![\"Paragraph\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2018\/11\/Para.jpg\" "\\"Recht\\"")
Es ist imho ein (weiterer) schwarzer Tag f\u00fcr die IT-Security in Deutschland. Ein Software-Entwickler und Entdecker einer schweren Sicherheitsl\u00fccke in der Software von Modern Solutions ist nun vom Amtsgericht J\u00fclich zu einer Geldstrafe verurteilt worden. Die Verwendung von phpMyAdmin (auf seinem lokalen System) wurde wohl nach \u00a7202a StGB als eine strafbare Handlung angesehen. Eine Berufung vor dem Landgericht Aachen ist bereits geplant.<\/p>\n
<\/p>\n
Die Modern Solution GmbH & Co. KG ist wohl E-Commerce-Dienstleister f\u00fcr die Online-Plattformen diverser Anbieter (Check24, Otto, Rakuten oder Kaufland). Der Sachverhalt wurde dann durch die Seite wortfilter.de<\/a> (Mark Steier) und durch diesen Artikel<\/a> des Spiegel publik. Ich selbst hatte im Blog-Beitrag Kundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a> \u00fcber diese Sicherheitsl\u00fccke bzw. den Fall berichtet. Der Entwickler hatte sich im Rahmen dieser Berichterstattung im Nachgang auch bei mir gemeldet.<\/p>\n Die Offenlegung der Schwachstelle war dann der Startschuss f\u00fcr eine (in meinen Augen) uns\u00e4gliche Justiz-Posse. Statt die Schwachstelle zu beseitigen und k\u00fcnftig besser zu werden, stellte die Modern Solution GmbH & Co. KG Anzeige gegen den IT-Entwickler und den Blogger Mark Steier wegen Aussp\u00e4hung von Daten und Datenhehlerei (das ging sp\u00e4ter aus den Ermittlungsakten hervor). Mitte September 2021 veranlasste die zust\u00e4ndige Staatsanwaltschaft K\u00f6ln die Durchsuchung der R\u00e4ume des IT-Spezialisten durch die Polizei.<\/p>\n Dabei wurden auch die Arbeitsger\u00e4te und Speichermedien des Entwicklers, der m.W. bei einem Kundenprojekt auf die Schwachstelle gesto\u00dfen war, beschlagnahmt. Ich hatte im Blog-Beitrag Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung<\/a> berichtet. Modern Solution argumentiert, dass der IT-Spezialist \"Mitbewerber\" sei und die Daten ausspioniert habe. Der Blogger habe sich dann durch die Ver\u00f6ffentlichung der Datenhehlerei schuldig gemacht. heise hatte die Ermittlungsakten vom Beschuldigten einsehen k\u00f6nnen (ich hatte im Beitrag Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen<\/a> berichtet).<\/p>\n Besonders krass: Die Ermittlungsakten beschuldigten den IT-Spezialisten und den Blogger (m.W. nach) eines DSGVO-Versto\u00dfes. Dass die Daten von hunderttausenden von Kunden der obigen genannten Unternehmen bei Online-K\u00e4ufen Dritten zug\u00e4nglich waren \u2013 und damit ein fetter DSGVO-Versto\u00df des Unternehmens Modern Solution vorlag, interessierte m.W. weder Justiz noch Datenschutzaufsicht \u2013 jedenfalls liegen mir aktuell keine Informationen \u00fcber einen entsprechenden Bu\u00dfgeldbescheid gegen das Unternehmen vor.<\/p>\n Nachtrag:<\/strong> Vom Entdecker der Schwachstelle habe ich gerade erfahren<\/a>, dass von Seiten des LDI NRW alle Verfahren (gegen das Unternehmen, gegen den Entdecker der Schwachstelle und gegen den Blogger Mark Steier) eingestellt wurden.<\/p>\n Im Sommer 2023 hatte ich im Beitrag Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen<\/a> berichtet, dass das Amtsgericht J\u00fclich den von der Staatsanwaltschaft K\u00f6ln beantragten Strafantrag gegen die IT-Spezialisten abgewiesen habe. Der betreffende Richter kam laut Aussage von heise, denen das Urteil vorliegt, zum Schluss, \"es liege keine Straftat vor, da die Daten, auf die der Sicherheitsexperte im Zuge seiner Untersuchungen Zugriff hatte, nicht effektiv gesch\u00fctzt gewesen seien\".