Deutsches Gericht verhängt Geldstrafe für Fund einer Sicherheitslücke
Der Prozess gegen einen IT-Experten, der quasi für die Entdeckung einer gravierenden Sicherheitslücke angeklagt wurde, endete nun tatsächlich in einer Verurteilung. Das Amtsgericht Jülich belegte den Entwickler mit einer Geldstrafe von 50 Tagessätzen.
In dem Verfahren ging es letztlich vor allem darum, ob das Auslesen eines Passwortes, das fest in den Code einer Binary hineingeschrieben wurde, bereits eine Überwindung eines ausreichend hohen Hindernisses darstellt, damit der §202a StGB "Ausspähen von Daten" greift. Nach Ansicht des Gerichtes erfordert dies bereits einiger technischer Expertise, sodass man nicht mehr davon sprechen könne, dass die Daten weitgehend ungeschützt zugänglich waren. Das geht aus einem Bericht des Lokalmagazins DN-News hervor, das bei der Verhandlung anwesend war.
Mit nur ein wenig technischem Sachverstand dürfte man diese Einschätzung wohl anzweifeln. Immerhin muss man wahrlich kein Superhacker sein, um mit einfachen Tools ein Passwort aus Binärcode zu extrahieren. Als weiteren belastenden Punkt nannte das Gericht allerdings die Tatsache, dass der Entwickler sich sogar noch eine spezielle Zugangssoftware zunutze machen musste, um mit dem Passwort an die Daten heranzukommen. Was im Juristendeutsch beeindruckend klingt, entpuppte sich in den Aussagen des Beschuldigten allerdings als schlichte lokale phpMyAdmin-Installation.
Gefunden wurde die Schwachstelle damals übrigens bei der Firma Modern Solution. Diese ist selbst weniger bekannt, sie war aber als Dienstleister in den Betrieb größerer Online-Angebote und -Shops von Kaufland, Otto, Check24 und Idealo eingebunden (wir berichteten). Zu den abrufbaren Daten gehörten diverse Kundeninformationen bis hin zu den Bankverbindungen.
Siehe auch:
phpMyAdmin ist ein krasses Hacker-Tool
Der Fall beschäftigte bereits im vergangenen Jahr die Security-Szene des Landes und sorgte milde gesagt für Verwunderung. Immerhin wurde hier jemand, der eine Schwachstelle aufdeckte und damit womöglich zahlreiche Nutzer davor bewahrte, dass ihre persönlichen Daten Kriminellen in die Hände fallen, kriminalisiert und vor Gericht gestellt.In dem Verfahren ging es letztlich vor allem darum, ob das Auslesen eines Passwortes, das fest in den Code einer Binary hineingeschrieben wurde, bereits eine Überwindung eines ausreichend hohen Hindernisses darstellt, damit der §202a StGB "Ausspähen von Daten" greift. Nach Ansicht des Gerichtes erfordert dies bereits einiger technischer Expertise, sodass man nicht mehr davon sprechen könne, dass die Daten weitgehend ungeschützt zugänglich waren. Das geht aus einem Bericht des Lokalmagazins DN-News hervor, das bei der Verhandlung anwesend war.
Mit nur ein wenig technischem Sachverstand dürfte man diese Einschätzung wohl anzweifeln. Immerhin muss man wahrlich kein Superhacker sein, um mit einfachen Tools ein Passwort aus Binärcode zu extrahieren. Als weiteren belastenden Punkt nannte das Gericht allerdings die Tatsache, dass der Entwickler sich sogar noch eine spezielle Zugangssoftware zunutze machen musste, um mit dem Passwort an die Daten heranzukommen. Was im Juristendeutsch beeindruckend klingt, entpuppte sich in den Aussagen des Beschuldigten allerdings als schlichte lokale phpMyAdmin-Installation.
Urteil nicht akzeptiert
Der betroffene Entwickler kündigte bereits kurz nach der Urteilsverkündung an, die Entscheidung so nicht hinnehmen zu wollen. Denn sollte das Beispiel Schule machen, müsste sich zukünftig besser jeder davor hüten, in Deutschland noch einmal eine gefundene Sicherheitslücke zu melden und bekannt zu machen. Denn zur Prüfung gefundener Schwachstellen kommen wohl immer irgendwelche Software-Tools zum Einsatz und es bedarf auch immer einer Expertise, die die des Amtsgerichts Jülich wohl übersteigt.Gefunden wurde die Schwachstelle damals übrigens bei der Firma Modern Solution. Diese ist selbst weniger bekannt, sie war aber als Dienstleister in den Betrieb größerer Online-Angebote und -Shops von Kaufland, Otto, Check24 und Idealo eingebunden (wir berichteten). Zu den abrufbaren Daten gehörten diverse Kundeninformationen bis hin zu den Bankverbindungen.
Zusammenfassung
- IT-Experte wegen Sicherheitslücke verurteilt
- Amtsgericht Jülich verhängt 50 Tagessätze Geldstrafe
- Verfahren sorgt in Security-Szene für Aufsehen
- Streitpunkt: Auslesen eines Passwortes aus Code
- Gericht sieht technische Expertise als Hindernisüberwindung
- Entwickler nutzte phpMyAdmin für Datenzugriff
- Schwachstelle bei Firma Modern Solution entdeckt
Siehe auch:
Thema:
Neueste Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
Home Assistant OS 18.0 – Endlich wird die Basis richtig aufgeräumt
d-hubs - Heute 10:54 Uhr -
Erweiterung Post-it für Firefox oder Chrome
Maik1000 - Gestern 13:50 Uhr -
oSC Nürnberg 25.–27. Juni - das OpenSuse-Meeting
d-hubs - 20.06. 13:40 Uhr -
Die allerneueste Version, TrueNAS 26.0.0-BETA.2
d-hubs - 19.06. 14:50 Uhr -
Wie kann ich die Untertitel einem Video hinzufügen?
Rizo - 19.06. 11:14 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen