 |
# taz.de -- IT-Experte wird angezeigt: Kein Dankeschön, sondern Polizei |
|
|
|
> Erneut wird ein IT-Experte angezeigt, nachdem er auf eine |
|
> Sicherheitslücke hinwies. Datenträger wurden beschlagnahmt, der CCC |
|
> verurteilt das Vorgehen. |
|
|
 |
Bild: Wer in Deutschland auf Sicherheitslücken hinweist, wird oft kriminalisie… |
|
|
|
Die Causa um IT-Expert:innen, die Unternehmen und Parteien auf |
|
Sicherheitslücken aufmerksam machen und dann selbst kriminalisiert werden, |
|
geht in die nächste Runde. Ein Programmierer, der im Juni 2021 ein großes |
|
Datenleck bei der Firma Modern Solution entdeckte, wurde angezeigt, seine |
|
Firma von der Polizei durchsucht und Geräte beschlagnahmt, [1][wie die |
|
Tech-Website Golem.de schreibt]. Potenziell waren von der Sicherheitslücke |
|
700.000 Kund:innen bei großen Online-Marktplätzen wie Check24, Otto oder |
|
Kaufland betroffen. Transaktionen ließen sich bis zum Sommer 2018 einsehen |
|
inklusive Anschriften und dazugehöriger Bankverbindungen. |
|
|
|
Modern Solution ist ein sogenannter Schnittstellendienstleister, über den |
|
sich Einzelhändler an Marktplätze im Netz anbinden lassen können. Dafür |
|
nutzen die Händler eine Software des Unternehmens, die alle Bestellungen in |
|
Datenbanken auf den Unternehmensservern erfasst. Der IT-Spezialist stieß |
|
auf die Sicherheitslücke, weil er für einen Einzelhändler bei Modern |
|
Solution ein technisches Problem beheben sollte. So waren alle für den |
|
Serverzugriff notwendigen Zugangsdaten im Klartext in der Software |
|
gespeichert und bei Modern Solutions herunterladbar, und |
|
Kund:innendaten waren seit Jahren nicht entfernt worden. |
|
|
|
Im Sinne [2][des responsible disclosure], also jenes Verfahrens, |
|
Sicherheitslücken an die zuständigen Stellen weiterzuleiten und erst dann |
|
öffentlich zu machen, wenn sie behoben sind, kontaktierte der Programmierer |
|
den Blogger Mark Steier, dessen Webseite [3][wortfilter.de] sich auf |
|
Onlinehandel spezialisiert hat. Laut Golem.de habe er Modern Solution per |
|
Mail und Telefon kontaktiert, das Unternehmen hätte die Sicherheitslücke |
|
allerdings abgestritten und auf weitere Anfragen nicht mehr reagiert. |
|
|
|
Daraufhin wand sich Steier [4][in einem Post vom 23. Juni] an die |
|
Öffentlichkeit, Anfang Juli [5][berichtete auch Spiegel Online]. Laut |
|
Steier hätte Modern Solution erst nach der Veröffentlichung und Beschwerden |
|
durch die Händler reagiert. Der Versandhändler Otto stellte jedoch fest, |
|
dass das System weiter unsicher war, auch nachdem Modern Solution |
|
vorgegeben hatte, die Lücke gefixt zu haben. |
|
|
|
## Hausdurchsuchung als Dankeschön |
|
|
|
Am gleichen Tag wurde Steier eine von Modern Solution [6][für seine |
|
Kund:innen geschriebene Stellungnahme] zugespielt. Darin wird der |
|
Programmierer indirekt beschuldigt, Daten abgegriffen zu haben und die |
|
eigene Verantwortung an der Sicherheitslücke negiert: „Inwiefern eine |
|
Weitergabe oder weitere Nutzung dieser Daten durch den,ethischen Hacker' |
|
erfolgt ist und ob es zu weiteren Zugriffen gekommen ist, ist uns derzeit |
|
nicht bekannt.“ |
|
|
|
Am 15. September durchsuchte schließlich die Polizei die Firma des |
|
Programmierers. Fünf Notebooks, drei externe Festplatten, zwei USB-Sticks |
|
und ein Rechner wurden beschlagnahmt. Auch das Smartphone des Betroffenen |
|
wurde eingezogen. Ob Modern Solution den Programmierer angezeigt hatte, ist |
|
anzunehmen, aber nicht belegt. Die Ermittlungen laufen. Um einen Prozess |
|
finanzieren zu können, wurde eine Fundraising-Aktion aufgesetzt, in kurzer |
|
Zeit sollen bereits mehr als 5.000 Euro gesammelt worden sein. |
|
|
|
Der Chaos Computer Club verurteilt das Vorgehen gegen den Programmierer: |
|
„Was wir hier sehen, ist leider nur zu alltäglich in Deutschland“, sagt |
|
Dirk Engling, Pressesprecher des Chaos Computer Clubs. „Statt sich im |
|
Vorfeld nach Stand der Technik um die Sicherheit der eigenen Infrastruktur |
|
zu sorgen, simulieren die Betreiber schlecht gepflegter Systeme im |
|
Nachhinein Aktivität, indem sie Überbringer schlechter Nachrichten |
|
drangsalieren.“ Es könne laut Engling nicht im Interesse der IT-Sicherheit |
|
hierzulande sein, ehrenamtlich wirkenden Sicherheitsforschern mithilfe der |
|
Staatsmacht hinterherzusteigen. |
|
|
|
## Der Fall Lilith Wittmann |
|
|
|
Der Fall des angezeigten Programmiers erinnert an den Fall Lilith Wittmann. |
|
Die IT-Sicherheitsexpertin hatte im Mai 2021 [7][gravierende |
|
Sicherheitslücken in der CDU-Wahlkampf-App „CDUconnect“ entdeckt] und den |
|
zuständigen Behörden weitergeleitet: dem Bundesamt für Sicherheit in der |
|
Informationstechnik, der Berliner Datenschutzbeauftragten und den |
|
verantwortlichen Stellen in der Union. Daraufhin zeigte die CDU Wittmann |
|
an, zog nach massivem öffentlichen Druck die Anzeige aber schließlich |
|
zurück und entschuldigte sich. |
|
|
|
Die Staatsanwaltschaft Berlin ermittelte trotzdem weiter gegen die |
|
Sicherheitsexpertin wegen eines Verstoßes gegen den Paragrafen 202a/b/c |
|
StGB. Den von der Zivilgesellschaft kritisierten sogenannten |
|
Hackerparagrafen hatte die Große Koalition 2007 eingeführt. Er stellt das |
|
Überwinden von Sicherheitshürden etwa durch das Hacken von Passwörtern oder |
|
selbstgeschriebene Programme unter Strafe. Im September [8][stellte die |
|
Staatsanwaltschaft das Verfahren schließlich ein, weil der Hackerparagraf |
|
nicht griff]: Die Daten waren schlicht nicht gesichert, sondern öffentlich |
|
abrufbar. |
|
|
|
## Ein „totaler Gummiparagraf“ |
|
|
|
Wegen der mangelnden Datensicherung schaltete sich die Berliner |
|
Landesdatenschutzbeauftragte ein und untersuchte, ob die CDU-App womöglich |
|
gegen die Datenschutzgrundverordnung (DSGVO) verstößt. Die Prüfung läuft |
|
noch (Stand: 15.10.2021). Der Partei droht ein Bußgeld von bis zu 20 |
|
Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes. |
|
|
|
[9][Im Interview mit der taz] kritisierte Wittmann den Hackerparagrafen als |
|
„totalen Gummiparagrafen“, weshalb es in Deutschland auch keine Kultur der |
|
responsible disclosure gäbe. „In Deutschland ist nicht mal das Rechtssystem |
|
auf responsible disclosure ausgelegt. Potenziell begehe ich immer, wenn ich |
|
eine Sicherheitslücke finde, eine Straftat“, sagte Wittmann. Ob das dann |
|
tatsächlich so angesehen werde, hänge aber vom technischen Verständnis und |
|
der Interpretation der Staatsanwaltschaft ab. |
|
|
|
Das Beispiel des Programmiers und Modern Solution zeigt, „wie dringend wir |
|
hier eine Veränderung im Rechtsverständnis – weg von der Verfolgung derer, |
|
die die Lücken finden, hin zu einer Verfolgung der Verursacher – brauchen“, |
|
sagt die Sicherheitsforscherin. |
|
|
|
Nachdem Wittmann [10][auf Twitter auf die Causa um Modern Solution hinwies] |
|
und implizit forderte, man brauche eine Übersicht für Unternehmen, „die |
|
sich dauerhaft für responsible disclosures disqualifiziert haben“, bauten |
|
zwei Hacker:innen die Webseiten „[11][Unverantwortli.ch“] und |
|
„[12][better save then sorry“], auf der jene Unternehmen und Organisationen |
|
aufgeführt werden, die sich weigern, am responsible disclosure-Verfahren |
|
teilzunehmen. Das Unternehmen Modern Solution und die CDU sind vorerst |
|
Spitzenreiter. |
|
|
|
Der Text wurde um ein Statement des Chaos Computer Clubs ergänzt. Letzte |
|
Aktualisierung: 15.10.2021, 15:14 Uhr |
|
|
|
15 Oct 2021 |
|
|
|
## LINKS |
|
|
 |
[1] https://www.golem.de/news/nach-datenleck-hausdurchsuchung-statt-dankeschoen… |
|
[2] https://en.wikipedia.org/wiki/Responsible_disclosure |
|
[3] https://wortfilter.de/ |
|
[4] https://wortfilter.de/warnung-datenleck-beim-jtl-partner-modern-solution-gm… |
|
[5] https://www.spiegel.de/netzwelt/web/online-marktplaetze-it-experte-entdeckt… |
|
[6] https://wortfilter.de/wp-content/uploads/2021/06/moso-1.pdf |
|
[7] /Verstoss-von-CDUconnect-gegen-DSGVO/!5791754 |
|
[8] /Moeglicher-Verstoss-gegen-Datenschutz/!5802205 |
|
[9] /Lilith-Wittmann-ueber-Wahlkampf-Apps/!5802119 |
|
[10] https://twitter.com/LilithWittmann/status/1448737265849704452 |
|
[11] https://unverantwortli.ch/ |
|
[12] https://better-save-then-sorry.de/ |
|
|
|
## AUTOREN |
|
|
|
Denis Gießler |
|
|
|
## TAGS |
|
|
|
Schwerpunkt Überwachung |
|
Hacking |
|
DSGVO |
|
Datenbank |
|
Datenschutz |
|
GNS |
|
Schwerpunkt Chaos Computer Club |
|
CCC-Kongress |
|
Netzkultur |
|
IG |
|
Schwerpunkt Überwachung |
|
Schwerpunkt Überwachung |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Kongress des Chaos Computer Clubs: Der CCC im Hier und Jetzt |
|
|
|
Der rC3 tut der Zivilgesellschaft gut, auch weil er online stattfindet. |
|
Zentral diskutiert wird die Frage der Freiheit. |
|
|
|
Reddit in Deutschland: Das bessere Internet |
|
|
|
Das soziale Netzwerk Reddit eröffnet eine Außenstelle in Berlin-Mitte. Die |
|
Plattform wächst, doch User:innen kritisieren die Kommerzialisierung. |
|
|
|
Lilith Wittmann über Wahlkampf-Apps: „Manche spielen Sudoku. Ich hacke“ |
|
|
|
Die Sicherheitsexpertin Lilith Wittmann hat in der CDU-Wahlkampf-App |
|
Schwachstellen gefunden. Ein Gespräch über Hacker*innen-Ehre. |
|
|
|
Möglicher Verstoß gegen Datenschutz: CDU-Wahl-App doch nicht gehackt |
|
|
|
Weil die Daten frei abrufbar waren, wurden Ermittlungen gegen IT-Expertin |
|
Wittmann eingestellt. Hat die CDU mit ihrer App gegen Datenschutz |
|
verstoßen? |
|
|
|
Verstoß von „CDUconnect“ gegen DSGVO: Prüfverfahren gegen CDU-App |
|
|
|
Die Partei erhob in ihrer Wahlkampf-App Daten tausender Menschen. Nun prüft |
|
die Berliner Datenschutzbeauftragte einen Verstoß gegen die DSGVO. |
