piwik no script img

taz zahl ich

IT-Experte wird angezeigtKein Dankeschön, sondern Polizei

Erneut wird ein IT-Experte angezeigt, nachdem er auf eine Sicherheitslücke hinwies. Datenträger wurden beschlagnahmt, der CCC verurteilt das Vorgehen.

Illustration: ein Mann sitzt an einem Schreibtisch und denkt binär
Wer in Deutschland auf Sicherheitslücken hinweist, wird oft kriminalisiert Foto: Gary Waters/imago
Denis Giessler
Von Denis Giessler

Die Causa um IT-Expert:innen, die Unternehmen und Parteien auf Sicherheitslücken aufmerksam machen und dann selbst kriminalisiert werden, geht in die nächste Runde. Ein Programmierer, der im Juni 2021 ein großes Datenleck bei der Firma Modern Solution entdeckte, wurde angezeigt, seine Firma von der Polizei durchsucht und Geräte beschlagnahmt, wie die Tech-Website Golem.de schreibt. Potenziell waren von der Sicherheitslücke 700.000 Kun­d:in­nen bei großen Online-Marktplätzen wie Check24, Otto oder Kaufland betroffen. Transaktionen ließen sich bis zum Sommer 2018 einsehen inklusive Anschriften und dazugehöriger Bankverbindungen.

Modern Solution ist ein sogenannter Schnittstellendienstleister, über den sich Einzelhändler an Marktplätze im Netz anbinden lassen können. Dafür nutzen die Händler eine Software des Unternehmens, die alle Bestellungen in Datenbanken auf den Unternehmensservern erfasst. Der IT-Spezialist stieß auf die Sicherheitslücke, weil er für einen Einzelhändler bei Modern Solution ein technisches Problem beheben sollte. So waren alle für den Serverzugriff notwendigen Zugangsdaten im Klartext in der Software gespeichert und bei Modern Solutions herunterladbar, und Kun­d:in­nen­da­ten waren seit Jahren nicht entfernt worden.

Im Sinne des responsible disclosure, also jenes Verfahrens, Sicherheitslücken an die zuständigen Stellen weiterzuleiten und erst dann öffentlich zu machen, wenn sie behoben sind, kontaktierte der Programmierer den Blogger Mark Steier, dessen Webseite wortfilter.de sich auf Onlinehandel spezialisiert hat. Laut Golem.de habe er Modern Solution per Mail und Telefon kontaktiert, das Unternehmen hätte die Sicherheitslücke allerdings abgestritten und auf weitere Anfragen nicht mehr reagiert.

Daraufhin wand sich Steier in einem Post vom 23. Juni an die Öffentlichkeit, Anfang Juli berichtete auch Spiegel Online. Laut Steier hätte Modern Solution erst nach der Veröffentlichung und Beschwerden durch die Händler reagiert. Der Versandhändler Otto stellte jedoch fest, dass das System weiter unsicher war, auch nachdem Modern Solution vorgegeben hatte, die Lücke gefixt zu haben.

Hausdurchsuchung als Dankeschön

Am gleichen Tag wurde Steier eine von Modern Solution für seine Kun­d:in­nen geschriebene Stellungnahme zugespielt. Darin wird der Programmierer indirekt beschuldigt, Daten abgegriffen zu haben und die eigene Verantwortung an der Sicherheitslücke negiert: „Inwiefern eine Weitergabe oder weitere Nutzung dieser Daten durch den,ethischen Hacker' erfolgt ist und ob es zu weiteren Zugriffen gekommen ist, ist uns derzeit nicht bekannt.“

Am 15. September durchsuchte schließlich die Polizei die Firma des Programmierers. Fünf Notebooks, drei externe Festplatten, zwei USB-Sticks und ein Rechner wurden beschlagnahmt. Auch das Smartphone des Betroffenen wurde eingezogen. Ob Modern Solution den Programmierer angezeigt hatte, ist anzunehmen, aber nicht belegt. Die Ermittlungen laufen. Um einen Prozess finanzieren zu können, wurde eine Fundraising-Aktion aufgesetzt, in kurzer Zeit sollen bereits mehr als 5.000 Euro gesammelt worden sein.

