{"id":282472,"date":"2023-06-13T15:20:27","date_gmt":"2023-06-13T13:20:27","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282472"},"modified":"2023-08-17T12:31:55","modified_gmt":"2023-08-17T10:31:55","slug":"anzeige-von-modern-solution-gegen-entdecker-einer-schwachstelle-vor-gericht-abgewiesen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/13\/anzeige-von-modern-solution-gegen-entdecker-einer-schwachstelle-vor-gericht-abgewiesen\/","title":{"rendered":"Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen"},"content":{"rendered":"

\"Paragraph\"Vorige Woche wurde vor dem Amtsgericht J\u00fclich ein von der Staatsanwaltschaft K\u00f6ln (nach einer Anzeige der Firma Modern Solutions) beantragtes Verfahren gegen einen Software-Entwickler verhandelt. Der Software-Entwickler entdeckt 2021 eine Sicherheitsl\u00fccke in einer E-Commerce-Software der Firma Modern Solution, informiert den Hersteller und ver\u00f6ffentlicht nach einiger Zeit Informationen. Der Richter wies den Antrag der Staatsanwaltschaft ab, weil keine Straftat vorliege. Die Staatsanwaltschaft will nun in Berufung gehen.<\/p>\n

<\/p>\n

Der Modern Solution-Fall<\/h2>\n

\"\"Es ist ein Synonym f\u00fcr das, was ich Deutschland in Sachen Cybersicherheit schief l\u00e4uft: Im Sommer 2021 wurde bekannt, dass ein schlecht gesicherter Zugang des Dienstleisters Modern Solution dazu f\u00fchrte, dass H\u00e4ndlerdaten (Bestellungen, Adressen und auch Kontodaten) f\u00fcr Dritte \u00fcber das Internet abrufbar bzw. einsehbar waren.<\/p>\n

Konkret fiel einem IT-Spezialisten bei der Installation einer (H\u00e4ndler-) Software auf, dass eine Datenbankverbindung zu einem externen Server aufgebaut wurde, dort die Daten aber ungesichert \u00fcbermittelt wurden. Die Spur f\u00fchrte zu einem Server der Modern Solution GmbH & Co. KG, auf dem mehrere Datenbanken vorhanden und einsehbar waren. Die Modern Solution GmbH & Co. KG ist wohl Dienstleister f\u00fcr die Online-Plattformen diverser Anbieter.<\/p>\n

Zu den Kunden des Dienstleisters z\u00e4hlen nach meinen Informationen auch Check24, Otto, Rakuten oder die Real-Tochter Kaufland. Nachdem der Entwickler den Hersteller informierte und dieser nicht reagiert, informierte er die Presse. Der Sachverhalt wurde durch die Seite wortfilter.de<\/a> (Mark Steier) und durch diesen Artikel<\/a> des Spiegel publik. Ich selbst hatte im Blog-Beitrag Kundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a> \u00fcber diese Sicherheitsl\u00fccke bzw. den Fall berichtet. Der Entwickler hatte sich im Rahmen der Berichterstattung auch bei mir gemeldet.<\/p>\n

Anzeigen und Hausdurchsuchung<\/h2>\n

Mitte Oktober 2021 wurde dann der n\u00e4chste Akt dieses Dramas bekannt. Jemand hatte gegen den Entdecker der Schwachstelle und den Blogger Mark Steier Anzeige wegen Datenhehlerei und Eindringen in Computersysteme gestellt. F\u00fcr den Entdecker der Schwachstelle hatte dies die drastische Folge, dass die zust\u00e4ndige Staatsanwaltschaft seine R\u00e4ume Mitte September 2021 von der Polizei durchsuchen lie\u00df. Dabei wurden auch die Arbeitsger\u00e4te und Speichermedien des Entwicklers, der bei einem Kundenprojekt auf die Schwachstelle gesto\u00dfen war, beschlagnahmt. Ich hatte im Blog-Beitrag Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung<\/a> berichtet.<\/p>\n

