{"id":285003,"date":"2023-08-17T14:15:47","date_gmt":"2023-08-17T12:15:47","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285003"},"modified":"2023-09-08T01:26:15","modified_gmt":"2023-09-07T23:26:15","slug":"it-experte-der-modern-solutions-schwachstelle-ffentlich-gemacht-hat-muss-nun-doch-vor-gericht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/17\/it-experte-der-modern-solutions-schwachstelle-ffentlich-gemacht-hat-muss-nun-doch-vor-gericht\/","title":{"rendered":"IT-Experte, der Modern Solutions Schwachstelle öffentlich gemacht hat, muss nun doch vor Gericht"},"content":{"rendered":"

\"Paragraph\"Neue juristische Volte im Fall eines Software-Entwicklers, der eine Schwachstelle in der Software der Firma Modern Solutions \u00f6ffentlich machte. Nachdem das Amtsgericht in J\u00fclich die Klage gegen den Entwickler abgewiesen hatte, gab das Landgericht Aachen der Beschwerde der Staatsanwaltschaft K\u00f6ln statt. Das Amtsgericht J\u00fclich muss nun in einem Strafverfahren gegen den Software-Entwickler den Fall verhandelt und kl\u00e4ren, ob es sich um eine Straftat im Sinne des Hackerparagrafen 202a StGB handelt. Erg\u00e4nzung:<\/strong> Das Urteil des LG Aachen liegt vor.<\/p>\n

<\/p>\n

Es geht um diesen Sachverhalt<\/h2>\n

\"\"Im Sommer 2021 wurde \u00f6ffentlich, dass H\u00e4ndlerdaten (Bestellungen, Adressen und auch Kontodaten) auf Grund eines schlecht gesicherten Zugangs des Dienstleisters Modern Solution<\/em> f\u00fcr Dritte \u00fcber das Internet abrufbar bzw. einsehbar waren. Zu den Kunden des Dienstleisters z\u00e4hlen auch Check24, Otto, Rakuten oder das inzwischen zur Schwarz-Gruppe geh\u00f6rende Kaufland.<\/p>\n

Modern Solution<\/a> fungiert nach North Data<\/a> als GMBH & CO. KG in Gladbeck und hat als Unternehmenszweck das Erbringen von IT-Dienstleistungen aller Art; insbesondere Hosting, Markplatzanbindungen, Schnittstellenentwicklung, Sonderprogrammierungen, einschlie\u00dflich strategischer Beratung sowie der Vertrieb von Warenwirtschafts- und Shopsystemen, Hostingprodukten sowie sonstigen IT-Produkten.<\/p><\/blockquote>\n

Im Blog-Beitrag Kundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a> hatte ich \u00fcber den Fall berichtet und dort geschrieben, dass eine Datenbankverbindung zu einem externen Server aufgebaut wurde, wobei die f\u00fcr den Datenbankzugriff erforderlichen Zugangsdaten von einer Firewall des Systems protokolliert wurden. Daher lie\u00dfen sich die Details zu dieser Verbindung von einem Software-Entwickler, der f\u00fcr einen Kunden arbeitet, rekonstruieren.<\/p>\n

Der Blogger Mark Steier hatte bereits am 24. Juni 2021 im Artikel Modern Solution Datenleck: ALLE Plattform-Endkundendaten einsehbar<\/a> auf die Implikationen hingewiesen, nachdem er einen Tag vorher den Artikel zur Sicherheitsl\u00fccke<\/a> online gestellt hat. Dort ist auch ein Screenshot eines Quellcode-Auszugs zu sehen, der die Parameter mit den Zugangsdaten im Klartext zeigt. Ich selbst wurde \u00fcber Spiegel Online<\/a> auf die betreffende Information aufmerksam, die vor allem kleine H\u00e4ndler betrifft, die Online-Marktpl\u00e4tze der genannten Plattformen zum Einkauf nutzen.<\/p>\n

Der Software-Entwickler hatte nach seinen Angaben die Schwachstelle an die in Gladbeck residierende Modern Solution GmbH & Co. KG gemeldet. Da sich laut dessen Aussage aber nichts an der Schwachstelle \u00e4nderte, wandte er sich an den Blogger Mark Steier, der das Ganze auf Wortfilter.de ver\u00f6ffentlichte (siehe obige Links). Im Nachgang erhielt der Vorgang ziemliche Popularit\u00e4t, weil Medien wie Spiegel Online, heise oder der SWR das Thema aufgriffen (siehe Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)<\/a>).<\/p>\n

