Anzeige statt Dank: IT-Experte deckte Lücke auf, muss nun vor Gericht
Es ist ein Fall, der schwerwiegende Folgen für die Security-Expertise in Deutschland und womöglich auch die Kunden haben könnte. Denn 2021 deckte ein Sicherheitsforscher auf, dass 700.000 Nutzerdaten mehr oder weniger offen im Netz lagen. Was er davon hat? Ein Strafverfahren.
Der Sicherheitsexperte entdeckte die Lücke nur zufällig, da er von einem Einzelhändler mit der Lösung eines technischen Problems beauftragt wurde, bei der das Softwareangebot von Modern Solution die zentrale Rolle spielte.
Der sichtlich schockierte Sicherheitsspezialist fasste die Sache gegenüber dem Spiegel damals folgendermaßen zusammen: "Man muss sich vorstellen, da ist ein Programm, das alle Daten aller Händler und von deren Marktplätzen aggregiert. Und dann hatten die für ihre Datenbanken das Passwort im Klartext und ohne Verschlüsselung hinterlegt, Kundendaten obendrein auf dem Server seit Jahren nicht gelöscht."
Der Experte ging jenen Weg, den alle Security-Fachleute weltweit in solchen Fällen wählen: Er informierte Modern Solution und machte die Lücke öffentlich, und zwar nachdem diese geschlossen wurde. Doch nun gibt es einen unerfreulichen Plot Twist, denn wie Heise berichtet, muss sich der Sicherheitsexperte vor Gericht dafür verantworten. Denn statt sich bei ihm zu bedanken und/oder ihm eine Belohnung zu geben, zeigte ihn Modern Solution an.
In Folge hat die Staatsanwaltschaft Köln einen Strafantrag nach dem Hackerparagrafen 202a StGB gestellt. Diesen hat das Amtsgericht Jülich zwar zunächst abgelehnt und darauf verwiesen, dass die Daten nicht ausreichend geschützt gewesen seien. Doch auf Anweisung des Landgerichts Aachen muss man sich in Jülich nun doch dieser Causa annehmen.
In Jülich verwies man zunächst auf die Tatsache, dass "ein Passwort nicht in jedem Fall eine effektive Datensicherung" zur Folge habe. Das ursprüngliche Fazit in Bezug auf den Passwortschutz: "(...) etwa wenn (das Passwort) allzu simpel ist oder für bestimmte Anwendungen standardisiert verwendet wird. In solchen Fällen ist die Verschaffung des Zugangs zu Daten nicht tatbestandsmäßig."
In Aachen stellte man sich auf die Seite der Staatsanwaltschaft Köln, wo man davon ausgeht, dass die Dekompilierung einer Binärdatei "ein tiefes Verständnis über Programmiersprachen und Softwareentwicklung" voraussetzt, da man nur dann mit dem Ergebnis umgehen kann. Dieser Einschätzung werden aber wohl die meisten Experten widersprechen, Heise nennt hier als Stichwort "Script Kiddies".
Es ist hier sicherlich zu hoffen, dass der Sicherheitsexperte nicht verurteilt wird, da dieses Vorgehen in der IT-Sicherheitsbranche weltweit Standard ist - zumal es hier um ein besonders leicht zu erratendes Passwort geht, das "fest" in der Software abgelegt war, noch dazu in allen Installationen.
Siehe auch:
Riesiges Leck mit 700.000 Datensätzen
Es ist ein Fall, der wohl für Sicherheitsforscher ein Albtraumszenario darstellt. Denn im Sommer 2021 wurde ein gewaltiges Loch beim IT-Dienstleister Modern Solution bekannt. Das Gladbacher Unternehmen war für die Online-Marktplätze von Kaufland, Otto, Check24 und Idealo zuständig und aufgrund einer Sicherheitslücke waren zahlreiche Datensätze abrufbar, darunter getätigte Transaktionen und teilweise die Bankdaten.Der Sicherheitsexperte entdeckte die Lücke nur zufällig, da er von einem Einzelhändler mit der Lösung eines technischen Problems beauftragt wurde, bei der das Softwareangebot von Modern Solution die zentrale Rolle spielte.
Der sichtlich schockierte Sicherheitsspezialist fasste die Sache gegenüber dem Spiegel damals folgendermaßen zusammen: "Man muss sich vorstellen, da ist ein Programm, das alle Daten aller Händler und von deren Marktplätzen aggregiert. Und dann hatten die für ihre Datenbanken das Passwort im Klartext und ohne Verschlüsselung hinterlegt, Kundendaten obendrein auf dem Server seit Jahren nicht gelöscht."