Wer der Anzeigenerstatter war, bliebt seinerzeit im Dunkeln \u2013 die Vermutung lag nahe, dass es Modern Solution war. Sp\u00e4ter berichtete heise, denen die betreffenden Ermittlungsakten zug\u00e4nglich waren, dass der Software-Hersteller Modern Solution die Anzeige gestellt hatte. Im Blog-Beitrag Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller<\/a> hatte ich einige Details ver\u00f6ffentlicht. Laut Ermittlungsakten wurde gegen den Programmierer unter anderem wegen des Aussp\u00e4hens von Daten, Datenhehlerei und Versto\u00dfes gegen das Bundesdatenschutzgesetz ermittelt. Der Anzeigenerstatter, Modern Solution, gab an, dass der Entwickler sich nur mit Insiderwissen Zugang zu den Systemen der Firma verschaffen konnte. Hintergrund ist, dass der Entwickler fr\u00fcher bei der Firma JTL in H\u00fcckelhoven arbeitete.<\/p>\n

JTL ist der Hersteller der Warenwirtschafts-Systeme, mit denen die Software von Modern Solution auf Seite des Einzelh\u00e4ndlers verbunden wird. Der Entwickler hat diesen Arbeitgeber wohl \"nach Konflikten\" verlassen, was dieser laut heise auch nicht bestreitet.<\/p><\/blockquote>\n

An dieser Stelle h\u00e4tte das unerquickliche Thema beendet werden k\u00f6nnen, wenn die zust\u00e4ndig Staatsanwaltschaft K\u00f6ln das Verfahren nach Pr\u00fcfung eingestellt h\u00e4tte. heise berichtete nach Sichtung der betreffenden Ermittlungsakten, dass die aufgeworfenen Vorw\u00fcrfe juristisch nur schwer haltbar seien \u2013 bei heise gibt es Hausjuristen, die mit solchen Themen bewandert sind. Aber dem war offenbar aber nicht so \u2013 die im Oktober 2021 beschlagnahmten Arbeitsger\u00e4te des Entwicklers blieben eingezogen und der Fall ging von der Staatsanwaltschaft K\u00f6ln an das Amtsgericht J\u00fclich.<\/p>\n

Erstes Urteil des Amtsgerichts J\u00fclich<\/h2>\n

Ich hatte den Vorgang aus den Augen verloren, zumal ich mit dem Entwickler nicht mehr in Kontakt stehe. Die Redaktion von heise wurde meiner Einsch\u00e4tzung nach aber vom betroffenen Entwickler \u00fcber die weiteren Entwicklungen auf dem Laufenden gehalten. Das Amtsgericht J\u00fclich hat ein von der Staatsanwaltschaft K\u00f6ln beantragtes Verfahren gegen den IT-Experten vor einigen Tagen abgelehnt, hei\u00dft es in diesem Beitrag<\/a> von heise, der die Details des Falls nochmals nachzeichnet. Der betreffende Richter kam laut Aussage von heise, denen das Urteil vorliegt, zum Schluss, \"es liege keine Straftat vor, da die Daten, auf die der Sicherheitsexperte im Zuge seiner Untersuchungen Zugriff hatte, nicht effektiv gesch\u00fctzt gewesen seien\".<\/p>\n

An dieser Stelle h\u00e4tte das unerquickliche Thema beendet werden k\u00f6nnen, wenn die zust\u00e4ndig Staatsanwaltschaft K\u00f6ln dieses Urteil akzeptiert. heise berichtet aber in diesem Beitrag<\/a>, dass die Staatsanwaltschaft K\u00f6ln gegen das Urteil aus J\u00fclich am Landgericht Aachen Berufung eingelegt habe. Es wird also eine weitere Verhandlung in diesem unerquicklichen Fall geben.<\/p>\n

