Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung

Sicherheit (Pexels, allgemeine Nutzung)Im Sommer 2021 wurde bekannt, dass ein schlecht gesicherter Zugang des Dienstleisters Modern Solution dazu führte, dass Händlerdaten (Bestellungen, Adressen und auch Kontodaten) für Dritte über das Internet abrufbar bzw. einsehbar waren. Jetzt wurde bekannt, dass gegen den Entwickler, der die Schwachstelle aufdeckte, eine Anzeige gestellt wurde. Und in deren Folge fand am 15. September 2021 eine Hausdurchsuchung mit Beschlagnahmung der Arbeitsmittel statt – für den Entwickler existenzbedrohend.


Anzeige

Zum Datenleck bei Modern Solution

Ein Entwickler stieß im Sommer 2021 auf einen schlecht gesicherten Händlerzugang beim Dienstleister Modern Solution. Es war ein Zufallsfund, denn bei der Installation einer (Händler-) Software fiel dem IT-Spezialisten auf, dass eine Datenbankverbindung zu einem externen Server aufgebaut wurde. Da die für den Datenbankzugriff erforderlichen Zugangsdaten von einer Firewall des Systems protokolliert wurden, ließen sich Details zu dieser Verbindung rekonstruieren.

Dies führte dazu, dass Händlerdaten (Bestellungen, Adressen und auch Kontodaten) für Dritte über das Internet abrufbar bzw. einsehbar waren. Es waren wohl persönliche Daten von ca. 700.000 Personen betroffen. Zu den Kunden des Dienstleisters zählen nach meinen Informationen auch Check24, Otto, Rakuten oder die Real-Tochter Kaufland. Der Fall wurde durch die Seite wortfilter.de (Mark Steier) und durch diesen Artikel des Spiegel publik. Ich selbst hatte im Blog-Beitrag Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar über diese Sicherheitslücke bzw. den Fall berichtet.

Anzeige und Hausdurchsuchung beim Entdecker

Der normale Vorgang: Die betroffene Firma meldet den Datenschutzvorfall der Aussichtsbehörde und beseitigt den Fehler. Momentan sieht es so aus, als ob das Ganze in diesem Fall anders verlaufen ist. Ich bin die Woche bereits bei den Kollegen von Golem auf das Thema gestoßen, habe das anschließend aber auch in folgendem Tweet gesehen.

Hausdurchsuchung nach Modern Solutions Datenleck

Golem berichtet, dass der Entwickler, der diese Schwachstelle im Rahmen eines Kunden-Projekts entdeckte, eine Anzeige erhalten habe – es wird vermutet, dass diese von Modern Solutions stammt, was bisher aber nicht belegt werden kann. In Folge dieser Anzeige fand am 15. September 2021 eine Hausdurchsuchung bei diesem Entwickler statt. Golem konnte ein Protokoll dieser Hausdurchsuchung einsehen, wo als Grund "u.a. Ausspähen von Daten" angegeben ist.

Auf die Adresse des Entwicklers sei man, so Golem, über eine E-Mail-Adresse bei Web.de gelangt. Dies war aber die E-Mail-Adresse, über die der Entwickler die Firma Modern Solution mehrfach auf die Sicherheitslücke hingewiesen hatte.

Auch der Betreiber der Seite wortfilter.de, der Blogger Mark Steier, der nach Hinweisen des Entwicklers über die Schwachstelle berichtete, wurde für seine Berichterstattung angezeigt. Mark Steier hat bereits am 18. September 2021 in diesem neue Beitrag auf diese Aktion aufmerksam gemacht (ist aber an mir vorbei gegangen). Laut Steier arbeitet Modern Solutions noch immer an der Behebung der im Sommer gemeldeten Schwachstelle.