Der Chaos Computer Club verurteilt das Vorgehen gegen den Programmierer: „Was wir hier sehen, ist leider nur zu alltäglich in Deutschland“, sagt Dirk Engling, Pressesprecher des Chaos Computer Clubs. „Statt sich im Vorfeld nach Stand der Technik um die Sicherheit der eigenen Infrastruktur zu sorgen, simulieren die Betreiber schlecht gepflegter Systeme im Nachhinein Aktivität, indem sie Überbringer schlechter Nachrichten drangsalieren.“ Es könne laut Engling nicht im Interesse der IT-Sicherheit hierzulande sein, ehrenamtlich wirkenden Sicherheitsforschern mithilfe der Staatsmacht hinterherzusteigen.

Der Fall Lilith Wittmann

Der Fall des angezeigten Programmiers erinnert an den Fall Lilith Wittmann. Die IT-Sicherheitsexpertin hatte im Mai 2021 gravierende Sicherheitslücken in der CDU-Wahlkampf-App „CDUconnect“ entdeckt und den zuständigen Behörden weitergeleitet: dem Bundesamt für Sicherheit in der Informationstechnik, der Berliner Datenschutzbeauftragten und den verantwortlichen Stellen in der Union. Daraufhin zeigte die CDU Wittmann an, zog nach massivem öffentlichen Druck die Anzeige aber schließlich zurück und entschuldigte sich.

Die Staatsanwaltschaft Berlin ermittelte trotzdem weiter gegen die Sicherheitsexpertin wegen eines Verstoßes gegen den Paragrafen 202a/b/c StGB. Den von der Zivilgesellschaft kritisierten sogenannten Hackerparagrafen hatte die Große Koalition 2007 eingeführt. Er stellt das Überwinden von Sicherheitshürden etwa durch das Hacken von Passwörtern oder selbstgeschriebene Programme unter Strafe. Im September stellte die Staatsanwaltschaft das Verfahren schließlich ein, weil der Hackerparagraf nicht griff: Die Daten waren schlicht nicht gesichert, sondern öffentlich abrufbar.

Ein „totaler Gummiparagraf“

Wegen der mangelnden Datensicherung schaltete sich die Berliner Landesdatenschutzbeauftragte ein und untersuchte, ob die CDU-App womöglich gegen die Datenschutzgrundverordnung (DSGVO) verstößt. Die Prüfung läuft noch (Stand: 15.10.2021). Der Partei droht ein Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes.

Im Interview mit der taz kritisierte Wittmann den Hackerparagrafen als „totalen Gummiparagrafen“, weshalb es in Deutschland auch keine Kultur der responsible disclosure gäbe. „In Deutschland ist nicht mal das Rechtssystem auf responsible disclosure ausgelegt. Potenziell begehe ich immer, wenn ich eine Sicherheitslücke finde, eine Straftat“, sagte Wittmann. Ob das dann tatsächlich so angesehen werde, hänge aber vom technischen Verständnis und der Interpretation der Staatsanwaltschaft ab.

Das Beispiel des Programmiers und Modern Solution zeigt, „wie dringend wir hier eine Veränderung im Rechtsverständnis – weg von der Verfolgung derer, die die Lücken finden, hin zu einer Verfolgung der Verursacher – brauchen“, sagt die Sicherheitsforscherin.

Nachdem Wittmann auf Twitter auf die Causa um Modern Solution hinwies und implizit forderte, man brauche eine Übersicht für Unternehmen, „die sich dauerhaft für responsible disclosures disqualifiziert haben“, bauten zwei Ha­cke­r:in­nen die Webseiten „Unverantwortli.ch“ und „better save then sorry“, auf der jene Unternehmen und Organisationen aufgeführt werden, die sich weigern, am responsible disclosure-Verfahren teilzunehmen. Das Unternehmen Modern Solution und die CDU sind vorerst Spitzenreiter.

