Modern Solution: Staatsanwaltschaft scheitert mit Anklage gegen IT-Experten
Ein Programmierer deckte 2021 eine grobe Sicherheitslücke in der Software des deutschen E-Commerce-Unternehmens auf und wurde dafür angezeigt.
(Bild: Wirestock Images/Shutterstock.com)
Das Amtsgericht Jülich hat ein von der Staatsanwaltschaft Köln beantragtes Verfahren gegen den IT-Experten, der im Jahre 2021 eine Sicherheitslücke in der Software der Firma Modern Solution aufgedeckt hatte, abgelehnt. Es liege keine Straftat vor, da die Daten, auf die der Sicherheitsexperte im Zuge seiner Untersuchungen Zugriff hatte, nicht effektiv geschützt gewesen sein, so die Richter in Jülich. Modern Solution hatte den Programmierer damals angezeigt, anstatt ihm für das Aufdecken der Lücke zu danken. Durch die stümperhafte Absicherung der Software waren die Daten von über 700.000 Endkunden diverser Online-Shops öffentlich abrufbar gemacht worden. Die Staatsanwaltschaft Köln hat gegen das Urteil aus Jülich am Landgericht Aachen Berufung eingelegt.
Was war passiert?
Vor knapp zwei Jahren hatte ein Sicherheitsforscher eine Schwachstelle in einer Software der deutschen Firma Modern Solution aus Gladbeck im Ruhrgebiet aufgedeckt. Der Sicherheitsforscher hatte bei der Fehlersuche für einen Kunden festgestellt, dass die Software Kundendaten in einer im Klartext über das Internet aufgebauten SQL-Verbindung übermittelte. Nachdem der IT-Experte Teile der Software dekompiliert hatte, stellte er fest, dass die Zugangsdaten für diese unsichere SQL-Verbindung fest in den Quellcode eingebaut waren und er somit weitere Daten auf den Servern der Firma einsehen konnte. Die Software von Modern Solution verbindet die Warenwirtschafts-Systeme der eigenen Kunden mit der Software von Online-Marktplätzen wie Otto, Kaufland und Check24. Durch die Sicherheitslücke waren deshalb die Daten von mehr als 700.000 Käufern aus diesen Online-Shops, also von Endkunden, einsehbar.
Der Sicherheitsforscher kontaktierte die Firma Modern Solution und teilte ihr die Existenz der Sicherheitslücke mit. Nach ungeschickter Kommunikation auf beiden Seiten veröffentlichte der Sicherheitsforscher zusammen mit dem E-Commerce-Blogger Mark Steier noch am selben Tag Details zu der Lücke. Statt sich bei dem Programmierer zu bedanken und ihn gar mit einer Bug Bounty zu belohnen, erstattete Modern Solution Anzeige gegen den Sicherheitsexperten. Daraufhin ermittelte die Staatsanwaltschaft Köln gegen ihn wegen des Ausspähens von Daten, Datenhehlerei und Verstoßes gegen das Bundesdatenschutzgesetz. Diese Ermittlungen resultierten schließlich im Antrag auf ein Strafverfahren wegen Ausspähens von Daten vor dem Amtsgericht Jülich; eine Anwendung des sogenannten "Hackerparagraphen" 202a StGB.
Außerdem wurden bei einer Hausdurchsuchung am 15. September 2021 das gesamte Arbeitsgerät des freiberuflichen Programmierers beschlagnahmt – ein PC, fünf Laptops, ein Mobiltelefon und fünf externe Speichermedien. Eine solche Beschlagnahmung kann für einen Freiberufler einen potenziell existenzbedrohender Vorgang darstellen. Der betroffene IT-Experte äußerte heise online gegenüber die Vermutung, dass Modern Solution ihn angezeigt hatte, um sich für die Veröffentlichung der für die Firma peinlichen Details der Sicherheitslücke zu rächen.
Keine effektive Datensicherung, keine Straftat
Nach einem Beschluss des Amtsgerichtes Jülich vom 10. Mai 2023, der heise online vorliegt, wurde das Strafverfahren gegen den Sicherheitsforscher nun aus rechtlichen Gründen abgelehnt. Das Gericht geht davon aus, dass keine Straftat vorliegt, weil die Daten, auf die der Sicherheitsforscher zugegriffen hatte, nicht genügend abgesichert waren. "Dem Schutzbereich des Straftatbestandes unterliegen nur Daten, die gegen den unberechtigten Zugang besonders gesichert sind. Dies setzt voraus, dass Maßnahmen getroffen wurden, die objektiv geeignet sind [...] den Zugang zu den Daten zu verhindern", heißt es in dem Beschluss des Gerichtes. "Der Auffassung der Staatsanwaltschaft, wonach dafür bereits ein Passwortschutz als solcher genügt, folgt das Gericht nicht. Ein Passwort bewirkt nicht in jedem Fall eine effektive Datensicherung, etwa wenn es allzu simpel ist oder für bestimmte Anwendungen standardisiert verwendet wird. In solchen Fällen ist die Verschaffung des Zugangs zu Daten nicht tatbestandsmäßig."
Durch eigene Untersuchungen der Modern-Solution-Software konnte heise online bestätigen, dass diese in der Tat ein fest verbautes Standardpasswort enthielt. Somit hätte jeder, der diese frei auf der Webseite der Firma herunterladbare Software untersucht hätte, Zugang zu den Daten auf den Modern-Solution-Servern gehabt. Das Dekompilieren der entsprechenden Anwendungsdatei und das Finden des Passworts ist kein Hexenwerk. Entsprechende Anleitungen und die dafür benötigte Software steht jedem zur Verfügung, der eine Suchmaschine bedienen kann. Das entsprechende Wissen und die benötigte Software gehören zum Standardwerkzeug eines jeden Sicherheitsforschers. Einen wirklich bösartigen Hacker hätte der stümperhafte Passwortschutz dieser Software ohnehin nicht lange aufgehalten.
Jetzt muss das Landgericht entscheiden
Obwohl der Sicherheitsforscher und der von ihm informierte Blogger die Sicherheitslücke damals sehr zügig veröffentlicht hatten, handelte es sich trotzdem um einen Vorgang, der die Grundregeln der sogenannten Responsible Disclosure folgte, denn die Lücke war zu dem Zeitpunkt, an dem sie die Öffentlichkeit informiert wurde, schon geschlossen. Man hätte der Firma zwischen Disclosure und Veröffentlichung mehr Zeit geben können. Und erfahrene Journalisten und Sicherheitsforscher hätten das sicher auch getan. Anhand des rüden Tons, der aus E-Mails von Modern Solution gegenüber dem Sicherheitsforscher und der Presse – darunter auch heise online – hervorgeht, ist es aber auch verständlich, dass sich die Geschichte damals anders entwickelte. Bei über 700.000 betroffenen Endkunden war darüber hinaus das öffentliche Interesse an dem Fall ziemlich eindeutig.
Nach fast anderthalb Jahren bekam der IT-Experte im Zuge der Entscheidung des Amtsgerichts Jülich nun letztendlich auch die beschlagnahmten Geräte zurück. Allerdings hat die Staatsanwaltschaft Köln Berufung gegen das Urteil des Amtsgerichtes Jülich eingelegt. Über diesen Antrag wird momentan bei der nächsthöheren Instanz, dem Landgericht Aachen, entschieden. Die Staatsanwaltschaft Köln wollte zu diesem Vorgang keine Auskünfte machen, bestätigte gegenüber heise online allerdings, dass neben diesem Vorgang keine weiteren Strafverfahren gegen den Sicherheitsforscher anhängig sind. Das Landgericht Aachen erteilt über das laufende Beschwerdeverfahren der Staatsanwaltschaft erst dann Auskunft, wenn es verhandelt wurde. heise online wird über die weiteren Entwicklungen berichten.
(axk)