Für den Entwickler hat das Ganze gravierende Folgen, denn in dessen Firma wurden laut Golem fünf Notebooks, drei externe Festplatten, zwei USB-Sticks sowie der Rechner, in dem sie steckten, sowie das Smartphone des Betroffenen beschlagnahmt. Das ist eine existenzbedrohende Situation, da dem Betroffenen nicht nur die Arbeitsgeräte, sondern auch alle Arbeits- und Projektdaten samt Quellcodes fehlen. Golem schreibt, dass der Betroffene ein Fundraising-Projekt zur Finanzierung der Prozesskosten gestartet habe. Statt der erhofften 2000 Euro zur Deckung der Gerichtskosten seien 5.000 Euro an Spenden eingegangen. Das nicht für den Prozess benötigte Geld will der Entwickler an die Kinderkrebshilfe spenden.


Anzeige

Whistleblower in Deutschland in 2021

Man kann zwar darüber streiten, ob die Veröffentlichung der Details im Sinne eines responsible disclosure gedeckt war (zwischen den Zeilen der damaligen Berichterstattung lese ich aber heraus, dass das Unternehmen auf die Hinweise des Entwicklers nicht reagierte und erst nach Offenlegung des Sachverhalts samt Pressecho in die Pushen kam), das wird wohl jetzt juristisch aufgearbeitet.

Aber der Fall hat mal wieder grundsätzliche Bedeutung. Dass, mutmaßlich auf Grund einer Anzeige, Strafverfahren wegen "Ausspähen von Daten" und ggf. wegen "Datenhehlerei" gestartet werden, und mit Hausdurchsuchung samt Beschlagnahme aller Arbeitsgeräte beim Entdecker der Sicherheitslücke folgen (wobei sich die Frage der Verhältnismäßigkeit stellt), ist dem deutschen Strafrecht und §202 a/b/c StGB (sogenannte Hackerparagraphen) zu verdanken. Diese wurden 2007 gegen den Widerstand der Zivilgesellschaft von CDU und SPD beschlossen und waren auch Grundlage des Verfahrens gegen die Sicherheitsforscherin Lilith Wittmann, die die Sicherheitslücke in der CDU Connect-Wahlkampf-App aufgedeckt hatte (siehe meinen Blog-Beitrag CDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein).

Persönlich beschleicht mich das Gefühl, dass wir im Bereich Digitalisierung endlich im Bereich der Bananenrepubliken angekommen sind. Digitalprojekte werden regelmäßig in den Sand gesetzt, mutieren zu Millionengräbern und strotzen oft auch nur so vor Schwachstellen. Meldet jemand dann eine gefundene Schwachstelle, setzt er sich der Gefahr eines Strafverfahrens samt Hausdurchsuchung und Beschlagnahmung aus.

Bleibt nur zu hoffen dass im aktuellen Fall der Streisand-Effekt greift (neben Golem berichteten andere Medien wie die TAZ über den Fall) und der Markt dieses Verhalten reguliert. Wer in die Lage kommt, und eine Schwachstelle entdeckt und melden will, oder als Whistleblower Informationen weitergeben möchte, sollte dies ggf. auf dieser heise-Seite tun.

Ergänzung: Fortsetzung unter Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Datenschutz, Recht, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

27 Antworten zu Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung

  1. Tom sagt:

    Egal was man macht, es ist falsch

  2. Luzifer sagt:

    naja sind wir mal ehrlich:

    Entdecken, melden Hausdurchsuchung, Beschlagname
    oder
    Entdecken, ausschlachten, reichwerden

    da wundert es mich nicht das so viele Black Hats da draußen sind!
    Das ist ja auch leider nicht nur im digitalen so, als ehrlicher Mensch wirst du gef**** und als unehrlicher lebst du einfach besser!
    Wie sangen schon die Prinzen: Du musst ein Schwein sein , in dieser Welt.
    In diesem Sinne … geh ich mich jetzt in der Grube suhlen ;-P

  3. Singlethreaded sagt:

    Traurig aber wahr. Man kann nur hoffen, dass das Unternehmen am Ende ein saftiges Bußgeld wegen Verstoßes gegen die DSGVO erhält, denn von einer Sicherheitsarchitektur nach dem Stand der Technik kann wohl keine Rede sein. Vielleicht wäre das ganz heilsam, um den Fehler mal im eigenen Hause zu suchen.

