{"id":307166,"date":"2024-12-18T00:01:23","date_gmt":"2024-12-17T23:01:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=307166"},"modified":"2024-12-17T22:29:54","modified_gmt":"2024-12-17T21:29:54","slug":"sachstand-im-modern-solution-verfahren","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/12\/18\/sachstand-im-modern-solution-verfahren\/","title":{"rendered":"Sachstand im \"Modern Solution\"-Verfahren"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"Recht\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2018\/11\/Para.jpg\" alt=\"Paragraph\" width=\"91\" height=\"88\" align=\"left\" border=\"0\" \/>Kleines Update im Sachstand zum sogenannten \"Modern Solution\"-Verfahren, bei dem der Entdecker einer Schwachstelle zu einer Geldstrafe verurteilt wurde &#8211; der sogenannte Hackerparagraph macht es m\u00f6glich. Der Anwalt des Software-Entwicklers, der die Schwachstelle entdeckte, \u00e4u\u00dfert sich zum juristischen Kern des Verfahrens und wirft ein Schlaglicht auf das, was die deutsche Justiz aus einem solchen Fall macht. Und ein kurzer Ausblick in Sachen \"Novelle des Hackerparagraphen\".<\/p>\n<p><!--more--><\/p>\n<h2>Worum geht es beim \"Modern Solution\"-Verfahren?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/6fdbb5351033453ea430c4da18125a96\" alt=\"\" width=\"1\" height=\"1\" \/>Einem IT-Spezialisten war bei der Installation einer (H\u00e4ndler-) Software eine Datenbankverbindung zu einem externen Server aufgefallen, wo die Daten aber ungesichert \u00fcbermittelt wurden. Bei einem genauen Blick fiel dem Software-Entwickler auf, dass der Server von Modern Solution GmbH &amp; Co. KG betrieben wurde. Dieser fungiert als E-Commerce-Dienstleister f\u00fcr die Online-Plattformen diverser Anbieter (Check24, Otto, Rakuten oder Kaufland).<\/p>\n<p>Der schlecht gesicherter Zugang des Dienstleisters Modern Solution f\u00fchrte dazu, dass H\u00e4ndlerdaten (Bestellungen, Adressen und auch Kontodaten) f\u00fcr Dritte \u00fcber das Internet abrufbar bzw. einsehbar waren (siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/07\/01\/kundendaten-von-online-marktpltzen-otto-kaufland-check24-einsehbar\/\">Kundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a>).<\/p>\n<p>Da die Schwachstelle nicht zeitnah geschlossen wurde, ging der Entdecker der Sicherheitsl\u00fccke an die \u00d6ffentlichkeit. Das veranlasste Modern Solution eine Anzeige zu stellen, worauf die Staatsanwaltschaft K\u00f6ln ein Strafverfahren einleitete. Es kam zur Hausdurchsuchung samt Beschlagnahme von Arbeitsger\u00e4ten beim betreffenden Software-Entwickler.<\/p>\n<p>Nach diversen Verhandlungen vor Gerichten wurde der Entdecker der Schwachstelle erstinstanzlich vom Amtsgericht J\u00fclich auf Grund des \"Hackerparagraphen\" zu einer Geldstrafe von 3.000 Euro verurteilt (siehe <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/18\/amtsgericht-jlich-verurteilt-entdecker-der-modern-solutions-schwachstelle-zu-geldstrafe-jan-2024\/\">Amtsgericht J\u00fclich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)<\/a>). Der Richter sah in der Verwendung von phpMyAdmin zum Zugriff auf die Datenbank der Modern Solutionen eine strafbare Handlung nach \u00a7202a ff. StGB. Das Landgericht Aachen best\u00e4tigte in der Berufungsverhandlung des Urteil des Amtsgerichts. Inzwischen geht das Verfahren am Oberlandesgericht K\u00f6ln in eine weitere Berufung.<\/p>\n<h2>Der Anwalt skizziert die Probleme<\/h2>\n<p>Als normal denkender Mensch geht man davon aus, dass die Richter sich den Fall ansehen, das Ganze an Beweismitteln unter Ber\u00fccksichtigung der Gesamtsicht spiegeln und dann urteilen. In der ersten Verhandlung vor dem Amtsgericht J\u00fclich war dies wom\u00f6glich der Fall &#8211; denn der Angeklagte wurde freigesprochen. Die staatsanwaltliche Berufung vor dem Landgericht Aachen f\u00fchrte zur Zur\u00fcckverweisung des Falls am Amtsgericht J\u00fclich und dann zur Verurteilung.