Unsch\u00f6ne juristische Entwicklung<\/h2>\n

Eigentlich h\u00e4tte nun die Schwachstelle beseitigt und der Fall zu den Akten gelegt werden k\u00f6nnen, damit \"Staub \u00fcber die Angelegenheit w\u00e4chst\". Aber der Anbieter Modern Solutions stellte bei der Staatsanwaltschaft K\u00f6ln Strafanzeige gegen den Software-Entwickler (siehe meinen Beitrag Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller<\/a>).<\/p>\n

Strafanzeige, Hausdurchsuchung, Beschlagnahme<\/h3>\n

Darauf hin veranlasste die Staatsanwaltschaft K\u00f6ln eine Ermittlung der Adresse des Entwicklers \u00fcber dessen f\u00fcr die Meldung der Schwachstelle verwendete web.de-E-Mail-Adresse. Darauf hin folgte eine Hausdurchsuchung bei diesem Entwickler, wobei in dessen Firma laut Golem f\u00fcnf Notebooks, drei externe Festplatten, zwei USB-Sticks sowie der Rechner, in dem sie steckten, sowie das Smartphone des Betroffenen beschlagnahmt wurden.<\/p>\n

\"Hausdurchsuchung<\/a><\/p>\n

Der Vorwurf laut Anzeige lautete wohl \"Aussp\u00e4hen von Daten\", weil der Entwickler unberechtigt in gesicherte IT-Systeme des Anbieters eingedrungen war – was dann im Sinne des Hackerparagrafen 202a StGB strafrechtlich verfolgt wird. Ich hatte im Blog-Beitrag Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung<\/a> dar\u00fcber berichtet.<\/p>\n

Wer diese Situation kennt, wei\u00df, dass dies eine existenzbedrohende Situation darstellen kann, da dem Betroffenen nicht nur die Arbeitsger\u00e4te, sondern auch alle Arbeits- und Projektdaten samt Quellcodes fehlen. Golem schriebt, dass der Betroffene ein Fundraising-Projekt zur Finanzierung der Prozesskosten gestartet habe. Statt der erhofften 2000 Euro zur Deckung der Gerichtskosten seien 5.000 Euro an Spenden eingegangen. Das nicht f\u00fcr den Prozess ben\u00f6tigte Geld will der Entwickler an die Kinderkrebshilfe spenden.<\/p>\n

Auch Anzeige gegen wortfilter.de<\/h3>\n

Auch der Betreiber der Seite wortfilter.de, der Blogger Mark Steier, der nach Hinweisen des Entwicklers \u00fcber die Schwachstelle berichtete, wurde f\u00fcr seine Berichterstattung angezeigt. Der Vorwurf lautet auf Datenhehlerei. Mark Steier hat bereits am 18. September 2021 in diesem neue Beitrag<\/a> auf diese Aktion aufmerksam gemacht. Laut Steier arbeitete Modern Solutions zu dieser Zeit noch immer an der Behebung der im Sommer 2021 gemeldeten Schwachstelle. Wie der juristische Status dieser Geschichte ist, wei\u00df ich nicht.<\/p>\n

Amtsgericht weist Verfahren ab, Landgericht greift ein<\/h3>\n

Nach der Hausdurchsuchung im November 2021 dauerte es knapp zwei Jahre, bis das Strafverfahren vor dem Amtsgericht J\u00fclich landete. Das Amtsgericht J\u00fclich lehnte dann das von der Staatsanwaltschaft K\u00f6ln beantragte Verfahren gegen den Entwickler ab, wie Mitte Juni 2023 in diesem Beitrag<\/a> von heise bekannt wurde. Der betreffende Richter kam laut Aussage von heise, denen das Urteil vorliegt, zum Schluss, \"es liege keine Straftat vor, da die Daten, auf die der Sicherheitsexperte im Zuge seiner Untersuchungen Zugriff hatte, nicht effektiv gesch\u00fctzt gewesen seien\".<\/p>\n

heise berichtete aber in diesem Beitrag<\/a>, dass die Staatsanwaltschaft K\u00f6ln am Landgericht Aachen Berufung gegen das Urteil aus J\u00fclich eingelegt habe. Zum 16. August 2023 hat heise die neueste Entwicklung in diesem Beitrag<\/a> aufgegriffen. Das Landgericht Aachen gab der Beschwerde der Staatsanwaltschaft K\u00f6ln in einem auf den 27. Juli 2023 datierten Beschluss (Aktenzeichen 60 Qs 16\/23) statt. Das Amtsgericht J\u00fclich muss den Fall doch verhandeln.<\/p>\n

