Ein Unternehmen aus Gladbeck hat einen Sicherheitsforscher verklagt, nachdem dieser eine Sicherheitslücke gemeldet hatte. Solche Prozesse bringen nicht nur unerwünschte Publicity, sondern schaden durch bloße Signalwirkung letztlich der Sicherheit.
Wer nach Sicherheitslücken sucht, bewegt sich bisweilen auf dünnem Eis. Das musste auch ein Sicherheitsforscher feststellen, der einem Softwareanbieter namens Modern Solution eine Sicherheitslücke meldete. Das Dienstleistungsunternehmen hostet unter anderem ein Warenwirtschaftssystem. Bis zu 700.000 Datensätze wären im schlimmsten Fall öffentlich sichbar gewesen. Die Sicherheitslücke wurde schlussendlich auch behoben. Das Amtsgericht Jülich wollte den Fall ursprünglich überhaupt nicht verhandeln, da es keinen Verstoß gegen geltendes Recht sah. Das Landgericht Aachen hat jetzt einen Prozess vor dem AG Jülich erzwungen. Dem war eine Anzeige gegen den Forscher vorausgegangen, infolgedessen eine Hausdurchsuchung inklusive Sicherstellung von Beweismitteln stattfand.
Alleine das ist schon ungeheuerlich: Eine Spurensuche und Sicherstellung von Beweismitteln wären gar nicht notwendig gewesen, da die „Täterschaft“ ja bereits eindeutig feststand. Was jedoch diese Suche nach Beweismitteln angesichts der öffentlichen Natur der Angelegenheit überhaupt notwendig gemacht hat, bleibt vorerst das Geheimnis des Amtsgerichts Köln, das die Maßnahme angeordnet hat.
Kaltgestellt
Das gesamte Arbeitsmaterial des Mannes wurde beschlagnahmt. Computer, Festplatten, Smartphones – alles wurde von der Polizei eingesackt. Was aussieht wie ein Computer, ist ab sofort Beweismittel. Ob und wann er seine Geräte zurückbekommt, ist unklar. Eine Verhaftung fand hingegen nicht statt.
Um also seinen Lebensunterhalt wieder verdienen zu können, müsste die gesamte Hardware auf eigene Kosten neu angeschafft werden, was mehrere tausend Euro kosten dürfte. Dass hier Vermutungen in Richtung „Schikane auf Geheiß des Klägers“ laut wurden, verwundert nicht weiter. Die Ermittlungsbehörden werden schlimmstenfalls hier zu Erfüllungsgehilfen gekränkter Eitelkeit.
Ermittelt wird in diesem konkreten Fall unter anderem wegen Datenhehlerei und Ausspähen von Daten. Die Klägerseite argumentiert, dass die Sicherheitslücke nie bestanden habe und Zugriff auf die Daten nur mit Insiderwissen möglich gewesen sei – eine Sichtweise, die jedoch selbst einer flüchtigen technischen Betrachtung nicht standhält. Einfallstor war ein besonders schwaches Passwort, welches auch noch in der betreffenden Anwendung hart codiert, also fest eingetragen war – ein schwerwiegender Lapsus in Sachen Sicherheit.. Mit diesem Passwort hätte sich jede Person Zugriff auf die entsprechenden Datenbanken des Warenwirtschaftssystems verschaffen können. Und die eingesetzten Techniken, wie etwa die Dekompilierung eines Programms, gehören zum Standard-Repertoire sowohl in der Forschung als auch bei Kriminellen.
Unangenehme Parallelen
Insgesamt weckt der Fall unangenehme Erinnerungen an den Fall von Lilith Wittmann (Link öffnet sich in neuem Fenster), die nach der Offenlegung von Sicherheitslücken in einer App der CDU von derselben prompt eine Anzeige aufgedrückt bekam – ebenfalls auf Basis des „Hackerparagrafen“. Der Sturm der Entrüstung, der darauf losbrach, in Verbindung mit immensem politischen Druck und einer Ankündigung des Chaos Computer Club (CCC), der CDU künftig überhaupt keine Sicherheitslücken mehr zu melden (Link öffnet sich in neuem Fenster), zwang die CDU jedoch zu einem Rückzieher und einer zähneknirschenden Entschuldigung.
Dieses Glück dürfte dem bisher namenlosen Sicherheitsforscher nicht beschieden sein, obwohl es im vorliegenden Fall um 700.000 Kunden-Datensätze ging und nicht „nur“ um etwa 18.000 wie im Fall Wittmann.
Der „Hackerparagraf“ 202c StGB
Der §202 des Strafgesetzbuches regelt eigentlich das Briefgeheimnis. Dieser wurde inzwischen erweitert. So heißt es in §202c:
„Wer eine Straftat (…) vorbereitet, in dem er 1. (..) Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ermöglichen (…) sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
Der Paragraf steht auch unter anderem immer wieder in der Kritik, weil er auch die Verwendung und Herstellung von Programmen unter Strafe stellt, die potenziell für Straftaten im Sinne von Paragraf 202 a und 202 b genutzt werden könnten. Viele der Werkzeuge, die für kriminelle Zwecke eingesetzt werden können, haben jedoch auch legitime und erwünschte Verwendungszwecke.
