Mychannel: Daten ungesichert - Verfahren eingestellt [Update]
Im Sommer kursierte ein Link auf eine Datei, die Kundendaten der Berliner Firma Mychannel enthielt, die Sicherheitssoftware für Heim-PCs vertreibt. Geschäftsführer Peter Huth stellte Strafanzeige wegen Ausspähens von Daten.
Das juristische Nachspiel wegen Ausspähens von Daten der Firma Mychannel hat ein Ende. Wie die Staatsanwaltschaft Berlin auf Nachfrage von heise online mitteilte, wurde das Ermittlungsverfahren eingestellt. Nach Auffassung der Justizbehörde war der Abruf der Kundendaten nicht strafbar, da die Firma die Datei nicht ausreichend gesichert hatte.
Im Sommer vergangenen Jahres kursierte in Chats und Internetforen ein Link auf eine drei Megabyte große Datei auf dem Server der Initiative "Dialersiegel". Wie sich herausstellte, enthielt diese Datei Namen, Adressen, Konto- und Kreditkartendaten Tausender Kunden der Berliner Firma Mychannel, die Sicherheitssoftware für Heim-PCs vertreibt. Nachdem Mychannel-Geschäftsführer Peter Huth von heise Security über die Sicherheitslücke informiert worden war, identifizierte er die fragliche Datei als Backup der Kundendatenbank, das bei Umzugsarbeiten ungesichert auf dem Server abgelegt und dort vergessen wurde. Gefunden wurde die Datei offenbar, weil auf dem Server ungesicherte PHP-Skripte liefen, die Zugriff auf das Dateisytem des Servers zuließen.
Obwohl Huth damals eine unverzügliche Information der Kunden zugesagt hatte, gab die Firma erst zwei Wochen später eine allgemein gehaltene Information heraus, in der die Kunden angehalten wurden, Unregelmäßigkeiten an die Sicherheitsfirma zu melden. Im weiteren Verlauf stellte Huth Strafanzeige gegen Unbekannt wegen Ausspähens von Daten. Daraufhin erhielten verschiedene Netzbetreiber und Provider Schreiben der Staatsanwaltschaft Berlin, in der sie aufgefordert wurden, die Nutzerdaten ihrer Kunden oder User preiszugeben, die auf die Kundendaten von Mychannel zugegriffen hatten. Auch der Heise Zeitschriften Verlag erhielt ein solches Schreiben. Besonders Nutzer, die den Link in Internetforen gefunden hatten und so durch den simplen Abruf einer URL an die Kundendaten gelangt waren, reagierten auf diese Entwicklung mit Besorgnis.
Auf Nachfrage von heise online erläutert der Pressesprecher der Staatanwaltschaft das Vorgehen der Ermittler: "Aufgrund der Anzeige des Herrn Huth gegen Unbekannt wurde seitens der Staatsanwaltschaft Berlin zweigleisig verfahren. Einerseits wurden die IP-Adressen zu den Usern ermittelt, die Zugriff auf die fragliche Seite des Anzeigenden hatten. Andererseits wurde geprüft, ob die Homepage ausreichend Sicherheiten hatte, die -- im Falle der Überwindung -- den Straftatbestand der Ausspähung von Daten erfüllt hätten." Die Prüfung der Homepage habe aber ergeben, dass die Daten nicht gesichert waren. Nach Paragraph 202a des Strafgesetzbuches ist eine solche Sicherung jedoch Voraussetzung für die Strafbarkeit des Abrufs von Daten. Aufgrund dieser Erkenntnis wurde das Ermittlungsverfahren eingestellt. Insgesamt seien 200 IP-Adressen festgestellt worden, ein Teil der Personen sei identifiziert worden, erklärte die Staatsanwaltschaft. Es gebe zudem keine strafrechtlichen Ermittlungen gegen Huth: "Wie dieser mit seinen Kunden umgeht beziehungsweise diese über die Problematik unterrichtet, bestimmt sich allein aus dem zivilrechtlichen Innenverhältnis." (Torsten Kleinz) / (jk)