    • Dat Bundesferkel sagt:

      Nenne mir drei Unternehmen, die nicht nur ein Bußgeld "aufgebrummt" bekommen haben, sondern es auch tatsächlich ohne Wischi-Waschi bezahlt haben (und es nicht via Steuer-Erschleichungslücken rückerstattet bekamen).

      Bislang ist das ganze Bußgeld-Getue um die DSGVO nur für Kleinunternehmer und andere nicht relevante Betriebe gefährlich.

      • Singlethreaded sagt:

        Ich bin jetzt kein Experte für die DSGVO aber, in diesem Jahr fallen mir z.B. notebooksbilliger.de, Vattenfall und der VfB Stuttgart ein, welche mit Bußgeldern teils in Millionenhöhe belegt wurden. Auch gab es die Rekordsumme von knapp 750 Millionen Euro gegen Amazon.

        Das sich die Betroffenen teils juristisch gegen die Bußgelder wehren ist ihr gutes Recht. Entsprechend kann man auch noch nicht sagen was am Ende dabei rauskommt. Es bleibt aber zu hoffen, dass konformes arbeiten nach der DSGVO auch wirtschaftlich günstiger ist, als ein Bußgeld einfach als Geschäftsrisiko einzukalkulieren. Die Summen nach dem alten Datenschutzrecht waren dafür einfach zu gering.

        Auch geht es ja nicht darum, dass die Firmen durch das Bußgeld bankrottgehen, aber es muss zumindest ausreichend weh tun, damit sich diese animiert fühlen nach den Regeln zu spielen.

        • Tom sagt:

          @Singlethreaded
          Alles richtig, was Du schreibst – jedoch machen die 750 Mio Strafe gegen AMAZON (ob AMAZON diese jemals in dieser Höhe zahlen muß, sei jetzt mal "dahingestellt") gerade einmal 0,66 Prozent des Umsatzes vom zweiten Quartal 2021 vom Gesamt-, bzw. 2,54 Prozent des Umsatzes in Deutschland aus:

          https://de.statista.com/statistik/daten/studie/204386/umfrage/gewinn-von-amazon-quartalszahlen/#:~:text=Mit%20einem%20Gewinn%20in%20H%C3%B6he,,1%20Milliarden%20US-Dollar.

          Und das gilt nur für das zweite Quartal 2021!

          Selbst wenn einmal fernen Tages ein großes Unternehmen wie z.B. AMAZON die festgesetzten 4 Prozent des Gesamtumsatzes des vergangenen Geschäftsjahres als Strafe zahlen sollten, kommen die doch aus dem Lachen nicht mehr 'raus – von der Fortführung der bisherigen Geschäftspraktiken ganz zu schweigen.

          [Zitat]
          …Es bleibt aber zu hoffen, dass konformes arbeiten nach der DSGVO auch wirtschaftlich günstiger ist, als ein Bußgeld einfach als Geschäftsrisiko einzukalkulieren….
          [/Zitat]
          Und genau dieses Risiko wird auch weiterhin eingegangen werden!

          [Zitat]
          …Die Summen nach dem alten Datenschutzrecht waren dafür einfach zu gering….
          [/Zitat]
          Und sie sind es auch für die großen, gut Umsatz erarbeitenden Firmen und Unternehmen nach wie vor!

          • Singlethreaded sagt:

            Ich denke es ist ein Frage der Frequenz. Mit einem Bußgeld muss auch der Anspruch auf eine Änderung des Vorgehens einhergehen. Wenn sich der Abgemahne verweigert, dann einfach immer wieder das Bußgeld einziehen. Wenn dann nach einer Frist jeden Monat der Betrag als Dauerlastschrift fällig wird, dann zieht das irgendwann schon.
            Ich sehe dass Problem weniger bei der DSGVO, sondern ehr im politischen Willen das wirklich durchzusetzen. Gerade die Datenschutzbehörde in Irland ist bekannt dafür, Verfahren zur verschleppen und in ihren Entscheidungen klar konzerntreu zu agieren. Das man diesen Verein noch nicht abgesetzt hat, spricht in der Tat Bände.

            Gruß Singlethreaded

      • mvo sagt:

        Oh. Ich bzw. das Internet können Dir sogar weitaus mehr Beispiele nennen, in denen Unternehmen zu empfindlichen Bußgeldern verknackt wurden und diese auch gezahlt haben:

        https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank.php

        Nur weil Dir bestimmte Dinge nicht bekannt sind, muss es nicht wirklich so sein.

        • Dat Bundesferkel sagt:

          Tja, klassisches Eigentor. Konntest also eine Suchmaschine bedienen und hast die Seite gefunden.

          Und nun filtere mal nach Deutschland, laß Dir die (derzeit) 75 Seiten darstellen und lies Dir die Infos zu den Unternehmen durch.

          Die "Gearschten" sind lediglich Kleinstunternehmen ohne eigene Rechtsabteilung.
          Die "Großen" haben entweder Widerspruch eingelegt, die Fälle wurden weiter verlagert oder im Falle Vattenfalls (aktuell) ist der Bußgeldbescheid erst rechtskräftig geworden. Von "gezahlt" ist da nichts zu sehen.

          Ergo verweise ich auf meinen ursprünglichen Kommentar.

          • Singlethreaded sagt:

            Der Rechtsweg ist nun mal im Allgemeinen kein schneller Prozess. Daher verwundert es auch nicht, dass gerade Fälle mit hohen Bußgeldern derzeit noch nicht abschließend entschieden sind. Schließlich ist das Überprüfen solcher Entscheidungen das gute Recht der betroffenen Personen und Firmen.

            Auch sollte man bedenken, dass die DSGVO zwar im Mai 2018 Gültigkeit erlangte, aber gerade in der Anfangsphase mehr auf Aufklärung und Ermahnungen statt auf Bußgelder gesetzt wurde. In der Folge sind die Bußgelder unter Gültigkeit der DSGVO in juristischen Dimensionen wohl ehr als "jung" anzusehen, offene Verfahren erwartbar.

  4. nook sagt:

    quote: "u.a. Ausspähen von Daten"

    So schnell wird man vom Softwareentwickler zum Hacker …

    Bin gespannt wie sich die neue Koalition schlagen wird.
    Die bis jetzt verpennte Digitalisierung wird dann extra flott umgesetzt, dadurch noch schlampiger als bisher ;-)

    • Dat Bundesferkel sagt:

      "Bin gespannt wie sich die neue Koalition schlagen wird."

      Basierend auf den letzten 40 Jahren, die ich bewußt miterlebt und -verfolgt habe:

      Nichts wird sich ändern. Es ist völlig gleich, ob nun AfD, Grüne, FDP, SPD, CxU oder Großmuttis Fertigküche an der Macht ist.
      Man ändert ein Land wie Deutschland auch nicht in wenigen Jahren. Der (festgefahrene) Kurs wird weiter beibehalten, man greift ab, was noch zu greifen ist, bis irgendwann eine Partei das Unglück hat, die Zeche zahlen zu müssen. Die halten dann als Buhmann her, während die anderen wie gewohnt weiter machen.

      Wer wirklich eine Änderung bewirken will, muß die "repräsentative" Demokratie hierzulande abschaffen und durch eine echte "Demokratie" ersetzen. Bevor allerdings das geschieht, muß die Allgemeinbildung in Angriff genommen werden.
      Die Aluhut-Spinner der letzten Monate haben überdeutlich gezeigt, welche Gefahren lauern, wenn keine vernünftige Bildung stattfindet. Das hat dann auch nichts mehr mit Meinungsfreiheit zu tun.

  5. voko sagt:

    Ich kann es nicht glauben.🤔 Sollte man in Zukunft die Entdeckung solcher Lecks einfach ignorieren? Jedenfalls scheint es für mich so? Komische Entwicklung in der IT-Welt……

    • moki11so sagt:

      Ich habe Aussagen von Menschen in dem Umfeld die meinten, sie wussten vorher schon von diesem Leck. Das sind wohl tatsächlich direkte Konkurrenten und wollten sich vom Ärger fernhalten.