<\/p>\n (Quelle: Pexels CC0 Lizenz)<\/p>\n Erg\u00e4nzung:<\/strong> Gem\u00e4\u00df diesem Kommentar<\/a> gab es in dieser Sache seinerzeit einen Beschluss des Amtsgerichts J\u00fclich, wo die Er\u00f6ffnung eines Hauptverfahrens aus Rechtsgr\u00fcnden (Zugriff nicht effektiv gesch\u00fctzt) abgelehnt wurde.<\/p>\n Was das Ganze f\u00fcr au\u00dfenstehende Beobachter endg\u00fcltig zur Justizposse (die Juristen sehen das aus formalen Gr\u00fcnden wohl anders) macht: Die Staatsanwaltschaft K\u00f6ln legte Beschwerde gegen das Urteil vor dem Landgericht Aachen ein. Die dortigen Richter gaben der Beschwerde der Staatsanwaltschaft K\u00f6ln statt (weil die Daten ja durch ein, m.W. fest codiertes und im Programmcode lesbares, \"Passwort gesch\u00fctzt\" gewesen seien \u2013 feste Passw\u00f6rter geh\u00f6ren zu den Kardinalfehlern in Sachen Cybersicherheit) und verwiesen das Verfahren an das Landgericht J\u00fclich zur\u00fcck (siehe Urteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor<\/a>).<\/p>\n Ich habe es gerade auf X vom Betroffenen gesehen, das Amtsgericht J\u00fclich hat zum 17. Januar 2024 wohl ein Urteil im nun er\u00f6ffneten Hauptverfahren gef\u00e4llt. Nachfolgende Tweets<\/a> geben einen kurzen Abriss. Zum Hintergrund: Der Software-Entwickler hat wohl eine lokale phpMyAdmin-Instanz verwendet, um w\u00e4hrend der Entwicklung einer Schnittstelle zur Modern Solutions-L\u00f6sung auf die Datenbank zuzugreifen (h\u00e4tte er nach dem Urteil, dessen schriftliche Begr\u00fcndung noch nicht vorliegt, nicht tun d\u00fcrfen).<\/p>\n In diesem Artikel<\/a> gibt es noch einige Hintergrundinformationen von jemandem, der der m\u00fcndlichen Verhandlung vor dem Amtsgericht J\u00fclich beiwohnte (ein Artikel der Aachener Zeitung ist hinter einer Paywall, d\u00fcrfte aber nicht mehr Sachinformationen beinhalten). Die Aussage des Prozessbeobachters: Da vor dem Amtsgericht J\u00fclich ein Strafbefehlsverfahren verhandelt wurde, hat der Richter aus Vereinfachungsgr\u00fcnden wohl nicht alle Aussagen im Detail \u00fcberpr\u00fcft. Es war lediglich zu kl\u00e4ren, ob der Zugriff auf die Daten nur durch \u00dcberwindung eines Hindernisses m\u00f6glich war und ob dieses Hindernis ausreichend hoch war (\u00a7202a StGB).<\/p>\n Das Gericht stellte in der (bisher nur m\u00fcndlich verk\u00fcndeten) Entscheidung fest, dass f\u00fcr den Zugriff auf die Datenbank eine Zugriffssoftware (hier phpAdmin) erforderlich war. Durch die Verwendung dieser Software, in die das Datenbankpasswort eingegeben wird, habe der Beschuldigte eine \"ausreichend hohe H\u00fcrde\" \u00fcberwunden, um sich strafbar zu machen.<\/p>\n Deshalb erfolgte die Verurteilung zu 50 Tagess\u00e4tzen (Quelle<\/a>), was nach Medienberichten eine Summe von 3.000 Euro (Quelle<\/a>) ergibt. Der Beschuldigte deutet in obigen Tweets an, dass er dieses Urteil nicht anerkennen wird und in Berufung vor dem Landgericht Aachen geht – wo dann wohl versucht wird, Gutachter zum Verfahren hinzuzuziehen.<\/p>\n Wenn ich es richtig mitbekommen bzw. in Erinnerung habe, konnte das Zugriffspasswort im Klartext \u00fcber einen Log einer Firewall mitgeschnitten werden. Hier gehen aber die juristischen Argumentationen der Richter nach meiner Erinnerung etwas \"durcheinander\". Das Landgericht Aachen hatte in seiner Entscheidung, den Fall nach der Beschwerde der Staatsanwaltschaft K\u00f6ln zur Wiederverhandlung vor dem Amtsgericht J\u00fclich zur\u00fcck zu geben, noch davon gesprochen, dass das Passwort \"durch decompilieren des Quellcodes ermittelt wurde\", was juristisch als erhebliche H\u00fcrde eingestuft wurde.