Heise spiegelt in seinem Artikel den juristischen Disput zwischen Amtsgericht J\u00fclich und dem Landgericht Aachen wieder. W\u00e4hrend der J\u00fclicher Richter der Ansicht war, dass \"ein Passwort nicht in jedem Fall eine effektive Datensicherung bewirke. Etwa wenn es allzu simpel ist oder f\u00fcr bestimmte Anwendungen standardisiert verwendet wird. In solchen F\u00e4llen sei die Verschaffung des Zugangs zu Daten nicht tatbestandsm\u00e4\u00dfig.\"<\/p>\n

Die Richter am Landgericht Aachen argumentieren in ihrem Beschluss, dass die Daten besonders gesichert gewesen seien, da ein Passwortschutz vorlag und das \"Abrufen\" der Daten \"zudem nur nach einer Dekompilierung m\u00f6glich war\" (m\u00f6glicherweise stellt man auf die ver\u00f6ffentlichten Screenshots bei Wortfilter.de ab). \"Die Sicherung des Zugangs mittels Passwort reicht als Zugangssicherung aus\", damit sei der Straftatbestand erf\u00fcllt, ist die Ansicht des Richters. Laut heise folgt das Gericht der Argumentation der Staatsanwaltschaft und der seit Jahren auch an anderen Gerichten vorherrschenden Rechtsmeinung.<\/p>\n

Jeder, der im Bereich der IT-Sicherheit t\u00e4tig ist, wird nun mit einem gef\u00e4hrlichen Pr\u00e4zedenzfall konfrontiert. Sofern der Software-Entwickler in einem nun neu anstehenden Verfahren vor dem Amtsgericht J\u00fclich auf Grund des Hackerparagrafen 202a StGB verurteilt w\u00fcrde, kann eigentlich niemand mehr eine Sicherheitsanalyse an Software-Systemen durchf\u00fchren.<\/p>\n

Sicherheitsl\u00fccken, auch fest kodierte Zugangsdaten in Firmware und Software oder in Konfigurationsdateien sind ja \"nicht offensichtlich einsehbar\" und nach Argumentation des Landgerichts Aachen eine \"hinreichende Absicherung\". Niemand kann dann noch ruhigen Gewissens eine Sicherheitsl\u00fccke melden, da immer die Keule des Hackerparagrafen 202a StGB mit Anzeige und Verurteilung droht.<\/p>\n

Die Juristen am Landgericht Aachen h\u00e4tten so der IT-Sicherheit in Deutschland einen B\u00e4rendienst erwiesen – das w\u00fcrde aber ins allgemeine Bild passen. Der heise-Artikel besch\u00e4ftigt sich noch etwas ausf\u00fchrlicher mit diesem Thema<\/a>.<\/p>\n

\"Urteil<\/p>\n

Erg\u00e4nzung:<\/strong> Das Urteil des LG Aachen liegt vor, ich bin \u00fcber obigen Tweet darauf gesto\u00dfen. Die Urteilsbegr\u00fcnden l\u00e4sst sich auf dieser Seite<\/a> nachlesen.<\/p>\n

Modern Solutions: Deren \"Fakten\" zum Datenleck<\/h2>\n

Zur Abrundung verlinke ich mal einen (in meinen Augen merkw\u00fcrdigen) Beitrag<\/a> von Mitte Dezember 2021 auf der Seite IT-Management today GmbH aus Hamburg. Dort greift man den Sachverhalt des Datenlecks beim IT-System der Firma Modern Solution GmbH & Co. KG mit Sitz in Gelsenkirchen auf. Im Anrei\u00dfertext hei\u00dft es, dass bekannte Medien wie beispielsweise spiegel.de, heise.de, golem.de, t3n.de und viele andere berichteten. Im Artikeltext hei\u00dft es dann: \"Heute nehmen wir zu diesen Vorw\u00fcrfen und teils falschen \/ irref\u00fchrenden Beitr\u00e4gen der genannten Medien Stellung<\/em>\". Das impliziert f\u00fcr mich, dass die Stellungnahme von Modern Solution verfasst und von der Seite IT-Management today GmbH unver\u00e4ndert publiziert wurde.<\/p>\n