Der Text wurde um ein Statement des Chaos Computer Clubs ergänzt. Letzte Aktualisierung: 15.10.2021, 15:14 Uhr

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Themen #Überwachung #Hacking #DSGVO #Datenbank #Datenschutz #Chaos Computer Club
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Eine Person hinter einem Laptop, auf dem verschiedene Sticker geklebt sind. Unter anderem steht auf einem Sticker "Defekt", ein anderer zeigt das Linux-Maskottchen Tux, ganz oben steht auf einem Sticker: "Alles Zweifelhafte muss angezweifelt werden."

Kongress des Chaos Computer Clubs

Der CCC im Hier und Jetzt

Der rC3 tut der Zivilgesellschaft gut, auch weil er online stattfindet. Zentral diskutiert wird die Frage der Freiheit.
Von Johannes Drosdowski
Ein als Polizist mit Schweinemaske verkleidete Person vor einem New Yorker Polizeiauto

Reddit in Deutschland

Das bessere Internet

Das soziale Netzwerk Reddit eröffnet eine Außenstelle in Berlin-Mitte. Die Plattform wächst, doch Use­r:in­nen kritisieren die Kommerzialisierung.
Von Denis Gießler
Eine junge Frau mit langen, dunklen Haaren und Brille sitzt mit Laptop zwischen Pflanzen

Lilith Wittmann über Wahlkampf-Apps

„Manche spielen Sudoku. Ich hacke“

Die Sicherheitsexpertin Lilith Wittmann hat in der CDU-Wahlkampf-App Schwachstellen gefunden. Ein Gespräch über Hacker*innen-Ehre.
Interview von Johannes Drosdowski

10 Ausgaben für 10 Euro

Die Wochenzeitung mit taz-Blick

Unsere wochentaz bietet jeden Samstag Journalismus, der es nicht allen recht macht und Stimmen, die man woanders nicht hört. Jetzt zehn Wochen lang kennenlernen.
Jetzt bestellen

18 Kommentare

 / 
  • J

    Die rechtliche Situation hängt auch mit dem Unwillen der "Hackerszene" ab, staatliche Regulierung zu akzeptieren und gestalten zu wollen. Lt dem Bericht wurde im Fall modern solution keine staatlichen Stellen informiert. Bei späteren Vorwürfen könnte man sich darauf berufen. Das wird am Anfang möglicherweise auch nicht einfach, aber das würde helfen. Bei der CDU hat scheinbar einiges gefruchtet und die haben jetzt ein Problem. Warum die CDU trotz Entschuldigung auf der Liste nicht kooperativer Organisationen oben steht, kann ich nicht nachvollziehen. Die Weiterverbreitung und Nutzung muss stärker in den Focus rücken, dass wird aber in der Hackerszene behindert. Solange das Internet undemokratische Verschleierung von Quellen fördert, ist der Konflikt nicht demokratisch zu lösen.

    • S
      @jogi19:

      Lilith hatte alles richtig gemacht und wurde dennoch angezeigt und von Staats wegen verfolgt. Sie hat letztlich nur Glück gehabt

      Der von Ihnen kritisierte Unwillen hat gute Gründe.

  • J

    > In diesem Fall hätte es erstmal gereicht, wenn der Programmierer das Problem seinem Kunden, dem Einzelhändler, gemeldet hätte. Dieser hätte bei seinem Kunden, der Modern Solution, um Fehlerbehebung dringen können.

    Oder aber die Daten der Wettbewerber ungestört absaugen können.

    Es hat einen Grund, warum Informationen zu Sicherheitslücken bei professionellem Management stets direkt vom Entdecker zum Hersteller der Software gehen, ohne Umweg über Dritte.