<\/p>\n Wie dem auch immer sei – sobald ich ein Passwort ohne gr\u00f6\u00dferen Aufwand im Klartext extrahieren kann, ist die Cybersicherheit schlicht kaputt. \u00a7202a StGB versucht dann etwas zu \"kriminalisieren\", was einen Hacker mit kriminellen Absichten nicht von seinem Vorhaben abbringt, aber einen Entdecker eines solchen Sachverhalts davon abh\u00e4lt, das zu melden oder \u00f6ffentlich zu machen.<\/p>\n Nachtrag:<\/strong> Die Kollegen von heise haben den technischen Sachverhalt in diesem Artikel<\/a> sehr detailliert aufbereitet. Hintergrund ist, dass heise auch in den Vorverfahren die Beschl\u00fcsse vorlagen – es gibt einen Informationsfluss vom Beschuldigten zur Redaktion, wie ich mitbekommen habe (macht Sinn). Der Artikel von heise ist ganz lesenswert, um die Skurrilit\u00e4t des Ganzen zu erfassen.<\/p>\n Lange Rede kurzer Sinn: Das Urteil d\u00fcrfte f\u00fcr weitere Kontroversen sorgen, da der sogenannte Hackerparagraph \u00a7202a StGB und dessen Strafbewehrung zu einer Situation f\u00fchrt, in der sich Sicherheitsforscher bei der Aufdeckung von Schwachstellen strafbar machen. Die urspr\u00fcngliche Intention des Hackerparagraphen \u00a7202a StGB, (vors\u00e4tzlich) kriminelle Handlungen im IT-Bereich unter Strafe zu stellen, wird durch F\u00e4lle wie oben konterkariert.<\/p>\n Um es mal klarzustellen: Die Juristen beharken sich in der Frage, ob der Entdecker der Sicherheitsl\u00fccke auf die Daten zugreifen durfte und ob deren Schutzniveau \"ausreichend hoch\" f\u00fcr die Strafbarkeit nach \u00a7202a StGB war und die Ver\u00f6ffentlichung unter Datenhehlerei f\u00e4llt. Der Begriff \"ausreichend hoch\" ist dann dehnbar wie Gummi und wohl selten zielf\u00fchrend, da es im Hinblick auf die urspr\u00fcnglichen Ziele des \u00a7202a StGB auf die Intention ankommt (Fragestellung: Verschaffe ich mir die Daten oder den Zugriff in krimineller Absicht, oder versuche ich eine Schwachstelle zu evaluieren). Dass eine Schwachstelle existiert, weil die Daten mit einem (ohne gr\u00f6\u00dfere Kenntnisse zu ermittelnden Passwort) zugreifbar waren, und das Cyberkriminelle dies ausnutzen konnten, ist in diesem Kontext f\u00fcr die Juristen (zumindest aus meiner Sicht) nicht relevant.<\/p>\n Fachleute hatten meiner Erinnerung nach bei der Verabschiedung von \u00a7202a StGB auf genau diese Problematik (Kriminalisierung von Sicherheitsforschern und White Hat-Hackern) hingewiesen, konnten aber seinerzeit bei den Parlamentariern von CDU und SPD wohl nicht durchdringen.<\/p>\n In Konsequenz bedeutet dies, dass Sicherheitsforscher da nicht mehr (risikolos) genauer hinschauen d\u00fcrfen und Entdecker Sicherheitsl\u00fccken nicht mehr melden (jedenfalls, wenn sie noch bei Trost sind)\u00a0 – der Cybersicherheit wird damit in meinen Augen ein B\u00e4rendienst erwiesen. Security by Obscurity ist die Devise, wenn ich eine Sicherheitsl\u00fccke nicht kenne oder nicht \u00f6ffentlich mache, ist alles gut. Justizminister Buschmann wollte daher \u00a7202a StGB in dieser Hinsicht novellieren – was bisher aber nicht geschehen ist (ob es wirklich in 2024 auf eine Novelle hinausl\u00e4uft und wie diese ausf\u00e4llt, da wage ich keine Prognose).