<\/p>\n<p>Der Anwalt des Software-Entwicklers hat den aktuellen Sachstand aus seiner Sicht in einigen Punkten zusammengefasst. Ich bin \u00fcber nachfolgenden <a href=\"https:\/\/x.com\/der_sofc\/status\/1868690982503649365\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> auf diese Stellungnahme gesto\u00dfen.<\/p>\n<p><a href=\"https:\/\/x.com\/der_sofc\/status\/1868690982503649365\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/7YnRbWNB\/image.png\" alt=\"Sachstand &quot;Modern Solution&quot;-Verfahren\" width=\"584\" height=\"742\" \/><\/a><\/p>\n<p>Geht man die <a href=\"https:\/\/www.linkedin.com\/feed\/update\/urn:li:activity:7274279425104384000\/\" target=\"_blank\" rel=\"noopener\">Erl\u00e4uterungen des Anwalts<\/a> auf LinkedIn durch, fallen einem als juristischem Laien nur die Kinnladen herunter. Als erstes ist die Information, dass die Richter im Strafverfahren Beweisantr\u00e4ge ablehnen k\u00f6nnen, so dass wesentliche Sachfragen juristisch nicht er\u00f6rtert werden konnten.<\/p>\n<p>Der Entdecker der Sicherheitsl\u00fccke wurde dann verurteilt, weil er \u00fcber phpAdmin mittels Passwort auf die Datenbank von Modern Solutions zugegriffen hatte und dann dies per Screenshot dokumentierte. Dass das Passwort im Klartext durch einen Hexeditor in der Programmdatei gelesen werden konnte, interessierte das Gericht weniger. Hier einige Zitate aus der Zusammenfassung des Anwalts:<\/p>\n<ul>\n<li>de facto wurden nur zusammenfassende Ermittlungsberichte verlesen, ohne Zeugenvernehmung (nach h\u00f6chstrichterlicher Rechtsprechung bereits unzul\u00e4ssig);<\/li>\n<li>es wurde eine E-Mail verlesen, in der auf einen Anhang verwiesen wurde, der einen Screenshot \"der Daten\" beinhalten sollte [&#8230;], der omin\u00f6se Screenshot existiert [&#8230;] bis heute weder in der Akte, noch wurden irgendwelche Feststellungen dar\u00fcber getroffen, was darauf zu sehen ist.<\/li>\n<li>Der Empf\u00e4nger der Mail wurde nicht als Zeuge dazu befragt, was darauf zu sehen gewesen sein soll. Insbesondere gab es keine (!) Feststellungen dazu, ob auf dem Screenshot Kundendaten oder nur die Datenbankstruktur zu sehen war.<\/li>\n<li>Das Urteil, das sich auf diesen Baustein ganz Wesentlich st\u00fctzt, geht insoweit ausdr\u00fccklich von blo\u00dfen Vermutungen aus.<\/li>\n<\/ul>\n<p>Erschreckend war f\u00fcr den Anwalt, so beschreibt dieser seinen Eindruck von der Verhandlung, dass sich die vorsitzende Richter im Rahmen der Urteilsbegr\u00fcndung direkt an das Publikum gewandt hat, um zu erkl\u00e4ren, warum die \u00f6ffentliche Berichterstattung und das Urteil des Gerichts voneinander abweichen. Der Anwalt zeigt sich\u00a0verst\u00f6rt, scheint dieses Vorgehen vor Gericht wohl eher un\u00fcblich zu sein.<\/p>\n<p>Der Anwalt stellt weiterhin fest, dass man nun \u00fcber die zwei Gerichtsinstanzen immer weiter von der eigentlichen Rechtsfrage entfernt sei, die aber durch die Screenshot-Thematik noch interessanter wurde. Hier die Rechtsfrage:<\/p>\n<ul>\n<li>Wenn ein IT-Dienstleister im Rahmen seiner T\u00e4tigkeit f\u00fcr einen Kunden eine Sicherheitsl\u00fccke entdeckt, darf er diese dann \u00fcberhaupt offenlegen (das LG AC hat die T\u00e4tigkeit nun nach Lesart des Anwalts festgestellt, wenn auch nur konkludent)?<\/li>\n<li>Ist es zul\u00e4ssig, im Zuge der Entdeckung der Sicherheitsl\u00fccke diese (a) niedrigschwellig zu verifizieren (hier: Login auf MySQL-Server) und (b) dies durch Screenshots, die m\u00f6glicherweise gesch\u00fctzte\/personenbezogene Daten enthalten, zu dokumentieren, auch um sich beim Vorwurf falscher Behauptungen zu wehren?<\/li>\n<\/ul>\n<p>Zu (b) fehlen laut Anwalt die Feststellungen. Damit ist f\u00fcr ihn \"das Verfahren vergiftet\". Er schreibt, dass das unsaubere prozessuale Vorgehen der Gerichte in J\u00fclich und Aachen jetzt beim OLG K\u00f6ln im Fokus stehen. Was immer noch nicht gekl\u00e4rt ist, ist die eigentliche Rechtsfrage, wie der Hackerparagraph in einem solchen Fall auszulegen ist.<\/p>\n<p>Jeder der eine Schwachstelle entdeckt, sollte sich besser drei Mal \u00fcberlegen, ob er diese meldet &#8211; es ist h\u00f6chstens eine Meldung \u00fcber die Presse (die Quellenschutz beanspruchen kann) denkbar.<\/p>\n<h2>Wie steht es um die Novelle des Hackerparagraphen<\/h2>\n<p>Eigentlich hatte Justizminister Marco Buschmann (FDP) eine Novellierung des Paragraphen 203 StGB geplant.\u00a0Die Gesellschaft f\u00fcr Informatik (GI) und die AG Kritis hatten sich mit dem Referentenentwurf auseinander gesetzt und forderten Korrekturen. heise hat in <a href=\"https:\/\/www.heise.de\/news\/Zivilgesellschaft-macht-Druck-beim-Einhegen-der-Hackerparagrafen-10211017.html\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> aktuell den Sachstand zusammengefasst. Durch die geplatzte Koalition ist die Novellierung des \u00a7203 a bis c aber\u00a0 in dieser Legislaturperiode Geschichte, ich erwarte da nichts mehr.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/01\/kundendaten-von-online-marktpltzen-otto-kaufland-check24-einsehbar\/\">Kundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/01\/18\/datenleck-bei-deutschen-shopping-plattformen-700-000-kundendaten-online\/\">Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/10\/16\/entwickler-meldet-modern-solution-datenleck-darauf-anzeige-und-hausdurchsuchung\/\">Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/06\/modern-solution-datenleck-anzeige-gegen-entwickler-kam-vom-hersteller\/\">Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/06\/13\/anzeige-von-modern-solution-gegen-entdecker-einer-schwachstelle-vor-gericht-abgewiesen\/\">Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/17\/it-experte-der-modern-solutions-schwachstelle-ffentlich-gemacht-hat-muss-nun-doch-vor-gericht\/\">IT-Experte, der Modern Solutions Schwachstelle \u00f6ffentlich gemacht hat, muss nun doch vor Gericht<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/29\/urteil-des-lg-aachen-fall-modern-solution-schwachstelle-liegt-vor\/\">Urteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/12\/13\/hauptverhandlung-gegen-entdecker-der-modern-solutions-schwachstelle-im-januar-2024\/\">Hauptverhandlung gegen Entdecker der Modern Solutions-Schwachstelle im Januar 2024<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/18\/amtsgericht-jlich-verurteilt-entdecker-der-modern-solutions-schwachstelle-zu-geldstrafe-jan-2024\/\">Amtsgericht J\u00fclich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/11\/11\/modern-solution\/\" rel=\"bookmark\">Landgericht Aachen best\u00e4tigt Urteil gegen Entdecker einer Modern Solution-Schwachstelle<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Kleines Update im Sachstand zum sogenannten \"Modern Solution\"-Verfahren, bei dem der Entdecker einer Schwachstelle zu einer Geldstrafe verurteilt wurde &#8211; der sogenannte Hackerparagraph macht es m\u00f6glich. Der Anwalt des Software-Entwicklers, der die Schwachstelle entdeckte, \u00e4u\u00dfert sich zum juristischen Kern des &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/12\/18\/sachstand-im-modern-solution-verfahren\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,426],"tags":[4023,4328],"class_list":["post-307166","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-sicherheit","tag-recht","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/307166","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=307166"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/307166\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=307166"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=307166"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=307166"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}