  • J

    Eine Firma wie Modern Solution, die von einer schwerwiegenden Sicherheitslücke erfährt, die persönliche Daten betrifft, und nicht ihre Kunden und die betroffenen Personen informiert, verstösst übrigens auch gegen die DSGVO und damit gegen geltendes Recht.

    Eine bekannt gewordene Sicherheitslücke einfach abzustreiten und nicht zu beheben, ist nicht mehr legal und dürfte auch zu zivilrechtlichen Ansprüchen führen.

  • P

    "...weil er für einen Einzelhändler bei Modern Solution ein technisches Problem beheben sollte."



    Moooment. Er war hier somit nicht ehrenamtlich unterwegs, sondern für ein Partnerunternehmen von Modern Solution. Damit gelten auch alle kleingedruckten NGAs für ihn.

    • M
      @PS007:

      Wo fange ich an... Mich hat eine Kunde beauftrag die Schnittstelle wegen eines Fehlers anzuschauen. Die hat ihm förmlich seine Datenbank kaputt gemacht. In dem Zuge ist mir das Leck aufgefallen. Ich wurde von Niemandem bezahlt. Selbt dem Kunden habe ich die Analyse NICHT in Rechnung gestellt. Der Kunde ist ebenfalls Kunde bei Modern Solution. Ich habe es vor allem als meine Pflicht der Allgemeinheit gegenüber gesehen, die Lücke nach der Abwehrhaltung der Modern Solution zu veröffentlichen. Dafür habe ich zusammen mit Mark Steier einen Zeitpunkt gewählt, an dem die Datenbank vom Netz war, um keinen größeren Schaden anzurichten. Ich habe selbstverständlich meinen Kunden davon unterrichtet. Eine NDA war nicht im Spiel, zumindest nicht zwischen mir und meinem Kunden. Selbst wenn, wiegt das öffentliche Interesse aus meiner Sicht höher.

    • FF
      @PS007:

      "weil er für einen Einzelhändler bei Modern Solution ein technisches Problem beheben sollte."

      Da steht nicht, dass er eine Sicherheistlücke finden sollte.



      Er wird dann schwerlich auf Kosten des Auftraggebers der Lücke nachgegangen sein.



      Und dass ihn irgendwer mit der Untersuchung und Kommunikation an Modern Solutions beauftragt und bezahlt hat, steht nirgendwo.

      • P
        @flip flop:

        Es geht ja auch nicht darum, was genau gemacht werden musste, sondern dass hier ein Vertragsverhältnis vorlag. Und das beinhaltet implizit immer eine Vertraulichkeit mit allen Daten und Erkenntnissen.



        Durch diese Nummer wurde ja auch das Vertrauensverhältnis vom Softwarelieferanten zu diesem Einzelhändler zerstört.

        • FF
          @PS007:

          Er hatte wenn, dann eine Vertragsverhältnis mit dem Einzelhändler -- nicht mit dem Dienstleister.



          Dass er die per NDA o.ä. (dessen Existenz Sie auch nur behaupten) erlangen Kenntnisse benötigt hat, ist Konjektur -- mindestens genauso wahrscheinlich ist, dass er ohne diese Kenntnisse zu seinen Ergebnissen kam.

          Bringen Sie doch bitte Belege dafür haben, dass hier NDAs im Spiel sind und relevant waren.

    • AB
      @PS007:

      Moooment: Wenn ein Architekt — egal in welchem Rahmen — ein Sicherheitsproblem sieht, ist er verpflichtet, es zu melden. Meldet er es nicht, kann er sich strafbar machen. Ein Auflage von einem Auftraggeber, Sicherheitsmängel zu verschweigen, wäre vermutlich strafbar.

      Wenn ein Software-Entwickler ein Sicherheitsproblem sieht …

      Ja, genau. Hier ist ein Gesetzesproblem.

      • G
        @Arne Babenhauserheide:

        In diesem Fall hätte es erstmal gereicht, wenn der Programmierer das Problem seinem Kunden, dem Einzelhändler, gemeldet hätte. Dieser hätte bei seinem Kunden, der Modern Solution, um Fehlerbehebung dringen können. Bei Unterlassen hätte der Einzelhändler entsprechend juristische Schritte einleiten können und zum Schutze seiner Kundendaten vermutlich auch getan.

