Vorige Woche wurde vor dem Amtsgericht Jülich ein von der Staatsanwaltschaft Köln (nach einer Anzeige der Firma Modern Solutions) beantragtes Verfahren gegen einen Software-Entwickler verhandelt. Der Software-Entwickler entdeckt 2021 eine Sicherheitslücke in einer E-Commerce-Software der Firma Modern Solution, informiert den Hersteller und veröffentlicht nach einiger Zeit Informationen. Der Richter wies den Antrag der Staatsanwaltschaft ab, weil keine Straftat vorliege. Die Staatsanwaltschaft will nun in Berufung gehen.
Der Modern Solution-Fall
Es ist ein Synonym für das, was ich Deutschland in Sachen Cybersicherheit schief läuft: Im Sommer 2021 wurde bekannt, dass ein schlecht gesicherter Zugang des Dienstleisters Modern Solution dazu führte, dass Händlerdaten (Bestellungen, Adressen und auch Kontodaten) für Dritte über das Internet abrufbar bzw. einsehbar waren.
Konkret fiel einem IT-Spezialisten bei der Installation einer (Händler-) Software auf, dass eine Datenbankverbindung zu einem externen Server aufgebaut wurde, dort die Daten aber ungesichert übermittelt wurden. Die Spur führte zu einem Server der Modern Solution GmbH & Co. KG, auf dem mehrere Datenbanken vorhanden und einsehbar waren. Die Modern Solution GmbH & Co. KG ist wohl Dienstleister für die Online-Plattformen diverser Anbieter.
Zu den Kunden des Dienstleisters zählen nach meinen Informationen auch Check24, Otto, Rakuten oder die Real-Tochter Kaufland. Nachdem der Entwickler den Hersteller informierte und dieser nicht reagiert, informierte er die Presse. Der Sachverhalt wurde durch die Seite wortfilter.de (Mark Steier) und durch diesen Artikel des Spiegel publik. Ich selbst hatte im Blog-Beitrag Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar über diese Sicherheitslücke bzw. den Fall berichtet. Der Entwickler hatte sich im Rahmen der Berichterstattung auch bei mir gemeldet.
Anzeigen und Hausdurchsuchung
Mitte Oktober 2021 wurde dann der nächste Akt dieses Dramas bekannt. Jemand hatte gegen den Entdecker der Schwachstelle und den Blogger Mark Steier Anzeige wegen Datenhehlerei und Eindringen in Computersysteme gestellt. Für den Entdecker der Schwachstelle hatte dies die drastische Folge, dass die zuständige Staatsanwaltschaft seine Räume Mitte September 2021 von der Polizei durchsuchen ließ. Dabei wurden auch die Arbeitsgeräte und Speichermedien des Entwicklers, der bei einem Kundenprojekt auf die Schwachstelle gestoßen war, beschlagnahmt. Ich hatte im Blog-Beitrag Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung berichtet.
Wer der Anzeigenerstatter war, bliebt seinerzeit im Dunkeln – die Vermutung lag nahe, dass es Modern Solution war. Später berichtete heise, denen die betreffenden Ermittlungsakten zugänglich waren, dass der Software-Hersteller Modern Solution die Anzeige gestellt hatte. Im Blog-Beitrag Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller hatte ich einige Details veröffentlicht. Laut Ermittlungsakten wurde gegen den Programmierer unter anderem wegen des Ausspähens von Daten, Datenhehlerei und Verstoßes gegen das Bundesdatenschutzgesetz ermittelt. Der Anzeigenerstatter, Modern Solution, gab an, dass der Entwickler sich nur mit Insiderwissen Zugang zu den Systemen der Firma verschaffen konnte. Hintergrund ist, dass der Entwickler früher bei der Firma JTL in Hückelhoven arbeitete.
JTL ist der Hersteller der Warenwirtschafts-Systeme, mit denen die Software von Modern Solution auf Seite des Einzelhändlers verbunden wird. Der Entwickler hat diesen Arbeitgeber wohl „nach Konflikten“ verlassen, was dieser laut heise auch nicht bestreitet.
An dieser Stelle hätte das unerquickliche Thema beendet werden können, wenn die zuständig Staatsanwaltschaft Köln das Verfahren nach Prüfung eingestellt hätte. heise berichtete nach Sichtung der betreffenden Ermittlungsakten, dass die aufgeworfenen Vorwürfe juristisch nur schwer haltbar seien – bei heise gibt es Hausjuristen, die mit solchen Themen bewandert sind. Aber dem war offenbar aber nicht so – die im Oktober 2021 beschlagnahmten Arbeitsgeräte des Entwicklers blieben eingezogen und der Fall ging von der Staatsanwaltschaft Köln an das Amtsgericht Jülich.
Erstes Urteil des Amtsgerichts Jülich
Ich hatte den Vorgang aus den Augen verloren, zumal ich mit dem Entwickler nicht mehr in Kontakt stehe. Die Redaktion von heise wurde meiner Einschätzung nach aber vom betroffenen Entwickler über die weiteren Entwicklungen auf dem Laufenden gehalten. Das Amtsgericht Jülich hat ein von der Staatsanwaltschaft Köln beantragtes Verfahren gegen den IT-Experten vor einigen Tagen abgelehnt, heißt es in diesem Beitrag von heise, der die Details des Falls nochmals nachzeichnet. Der betreffende Richter kam laut Aussage von heise, denen das Urteil vorliegt, zum Schluss, “es liege keine Straftat vor, da die Daten, auf die der Sicherheitsexperte im Zuge seiner Untersuchungen Zugriff hatte, nicht effektiv geschützt gewesen seien”.
An dieser Stelle hätte das unerquickliche Thema beendet werden können, wenn die zuständig Staatsanwaltschaft Köln dieses Urteil akzeptiert. heise berichtet aber in diesem Beitrag, dass die Staatsanwaltschaft Köln gegen das Urteil aus Jülich am Landgericht Aachen Berufung eingelegt habe. Es wird also eine weitere Verhandlung in diesem unerquicklichen Fall geben.
Was bleibt?
Ein extrem schales Gefühl, dass da von Seiten der Justiz massiv was schief läuft und Steuergelder verbraten werden. Angesicht der aktuellen Cyber-Sicherheitslage müsste eigentlich alles daran gesetzt werden, dass Schwachstellen möglichst zeitnah öffentlich werden. Der Anbieter Modern Solutions sorgt weiter dafür, dass er zumindest eine “schlechte Presse” bekommt. Zitat aus dem heise-Artikel:
Man hätte der Firma zwischen Disclosure und Veröffentlichung mehr Zeit geben können. Und erfahrene Journalisten und Sicherheitsforscher hätten das sicher auch getan. Anhand des rüden Tons, der aus E-Mails von Modern Solution gegenüber dem Sicherheitsforscher und der Presse – darunter auch heise online – hervorgeht, ist es aber auch verständlich, dass sich die Geschichte damals anders entwickelte. Bei über 700.000 betroffenen Endkunden war darüber hinaus das öffentliche Interesse an dem Fall ziemlich eindeutig.
Jetzt bleibt abzuwarten, wie das Urteil des Landgerichts Aachen ausfällt. Und falls das Urteil des Amtsgerichts Jülich bestehen bleibt, wäre die Frage, ob der betroffene IT-Entwickler Regress gegen die Justiz und den Anzeigeersteller geltend machen kann.
Mich persönlich erinnert der Fall an die Posse, als die CDU die Sicherheitsexpertin Lillith Wittmann anzeigte, weil diese eine Sicherheitslücke in der Wahlkampf-App CDU Connect öffentlich machte. Die negative Presse bewegte die CDU, die Anzeige zurückzuziehen und eine, in meinen Augen kluge, Staatsanwaltschaft stellte das Verfahren ein.