Im Text, dessen Wahrheitsgehalt ich nicht final bewerten kann und mag, wird eine \"von Beginn an im hohen Ma\u00df einseitige Berichtserstattung\" beklagt. So habe die Firma w\u00e4hrend des Vorfalls unz\u00e4hlige Presseanfragen mit einer Fristsetzung von wenigen Stunden erreicht, das sei an vielen Stellen unverh\u00e4ltnism\u00e4\u00dfig gewesen. Kann man so sehen, muss man aber nicht. Firmen k\u00f6nnen ein Statement mit bestimmten Aussagen publizieren, auf welches bei Anfragen verwiesen wird.<\/p>\n

Weiter geht es im Text mit dem Hinweis, dass als oberste Priorit\u00e4t die Behebung des Datenlecks und die unz\u00e4hligen H\u00e4ndleranfragen, die w\u00e4hrend dieser Zeit eintrafen, zu beantworten. Das ist legitim und eigentlich eine Selbstverst\u00e4ndlichkeit. Gleichzeitig hei\u00dft es, habe das Unternehmen sich bei der zust\u00e4ndigen Landesdatenschutzbeh\u00f6rde gemeldet und Selbstanzeige gestellt. Auch dies ist eine Selbstverst\u00e4ndlichkeit, die zudem durch die Datenschutzgesetzte so geregelt ist.<\/p>\n

Wo es dann – zumindest in meinen Augen – nicht mehr souver\u00e4n zugeht, ist der Vorwurf einer Art \"Hexenjagd\" (der Begriff erinnert mich ungut an die Argumentation eines Ex-US-Pr\u00e4sidenten), gepaart mit dem Vorwurf, dass die Medien einem Konkurrenten eine B\u00fchne zur Profilierung geboten h\u00e4tten. Der Entwickler sei direkter Konkurrent von Modern Solutions und vertreibe in hohem Ma\u00dfe dieselben Produkte und Dienstleistungen auf seiner Webseite. Er bewerbe gezielt den Wechsel von einem Konkurrenten zum eigenen Unternehmen und versucht damit Modern Solution zu schaden.<\/p>\n

An dieser Stelle steht es mir nicht an, diesen Sachverhalt zu bewerten, da mir die Identit\u00e4t des Entwicklers nicht bekannt ist. Liest man sich die \"Fakten\" im Artikel durch, gehen mir sofort mehrere Sachen durch den Kopf. Sofern es Anfeindungen gegen Mitarbeiter und Gesch\u00e4ftsf\u00fchrer von Modern Solutions gab, hat dies mit der Berichterstattung in den Medien nicht wirklich was zu tun. In den mir bekannten Artikeln wurde der technische Sachverhalt (eines fest vorgegebenen und unverschl\u00fcsselten Passworts zum Zugriff auf die SQL-Datenbank) beschrieben. Fakt ist, dass es eine gravierende Sicherheitsl\u00fccke gab, die jemand gemeldet hat. Im verlinkten Beitrag hei\u00dft es vom Unternehmen Modern Solutions:<\/p>\n

Wir haben zeitnah reagiert und haben die Nutzer der Schnittstelle, so gut es geht mit den notwendigen Informationen versorgt. Ebenfalls haben wir uns an vielen Stellen f\u00fcr diesen Vorfall entschuldigt und haben das bisherige Konzept der Software in gro\u00dfen Teilen \u00fcber Bord geworfen. Wir k\u00f6nnen diesen Vorfall nicht R\u00fcckg\u00e4ngig machen, so gerne wir es w\u00fcrden. Wir teilen allen Betroffenen an dieser Stelle mit, dass es bei diesem Sicherheitsleck keine b\u00f6se Absicht gab und dass uns dieser Vorfall unendlich leidtut.<\/p><\/blockquote>\n

Die Entwickler bei Modern Solutions mussten eingestehen, sicherheitstechnisch wohl ziemlichen Mist implementiert zu haben – sonst h\u00e4tte das bisherige Konzept der Software nicht in gro\u00dfen Teilen \u00fcber Bord geworfen werden m\u00fcssen. Dass es keine b\u00f6se Absicht war, sollte vorausgesetzt werden, das ist eine Binse. Das es f\u00fcr das Unternehmen wirtschaftlich schwierig wurde, ist nachvollziehbar.<\/p>\n

Jeder m\u00f6ge sich die Stellungnahme durchlesen und eigene Schl\u00fcsse ziehen. F\u00fcr mich ist vieles – insbesondere die Anzeige gegen den Entwickler – und wohl auch den Blogger, der das zuerst ver\u00f6ffentlichte und wohl eher nicht in Konkurrenz zu Modern Solutions steht – schlicht grotesk bzw. nicht nachvollziebar.<\/p>\n

