IT-Experte wird angezeigt: Kein Dankeschön, sondern Polizei
Erneut wird ein IT-Experte angezeigt, nachdem er auf eine Sicherheitslücke hinwies. Datenträger wurden beschlagnahmt, der CCC verurteilt das Vorgehen.
Die Causa um IT-Expert:innen, die Unternehmen und Parteien auf Sicherheitslücken aufmerksam machen und dann selbst kriminalisiert werden, geht in die nächste Runde. Ein Programmierer, der im Juni 2021 ein großes Datenleck bei der Firma Modern Solution entdeckte, wurde angezeigt, seine Firma von der Polizei durchsucht und Geräte beschlagnahmt, wie die Tech-Website Golem.de schreibt. Potenziell waren von der Sicherheitslücke 700.000 Kund:innen bei großen Online-Marktplätzen wie Check24, Otto oder Kaufland betroffen. Transaktionen ließen sich bis zum Sommer 2018 einsehen inklusive Anschriften und dazugehöriger Bankverbindungen.
Modern Solution ist ein sogenannter Schnittstellendienstleister, über den sich Einzelhändler an Marktplätze im Netz anbinden lassen können. Dafür nutzen die Händler eine Software des Unternehmens, die alle Bestellungen in Datenbanken auf den Unternehmensservern erfasst. Der IT-Spezialist stieß auf die Sicherheitslücke, weil er für einen Einzelhändler bei Modern Solution ein technisches Problem beheben sollte. So waren alle für den Serverzugriff notwendigen Zugangsdaten im Klartext in der Software gespeichert und bei Modern Solutions herunterladbar, und Kund:innendaten waren seit Jahren nicht entfernt worden.
Im Sinne des responsible disclosure, also jenes Verfahrens, Sicherheitslücken an die zuständigen Stellen weiterzuleiten und erst dann öffentlich zu machen, wenn sie behoben sind, kontaktierte der Programmierer den Blogger Mark Steier, dessen Webseite wortfilter.de sich auf Onlinehandel spezialisiert hat. Laut Golem.de habe er Modern Solution per Mail und Telefon kontaktiert, das Unternehmen hätte die Sicherheitslücke allerdings abgestritten und auf weitere Anfragen nicht mehr reagiert.
Daraufhin wand sich Steier in einem Post vom 23. Juni an die Öffentlichkeit, Anfang Juli berichtete auch Spiegel Online. Laut Steier hätte Modern Solution erst nach der Veröffentlichung und Beschwerden durch die Händler reagiert. Der Versandhändler Otto stellte jedoch fest, dass das System weiter unsicher war, auch nachdem Modern Solution vorgegeben hatte, die Lücke gefixt zu haben.
Hausdurchsuchung als Dankeschön
Am gleichen Tag wurde Steier eine von Modern Solution für seine Kund:innen geschriebene Stellungnahme zugespielt. Darin wird der Programmierer indirekt beschuldigt, Daten abgegriffen zu haben und die eigene Verantwortung an der Sicherheitslücke negiert: „Inwiefern eine Weitergabe oder weitere Nutzung dieser Daten durch den,ethischen Hacker' erfolgt ist und ob es zu weiteren Zugriffen gekommen ist, ist uns derzeit nicht bekannt.“
Am 15. September durchsuchte schließlich die Polizei die Firma des Programmierers. Fünf Notebooks, drei externe Festplatten, zwei USB-Sticks und ein Rechner wurden beschlagnahmt. Auch das Smartphone des Betroffenen wurde eingezogen. Ob Modern Solution den Programmierer angezeigt hatte, ist anzunehmen, aber nicht belegt. Die Ermittlungen laufen. Um einen Prozess finanzieren zu können, wurde eine Fundraising-Aktion aufgesetzt, in kurzer Zeit sollen bereits mehr als 5.000 Euro gesammelt worden sein.