        • AB
          @Gorch:

          Was ist mit den ganzen anderen Kunden von Modern Solution?

          Er hat sich zuerst an Modern Solution gewendet, und als die die Lücke nicht behoben und nicht mehr reagiert und so in vollem Bewusstsein Leute gefährdet haben, hat er eskaliert.

          Das war genau richtig und sollte so auch rechtlich verpflichtend für alle mit der entsprechenden Ausbildung sein.

      • P
        @Arne Babenhauserheide:

        Eine Meldepflicht kann aber gewaltig ausufern. Das muss dann ja auch jemand mit Fachwissen bearbeiten.



        Und dann gibt es viele Branchen, die hier noch vor der IT dran wären. Der medizinische Bereich wäre so ein Beispiel.

        • AB
          @PS007:

          Wenn du im Medizinbereich als Arzt eine Gesungheitsgefährdung siehst und nicht meldets, können idch Leute dann belangen?

          Warum haben Ärzte wohl so lange Belehrungsbögen?

      • L
        @Arne Babenhauserheide:

        Wieso? Das Gesetz schützt -- wie so viele Gesetze in Deutschland -- die Interessen der Wirtschaft. Andere Interessen sind da immer nachrangig.



        Das ist CDU pur! Immer mit denen Kungeln, bei denen der Rubel rollt. Alle anderen sind Störenfriede.

    • L
      @PS007:

      So eine Verdreherei. Der Auftrag für den er bezahlt wurde, lautete "behebe den Fehler". Nicht "entdecke massive Sicherheitslücke".

  • K

    Der Hackerparagraf muß angepaßt werden, so daß gute Hacker (neudeutsch "ethical hacker") die Möglichkeit bekommen, auf Schwachstellen aufmerksam zu machen, ohne Repressalien befürchten zu müssen.

    Der Hacker ist ja in diesem Zusammenhang nicht der Täter, sonder überbringt nur die Botschaft - "hey, deine Systeme stehen sperrangelweit offen, mach was!" Natürlich unangenehm für die Firma, schließlich sieht sie dann inkompetent aus, aber besser als plötzlich erpreßt zu werden oder Millionen Datensätze von Kunden im Internet wiederzufinden...

    "Don't kill the messenger", wie der Engländer sagt, töte nicht den Boten. Er kann nichts dafür.

  •

    Der Paragraph § 202c StGB ist in der Tat etwas, das man als Gesetzesmüll bezeichnen muss. Damit wird die Herstellung und Verbreitung von Computerprogrammen, die man u.a. auch einsetzen kann, um Sicherheitslücken in Computernetzen aufzuspüren, strafbewehrt. Das Gesetz konterkariert also die Intention, die man eigentlich damit verbinden wollte - nämlich den Schutz von Daten.



    Wer - wie auch immer - z.B. in den Besitz von fremden Passwörtern gekommen ist, macht sich nach § 202a StGB strafbar, wenn er diese elektronisch weitergibt. Schreibt er sie auf ein Blatt Papier und gibt sie so weiter, ist alles in Ordnung. Ich habe keinen Zweifel, dass sich der Gesetzgeber dabei irgendetwas gedacht hat, aber was das war, wird wohl auf ewig sein Geheimnis bleiben.

meistkommentiert

1

Die Regierungskrise der Ampel

Schnelle Neuwahlen sind besser für alle

2

Auflösung der Ampel-Regierung

Drängel-Merz

3

+++ Nach dem Ende der Ampel +++

Habeck hat Bock

4

Israelische Fans angegriffen

Gewalt in Amsterdam

5

Angriffe auf israelische Fans

Sie dachten, sie führen zum Fußball

6

Elon Musk, Jeff Bezos & Co.

Trump-Wahl macht reichste Menschen noch reicher