# taz.de -- IT-Experte wird angezeigt: Kein Dankeschön, sondern Polizei | |
> Erneut wird ein IT-Experte angezeigt, nachdem er auf eine | |
> Sicherheitslücke hinwies. Datenträger wurden beschlagnahmt, der CCC | |
> verurteilt das Vorgehen. | |
Bild: Wer in Deutschland auf Sicherheitslücken hinweist, wird oft kriminalisie… | |
Die Causa um IT-Expert:innen, die Unternehmen und Parteien auf | |
Sicherheitslücken aufmerksam machen und dann selbst kriminalisiert werden, | |
geht in die nächste Runde. Ein Programmierer, der im Juni 2021 ein großes | |
Datenleck bei der Firma Modern Solution entdeckte, wurde angezeigt, seine | |
Firma von der Polizei durchsucht und Geräte beschlagnahmt, [1][wie die | |
Tech-Website Golem.de schreibt]. Potenziell waren von der Sicherheitslücke | |
700.000 Kund:innen bei großen Online-Marktplätzen wie Check24, Otto oder | |
Kaufland betroffen. Transaktionen ließen sich bis zum Sommer 2018 einsehen | |
inklusive Anschriften und dazugehöriger Bankverbindungen. | |
Modern Solution ist ein sogenannter Schnittstellendienstleister, über den | |
sich Einzelhändler an Marktplätze im Netz anbinden lassen können. Dafür | |
nutzen die Händler eine Software des Unternehmens, die alle Bestellungen in | |
Datenbanken auf den Unternehmensservern erfasst. Der IT-Spezialist stieß | |
auf die Sicherheitslücke, weil er für einen Einzelhändler bei Modern | |
Solution ein technisches Problem beheben sollte. So waren alle für den | |
Serverzugriff notwendigen Zugangsdaten im Klartext in der Software | |
gespeichert und bei Modern Solutions herunterladbar, und | |
Kund:innendaten waren seit Jahren nicht entfernt worden. | |
Im Sinne [2][des responsible disclosure], also jenes Verfahrens, | |
Sicherheitslücken an die zuständigen Stellen weiterzuleiten und erst dann | |
öffentlich zu machen, wenn sie behoben sind, kontaktierte der Programmierer | |
den Blogger Mark Steier, dessen Webseite [3][wortfilter.de] sich auf | |
Onlinehandel spezialisiert hat. Laut Golem.de habe er Modern Solution per | |
Mail und Telefon kontaktiert, das Unternehmen hätte die Sicherheitslücke | |
allerdings abgestritten und auf weitere Anfragen nicht mehr reagiert. | |
Daraufhin wand sich Steier [4][in einem Post vom 23. Juni] an die | |
Öffentlichkeit, Anfang Juli [5][berichtete auch Spiegel Online]. Laut | |
Steier hätte Modern Solution erst nach der Veröffentlichung und Beschwerden | |
durch die Händler reagiert. Der Versandhändler Otto stellte jedoch fest, | |
dass das System weiter unsicher war, auch nachdem Modern Solution | |
vorgegeben hatte, die Lücke gefixt zu haben. | |
## Hausdurchsuchung als Dankeschön | |
Am gleichen Tag wurde Steier eine von Modern Solution [6][für seine | |
Kund:innen geschriebene Stellungnahme] zugespielt. Darin wird der | |
Programmierer indirekt beschuldigt, Daten abgegriffen zu haben und die | |
eigene Verantwortung an der Sicherheitslücke negiert: „Inwiefern eine | |
Weitergabe oder weitere Nutzung dieser Daten durch den,ethischen Hacker' | |
erfolgt ist und ob es zu weiteren Zugriffen gekommen ist, ist uns derzeit | |
nicht bekannt.“ | |
Am 15. September durchsuchte schließlich die Polizei die Firma des | |
