![\"Paragraph\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2018\/11\/Para.jpg\" "\\"Recht\\"")
Vorige Woche fand vor dem Landgericht Aachen eine Berufungsverhandlung statt, in der es um einen Strafbefehl gegen einen Entwickler ging, der eine Sicherheitsl\u00fccke in einer Software von Modern Solution \u00f6ffentlich gemacht hatte. Das Gericht best\u00e4tigte den Strafbefehl des\u00a0Amtsgerichts J\u00fclich.<\/p>\n
<\/p>\n
Einem IT-Spezialisten war bei der Installation einer (H\u00e4ndler-) Software aufgefallen, dass eine Datenbankverbindung zu einem externen Server aufgebaut wurde, dort die Daten aber ungesichert \u00fcbermittelt wurden.<\/p>\n Nachdem die Schwachstelle ver\u00f6ffentlicht wurde, stellte Modern Solutions Strafanzeige gegen den Entdecker. Darauf hin gab es eine Hausdurchsuchung beim betreffenden Software-Entwickler samt Beschlagnahme von dessen Arbeitsger\u00e4ten. Ich hatte hier im Blog mehrfach dar\u00fcber berichtet (siehe Links am Artikelende).<\/p>\n Im weiteren Verlauf wurde der Entdecker der Schwachstelle auf Grund des \"Hackerparagraphen\" zu einer Geldstrafe von 3.000 Euro verurteilt (siehe Amtsgericht J\u00fclich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)<\/a>). Der Richter sah in der\u00a0Verwendung von phpMyAdmin zum Zugriff auf die Datenbank der Modern Solutionen eine strafbare Handlung nach \u00a7202a StGB.<\/p>\n Ich hatte im Blog-Beitrag\u00a0Makulatur: Digitalgesetzesvorhaben (Hackerparagraph & Co.) der Bundesregierung<\/a> nicht nur berichtet, dass die Novellierung des Hackerparagraphen in dieser Legislaturperiode durch den Bruch der Ampelkoalition gescheitert ist. Es wurde am auch Rande erw\u00e4hnt, dass am 4. November 2024 eine Berufungs-Verhandlung des Falls Modern Solutions vor dem Landgericht Aachen stattfand.<\/p>\n Mir selbst lag nur die Information des Betroffenen zur Verhandlung vor. Details hatte er mir nicht mitgeteilt. Die Redaktion von heise hat aber wohl Informationen von Prozessbeobachtern der Revisionsverhandlung erhalten, und das Ergebnis im Artikel\u00a0Modern Solution: Berufungsgericht best\u00e4tigt Schuld des Sicherheitsforschers<\/a> aufgegriffen.<\/p>\n Die Kurzfassung: Das Urteil des Amtsgerichts J\u00fclich, welches den Software-Entwickler als Entdecker der Schwachstelle auf Grund des Paragraphen \u00a7202a StGB zu einer Geldbu\u00dfe verdonnerte, wurde durch die Richter am Landgericht Aachen best\u00e4tigt. Interessant war f\u00fcr mich die Argumentation der Richter, die heise im oben verlinkten Artikel nachzeichnete:<\/p>\n Der Software-Entwickler hatte f\u00fcr einen Kunden ein Problem in dessen Software analysiert und festgestellt, dass dort eine Verbindung mit der eCommerce-Software von Modern Solutions aufgebaut und\u00a0die Software \"mit Log-Meldungen vollgem\u00fcllt\" wurde.<\/p>\n \u00dcber das im Sourcecode der Software abgelegte Passwort konnte sich der Entwickler den Inhalt der Modern Solutions SQL-Datenbank mittels der Software phpAdmin ansehen. Der Inhalt der Datenbank wurde durch Screenshots als Beweis dokumentiert.<\/p>\n Das Amtsgericht J\u00fclich interpretierte den Zugriff per Passwort auf die Datenbank mittels phpAdmin als strafbare Handlung im Sinne des Paragraphen \u00a7202a StGB und sprach eine Geldbu\u00dfe aus. Diese Sichtweise wurde durch das Landgericht Aachen jetzt best\u00e4tigt.<\/p>\n Carsten Presser (scheint als Prozessbeobachter der Verhandlung beigewohnt zu haben) hat die Leitlinien, die zur Verurteilung des Entwicklers f\u00fchrten, auf Mastodon<\/a> so zusammen gefasst.<\/p>\n Dass das Passwort im Klartext aus der Programmdatei deriviert werden konnte, scheint in diesem Kontext nicht relevant gewesen zu sein (solange das Kennwort nicht \u00f6ffentlich zug\u00e4nglich oder zu erraten war). Zitat:<\/p>\n Es ist egal wie man an das Kennwort gelangt. Relevant ist das die Datenbank mit einem Kennwort gesichert ist. Und das war nicht zu erraten oder \u00f6ffentlich zug\u00e4nglich.<\/p>\n Daher ist dem Gericht auch relativ egal ob und wie viel Aufwand man in reverse-engineering stecken muss.