Erg\u00e4nzung:<\/strong> Inzwischen hat mich jemand auf diesen Tweet<\/a> hingewiesen. Urspr\u00fcnglich hatte Modern Solutions (bestand 2021 aus 9 Mitarbeitern) wohl \"ihre eigene Darstellung der Dinge\" auf den eigenen Webseiten ver\u00f6ffentlicht (ist legitim, aber m.W. inzwischen gel\u00f6scht). Die Ausf\u00fchrungen zum zeitlichen Ablauf, dass keine Zeit blieb, \u00fcberhaupt zu reagieren, bevor die Meldung auf Wortfilter online ging, m\u00f6glichen Erpressungsversuchen und Konkurenzsituation mit dem Entdecker, sowie atmosph\u00e4rische St\u00f6rungen in der Kommunikation kann und mag ich nicht beurteilen\/bewerten – ich war nicht dabei.<\/p>\n

Mark Steier von Wortfilter ist, laut Tweet, gegen\u00a0 bestimmte Aussagen vorgegangen und hat eine einstweilige Verf\u00fcgung erwirkt. Bestimmte Behauptungen musste Modern Solutions dann entfernen.<\/p>\n

Ich w\u00fcrde daher zwei Sachen trennen wollen: Die Schwachstelle samt Berichterstattung bei Golem, heise und hier im Blog\u00a0 auf der einen Seite (erscheint mir im Nachgang pers\u00f6nlich alles sauber dargestellt). Sowie den Umgang der Beteiligten untereinander samt der sich anschlie\u00dfenden justistischen Problematik, auf der anderen Seite (Pr\u00e4dikat: h\u00e4tte besser\/anders laufen k\u00f6nnen\/sollen).<\/p><\/blockquote>\n

Dem Thema IT-Sicherheit in Deutschland hat dieser Fall aus meiner Sicht jedenfalls eine neue, unsch\u00f6ne Note hinzugef\u00fcgt. Hier muss das Verfahren vor dem Amtsgericht J\u00fclich abgewartet werden. F\u00fcr das Unternehmen Modern Solutions d\u00fcrfte der Ansatz, das Thema aus der \u00d6ffentlichkeit herauszuhalten oder eigene Fakten gegen zu setzen, eher kontraproduktiv gewesen sein. Denn durch die Anzeige kommt der Streisand-Effekt<\/a> immer wieder zum Tragen.<\/p>\n

Ich erinnere mich an den Fall von Lillith Wittmann (siehe Links am Artikelende), wo das Verfahren vom Staatsanwalt eingestellt wurde (in meinen Augen eine kluge Entscheidung). Und ich erinnere mich an einen Fall, wo ein Anbieter ebenfalls mit einem festen Datenbankkennwort arbeitete. Ein IT-Dienstleister hatte mich diesbez\u00fcglich kontaktiert und ich habe dann mit der Firma kommuniziert. Es wurde sofort telefonisch vom Gesch\u00e4ftsf\u00fchrer ein Fahrplan mit mir verabredet und dieser (wenn auch mit kleinen Verz\u00f6gerungen, die aber kommuniziert wurden) abgearbeitet. Das ist vorbildlich gelaufen, und nach Beseitigung des Problems habe ich das Ganze im Beitrag Festes SA SQL-Passwort bei windata 9-Banking-Software<\/a> ver\u00f6ffentlicht. So kann es also auch ablaufen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nKundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a>
\nDatenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)<\/a>
\nEntwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung<\/a>
\nModern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller<\/a>
\nAnzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen<\/a><\/p>\n

Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik<\/a>
\nCDU zieht Anzeige gegen Sicherheitsforscherin Wittmann zur\u00fcck<\/a>
\nCDU Connect: DSGVO-Pr\u00fcfverfahren der Landesdatenschutzbeauftragten l\u00e4uft<\/a>
\nCDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Neue juristische Volte im Fall eines Software-Entwicklers, der eine Schwachstelle in der Software der Firma Modern Solutions \u00f6ffentlich machte. Nachdem das Amtsgericht in J\u00fclich die Klage gegen den Entwickler abgewiesen hatte, gab das Landgericht Aachen der Beschwerde der Staatsanwaltschaft K\u00f6ln … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-285003","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285003","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285003"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285003\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285003"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285003"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285003"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}