Vorige Woche fand vor dem Landgericht Aachen eine Berufungsverhandlung statt, in der es um einen Strafbefehl gegen einen Entwickler ging, der eine Sicherheitslücke in einer Software von Modern Solution öffentlich gemacht hatte. Das Gericht bestätigte den Strafbefehl des Amtsgerichts Jülich.
Anzeige
Der Modern Solutions-Fall
Der Modern Solutions-Fall ist ein Paradebeispiel, was in der deutschen Gesetzgebung schief läuft. Die Modern Solution GmbH & Co. KG ist wohl E-Commerce-Dienstleister für die Online-Plattformen diverser Anbieter (Check24, Otto, Rakuten oder Kaufland). Im Sommer 2021 wurde bekannt, dass ein schlecht gesicherter Zugang des Dienstleisters Modern Solution dazu führte, dass Händlerdaten (Bestellungen, Adressen und auch Kontodaten) für Dritte über das Internet abrufbar bzw. einsehbar waren (siehe Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar).
Einem IT-Spezialisten war bei der Installation einer (Händler-) Software aufgefallen, dass eine Datenbankverbindung zu einem externen Server aufgebaut wurde, dort die Daten aber ungesichert übermittelt wurden.
Nachdem die Schwachstelle veröffentlicht wurde, stellte Modern Solutions Strafanzeige gegen den Entdecker. Darauf hin gab es eine Hausdurchsuchung beim betreffenden Software-Entwickler samt Beschlagnahme von dessen Arbeitsgeräten. Ich hatte hier im Blog mehrfach darüber berichtet (siehe Links am Artikelende).
Verurteilung des Entdeckers der Schwachstelle
Im weiteren Verlauf wurde der Entdecker der Schwachstelle auf Grund des "Hackerparagraphen" zu einer Geldstrafe von 3.000 Euro verurteilt (siehe Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)). Der Richter sah in der Verwendung von phpMyAdmin zum Zugriff auf die Datenbank der Modern Solutionen eine strafbare Handlung nach §202a StGB.
Anzeige
Ich hatte im Blog-Beitrag Makulatur: Digitalgesetzesvorhaben (Hackerparagraph & Co.) der Bundesregierung nicht nur berichtet, dass die Novellierung des Hackerparagraphen in dieser Legislaturperiode durch den Bruch der Ampelkoalition gescheitert ist. Es wurde am auch Rande erwähnt, dass am 4. November 2024 eine Berufungs-Verhandlung des Falls Modern Solutions vor dem Landgericht Aachen stattfand.
Mir selbst lag nur die Information des Betroffenen zur Verhandlung vor. Details hatte er mir nicht mitgeteilt. Die Redaktion von heise hat aber wohl Informationen von Prozessbeobachtern der Revisionsverhandlung erhalten, und das Ergebnis im Artikel Modern Solution: Berufungsgericht bestätigt Schuld des Sicherheitsforschers aufgegriffen.
Die Kurzfassung: Das Urteil des Amtsgerichts Jülich, welches den Software-Entwickler als Entdecker der Schwachstelle auf Grund des Paragraphen §202a StGB zu einer Geldbuße verdonnerte, wurde durch die Richter am Landgericht Aachen bestätigt. Interessant war für mich die Argumentation der Richter, die heise im oben verlinkten Artikel nachzeichnete:
Der Software-Entwickler hatte für einen Kunden ein Problem in dessen Software analysiert und festgestellt, dass dort eine Verbindung mit der eCommerce-Software von Modern Solutions aufgebaut und die Software "mit Log-Meldungen vollgemüllt" wurde.
Über das im Sourcecode der Software abgelegte Passwort konnte sich der Entwickler den Inhalt der Modern Solutions SQL-Datenbank mittels der Software phpAdmin ansehen. Der Inhalt der Datenbank wurde durch Screenshots als Beweis dokumentiert.
Das Amtsgericht Jülich interpretierte den Zugriff per Passwort auf die Datenbank mittels phpAdmin als strafbare Handlung im Sinne des Paragraphen §202a StGB und sprach eine Geldbuße aus. Diese Sichtweise wurde durch das Landgericht Aachen jetzt bestätigt.