Der Experte ging jenen Weg, den alle Security-Fachleute weltweit in solchen Fällen wählen: Er informierte Modern Solution und machte die Lücke öffentlich, und zwar nachdem diese geschlossen wurde. Doch nun gibt es einen unerfreulichen Plot Twist, denn wie Heise berichtet, muss sich der Sicherheitsexperte vor Gericht dafür verantworten. Denn statt sich bei ihm zu bedanken und/oder ihm eine Belohnung zu geben, zeigte ihn Modern Solution an.
In Folge hat die Staatsanwaltschaft Köln einen Strafantrag nach dem Hackerparagrafen 202a StGB gestellt. Diesen hat das Amtsgericht Jülich zwar zunächst abgelehnt und darauf verwiesen, dass die Daten nicht ausreichend geschützt gewesen seien. Doch auf Anweisung des Landgerichts Aachen muss man sich in Jülich nun doch dieser Causa annehmen.
In Jülich verwies man zunächst auf die Tatsache, dass "ein Passwort nicht in jedem Fall eine effektive Datensicherung" zur Folge habe. Das ursprüngliche Fazit in Bezug auf den Passwortschutz: "(...) etwa wenn (das Passwort) allzu simpel ist oder für bestimmte Anwendungen standardisiert verwendet wird. In solchen Fällen ist die Verschaffung des Zugangs zu Daten nicht tatbestandsmäßig."
Genügt ein (simples) Passwort?
In Aachen sah man die Sache anders und verwies auf den Umstand, dass ein Passwort vorlag und das "Abrufen" nur per Dekompilierung möglich war. Man widersprach direkt den Jülicher Kollegen: "Die Sicherung des Zugangs mittels Passwort reicht als Zugangssicherung aus."In Aachen stellte man sich auf die Seite der Staatsanwaltschaft Köln, wo man davon ausgeht, dass die Dekompilierung einer Binärdatei "ein tiefes Verständnis über Programmiersprachen und Softwareentwicklung" voraussetzt, da man nur dann mit dem Ergebnis umgehen kann. Dieser Einschätzung werden aber wohl die meisten Experten widersprechen, Heise nennt hier als Stichwort "Script Kiddies".
Es ist hier sicherlich zu hoffen, dass der Sicherheitsexperte nicht verurteilt wird, da dieses Vorgehen in der IT-Sicherheitsbranche weltweit Standard ist - zumal es hier um ein besonders leicht zu erratendes Passwort geht, das "fest" in der Software abgelegt war, noch dazu in allen Installationen.
Zusammenfassung
- Sicherheitsforscher entdeckt 2021 Datenleck bei Modern Solution
- 700.000 Nutzerdaten, teils inklusive Bankdaten, waren offen zugänglich
- Firma betreute Online-Marktplätze wie Kaufland, Otto, Check24 und mehr
- Forscher informierte die Firma und machte Lücke nach Schließung öffentlich
- Modern Solution zeigte den Sicherheitsexperten daraufhin an
- Staatsanwaltschaft Köln stellt Strafantrag nach Paragraf 202a StGB
Siehe auch:
- Kaufland, Otto, Check24 & Idealo: 700.000 Nutzerdaten völlig offen
- Downfall: Massive Sicherheitslücke in Intel-Prozessoren entdeckt
- Microsoft in der Kritik: Umgang mit Sicherheit "grob unverantwortlich"
- Polizei- und Militärfunkgeräte: Sicherheitsforscher finden "Backdoor"
- WordPress: Sicherheits-Plugin speichert Passwörter im Klartext
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Meist kommentierte Nachrichten
Forum
-
Home Assistant OS 18.0 – Endlich wird die Basis richtig aufgeräumt
d-hubs - Heute 10:54 Uhr -
Erweiterung Post-it für Firefox oder Chrome
Maik1000 - Gestern 13:50 Uhr -
oSC Nürnberg 25.–27. Juni - das OpenSuse-Meeting
d-hubs - 20.06. 13:40 Uhr -
Die allerneueste Version, TrueNAS 26.0.0-BETA.2
d-hubs - 19.06. 14:50 Uhr -
Wie kann ich die Untertitel einem Video hinzufügen?
Rizo - 19.06. 11:14 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen