Datenleck: Anzeige gegen IT-Experte kam von Modern Solution
Der Softwareanbieter hat laut Ermittlungsakten Anzeige gegen den Programmierer erstattet, der auf die Gefährdung der Daten von 700.000 Kunden hingewiesen hatte.
(Bild: ra2 studio/Shutterstock.com)
Die Firma Modern Solutions hat den IT-Experten angezeigt, der eine potenzielle Gefährdung der Daten von hunderttausenden Kunden durch die Software des Unternehmens aufgedeckt hatte. Das geht aus den Ermittlungsakten hervor, die heise online einsehen konnte. Auf die Anzeige hin hatte die Polizei eine Hausdurchsuchung bei dem Programmierer durchgeführt und zahlreiche Geräte beschlagnahmt. Auch gegen einen Blogger, der darüber berichtet hatte, hat Modern Solutions demnach Anzeige erstattet.
Gegen den Programmierer wird unter anderem wegen des Ausspähens von Daten, Datenhehlerei und Verstoßes gegen das Bundesdatenschutzgesetz ermittelt. Modern Solutions hat der Ermittlungsakte zufolge gegenüber der Polizei angegeben, der Programmierer habe sich nur mit Insiderwissen Zugang zu den Systemen der Firma verschaffen können. Die Begründung dieser Vermutung ist allerdings technisch wenig überzeugend.
Daten von 700.000 Kunden
Auf den Systemen von Modern Solution waren die persönlichen Daten von rund 700.000 Kunden verschiedener Onlinehändler mehrere Jahre weitgehend ungesichert abrufbar. Diese Kunden hatten bei kleineren Händlern eingekauft, die ihre Produkte mittels einer Software von Modern Solution auf den Marktplätzen großer Online-Händler wie Otto, Kaufland oder Check24 angeboten hatten
Nachdem der unabhängige Programmierer das Datenleck im Juni öffentlich gemacht hatte, wurden am 15. September seine Wohn- und Arbeitsräume durchsucht, dabei wurde sein komplettes Arbeitsgerät – ein PC, fünf Laptops, ein Mobiltelefon und fünf externe Speichermedien – beschlagnahmt. Die Geräte befinden sich nach wie vor im Gewahrsam der Polizei. Für Modern Solution hatte das riesige Datenleck, soweit öffentlich bekannt, bisher keine rechtlichen Folgen.
Die Anzeige und die darauffolgende Durchsuchung, so lässt sich nun gesichert sagen, wurde von Modern Solution als direkte Reaktion auf die Veröffentlichung des Datenlecks veranlasst. Bisher war dies eine reine Vermutung. Das Unternehmen erklärt, der Programmierer habe die Daten nur mit Insiderwissen abrufen können und sei überdies ein Wettbewerber.
"Insider und Konkurrent"
Führende Mitarbeiter von Modern Solution sagten laut der Ermittlungsakte gegenüber der Polizei aus, der Programmierer habe früher bei der Firma JTL in Hückelhoven gearbeitet. JTL stellt die Warenwirtschafts-Systeme her, mit denen sich die Software von Modern Solution auf Seite des Einzelhändlers verbindet. Das Arbeitsverhältnis des Programmierers bei JTL sei damals nach Konflikten beendet worden. Der Beschuldigte bestätigte seine Beschäftigung bei JTL gegenüber heise online und stritt nicht ab, "Probleme" bei seiner Zeit in der Firma gehabt zu haben.
Modern Solution ist nach eigenen Angaben auf die Einrichtung und das Hosting dieser sogenannten WaWi-Systeme von JTL spezialisiert. Gegenüber der Polizei gaben Vertreter von Modern Solution demnach zu Protokoll, der Programmierer habe es durch sein bei JTL erlangtes Insiderwissen geschafft, an das Passwort zu gelangen, mit dem er Zugriff auf die Daten bei Modern Solution erhalten habe.