Der Chaos Computer Club verurteilt das Vorgehen gegen den Programmierer: „Was wir hier sehen, ist leider nur zu alltäglich in Deutschland“, sagt Dirk Engling, Pressesprecher des Chaos Computer Clubs. „Statt sich im Vorfeld nach Stand der Technik um die Sicherheit der eigenen Infrastruktur zu sorgen, simulieren die Betreiber schlecht gepflegter Systeme im Nachhinein Aktivität, indem sie Überbringer schlechter Nachrichten drangsalieren.“ Es könne laut Engling nicht im Interesse der IT-Sicherheit hierzulande sein, ehrenamtlich wirkenden Sicherheitsforschern mithilfe der Staatsmacht hinterherzusteigen.
Der Fall Lilith Wittmann
Der Fall des angezeigten Programmiers erinnert an den Fall Lilith Wittmann. Die IT-Sicherheitsexpertin hatte im Mai 2021 gravierende Sicherheitslücken in der CDU-Wahlkampf-App „CDUconnect“ entdeckt und den zuständigen Behörden weitergeleitet: dem Bundesamt für Sicherheit in der Informationstechnik, der Berliner Datenschutzbeauftragten und den verantwortlichen Stellen in der Union. Daraufhin zeigte die CDU Wittmann an, zog nach massivem öffentlichen Druck die Anzeige aber schließlich zurück und entschuldigte sich.
Die Staatsanwaltschaft Berlin ermittelte trotzdem weiter gegen die Sicherheitsexpertin wegen eines Verstoßes gegen den Paragrafen 202a/b/c StGB. Den von der Zivilgesellschaft kritisierten sogenannten Hackerparagrafen hatte die Große Koalition 2007 eingeführt. Er stellt das Überwinden von Sicherheitshürden etwa durch das Hacken von Passwörtern oder selbstgeschriebene Programme unter Strafe. Im September stellte die Staatsanwaltschaft das Verfahren schließlich ein, weil der Hackerparagraf nicht griff: Die Daten waren schlicht nicht gesichert, sondern öffentlich abrufbar.
Ein „totaler Gummiparagraf“
Wegen der mangelnden Datensicherung schaltete sich die Berliner Landesdatenschutzbeauftragte ein und untersuchte, ob die CDU-App womöglich gegen die Datenschutzgrundverordnung (DSGVO) verstößt. Die Prüfung läuft noch (Stand: 15.10.2021). Der Partei droht ein Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes.
Im Interview mit der taz kritisierte Wittmann den Hackerparagrafen als „totalen Gummiparagrafen“, weshalb es in Deutschland auch keine Kultur der responsible disclosure gäbe. „In Deutschland ist nicht mal das Rechtssystem auf responsible disclosure ausgelegt. Potenziell begehe ich immer, wenn ich eine Sicherheitslücke finde, eine Straftat“, sagte Wittmann. Ob das dann tatsächlich so angesehen werde, hänge aber vom technischen Verständnis und der Interpretation der Staatsanwaltschaft ab.
Das Beispiel des Programmiers und Modern Solution zeigt, „wie dringend wir hier eine Veränderung im Rechtsverständnis – weg von der Verfolgung derer, die die Lücken finden, hin zu einer Verfolgung der Verursacher – brauchen“, sagt die Sicherheitsforscherin.
Nachdem Wittmann auf Twitter auf die Causa um Modern Solution hinwies und implizit forderte, man brauche eine Übersicht für Unternehmen, „die sich dauerhaft für responsible disclosures disqualifiziert haben“, bauten zwei Hacker:innen die Webseiten „Unverantwortli.ch“ und „better save then sorry“, auf der jene Unternehmen und Organisationen aufgeführt werden, die sich weigern, am responsible disclosure-Verfahren teilzunehmen. Das Unternehmen Modern Solution und die CDU sind vorerst Spitzenreiter.
Der Text wurde um ein Statement des Chaos Computer Clubs ergänzt. Letzte Aktualisierung: 15.10.2021, 15:14 Uhr
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Christian Lindner
Die libertären Posterboys
Außenministerin zu Besuch in China
Auf unmöglicher Mission in Peking
Olaf Scholz’ erfolglose Ukrainepolitik
Friedenskanzler? Wäre schön gewesen!
Rücktrittsforderungen gegen Lindner
Der FDP-Chef wünscht sich Disruption
Neuer Generalsekretär
Stures Weiter-so bei der FDP
Zuschuss zum Führerschein?
Wenn Freiheit vier Räder braucht