Carsten Presser (scheint als Prozessbeobachter der Verhandlung beigewohnt zu haben) hat die Leitlinien, die zur Verurteilung des Entwicklers führten, auf Mastodon so zusammen gefasst.
- Modern Solutions hat versucht, die SQL-Datenbank mit einem Kennwort zu schützen. Dieser Ansatz reicht als "besondere Sicherung" im Sinne des § §202a StGB aus.
- Indem der Entwickler Screenshots des Datenbankinhalts angefertigt hat, legte er den Beweis vor, dass er auf die Inhalte der geschützten Datenbank zugegriffen hat.
Dass das Passwort im Klartext aus der Programmdatei deriviert werden konnte, scheint in diesem Kontext nicht relevant gewesen zu sein (solange das Kennwort nicht öffentlich zugänglich oder zu erraten war). Zitat:
Es ist egal wie man an das Kennwort gelangt. Relevant ist das die Datenbank mit einem Kennwort gesichert ist. Und das war nicht zu erraten oder öffentlich zugänglich.
Daher ist dem Gericht auch relativ egal ob und wie viel Aufwand man in reverse-engineering stecken muss.
Effektiv hat die Kammer keine Aussage darüber getroffen ob und wie das Kennwort im binary geschützt war.
Die Kammer sagte das die Strafbarkeit vermieden werden könnte wenn der Angeklagte in dem Moment in dem er erkennt das er Daten sieht, für die er keine Berechtigung hat, die Verbindung unterbricht.
Der Knackpunkt an dem ganzen Prozess sind die Screenshots. Und deren Existenz ist unstrittig. Mehr nicht. Das ganze drum rum ist belanglos.
Diese Screenshots sind heute noch geschwärzt online zu finden. Und am Anfang waren die wohl mit einsehbaren Daten von echten Menschen sichtbar im Netz.
Carsten Presser sieht im Vorgang lediglich das Problem, dass der verantwortliche Staatsanwalt öffentliches Interesse an der Strafverfolgung behauptet. Die Bestrafung desjenigen, die die Schwachstelle öffentlich machte, stellt – neben der aktuellen Formulierung des § 203a ff. – das eigentliche Problem dar.
Interessant waren die Ausführungen von Presser zum Referentenentwurf zur (nun auf Eis gelegten) Neufassung des § 203a ff. StGB. Aussage des Staatsanwalts war, dass auch nach der geplanten Neufassung des Paragraphen es in dieser Fallkonstellation zu einer Verurteilung kommen würde. Knackpunkt war wohl die Anfertigung der Screenshots samt Veröffentlichung.
Ein Protokoll des Prozessverlaufs durch Preusser lässt sich auf Mastodon nachlesen. Der Anwalt des Beklagten will erneut in Revision gehen (wohl OLG Köln) – allerdings sieht es für mich danach aus, dass auch in der nächsten Instanz das Urteil bestätigt werden dürfte.
Die Redaktion von heise hat sich in diesem Kommentar zum Urteil geäußert. Für die Meldung von Schwachstellen ist das Urteil und die Fassung des §202a ff. fatal. Presser zieht das harte Fazit: "Mit dem aktuellen §202a ist Disclosure also tot. Mit dem neuen wird es besser, aber nicht sicher."
Ähnliche Artikel:
Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar
Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)
Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung
Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller
Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen
IT-Experte, der Modern Solutions Schwachstelle öffentlich gemacht hat, muss nun doch vor Gericht
Urteil des LG Aachen (Fall Modern Solution-Schwachstelle) liegt vor
Hauptverhandlung gegen Entdecker der Modern Solutions-Schwachstelle im Januar 2024
Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)
Anzeige
Solche Fälle sollten doch klar machen, daß man IT-Juristen braucht um solche IT-Probleme in richtigen juristischen Kontext zu bringen. Die Richter aus der Ära der Lochkarte sind einfach nicht qualifiziert für eine Rechtssprechung mit IT-Bezug.