<\/p>\n Das J\u00fclicher Urteil (bzw. der noch nichts rechtskr\u00e4ftige Strafbefehl) d\u00fcrfte Wasser auf die M\u00fchlen der Kritiker sein. Denn es gibt noch viele \"Modern Solutions-F\u00e4lle\" – mir wurde ein Fall berichtet, wo eine breit im Einsatz befindliche Software das genau so macht und mit einem fest kodierten Zugangspasswort zur Datenbank operiert. Wer das Passwort kennt, k\u00f6nnte auf die pers\u00f6nlichen Daten von Millionen Kunden zugreifen. Momentan versuche ich herauszufinden, wer f\u00fcr diesen Sachverhalt verantwortlich ist.<\/p>\n In einem anderen Fall, den ich im Blog-Beitrag Festes SA SQL-Passwort bei windata 9-Banking-Software<\/a> dokumentiert habe, war eine Software zur Verwaltung von Finanzdaten von Bankkunden betroffen. Dort hatte ich mit den Entwicklern (die sehr zug\u00e4nglich waren) kooperiert und die Schwachstelle erst offen gelegt, als diese behoben war.<\/p>\n Als Blogger bin ich da, juristisch gesehen, weitgehend auf der sicheren Seite, da ich selbst solche Schwachstellen niemals selbst evaluiere und daher auch nicht auf die Daten zugreife. Sondern ich gehe Hinweisen aus der Leserschaft (die mir i.d.R. anonym zugehen) nach und versuche, den Sachverhalt mit den verantwortlichen Entwicklern zu kl\u00e4ren und dann die Sicherheitsl\u00fccke als responsible disclosure im Nachgang offen zu legen.<\/p>\n Eine Meldung an Landesdatenschutzbeauftragte ist \u00fcbrigens sinnlos – wie ich in mehreren F\u00e4llen festgestellt habe. Die Landesdatenschutzbeauftragten (oder der Bundesdatenschutzbeauftragte) f\u00fchlen sich f\u00fcr Sicherheitsl\u00fccken nicht zust\u00e4ndig (was juristisch wohl korrekt ist), sondern nur f\u00fcr F\u00e4lle, wenn eine DSGVO-Verletzung vorliegt und die Daten in unbefugte H\u00e4nde gefallen sind. Und da sind Unternehmen, denen der DSGVO-Versto\u00df passiert, in der Pflicht zu melden. Oder Betroffene greifen das auf und versuchen beim Landesdatenschutzbeauftragten vorstellig zu werden, was oft aber im Sande verl\u00e4uft.<\/p>\n Ich habe da noch einen Fall auf der Agenda, wo Sicherheitsl\u00fccken im Bereich der Gesundheits\u00e4mter existieren (siehe Cyber-Security I: Massive Sicherheitsl\u00fccken in deutschen Gesundheits\u00e4mtern \u2013 keinen interessiert es<\/a>), aber keine Konsequenzen gezogen werden. Noch ist ja nichts gravierendes in Sachen Datenschutzskandal passiert.<\/p>\n In diesem Kontext w\u00fcrde ich Deutschland (f\u00fcr mich gef\u00fchlt) als \"Bananenrepublik\" einstufen, wo sich IT-Verantwortliche und die Politik nach den t\u00e4glichen Cybervorf\u00e4llen verwundert in \"konnte ja keiner ahnen\", \"wir sind trotz Sicherheitssoftware von ausgebufften und kriminellen Angreifern gehackt worden\", \"passiert ja auch anderen Unternehmen\/Beh\u00f6rden, kann man nichts machen, ist ein Naturgesetz\" fl\u00fcchten.<\/p>\n Nat\u00fcrlich hei\u00dft es bei solchen Cybervorf\u00e4llen kernig \"es wurde Strafanzeige bei der Polizei gestellt, und die Staatsanwaltschaft sowie die Cyberkriminalit\u00e4ts-Spezialisten der LKAs sind eingeschaltet\". Darin sind \"wir\" gut, sanktionieren k\u00f6nnen wir – wo es leider hapert, ist die Cybersicherheit im Vorfeld zu sicherzustellen. Politiker schwafeln dann schon mal von \"Hackback-Operationen\", ohne die naheliegenden Konsequenzen und Ma\u00dfnahmen zur Verbesserung der Cyber-Resilienz umzusetzen. Und wenn sich jemand da bez\u00fcglich einer gefundenen Schwachstelle exponiert und es schlecht l\u00e4uft, wird er kriminalisiert (die Ern\u00fcchterung in Kreisen von Leuten, die in Sachen Cybersicherheit unterwegs sind, ist nach meinen Beobachtungen schon mit H\u00e4nden zu greifen, siehe z.B. den Tweet von Wittmann hier<\/a>). Wie hei\u00dft es: \"Es muss erst viel schlechter werden, bis es besser wird\".