    • Axel Thiel sagt:

      Hilft nur der für den Sitz der Firma zuständigen Datenschutzbehörde direkt zu melden und der alle Daten zur Verfügung zu stellen. Am Besten ohne Vorwarnung der betroffenen Firma.

  6. Frank ツ sagt:

    "Persönlich beschleicht mich das Gefühl, dass wir im Bereich Digitalisierung endlich im Bereich der Bananenrepubliken angekommen sind. "

    Da bist Du nicht alleine mit der Meinung!
    /signed

    • Dat Bundesferkel sagt:

      Das stimmt. Allerdings vertrete ich die Meinung schon seit über 20 Jahren. Deutschland kann keine IT und sollte sich jetzt endgültig aus eben jener verabschieden, bevor es noch peinlicher wird.

      Autos können wir auch nicht mehr. Zumindest mit dem Nahrungsmittelanbau klappt es, sofern man nicht (wie in Brandenburg) das ganze Trinkwasser für Mumpitz stiehlt.

  7. Queen-Mumm sagt:

    Der Volkswille wird doch so oder so nicht vertreten, ganz egal, wer "da oben" hingewählt wurde, hinterher wird über sämtliche Köpfe hinwegentschieden. Meiner Meinung nach, sollten viel mehr Punkte direkt von den Bundesbürgern abgestimmt werden, statt den Vertreter vom Vertreter vom Vertreter zu wählen, die sich sich hinterher eh nie einig sind und nur Unsummen und Zeit vergeuden.

    Im Grunde sind wir auf modernem DDR-Niveau, nur mit dem demokratischen Deckmäntelchen, aber sowas darf man ja nicht aussprechen, weil man gleich stummgeschaltet wird und als AFD-Wähler oder sonstwas abgestempelt wird.

    • Dekre sagt:

      diesem muss ich zustimmen und möchte es auch hier kundtun.
      Das obwohl dieser Blog "nur" ein edv-spezifischer Blog ist.

      Aber mal kurz zur Anzeige under Untersuchung – Hier hat die Staatsanwaltschaft das StGB und vor allem die StPO (!) eben mal gebeugt. Es gibt nie im eben einen unabhängigen Staatsanwalt- obwohl er es sein sollte. Er sollte nun auch auf auf der anderen Seite ermittlen. Dazu ist die Staatsanwaltschaft verpflichtet.

      Und wenn die Anzeige von dem Unternehmen stammt, die das Datenleck produzierte und die Anzeige iniziierte, so ist diese nun Täter und das zweifach:
      # einmal wegen der Lücke
      # andererseits wegen der Falschanzeige.
      beides ist stafbewehrt und das zweite überwiegt.

  8. Blupp sagt:

    Da meint es jemand gut und bekommt die volle Breitseite.
    Erschreckend wie manche Verantwortlichen reagieren.

    Eigentlich gibt es ab jetzt für jeden der helfen will nur noch einen Weg:
    Gefundene Sicherheitslücken schnellst möglich annonym veröffentlichen.

  9. Dat Bundesferkel sagt:

    Tja, dann in Zukunft die Unternehmen nicht mehr warnen / unterrichten, sondern gleich direkt anzeigen.

  10. moki11so sagt:

    Wir (ich und Mark Steier) haben dem Unternehemen ein Responsible Disclosure angeboten. Das Unternehmen hat nicht reagiert und auf Anrufe von Steier die Lücke abgestritten. Wir haben uns daraufhin entschieden darauf zu warten, bis die Lücke vom Netz ist. Als die Lücke um 10 Uhr vom Netz war, versuchte Steier es nochmal bei der Firma. Keine Stellungnahme. Das Unternehmen hatte also vermutlich ein Non Disclosure angestrebt, worauf wir daraus (wegen des öffentlichen Interesses) ein Full Disclosure gemacht haben.

  11. Axel sagt:

    Was werden die machen, wenn er alles sicher verschlüsselt hat und keine Spaßwörter rausrückt?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.