Verstehen kann ich die Urteile sehr gut. Es wäre durchaus möglich gewesen Modern Solution das gefundene Passwort zu melden, ohne dieses anzuwenden. Wenn ich meinen Haustürschlüssel unter die Fußmatte lege, ist das noch lange keine Einladung mein Haus aufzuschließen, darin Beweisfotos anzufertigen, nur weil mein Schlüssel unter der Fußmatte lag.
Das wird die Versicherung dann aber anders sehen, weil Du eben deiner Sorgfaltspflicht nicht nachgekommen bist.
Und genau das ist es, wass dem deutschen Rechtssystem an dieser Stelle fehlt.
Ich stelle eine Dienst bereit, dann muss ich auch dafür Sorge tragen, dass dieser nicht durch Dritte kompromittiert werden kann.
Passwörter im Klartext sind der Schlüssel unter der Fußmatte.
Der Entdecker der Sicherheitslücke ist halt eine arm dran. Der wird definitiv keine Lücken mehr melden, jedenfalls nicht an Firmen mit Closed Source.
Man könnte zwar auch argumentieren, dass das Klartext-Passwort ein Honeypot gewesen ist, aber so viel Einfallsreichtum bei Modern Solutions wird es zu 99,9% nicht geben.
So ist es.
Da hapert es massiv im deutschen Rechtssystem.
Das Verkehrsrecht ist da weiter.
Da ist schon seit Ewigkeiten vorgeschrieben, das man sein Auto bei Nichtbenutzung abschließen muß.
Tut man das nicht, gibts Verwarngeld!
Und z.B. den Schlüssel in einem "Geheimfach" im Kotflügel zu deponieren ist rechtlich auch nicht i.O. Da gibt es diverse Gerichtsurteile.
Nur beim IT-Recht wird mit anderen Maßstäben gemessen.
Da muß man sich fragen: Warum?
Und sollte das Urteil Bestand haben, dann wird wohl niemand mehr in Deutschland Sicherheitslücken melden.
Das Urteil sorgt also genau für das Gegenteil, was der §203a eigentlich bezweckt.
"Das wird die Versicherung dann aber anders sehen, weil Du eben deiner Sorgfaltspflicht nicht nachgekommen bist."
Du wirfst hier Straf- und Zivilrecht in einen Topf … und da kommt meist ungenießbares heraus.
Steht man vor einer verschlossenen Tür stellt das befriedetes Besitztum
dar – trittst du ohne vorherige Erlaubnis ein ist das strafbar ( Strafrecht ).
Bei dieser Frage ist es völlig unerheblich ob der Schlüssel sogar im
Schloss steckt. Draus ergibt sich keine Erlaubnis das ein Dritter eintreten darf.
Eine ganz andere Frage ist ob z.B. eine Hausrat Versicherung ( Zivilrecht ) von
der Leistung befreit ist, weil der Schlüssel im Schloss steckte …oder unter der
Matte lag. Das eine hat mit dem anderen nur wenig zu tun.
Und hier ist es ähnlich.
Selbst wenn der "White-Hacker" ein Passwort findet – egal auf welche Weise –
bedeutet es eben nicht, das er es straffrei nutzen darf.
Sehr gut Erklärt von Werner wie ich finde und dadurch das Urteil im Prinzip auch Nachvollziehbar. Die Gesetzeslage ist aber eine Katastrophe und definitiv nicht in Ordnung so zu Urteilen, wenn es eine Meldung an das Unternehmen gab.
"Es wäre durchaus möglich gewesen Modern Solution das gefundene Passwort zu melden, ohne dieses anzuwenden."
jaaaaaa weiß ich nicht, er hat extra für die gewartet und nach responsible disclosure das gemeldet, copy+paste vom angeklagten.