Was bleibt?<\/h2>\n

Ein extrem schales Gef\u00fchl, dass da von Seiten der Justiz massiv was schief l\u00e4uft und Steuergelder verbraten werden. Angesicht der aktuellen Cyber-Sicherheitslage m\u00fcsste eigentlich alles daran gesetzt werden, dass Schwachstellen m\u00f6glichst zeitnah \u00f6ffentlich werden. Der Anbieter Modern Solutions sorgt weiter daf\u00fcr, dass er zumindest eine \"schlechte Presse\" bekommt. Zitat aus dem heise-Artikel:<\/p>\n

Man h\u00e4tte der Firma zwischen Disclosure und Ver\u00f6ffentlichung mehr Zeit geben k\u00f6nnen. Und erfahrene Journalisten und Sicherheitsforscher h\u00e4tten das sicher auch getan. Anhand des r\u00fcden Tons, der aus E-Mails von Modern Solution gegen\u00fcber dem Sicherheitsforscher und der Presse \u2013 darunter auch heise online \u2013 hervorgeht, ist es aber auch verst\u00e4ndlich, dass sich die Geschichte damals anders entwickelte. Bei \u00fcber 700.000 betroffenen Endkunden war dar\u00fcber hinaus das \u00f6ffentliche Interesse an dem Fall ziemlich eindeutig.<\/p><\/blockquote>\n

Jetzt bleibt abzuwarten, wie das Urteil des Landgerichts Aachen ausf\u00e4llt. Und falls das Urteil des Amtsgerichts J\u00fclich bestehen bleibt, w\u00e4re die Frage, ob der betroffene IT-Entwickler Regress gegen die Justiz und den Anzeigeersteller geltend machen kann.<\/p>\n

Mich pers\u00f6nlich erinnert der Fall an die Posse, als die CDU die Sicherheitsexpertin Lillith Wittmann anzeigte, weil diese eine Sicherheitsl\u00fccke in der Wahlkampf-App CDU Connect \u00f6ffentlich machte. Die negative Presse bewegte die CDU, die Anzeige zur\u00fcckzuziehen und eine, in meinen Augen kluge, Staatsanwaltschaft stellte das Verfahren ein.<\/p>\n

Die F\u00e4lle zeigen, wie und wo es in Deutschland IT-Sicherheits-technisch im Argen liegt \u2013 speziell, weil der Gesetzgeber solche sinnlosen Verfahren erm\u00f6glicht. Meiner Erinnerung nach traten Vertreter der CDU vehement f\u00fcr die betreffenden Paragraphen ein. Einige Gedanken zur Entstehung der Urheberrechtsnovelle, die hier vermutlich der Staatsanwaltschaft diente, hat jemand in diesem Kommentar<\/a> nachgezeichnet.<\/p>\n

Modern Solution<\/a> fungiert nach North Data<\/a> als GMBH & CO. KG in Gladbeck und hat als Unternehmenszweck das Erbringen von IT-Dienstleistungen aller Art; insbesondere Hosting, Markplatzanbindungen, Schnittstellenentwicklung, Sonderprogrammierungen, einschlie\u00dflich strategischer Beratung sowie der Vertrieb von Warenwirtschafts- und Shopsystemen, Hostingprodukten sowie sonstigen IT-Produkten.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\nKundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a>
\nDatenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)<\/a>
\nEntwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung<\/a>
\nModern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller<\/a><\/p>\n

Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik<\/a>
\nCDU zieht Anzeige gegen Sicherheitsforscherin Wittmann zur\u00fcck<\/a>
\nCDU Connect: DSGVO-Pr\u00fcfverfahren der Landesdatenschutzbeauftragten l\u00e4uft<\/a>
\nCDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Vorige Woche wurde vor dem Amtsgericht J\u00fclich ein von der Staatsanwaltschaft K\u00f6ln (nach einer Anzeige der Firma Modern Solutions) beantragtes Verfahren gegen einen Software-Entwickler verhandelt. Der Software-Entwickler entdeckt 2021 eine Sicherheitsl\u00fccke in einer E-Commerce-Software der Firma Modern Solution, informiert den … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-282472","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282472","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282472"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282472\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282472"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282472"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282472"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}