[Uwe Farz]

Zitat:

IT-Experte wird angezeigt: Kein Dankeschön, sondern Polizei

Erneut wird ein IT-Experte angezeigt, nachdem er auf eine Sicherheitslücke hinwies. Expert:innen fordern die Abschaffung des Hackerparagrafen.

Die Causa um IT-Expert:innen, die Unternehmen und Parteien auf Sicherheitslücken aufmerksam machen und dann selbst kriminalisiert werden, geht in die nächste Runde. Ein Programmierer, der im Juni 2021 ein großes Datenleck bei der Firma Modern Solution entdeckte, wurde angezeigt, seine Firma von der Polizei durchsucht und Geräte beschlagnahmt, wie die Tech-Website Golem.de schreibt. Potenziell waren von der Sicherheitslücke 700.000 Kund:innen bei großen Online-Marktplätzen wie Check24, Otto oder Kaufland betroffen. Transaktionen ließen sich bis zum Sommer 2018 einsehen inklusive Anschriften und dazugehöriger Bankverbindungen.

Modern Solution ist ein sogenannter Schnittstellendienstleister, über den sich Einzelhändler an Marktplätze im Netz anbinden lassen können. Dafür nutzen die Händler eine Software des Unternehmens, die alle Bestellungen in Datenbanken auf den Unternehmensservern erfasst. Der IT-Spezialist stieß auf die Sicherheitslücke, weil er für einen Einzelhändler bei Modern Solution ein technisches Problem beheben sollte. So waren alle für den Serverzugriff notwendigen Zugangsdaten im Klartext in der Software gespeichert und bei Modern Solutions herunterladbar, und Kund:innendaten waren seit Jahren nicht entfernt worden.

Im Sinne des responsible disclosure, also jenes Verfahrens, Sicherheitslücken an die zuständigen Stellen weiterzuleiten und erst dann öffentlich zu machen, wenn sie behoben sind, kontaktierte der Programmierer den Blogger Mark Steier, dessen Webseite wortfilter.de sich auf Onlinehandel spezialisiert hat. Laut Golem.de habe er Modern Solution per Mail und Telefon kontaktiert, das Unternehmen hätte die Sicherheitslücke allerdings abgestritten und auf weitere Anfragen nicht mehr reagiert.

Daraufhin wand sich Steier in einem Post vom 23. Juni an die Öffentlichkeit, Anfang Juli berichtete auch Spiegel Online. Laut Steier hätte Modern Solution erst nach der Veröffentlichung und Beschwerden durch die Händler reagiert. Der Versandhändler Otto stellte jedoch fest, dass das System weiter unsicher war, auch nachdem Modern Solution vorgegeben hatte, die Lücke gefixt zu haben.

Hausdurchsuchung als Dankeschön

Am gleichen Tag wurde eine von Modern Solution für seine Kund:innen geschriebene Stellungnahme Steier zugespielt. Darin wird der Programmierer indirekt beschuldigt, Daten abgegriffen zu haben und die eigene Verantwortung an der Sicherheitslücke negiert: „Inwiefern eine Weitergabe oder weitere Nutzung dieser Daten durch den,ethischen Hacker' erfolgt ist und ob es zu weiteren Zugriffen gekommen ist, ist uns derzeit nicht bekannt.“

Am 15. September durchsuchte schließlich die Polizei die Firma des Programmierers. Fünf Notebooks, drei externe Festplatten, zwei USB-Sticks und ein Rechner wurden beschlagnahmt. Auch das Smartphone des Betroffenen wurde eingezogen. Ob Modern Solution den Programmierer angezeigt hatte, ist anzunehmen, aber nicht belegt. Die Ermittlungen laufen. Um einen Prozess finanzieren zu können, wurde eine Fundraising-Aktion aufgesetzt, in kurzer Zeit sollen bereits mehr als 5.000 Euro gesammelt worden sein.

Der Fall des angezeigten Programmiers erinnert an den Fall Lilith Wittmann. Die IT-Sicherheitsexpertin hatte im Mai 2021 gravierende Sicherheitslücken in der CDU-Wahlkampf-App „CDUconnect“ entdeckt und den zuständigen Behörden weitergeleitet: dem Bundesamt für Sicherheit in der Informationstechnik, der Berliner Datenschutzbeauftragten und den verantwortlichen Stellen in der Union. Daraufhin zeigte die CDU Wittmann an, zog nach massivem öffentlichen Druck die Anzeige aber schließlich zurück und entschuldigte sich.

Die Staatsanwaltschaft Berlin ermittelte trotzdem weiter gegen die Sicherheitsexpertin wegen eines Verstoßes gegen den Paragrafen 202a/b/c StGB. Den von der Zivilgesellschaft kritisierte sogenannte Hackerparagraf hatte die Große Koalition 2007 eingeführt. Er stellt das Überwinden von Sicherheitshürden etwa durch das Hacken von Passwörtern oder selbstgeschriebene Programme unter Strafe. Im September stellte die Staatsanwaltschaft das Verfahren schließlich ein, weil der Hackerparagraf nicht griff: Die Daten waren schlicht nicht gesichert, sondern öffentlich abrufbar.

Ein „totaler Gummiparagraf“

Wegen der mangelnden Datensicherung schaltete sich die Berliner Landesdatenschutzbeauftragte ein und untersuchte, ob die CDU-App womöglich gegen die Datenschutzgrundverordnung (DSGVO) verstößt. Die Prüfung läuft noch (Stand: 15.10.2021). Der Partei droht ein Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes.

Im Interview mit der taz kritisierte Wittmann den Hackerparagrafen als „totalen Gummiparagrafen“, weshalb es in Deutschland auch keine Kultur der responsible disclosure gäbe. „In Deutschland ist nicht mal das Rechtssystem auf Responsible Disclosure ausgelegt. Potenziell begehe ich immer, wenn ich eine Sicherheitslücke finde, eine Straftat“, sagte Wittmann. Ob das dann tatsächlich so angesehen werde, hänge aber vom technischen Verständnis und der Interpretation der Staatsanwaltschaft ab.

Das Beispiel des Programmiers und Modern Solution zeigt, „wie dringend wir hier eine Veränderung im Rechtsverständnis – weg von der Verfolgung derer, die die Lücken finden, hin zu einer Verfolgung der Verursacher – brauchen“, sagt die Sicherheitsforscherin.

Nachdem Wittmann auf Twitter auf die Causa um Modern Solution hinwies und implizit forderte, man brauche eine Übersicht für Unternehmen, „die sich dauerhaft für responsible disclosures disqualifiziert haben“, bauten zwei Hacker:innen die Webseiten „Unverantwortli.ch“ und „better save then sorry“, auf der jene Unternehmen und Organisationen aufgeführt werden, die sich weigern, am responsible disclosure-Verfahren teilzunehmen. Das Unternehmen Modern Solution und die CDU sind vorerst Spitzenreiter.

Quelle mit weiteren Links:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Modern Solution geht den ganz bequemen Weg und handelt nach dem Motto "Angriff ist die beste Verteidigung". Eine verantwortungsvolle Geschäftsleitung würde wissen, dass eine derartige Vorgehensweise sehr schnell zum Bumerang werden kann und im Endeffekt noch mehr Schaden anrichtet. Spätestens jetzt sollten die Gesetzgeber über diesen Gummiparagraphen nachdenken. Das, was in diesem Bereich gerade passiert, kann nur noch als Mißbrauch bezeichnet werden.