>
2 Uhr: Ich starte die Analyse der Software
3 Uhr: Ich merke, dass die Verbindung zur DB aufgebaut wird
4 Uhr: Realisiere, was ich da gefunden habe
5 Uhr: Schreibe Mark mit generischen Informationen, ohne Infos zum Unternehmen oder der Lücke
6 Uhr: Mark antwortet mir, bietet mir an die Meldung an den Landesdatenschutzbeauftragten zu übernehmen
8 Uhr: Ich schreib MoSo und setze Mark in CC
9 Uhr: Mark ruft bei MoSo an. Die haben natürlich keine Lücke.
9 Uhr: Mark ruft mich an, wir entscheiden einen Artikel vorzubereiten, ich bestehe darauf zu warten, bis die DB vom Netz ist, Mark willigt ein.
10 Uhr: MoSo nimmt die DB vom Netz. Händler sind ab dem Moment nicht mehr in der Lage, Aufträge pünktlich auszuliefern. Keiner weiß, was da los ist. Kunden sind in Panik.
13 Uhr: Mark hat den Artikel fertig und spricht mit mir.
13 Uhr: Mark ruft MoSo an. Immernoch hat MoSo wohl keine Lücke. Komisch.
13:15 Uhr: Artikel geht online, während die Datenbank mehr als 3 Stunden vom Netz ist.
Das ist einfach Unfassbar…
Der Vergleich hinkt gewaltig. Natürlich ist ein Schlüssel unter der Fußmatte keine Einladung, aber es macht rechtlich einen gewaltigen Unterschied, ob man Zutritt in Räumlichkeiten mit einem unter Fußmatte versteckten Schlüssel erlangt, oder ob man die Tür eintritt.
Ändert nichts daran, dass der Zutritt so oder so nicht Erlaubt ist
Jupp, das eine ist § 123 StGB "Hausfriedensbruch" und wird auch nur verfolgt, falls es zur Anzeige gebracht (§123 StGB, Absatz 1) wird ("Antragsdelikt"), das andere wäre dann wohl eher $124 StGB "Schwerer Hausfriedensbruch" oder wohl eher §244 "Diebstahl mit Waffen; Bandendiebstahl; Wohnungseinbruchdiebstahl".
Wenn die "Hackerparagraphen" analog zu §123 StGB anzuwenden wären, wären wir einen vernünftigen Schritt weiter, somit wäre es auch für Unternehmen in Deutschland vernünftig möglich einen "Blankoscheck" auszufüllen, womit unangekündigte Penetrationchecks möglich wären.
:-/
Hallo
Nach meiner Meinung nach hinkt die Argumentation gewaltig. Es braucht ganz klar spezielle Juristen, welche den Sachverhalt nachvollziehen können. Ich persönlich sehe alleine in einem etwaigen Decompilieren des Codes einen Ansatz. Sollte das Kennwort aber schon mit einem einfachen Editor sichtbar sein liegt die Fahrlässigkeit beim Hersteller.
Letztendlich wird immer der Überbringer des Nachricht geköpft und dadurch wird es immer weniger White-Hat Hacker geben.
"Letztendlich wird immer der Überbringer des Nachricht geköpft und dadurch wird es immer weniger White-Hat Hacker geben."
Der "Überbringer" ist eben nicht nur Überbringer.
Er hat den "Schlüssel"/ "das Passwort" verwendet … und das war sein Fehler.
Wäre er nur Überbringer, hätte er eben auch nur mitgeteilt
"Lieber Hersteller" … da ist eine Passwort im Quelltext/Code(?) sichtbar"
Der Fehler des White-Hackers besteht darin, da PW zu verwenden und Screenshots zu erstellen. Hätte er sein Ego besser im Griff gehabt … ohne "Beweis"(Screenshots) dass das PW tatsächlich funktioniert … hätte er jetzt weniger Probleme.
Tja die Argumentation des Gerichts ist nunmal schlüssig… hätte er keine Screenshots gemacht und die Lücke nur gemeldet. Auch noch dumm genug diese zu veröffentlichen.
Sorry, aber da haben die Richter nunmal recht.
Ein Urteil mit Signalwirkung. Zukünftig könnte man folglich anonyme Veröffentlichungen zu Sicherheitsthemen sehen und der betreffenden Firma wird die Sicherheitslücke erst auffallen wenn sie massiv ausgenutzt wird. Statt froh zu sein das jemand ehrlich ist und warnt werden die guten Leute verklagt. Könnte man auch Heldentum nennen was M-S da betreibt. Rechtsprechung mit IT-Bezug ist in Deutschland nach meiner Erfahrung leider schwierig.
