IT-Experte wird angezeigt: Kein Dankeschön, sondern Polizei

Erneut wird ein IT-Experte angezeigt, nachdem er auf eine Sicherheitslücke hinwies. Datenträger wurden beschlagnahmt, der CCC verurteilt das Vorgehen.

Illustration: ein Mann sitzt an einem Schreibtisch und denkt binär

Wer in Deutschland auf Sicherheitslücken hinweist, wird oft kriminalisiert Foto: Gary Waters/imago

Die Causa um IT-Expert:innen, die Unternehmen und Parteien auf Sicherheitslücken aufmerksam machen und dann selbst kriminalisiert werden, geht in die nächste Runde. Ein Programmierer, der im Juni 2021 ein großes Datenleck bei der Firma Modern Solution entdeckte, wurde angezeigt, seine Firma von der Polizei durchsucht und Geräte beschlagnahmt, wie die Tech-Website Golem.de schreibt. Potenziell waren von der Sicherheitslücke 700.000 Kun­d:in­nen bei großen Online-Marktplätzen wie Check24, Otto oder Kaufland betroffen. Transaktionen ließen sich bis zum Sommer 2018 einsehen inklusive Anschriften und dazugehöriger Bankverbindungen.

Modern Solution ist ein sogenannter Schnittstellendienstleister, über den sich Einzelhändler an Marktplätze im Netz anbinden lassen können. Dafür nutzen die Händler eine Software des Unternehmens, die alle Bestellungen in Datenbanken auf den Unternehmensservern erfasst. Der IT-Spezialist stieß auf die Sicherheitslücke, weil er für einen Einzelhändler bei Modern Solution ein technisches Problem beheben sollte. So waren alle für den Serverzugriff notwendigen Zugangsdaten im Klartext in der Software gespeichert und bei Modern Solutions herunterladbar, und Kun­d:in­nen­da­ten waren seit Jahren nicht entfernt worden.

Im Sinne des responsible disclosure, also jenes Verfahrens, Sicherheitslücken an die zuständigen Stellen weiterzuleiten und erst dann öffentlich zu machen, wenn sie behoben sind, kontaktierte der Programmierer den Blogger Mark Steier, dessen Webseite wortfilter.de sich auf Onlinehandel spezialisiert hat. Laut Golem.de habe er Modern Solution per Mail und Telefon kontaktiert, das Unternehmen hätte die Sicherheitslücke allerdings abgestritten und auf weitere Anfragen nicht mehr reagiert.

Daraufhin wand sich Steier in einem Post vom 23. Juni an die Öffentlichkeit, Anfang Juli berichtete auch Spiegel Online. Laut Steier hätte Modern Solution erst nach der Veröffentlichung und Beschwerden durch die Händler reagiert. Der Versandhändler Otto stellte jedoch fest, dass das System weiter unsicher war, auch nachdem Modern Solution vorgegeben hatte, die Lücke gefixt zu haben.

Hausdurchsuchung als Dankeschön

Am gleichen Tag wurde Steier eine von Modern Solution für seine Kun­d:in­nen geschriebene Stellungnahme zugespielt. Darin wird der Programmierer indirekt beschuldigt, Daten abgegriffen zu haben und die eigene Verantwortung an der Sicherheitslücke negiert: „Inwiefern eine Weitergabe oder weitere Nutzung dieser Daten durch den,ethischen Hacker' erfolgt ist und ob es zu weiteren Zugriffen gekommen ist, ist uns derzeit nicht bekannt.“

Am 15. September durchsuchte schließlich die Polizei die Firma des Programmierers. Fünf Notebooks, drei externe Festplatten, zwei USB-Sticks und ein Rechner wurden beschlagnahmt. Auch das Smartphone des Betroffenen wurde eingezogen. Ob Modern Solution den Programmierer angezeigt hatte, ist anzunehmen, aber nicht belegt. Die Ermittlungen laufen. Um einen Prozess finanzieren zu können, wurde eine Fundraising-Aktion aufgesetzt, in kurzer Zeit sollen bereits mehr als 5.000 Euro gesammelt worden sein.