Im Juni hatte der IT-Experte eigenen Angaben zufolge beim Troubleshooting für einen Kunden von Modern Solution entdeckt, dass der Datenaustausch der Software von Modern Solution über eine im Klartext einsehbare SQL-Verbindung lief und die Zugangsdaten fest in der Software verankert waren. Dadurch hatte jeder, der eine Kopie der im Prinzip frei verfügbaren Software gelangen konnte, Zugriff auf die Daten aller Kunden, deren Käufe über Systeme von Modern Solution abgewickelt wurden. Wie genau das funktionierte, hat der Blogger Mark Steier in einem Beitrag vom 23. Juni dokumentiert.
Öffentlich hat Modern Solution diese Darstellung nie bestritten. Gegenüber der Polizei argumentierten hochrangige Mitarbeiter der Gelsenkirchener Firma allerdings damit, der Programmierer habe nur Zugang zu diesem Passwort haben können, weil er früher für JTL gearbeitet habe. Außerdem vertritt das Unternehmen laut der Akte den Standpunkt, dass die Kompilierung der Software ein wirksamer Schutz gegen Angriffe wie etwa das Auslesen von Passwort-Strings darstelle. Folgt man dieser Auslegung, so könnte die Überwindung dieser angeblichen Schutzmaßnahme eine Strafbarkeit nach sich ziehen.
Schützt Kompilierung vor Zugriff?
Experten bezweifeln hingegen, das Übersetzen von Quellcode stelle einen wirksamen Schutz von Passwörtern oder dergleichen dar. Im Zuge der Recherchen gelang es heise online etwa, mittels gängiger Tools ebenfalls passwortähnliche Strings aus Software der Firma Modern Solution auszulesen, die frei im Internet zum Download steht. Auch die vorherrschende Rechtsmeinung scheint der Interpretation von Modern Solution zu widersprechen. So hat zum Beispiel der Europäische Gerichtshof (EuGH) gerade erst entschieden, dass Reverse Engineering zur Fehlerkorrektur erlaubt ist. Und genau aus diesem Grund hatte sich der Programmierer die Software angesehen und Teile davon dekompiliert.
Modern Solution erklärte gegenüber der Polizei, der Programmierer wolle als Konkurrent der Firma in Erscheinung treten – was er heise online gegenüber nicht abstritt – und versuche deswegen, der Firma zu schaden. Der Programmierer weist das zurück. Er habe die Sicherheitslücke und das Datenleck schnellstmöglich offenlegen wollen, um die Kunden zu schützen.
Laut des Durchsuchungsprotokolls der Polizei kooperierte er mit den Beamten und gab ihnen sogar die Passwörter zu seinen Geräten und verschlüsselten Daten. Unseren Informationen zufolge löschte er in den fast drei Monaten, die zwischen Öffentlichmachung der Lücke und Durchsuchung vergingen, keine Daten, die den Fall betreffen – wie es ein bösartiger Angreifer wohl umgehend getan hätte.
"Eilt!"
Die zuständige Staatsanwaltschaft Köln wollte gegenüber heise online auf wiederholte Anfrage keine Angaben zu Einzelheiten machen. Damit bleibt auch die Frage unbeantwortet, warum zwischen Veröffentlichung der Lücke und der Durchsuchung mehrere Monate vergingen. Dabei ist den Ermittlungsakten mehrmals der Vermerk "Eilt!" zu lesen, unter anderem auf einer Abschrift von Anfang August.
Modern Solution will sich auf Anfrage nicht äußern. "Wir haben uns als Unternehmen dazu entschlossen, Anfragen, die ein laufendes Ermittlungsverfahren betreffen, nicht zu beantworten", erklärte die Firma gegenüber heise online. "Wir verfassen zurzeit ein eigenes Statement und benötigen hierfür noch etwas Zeit. Wir haben kein Interesse daran, die aktuelle Situation weiter aufzuheizen." Dieses Statement ist bisher nicht erschienen.
(vbr)