MyChannel-Sicherheitslücke: Staatsanwaltschaft ermittelt
Der Anbieter von Sicherheits-Software hat Strafanzeige gegen Unbekannt wegen Ausspähens von Daten gestellt. Hintergrund ist ein Sicherheitsleck, über das Kundendaten zugänglich waren.
Der Anbieter von Sicherheits-Software MyChannel hat Strafanzeige gegen unbekannt wegen Ausspähens von Daten gestellt. Den Hintergrund dazu lieferte ein unsicheres PHP-Skript auf der Seite Dialersiegel.de, die Sicherheitssoftware der Firma MyChannel vertreibt. Über diese Fehlkonfiguration waren über Monate die Daten Tausender Kunden des Berliner Sicherheitssoftware-Anbieters MyChannel frei im Netz abrufbar. Namen, Adressen, Kontoverbindungen und Kreditkartendaten konnten über eine URL ausgelesen werden.
Nachdem heise Security die MyChannel-Betreiber informierte und der Zugriff auf die Kundendaten gesperrt wurde, versicherte MyChannel-Geschäftsführer Peter Huth, alle betroffenen Kunden zu informieren. Dies geschah allerdings nicht -- erst nachdem heise online zwei Wochen später in einer Meldung darauf hinwies, reagierte MyChannel knapp zwei Stunden später mit einer Mitteilung auf der Homepage und E-Mails an die betroffenen Kunden.
Jetzt haben diverse Provider und Netzbetreiber -- unter anderem auch der Heise Zeitschriften Verlag -- ein Schreiben der Staatsanwaltschaft Berlin erhalten, in dem sie aufgefordert werden, die entsprechenden Verbindungsdaten preiszugeben, "insbesondere der Daten der betreffenden User (Telefonanschluss und dessen Inhaber)". In dem Schreiben heißt es unter anderem: "Es besteht der Verdacht, dass der unbekannte Beschuldigte im betreffenden Tatzeitraum unbefugt Zugriff auf geschützte Dateien, welche u. a. Kundendaten und Kreditkartennummern enthielten, der Webseite www.dialersiegel.de des Geschädigten Peter Huth genommen hatte."
Die entsprechende Vorschrift des Strafgesetzbuches, § 202 a StGB, setzt allerdings voraus, dass die abgerufenen Daten gegen unberechtigten Zugang besonders gesichert sind. Dies ist aus juristischer Sicht der Fall, wenn vom dem Eigentümer "Vorkehrungen getroffen sind, die objektiv geeignet sind, den Zugriff auf die Dateien auszuschließen oder wenigstens nicht unerheblich zu erschweren". Die "besondere Sicherung" kann durch Passworte, Benutzer-Kennnummern, Magnetkarten oder Datenverschlüsselungen oder Ähnliches erfolgen.
Ob aber Dateien, die durch die Eingabe eines Links in einen Browser ohne weitere Probleme abgerufen werden können, als besonders geschützt im Sinne des § 202a StGB gelten können, darf nach Ansicht von Juristen bezweifelt werden. Der Heise Zeitschriften Verlag prüft derzeit, ob er gegen den Urheber der Anzeige seinerseits eine Strafanzeige wegen falscher Verdächtigung nach § 164 des Strafgesetzbuches stellen wird.
Es ist davon auszugehen, dass die angeschriebenen Provider der Aufforderung der Staatsanwaltschaft folgen und die Kundendaten herausgeben werden. Ob es allerdings angesichts der erheblichen Zweifel an einer Strafbarkeit der Beschuldigten tatsächlich zu möglichen Maßnahmen wie Hausdurchsuchungen oder gar Anklagen gegen die Betroffenen kommen wird, bleibt abzuwarten. (pab)
