oder als Whistleblower Informationen weitergeben m\u00f6chte, sollte dies ggf. auf dieser heise-Seite<\/a> tun.<\/p>\n

Erg\u00e4nzung:<\/strong> Fortsetzung unter\u00a0Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller<\/a>.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nKundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a>
\nDatenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)<\/a>
\nEntwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung<\/a>
\nModern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Im Sommer 2021 wurde bekannt, dass ein schlecht gesicherter Zugang des Dienstleisters Modern Solution dazu f\u00fchrte, dass H\u00e4ndlerdaten (Bestellungen, Adressen und auch Kontodaten) f\u00fcr Dritte \u00fcber das Internet abrufbar bzw. einsehbar waren. Jetzt wurde bekannt, dass gegen den Entwickler, der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[451,4023,4328],"class_list":["post-258652","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenschutz","tag-recht","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258652","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=258652"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258652\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=258652"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=258652"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=258652"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}