Der Chaos Computer Club verurteilt das Vorgehen gegen den Programmierer: „Was wir hier sehen, ist leider nur zu alltäglich in Deutschland“, sagt Dirk Engling, Pressesprecher des Chaos Computer Clubs. „Statt sich im Vorfeld nach Stand der Technik um die Sicherheit der eigenen Infrastruktur zu sorgen, simulieren die Betreiber schlecht gepflegter Systeme im Nachhinein Aktivität, indem sie Überbringer schlechter Nachrichten drangsalieren.“ Es könne laut Engling nicht im Interesse der IT-Sicherheit hierzulande sein, ehrenamtlich wirkenden Sicherheitsforschern mithilfe der Staatsmacht hinterherzusteigen.

Der Fall Lilith Wittmann

Der Fall des angezeigten Programmiers erinnert an den Fall Lilith Wittmann. Die IT-Sicherheitsexpertin hatte im Mai 2021 gravierende Sicherheitslücken in der CDU-Wahlkampf-App „CDUconnect“ entdeckt und den zuständigen Behörden weitergeleitet: dem Bundesamt für Sicherheit in der Informationstechnik, der Berliner Datenschutzbeauftragten und den verantwortlichen Stellen in der Union. Daraufhin zeigte die CDU Wittmann an, zog nach massivem öffentlichen Druck die Anzeige aber schließlich zurück und entschuldigte sich.

Die Staatsanwaltschaft Berlin ermittelte trotzdem weiter gegen die Sicherheitsexpertin wegen eines Verstoßes gegen den Paragrafen 202a/b/c StGB. Den von der Zivilgesellschaft kritisierten sogenannten Hackerparagrafen hatte die Große Koalition 2007 eingeführt. Er stellt das Überwinden von Sicherheitshürden etwa durch das Hacken von Passwörtern oder selbstgeschriebene Programme unter Strafe. Im September stellte die Staatsanwaltschaft das Verfahren schließlich ein, weil der Hackerparagraf nicht griff: Die Daten waren schlicht nicht gesichert, sondern öffentlich abrufbar.

Ein „totaler Gummiparagraf“

Wegen der mangelnden Datensicherung schaltete sich die Berliner Landesdatenschutzbeauftragte ein und untersuchte, ob die CDU-App womöglich gegen die Datenschutzgrundverordnung (DSGVO) verstößt. Die Prüfung läuft noch (Stand: 15.10.2021). Der Partei droht ein Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes.

Im Interview mit der taz kritisierte Wittmann den Hackerparagrafen als „totalen Gummiparagrafen“, weshalb es in Deutschland auch keine Kultur der responsible disclosure gäbe. „In Deutschland ist nicht mal das Rechtssystem auf responsible disclosure ausgelegt. Potenziell begehe ich immer, wenn ich eine Sicherheitslücke finde, eine Straftat“, sagte Wittmann. Ob das dann tatsächlich so angesehen werde, hänge aber vom technischen Verständnis und der Interpretation der Staatsanwaltschaft ab.

Das Beispiel des Programmiers und Modern Solution zeigt, „wie dringend wir hier eine Veränderung im Rechtsverständnis – weg von der Verfolgung derer, die die Lücken finden, hin zu einer Verfolgung der Verursacher – brauchen“, sagt die Sicherheitsforscherin.

Nachdem Wittmann auf Twitter auf die Causa um Modern Solution hinwies und implizit forderte, man brauche eine Übersicht für Unternehmen, „die sich dauerhaft für responsible disclosures disqualifiziert haben“, bauten zwei Ha­cke­r:in­nen die Webseiten „Unverantwortli.ch“ und „better save then sorry“, auf der jene Unternehmen und Organisationen aufgeführt werden, die sich weigern, am responsible disclosure-Verfahren teilzunehmen. Das Unternehmen Modern Solution und die CDU sind vorerst Spitzenreiter.

Der Text wurde um ein Statement des Chaos Computer Clubs ergänzt. Letzte Aktualisierung: 15.10.2021, 15:14 Uhr

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.