<\/p>\n Nach dem Schreiben dieses Blog-Beitrags ging mir pl\u00f6tzlich eine Begebenheit aus dem Jahr 1990 durch den Kopf. Damals stand ich in Nikko (Japan) vor einem buddhistischen Tempel<\/a> (bei einem meiner Arbeitsaufenthalte habe ich an Wochenende immer das Land bereist). Am (vermutlich Jahrhunderte alten) Fries des Tempels waren die drei Affen mit H\u00e4nden vor den Augen, auf den Ohren und auf dem Mund zu sehen. Warum geht mir pl\u00f6tzlich dieses Motiv nicht mehr aus dem Kopf … ich komme einfach nicht drauf.<\/p>\n \u00c4hnliche Artikel:<\/strong> Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik<\/a> Cyber-Security I: Massive Sicherheitsl\u00fccken in deutschen Gesundheits\u00e4mtern \u2013 keinen interessiert es<\/a> Es ist imho ein (weiterer) schwarzer Tag f\u00fcr die IT-Security in Deutschland. Ein Software-Entwickler und Entdecker einer schweren Sicherheitsl\u00fccke in der Software von Modern Solutions ist nun vom Amtsgericht J\u00fclich zu einer Geldstrafe verurteilt worden. Die Verwendung von phpMyAdmin (auf … Weiterlesen Im Sommer 2021 wurde bekannt, dass ein schlecht gesicherter Zugang des Dienstleisters Modern Solution dazu f\u00fchrte, dass H\u00e4ndlerdaten (Bestellungen, Adressen und auch Kontodaten) f\u00fcr Dritte \u00fcber das Internet abrufbar bzw. einsehbar waren (siehe Kundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a>). Einem IT-Spezialisten war bei der Installation einer (H\u00e4ndler-) Software aufgefallen, dass eine Datenbankverbindung zu einem externen Server aufgebaut wurde, dort die Daten aber ungesichert \u00fcbermittelt wurden.<\/p>\n
![\"Recht\"](\"https:\/\/web.archive.org\/web\/20231220191039\/https:\/\/borncity.com\/senioren\/wp-content\/uploads\/sites\/4\/2023\/05\/RKElCF4.jpg\" "\\"Recht\\"")
<\/p>\nAmtsgericht J\u00fclich f\u00e4llt Urteil<\/h2>\n
![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2024\/01\/image-10.png\")
<\/a><\/p>\nB\u00e4rendienst f\u00fcr die Cybersicherheit?<\/h2>\n
\nKundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a>
\nDatenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)<\/a>
\nEntwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung<\/a>
\nModern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller<\/a>
\nAnzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen<\/a>
\nIT-Experte, der Modern Solutions Schwachstelle \u00f6ffentlich gemacht hat, muss nun doch vor Gericht<\/a>
\nUrteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor<\/a>
\nHauptverhandlung gegen Entdecker der Modern Solutions-Schwachstelle im Januar 2024<\/a><\/p>\n
\nCDU zieht Anzeige gegen Sicherheitsforscherin Wittmann zur\u00fcck<\/a>
\nCDU Connect: DSGVO-Pr\u00fcfverfahren der Landesdatenschutzbeauftragten l\u00e4uft<\/a>
\nCDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein<\/a><\/p>\n
\nCyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen<\/a>
\nStillstand nach Cyberangriffen auf Kommunen in S\u00fcdwestfalen und Parkh\u00e4user in Osnabr\u00fcck<\/a>
\nCyberangriff auf S\u00fcdwestfalen IT trifft mindestens 103 Kommunen<\/a>
\nNeues zum Cyberangriff auf S\u00fcdwestfalen IT<\/a>
\nConvotis: ASP-Probleme mit GeigerCloud\/GeigerASP; DATEV-Steuerberater betroffen<\/a>
\nFestes SA SQL-Passwort bei windata 9-Banking-Software<\/a>
\nCyberangriffe auf Rechtsanw\u00e4lte Kapellmann, Geomed-Klinik Gerolzhofen; Angriffe auf ESXi-Server<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"