Programmierers. Fünf Notebooks, drei externe Festplatten, zwei USB-Sticks | |
und ein Rechner wurden beschlagnahmt. Auch das Smartphone des Betroffenen | |
wurde eingezogen. Ob Modern Solution den Programmierer angezeigt hatte, ist | |
anzunehmen, aber nicht belegt. Die Ermittlungen laufen. Um einen Prozess | |
finanzieren zu können, wurde eine Fundraising-Aktion aufgesetzt, in kurzer | |
Zeit sollen bereits mehr als 5.000 Euro gesammelt worden sein. | |
Der Chaos Computer Club verurteilt das Vorgehen gegen den Programmierer: | |
„Was wir hier sehen, ist leider nur zu alltäglich in Deutschland“, sagt | |
Dirk Engling, Pressesprecher des Chaos Computer Clubs. „Statt sich im | |
Vorfeld nach Stand der Technik um die Sicherheit der eigenen Infrastruktur | |
zu sorgen, simulieren die Betreiber schlecht gepflegter Systeme im | |
Nachhinein Aktivität, indem sie Überbringer schlechter Nachrichten | |
drangsalieren.“ Es könne laut Engling nicht im Interesse der IT-Sicherheit | |
hierzulande sein, ehrenamtlich wirkenden Sicherheitsforschern mithilfe der | |
Staatsmacht hinterherzusteigen. | |
## Der Fall Lilith Wittmann | |
Der Fall des angezeigten Programmiers erinnert an den Fall Lilith Wittmann. | |
Die IT-Sicherheitsexpertin hatte im Mai 2021 [7][gravierende | |
Sicherheitslücken in der CDU-Wahlkampf-App „CDUconnect“ entdeckt] und den | |
zuständigen Behörden weitergeleitet: dem Bundesamt für Sicherheit in der | |
Informationstechnik, der Berliner Datenschutzbeauftragten und den | |
verantwortlichen Stellen in der Union. Daraufhin zeigte die CDU Wittmann | |
an, zog nach massivem öffentlichen Druck die Anzeige aber schließlich | |
zurück und entschuldigte sich. | |
Die Staatsanwaltschaft Berlin ermittelte trotzdem weiter gegen die | |
Sicherheitsexpertin wegen eines Verstoßes gegen den Paragrafen 202a/b/c | |
StGB. Den von der Zivilgesellschaft kritisierten sogenannten | |
Hackerparagrafen hatte die Große Koalition 2007 eingeführt. Er stellt das | |
Überwinden von Sicherheitshürden etwa durch das Hacken von Passwörtern oder | |
selbstgeschriebene Programme unter Strafe. Im September [8][stellte die | |
Staatsanwaltschaft das Verfahren schließlich ein, weil der Hackerparagraf | |
nicht griff]: Die Daten waren schlicht nicht gesichert, sondern öffentlich | |
abrufbar. | |
## Ein „totaler Gummiparagraf“ | |
Wegen der mangelnden Datensicherung schaltete sich die Berliner | |
Landesdatenschutzbeauftragte ein und untersuchte, ob die CDU-App womöglich | |
gegen die Datenschutzgrundverordnung (DSGVO) verstößt. Die Prüfung läuft | |
noch (Stand: 15.10.2021). Der Partei droht ein Bußgeld von bis zu 20 | |
Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes. | |
[9][Im Interview mit der taz] kritisierte Wittmann den Hackerparagrafen als | |
„totalen Gummiparagrafen“, weshalb es in Deutschland auch keine Kultur der | |
responsible disclosure gäbe. „In Deutschland ist nicht mal das Rechtssystem | |
auf responsible disclosure ausgelegt. Potenziell begehe ich immer, wenn ich | |
eine Sicherheitslücke finde, eine Straftat“, sagte Wittmann. Ob das dann | |