Kommunikations-Disaster
Es gibt durchaus Stimmen, die Kritik an der Art und Weise der Veröffentlichung laut werden lassen. Aber wie Heise schreibt, hat der Forscher sich „rein technisch“ an die Regeln gehalten, nach denen eine Sicherheitslücke erst öffentlich gemacht wird, nachdem sie behoben ist. Da Modern Solution aber einen wohl „schroffen“ Umgangston an den Tag gelegt hat, der erkennen ließ, dass „keine konstruktive Zusammenarbeit gewünscht“ sei, wurde die Lücke eben sofort veröffentlicht.
Modern Solution mauert nach wie vor und äußert sich nicht zu dem Vorfall. Falscher kann man mit einer gemeldeten Schwachstelle nicht umgehen.
Justiz ohne Durchblick
Technisch steht auch die Begründung der Richter des Aachener Landgerichts für eine Verfahrenseröffnung auf tönernen Füßen und zeugt von einer profunden Ahnungslosigkeit. Auf die Daten von Modern Solution zugreifen zu können, erfordere ein „tiefes Verständnis über Programmiersprachen und Softwareentwicklung“. Das lässt jedoch die Tatsache völlig außer Acht, dass kaum Programmierkenntnisse erforderlich sind, um triviale Sicherheitslücken ausnutzen zu können. Selbst dem unbegabtesten „Script Kiddie“ würden die Richter nach dieser Argumentation dasselbe „tiefe Verständnis über Programmiersprachen und Softwareentwicklung“ bescheinigen, obwohl sie nur Copy&Paste beherrschen. Dreh- und Angelpunkt scheint das Überwinden einer Passwortsperre zu sein. Es ist aber nicht definiert, wie gut die Qualität eines Passwortes sein muss. Nach §202 c StGB würde selbst ein Passwort wie “123456” ausreichen, um als Schutzmaßnahme durchzugehen, und deren Überwindung ist strafbewehrt. Hier wäre eine Anpassung des Gesetzestextes angebracht. Obwohl das Jülicher Gericht anmerkte, dass ein allzu einfaches Passwort keinen effektiven Schutz für die Daten darstelle und der Zugriff seitens des Forschers somit „nicht tatbestandmäßig“ sei, sah man das in Aachen anders – mit der oben genannten Argumentation, die diesen Namen eigentlich nicht verdient.
Mit diesem Argument ließe sich praktisch jegliche Art Sicherheitsforschung kriminalisieren – gerade, wenn den Damen und Herren Richtern und deren Sachverständigen jedes Verständnis eben jener Konzepte abgeht die IT-Sicherheit ausmachen. Ganz nach dem Grundsatz „Wenn ich es nicht verstehe, ist es illegal“.
Und das ist ein überaus gefährliches Signal.
Fatale Signale
Ein Fall wie dieser schlägt natürlich Wellen in der Forschungs-Community und stellt das Konzept der Responsible Disclosure grundsätzlich in Frage. Kaum jemand, der Sicherheitslücken entdeckt, wird diese auch an Hersteller melden wollen, wenn potenziell direkt nach Behebung der Sicherheitslücke eine Anzeige ins Haus flattert. Die dann über die Dauer des gesamten Verfahrens potenziell Tausende, wenn nicht zehntausende Euro an Kosten für beschlagnahmte Ausrüstung sowie Anwalts- und Verfahrenskosten verschlingt. Verfahren wie diese schrecken ehrliche Menschen davon ab, einen Beitrag zur Sicherheit von allen zu leisten.
Einschüchterung und Abschreckung sind die Taktiken, nach denen Unternehmen sich selbst straflos halten wollen. Wohl auch, um von eigenen Verfehlungen abzulenken. Man behebt wortlos den gemeldeten Fehler, erschießt dann – im übertragenen Sinne – den Boten, der die schlechte Nachricht überbracht hat und hofft, dass Gras über die Sache wächst. Juristisch blieb der Sicherheits-Fauxpas für Modern Solution bisher übrigens folgenlos.
Dabei lebt Sicherheit von genau jenen, die aus Neugier und technischen Interesse an einem virtuellen losen Faden zu ziehen beginnen, und dann schauen, wohin er sie führt. Wenngleich ein Termin noch nicht feststeht: Alleine die Tatsache, dass ein Verfahren nun wohl doch eröffnet wird, ist ein gewaltiger Rückschritt. Befeuert von einem Unternehmen, das einen Fehler nicht eingestehen will und dafür (juristisch gesehen) über Leichen geht, und einer noch immer rückwärts gewandten Justiz, die einfach nicht verstehen kann oder will, wie IT-Sicherheit funktioniert.
Das ist im Jahr 2023 eine ziemlich traurige Vorstellung. Zumindest in Jülich scheint man das verstanden zu haben, auch wenn das dortige Amtsgericht nun effektiv gezwungen wurde, die Sache zu verhandeln. Andernorts lassen Erkenntnis und Einsicht jedoch noch auf sich warten.
Statt sofort die jurisitische Keule zu schwingen, sollten Unternehmen eher dankbar dafür sein, dass jemand mit ehrlichen Absichen einen auf eine Schwachstelle hinweist. Sonst hätte es vielleicht ein böses Erwachen gegeben, wenn Kriminelle mit weniger ehrbaren Absichten dieselbe Schwachstelle gefunden hätten.
Bildnachweis:
OGTag-Vorschau: Dominika Roseclay / Pexels
Illustration: Egor Kamelev / Pexels
Header, Illustration & Vorschaubild Sora Shimazaki / Pexels
Tim Berghoff
Security Evangelist
