IT-Student teilt Sicherheitslücke mit:
Statt Dank gibts eine Vorladung

Patrik hatte durch Zufall eine Sicherheitslücke im Ticket-System der Gamescom entdeckt und teilte seinen Fund dem Plattformbetreiber mit. Der reagierte erst gar nicht und schickte dem Studenten statt eines Dankeschöns schließlich eine Vorladung.
Kriminalität, Stockfotos, Erpressung, Crime, Gewalt, Recht und Ordnung, Haft, Gefängnis, Gerichtsurteil, Mord, Raub, Zelle, Dieb, Gerichtsverfahren, Einbrecher, Verbrecher, Hände, Schurke, Bösewicht, Kriminell, Verurteilung, Orange, Verurteilt, Gefährlich, Raubüberfall, Handschellen, Gefängniszelle, Gitter, Stäbe, Eingesperrt, Einsperrung, Jail, Haftanstalt, Absitzen, Brummen

Umgang mit Entdeckern von Sicherheitslücken

Immer wieder kommt es vor, dass Nutzer durch Zufall oder nach absichtlicher Suche eine Schwachstelle in IT-Systemen aufdecken. Unternehmen wie Google haben das Potenzial dahinter erkannt. Der Konzern bietet daher fleißigen Hackern, die Lücken in Systemen und Programmen entdecken und diese an Google kommunizieren, im Rahmen seines Bug-Bounty-Programms bis zu 300.000 US-Dollar Belohnung.

Hierzulande läuft das Ganze, wie im aktuellen Fall eines Studenten zu sehen ist, leider etwas anders. Denn statt Personen, die auf Sicherheitslücken hinweisen, als Verbündete zu betrachten, verschicken deutsche Unternehmen lieber Vorladungen an die Entdecker, wie Günter Born auf seinem Blog berichtet.


Student meldet Sicherheitsrisiko an Plattformbetreiber

So ist es auch einem IT-Studenten ergangen, der auf X den Namen Patrik trägt. Er wollte sich eigentlich nur auf ganz legalem Weg eine Eintrittskarte für die letztjährige Gamescom über das Ticket-System der Koelnmesse kaufen. Dabei fiel ihm durch Zufall auf, dass er Daten anderer Accounts ohne entsprechende Authentifizierung einsehen konnte. Die Daten hätten auf diesem Weg also von Kriminellen abgegriffen werden können.

Um dem zuvorzukommen, meldete Patrik seine Entdeckung an den Betreiber der Plattform. Doch eigenen Angaben zufolge erhielt er nie eine Antwort. Darüber sichtlich frustriert postete er auf X:


Vorladung zum Verhör landet im Briefkasten

Doch dann lag im Januar 2024 plötzlich eine Vorladung von der Staatsanwaltschaft Köln im Briefkasten. Die Koelnmesse GmbH hatte offenbar eine Anzeige wegen "Verdacht auf Computersabotage/-betrug" gestellt. Patrik sollte nun offiziell als "Zeuge" vernommen werden. Seinen Angaben zufolge waren die Beamten aber eher darauf aus, ihm ein Vergehen anzulasten. Er würde mit einer solchen Vorstrafe schließlich keinen Job mehr finden und müsste angesichts einer zu erwartenden hohen Geldstrafe "einige Jahre umsonst arbeiten", hätte er während der Unterhaltung zu hören bekommen.

Deutsche Gesetze als Minenfeld

Aufgrund einer unklaren Rechtslage sollten, laut Sicherheitsexpertin Lilith Wittmann, Entdecker eine Schwachstelle an den zuständigen Datenschutzbeauftragten des Landes und das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Von einer Mitteilung an die Polizei oder die Staatsanwaltschaft rät sie dringend ab, um sich nicht selbst zu belasten.

Wie der Fall des IT-Studenten zeigt, ist hierzulande selbst die Weitergabe einer gefundenen Schwachstelle an den Betreiber der betroffenen Webseite gefährlich. Deutsche Unternehmen scheinen zumindest im Fall der Koelnmesse GmbH lange nicht so clever zu sein wie Google mit seinem Bug-Bounty-Programm. Sie tragen mit ihrem Verhalten im schlimmsten Szenario zur Kriminalisierung von Menschen bei, die eigentlich nur helfen wollen.

Zumindest Patrik hat wohl keine weiteren rechtlichen Schritte gegen sich zu befürchten, da der von ihm geschilderte Sachverhalt plausibel sei und nachvollzogen werden konnte, bestätigte das BSI.

Zusammenfassung
  • Google belohnt Hacker für das Melden von Sicherheitslücken
  • Deutsche Firma reagiert mit Vorladung statt Dank
  • IT-Student Patrik entdeckte ungeschützte Daten bei Ticketkauf
  • Koelnmesse GmbH reagierte nicht auf Patriks Sicherheitshinweis
  • Frustration führte zu öffentlichem Post von Patrik auf X
  • Staatsanwaltschaft Köln lud Patrik wegen Verdachts vor
  • Experten raten, Schwachstellen nur Behörden zu melden

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Interessante Artikel & Testberichte
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!