tatsächlich so angesehen werde, hänge aber vom technischen Verständnis und | |
der Interpretation der Staatsanwaltschaft ab. | |
Das Beispiel des Programmiers und Modern Solution zeigt, „wie dringend wir | |
hier eine Veränderung im Rechtsverständnis – weg von der Verfolgung derer, | |
die die Lücken finden, hin zu einer Verfolgung der Verursacher – brauchen“, | |
sagt die Sicherheitsforscherin. | |
Nachdem Wittmann [10][auf Twitter auf die Causa um Modern Solution hinwies] | |
und implizit forderte, man brauche eine Übersicht für Unternehmen, „die | |
sich dauerhaft für responsible disclosures disqualifiziert haben“, bauten | |
zwei Hacker:innen die Webseiten „[11][Unverantwortli.ch“] und | |
„[12][better save then sorry“], auf der jene Unternehmen und Organisationen | |
aufgeführt werden, die sich weigern, am responsible disclosure-Verfahren | |
teilzunehmen. Das Unternehmen Modern Solution und die CDU sind vorerst | |
Spitzenreiter. | |
Der Text wurde um ein Statement des Chaos Computer Clubs ergänzt. Letzte | |
Aktualisierung: 15.10.2021, 15:14 Uhr | |
15 Oct 2021 | |
## LINKS | |
[1] https://www.golem.de/news/nach-datenleck-hausdurchsuchung-statt-dankeschoen… | |
[2] https://en.wikipedia.org/wiki/Responsible_disclosure | |
[3] https://wortfilter.de/ | |
[4] https://wortfilter.de/warnung-datenleck-beim-jtl-partner-modern-solution-gm… | |
[5] https://www.spiegel.de/netzwelt/web/online-marktplaetze-it-experte-entdeckt… | |
[6] https://wortfilter.de/wp-content/uploads/2021/06/moso-1.pdf | |
[7] /Verstoss-von-CDUconnect-gegen-DSGVO/!5791754 | |
[8] /Moeglicher-Verstoss-gegen-Datenschutz/!5802205 | |
[9] /Lilith-Wittmann-ueber-Wahlkampf-Apps/!5802119 | |
[10] https://twitter.com/LilithWittmann/status/1448737265849704452 | |
[11] https://unverantwortli.ch/ | |
[12] https://better-save-then-sorry.de/ | |
## AUTOREN | |
Denis Gießler | |
## TAGS | |
Schwerpunkt Überwachung | |
Hacking | |
DSGVO | |
Datenbank | |
Datenschutz | |
GNS | |
Schwerpunkt Chaos Computer Club | |
CCC-Kongress | |
Netzkultur | |
IG | |
Schwerpunkt Überwachung | |
Schwerpunkt Überwachung | |
## ARTIKEL ZUM THEMA | |
Kongress des Chaos Computer Clubs: Der CCC im Hier und Jetzt | |
Der rC3 tut der Zivilgesellschaft gut, auch weil er online stattfindet. | |
Zentral diskutiert wird die Frage der Freiheit. | |
Reddit in Deutschland: Das bessere Internet | |
Das soziale Netzwerk Reddit eröffnet eine Außenstelle in Berlin-Mitte. Die | |
Plattform wächst, doch User:innen kritisieren die Kommerzialisierung. | |
Lilith Wittmann über Wahlkampf-Apps: „Manche spielen Sudoku. Ich hacke“ | |
Die Sicherheitsexpertin Lilith Wittmann hat in der CDU-Wahlkampf-App | |
Schwachstellen gefunden. Ein Gespräch über Hacker*innen-Ehre. | |
Möglicher Verstoß gegen Datenschutz: CDU-Wahl-App doch nicht gehackt | |
Weil die Daten frei abrufbar waren, wurden Ermittlungen gegen IT-Expertin | |
Wittmann eingestellt. Hat die CDU mit ihrer App gegen Datenschutz | |
verstoßen? | |
Verstoß von „CDUconnect“ gegen DSGVO: Prüfverfahren gegen CDU-App | |
Die Partei erhob in ihrer Wahlkampf-App Daten tausender Menschen. Nun prüft | |
die Berliner Datenschutzbeauftragte einen Verstoß gegen die DSGVO. |