Da wird es in Deutschland wohl noch weniger solcher Meldungen geben. Es will sich ja kein Entwickler, Journalist oder andere selbst ansch……en.
Pfui Teufel an die Richter die sowas verzapfen.
Den Richtern sind da weitgehend die Hände gebunden, wenn sie sich nicht selbst strafbar machen wollen. Man kann Recht zwar etwas dehnen, interpretieren, aber irgendwann ist es dann halt Rechtsbeugung.
Das "Pfui Teufel" muss schon den Bundesregierungen Merkel + Scholz gelten.
Die Tatsache, dass es „dejure" als völlig ausreichend betrachtet wird, Kundendaten mit nur ein Klartextpasswort zu versehen, lässt die Wirksamkeit der Empfehlungen des BSI und die der zuständigen Landesämter sehr blass aussehen.
Nicht die Strafe ärgert mich, sondern die Erläuterung der Juristen was unter Strafe steht. Sie zeigt auf, wie wenig die Juristen in IT-Sachfragen geschult sind.
Sie haben allerdings völlig recht, den Entwickler für den Zugriff auf die Daten zu verdonnern. Denn Tatsache bleibt, dass er aktiv Daten eingesehen und verfälscht hat. Das ist eine Straftat.
Dabei spielt es keine Rolle, ob der zugriff simple war oder komplex. Außerdem hat er sich Daten zur Beweissicherung kopiert. Der Zweck heilig nicht die Mittel.
Es hätte IMHO völlig ausgereicht, die Lücke "nicht-öffentlich" anzuzeigen. Dazu gibt es die Landesdatenschutzämter. Es wäre daher absolut nicht nötig gewesen auf die Daten
zuzugreifen. Deren Forensiker wissen schon wie man sowas macht.
Selbige Ämter werden ganz sicher auch dem Unternehmen etwas geschickt haben – eine saftige Rechnung und ein paar Auflagen.
Soviel zur Digitalisierung in unserem Land. Wir sind nicht nur langsam, sondern auch noch dilettantisch in der Umsetzung. Ich könnte kotzen…
Also die Lücken in Zukunft einfach gewinnbringend 'irgendwo' verkaufen :-) Der Ehrliche ist vor deutschen Gerichten meist der Dumme.
Nein die Lücken melden aber nicht selbst gebrauchen! Deswegen wurde er ja verdonnert weil er die Lücke ausgenutzt hat! Nicht weil er sie gefunden und gemeldet hat!
Wie willst Du denn, ohne es zu zu versuchen, wissen ob es sich um eine Lücke handelt oder nicht? Ohne den Versuch hast Du nicht den Hauch einer Ahnung, wo Du genau landest, was Du zu sehen bekommst und wer alles davon betroffen ist oder sein könnte. Demzufolge hast Du ohne die strafbare Handlung des Logins zu begehen, nichts belastbares in der Hand, alles wären nur Spekulationen und Vermutungen, hätte/wäre/könnte.
Schön und gut (oder auch nicht) aber wer klagt jetzt modern solutions für unzureichende technische Maßnahmen an?
Es ist eben "Dienst nach Vorschrift" oder in diesem Fall Gesetz.
Trotzdem kann Günter dann wohl bald ein eigene Rubrik "Und gestern gemeldete Cyber-Angriffe…" einrichten. Wird wohl sehr bald, nach diesem Urteil in Aachen, eine prozentuale Erhöhung der Angriffe zu vermelden sein. Da Entdecker sich immer fragen werden, ob sie jetzt schon mit einem Bein im, na ihr wisst schon stehen, und Meldungen dann sicher bleiben lassen oder diese so per "stiller Post" durchsickern.
Sollte ich mal so etwas finden, werde ich die "Lücke" verkaufen. Beim melden wirst ja noch schlimmer behandelt als der "Hacker" der es dann anwendet.
Ich wünsche Mark viel Erfolg mit der Berufung.
Wie andere Beobachter auch, sehe ich bei solcher Rechtsprechung den Effekt, dass in Zukunft jeder gut beraten ist, solche Fehler nicht zu melden. Das Risiko erscheint mir persönlich größer, als wenn diese unter Beachtung von OPSEC im Darknet zum Spass veröffentlicht oder verkauft werden.
Ich bin skeptisch, dass die Berufung viel bringt – da das Oberlandesgericht imho nur prüft, ob juristische Fehler passiert sind.
Hach diese Empörung.
Es ist nicht der Job der Gerichte, kaputte und handwerklich einfach nur unterirdisch schlechte Gesetze (der CDU/SPD damals) glatt zu bügeln. Gerichte sind auch nicht dazu da "gerecht" zu sein oder irgendwelchen moralischen Vorstellungen zu entsprechen. Sie sind dazu da "Rechtsfrieden" in dem Wust von Normen herzustellen. Eine Empörung oder Schelte auf die Richter ist von daher bereits daneben. Zumal die Causa selbst noch gar nicht beendet ist und es weiter geht.
Bei der Geschichte bin ich voll bei dir! Der oder die Richter haben dort wenig Handlungsspielraum – zum Problem wird das vom Staatsanwalt behauptete öffentliche Interesse – Carsten Presser hat ja darauf hingewiesen und die Frage aufgeworfen, ob Modern Solution überhaupt antragsberechtigt war (da es zwar deren Software und Datenbank war, aber die Daten anderen gehören).
Der erste Richter am Amtsgericht Jülich hatte den Entwickler ja im Erstverfahren freigesprochen. Aber der von der Staatsanwaltschaft beim LG Aachen eingereichte Revisionsantrag hat dann zum Urteil geführt. Die Karre steckt hoffnungslos im Dreck, weil die Gesetzeslage schräg ist. Tolle Aussichten für den Wirtschaftsstandort Deutschland, was die Meldung von Schwachstellen betrifft. Früchte ernten, die man (in der Politik) gesät hat.
100% ACK. Für den Wirtschaftsstandort Deutschland und den hiesigen Unternehmen ist die Entwicklung und die Konsequenzen daraus eher nachteilig. Aber davor haben einige ja bereits 2007 gewarnt
Verkehrte Welt, nicht der Verursacher der Sicheheitslücke, sondern der Entdecker wird bestraft. Bleibt zu hoffen, daß künftig über die Produktsicherheitsrichtlinie und den CRA sich das ändert und derart nicht nur fahrlässig, sondern vorsätzlich handelnde Akteure wie Modern Solutions ordentlich zur Kasse gebeten werden. Leider wird auch hier keine Haftstrafe für die Geschäftsführer möglich sein.
Hallo Deutschland,
Euer §202a StGB ist doch ein Vorsatzdelikt? Oder? Warum wird über den Vorsatz nicht diskutiert?
Wenn ein Schlüssel unter der Fußmatte liegt, ist das Betreten einer fremden Wohnung kein Einbruchsdiebstahl.
Meine Meinung: Der Vorsatz liegt nicht beim Ausspähen von Daten sondern beim Aufdecken einer Sicherheitslücke.
Der gefundene Schlüssel berechtigt dich niemals nicht zum Betreten. Siehe oben…
…um bei der Analogie zu bleiben:
Der Delinquent hat den Schlüssel in der Tür eines Lagerhauses bemerkt, es betreten, Zwecks Nachweis des Problems ein Selfie mit Teil des Lagers im Hintergrund gemacht, ist wieder gegangen und hat den Verwalter über die Gefährdung des Lagergutes informiert.
Das wie Ein- oder Hausfriedensbruch zu be-/verurteilen ist unangemessen, auch wenn es formalrechtlich die Voraussetzungen erfüllen mag.
also jeder, der gewerblich im Pentesting unterwegs ist weiß, dass "Betreten" bereits ein Delikt ist. Das Tür öffnen, an der Schwelle stehen bleiben und in die offene Wohnung hineinrufen, das ist die hohe Kunst das zu wissen und zu können.