<\/p>\n Effektiv hat die Kammer keine Aussage dar\u00fcber getroffen ob und wie das Kennwort im binary gesch\u00fctzt war.<\/p>\n Die Kammer sagte das die Strafbarkeit vermieden werden k\u00f6nnte wenn der Angeklagte in dem Moment in dem er erkennt das er Daten sieht, f\u00fcr die er keine Berechtigung hat, die Verbindung unterbricht.<\/p>\n Der Knackpunkt an dem ganzen Prozess sind die Screenshots. Und deren Existenz ist unstrittig. Mehr nicht. Das ganze drum rum ist belanglos.<\/p>\n Diese Screenshots sind heute noch geschw\u00e4rzt online zu finden. Und am Anfang waren die wohl mit einsehbaren Daten von echten Menschen sichtbar im Netz.<\/p><\/blockquote>\n Carsten Presser sieht im Vorgang lediglich das Problem, dass der verantwortliche Staatsanwalt \u00f6ffentliches Interesse an der Strafverfolgung behauptet. Die Bestrafung desjenigen, die die Schwachstelle \u00f6ffentlich machte, stellt – neben der aktuellen Formulierung des \u00a7 203a ff. – das eigentliche Problem dar.<\/p>\n Interessant waren die Ausf\u00fchrungen von Presser zum Referentenentwurf zur (nun auf Eis gelegten) Neufassung des \u00a7 203a ff. StGB. Aussage des Staatsanwalts war, dass auch nach der geplanten Neufassung des Paragraphen es in dieser Fallkonstellation zu einer Verurteilung kommen w\u00fcrde. Knackpunkt war wohl die Anfertigung der Screenshots samt Ver\u00f6ffentlichung.<\/p>\n Ein Protokoll des Prozessverlaufs durch Preusser l\u00e4sst sich auf Mastodon nachlesen<\/a>. Der Anwalt des Beklagten will erneut in Revision gehen (wohl OLG K\u00f6ln) – allerdings sieht es f\u00fcr mich danach aus, dass auch in der n\u00e4chsten Instanz das Urteil best\u00e4tigt werden d\u00fcrfte.<\/p>\n Die Redaktion von heise hat sich in diesem Kommentar<\/a> zum Urteil ge\u00e4u\u00dfert.\u00a0F\u00fcr die Meldung von Schwachstellen ist das Urteil und die Fassung des \u00a7202a ff. fatal.\u00a0Presser zieht das harte Fazit: \"Mit dem aktuellen \u00a7202a ist Disclosure also tot. Mit dem neuen wird es besser, aber nicht sicher.\"<\/p>\n \u00c4hnliche Artikel:<\/strong> Vorige Woche fand vor dem Landgericht Aachen eine Berufungsverhandlung statt, in der es um einen Strafbefehl gegen einen Entwickler ging, der eine Sicherheitsl\u00fccke in einer Software von Modern Solution \u00f6ffentlich gemacht hatte. Das Gericht best\u00e4tigte den Strafbefehl des\u00a0Amtsgerichts J\u00fclich.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-305944","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305944","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=305944"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305944\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=305944"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=305944"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=305944"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Der Modern Solutions-Fall ist ein Paradebeispiel, was in der deutschen Gesetzgebung schief l\u00e4uft. Die Modern Solution GmbH & Co. KG ist wohl E-Commerce-Dienstleister f\u00fcr die Online-Plattformen diverser Anbieter (Check24, Otto, Rakuten oder Kaufland). Im Sommer 2021 wurde bekannt, dass ein schlecht gesicherter Zugang des Dienstleisters Modern Solution dazu f\u00fchrte, dass H\u00e4ndlerdaten (Bestellungen, Adressen und auch Kontodaten) f\u00fcr Dritte \u00fcber das Internet abrufbar bzw. einsehbar waren (siehe Kundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a>).<\/p>\n
Verurteilung des Entdeckers der Schwachstelle<\/h2>\n
\n
\nKundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a>
\nDatenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)<\/a>
\nEntwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung<\/a>
\nModern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller<\/a>
\nAnzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen<\/a>
\nIT-Experte, der Modern Solutions Schwachstelle \u00f6ffentlich gemacht hat, muss nun doch vor Gericht<\/a>
\nUrteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor<\/a>
\nHauptverhandlung gegen Entdecker der Modern Solutions-Schwachstelle im Januar 2024<\/a>
\nAmtsgericht J\u00fclich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"