Die Fälle zeigen, wie und wo es in Deutschland IT-Sicherheits-technisch im Argen liegt – speziell, weil der Gesetzgeber solche sinnlosen Verfahren ermöglicht. Meiner Erinnerung nach traten Vertreter der CDU vehement für die betreffenden Paragraphen ein. Einige Gedanken zur Entstehung der Urheberrechtsnovelle, die hier vermutlich der Staatsanwaltschaft diente, hat jemand in diesem Kommentar nachgezeichnet.
Modern Solution fungiert nach North Data als GMBH & CO. KG in Gladbeck und hat als Unternehmenszweck das Erbringen von IT-Dienstleistungen aller Art; insbesondere Hosting, Markplatzanbindungen, Schnittstellenentwicklung, Sonderprogrammierungen, einschließlich strategischer Beratung sowie der Vertrieb von Warenwirtschafts- und Shopsystemen, Hostingprodukten sowie sonstigen IT-Produkten.
Ähnliche Artikel:
Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar
Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)
Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung
Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller
Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik
CDU zieht Anzeige gegen Sicherheitsforscherin Wittmann zurück
CDU Connect: DSGVO-Prüfverfahren der Landesdatenschutzbeauftragten läuft
CDU Connect: Staatsanwalt stellt Verfahren gegen Wittmann & Co. ein
Mir ist neu, dass Strafanzeigen zurückgezogen werden können.
Hat sich da etwas geändert?
Möglicherweise war es ein Strafantrag – ich kenne die Dokumente nicht. Der kann zurückgezogen werden – im anderen Fall obliegt es imho der Staatsanwaltschaft, ob das einer Strafanzeige folgende Verfahren eingestellt wird.
naja hängt davon ab ob es ein Antragsdelikt ist oder nicht … Antragsdelikte verfolgt die Staatsanwalschaft nur wenn ein Kläger da ist (und der kann seine Meinung ändern) Kapital (Nein damit ist nich das liebe Geld gemeint) Delikte muss die Staatsanwaltschaft verfolgen sobald sie davon Wind bekommt.
Ne Strafanzeige ist beides!
Nicht Kapital- sondern Offizialdelikte müssen von Amts wegen verfolgt werden.
Straftaten müssen von Amts wegen weiter verfolgt werden. Solange eine Staatsanwaltschaft eine Straftat annimmt muss sie die auch verfolgen.
Beispiel: ich beobachte, wie ein Mensch erschlagen wird, und erstatte Anzeige. Die Staatsanwaltschaft ermittelt wegen Totschlags. Ich kann diese Anzeige nicht zurückziehen und die Staatsanwaltschaft sagt dann: „Okay, Anzeige zurückgezogen, dann ist es halt egal…“
Hier geht es aber nicht um Totschlag (Offizialdelikt) sondern um ein Antragsdelikt.
Tippfehler: Kaufland hatte damals Real übernommen (Real ist, wenn dann die Tochter von Kaufland)
Kaufland gehört wie Lidl zur Schwarz-Gruppe!
Mal zurück zum Thema. Wieso sollte ein Sicherheitsforscher in Deutschland überhaupt noch eine gefundene Sicherheitslücke melden? Wenn man die Folgen sieht die es für den Melder haben kann ist es doch mehr als unrealistisch dass es dann noch viele geben wird. So kann die IT in Deutschland nicht sicher sein und auch nicht sicherer werden. Und außerdem wieso kümmert sich denn bitte die Staatsanwaltschaft nicht erstmal darum der Meldung nachzugehen und vom Anzeiger Auskunft zu verlangen ob es nicht doch eine Sicherheitslücke gibt. Emails müssen in Deutschland von Firmen archiviert werden da hätten sie schnell finden können was der Sicherheitsforscher der Firma gemeldet hat und wann und was die Reaktion darauf war.
Ich habe fertig.
Easy: einfach anonym auf Pastebin posten und zwar direkt wenn man es gefunden hat.
Bei bekannten und ungepatchten Sicherheitslücken, sofern innerhalb des Produktlifecycle, sagen wir mal 5-10 Jahre, sollte die gleiche juristische Behandlung, wie z.B. bei fehlerhaft installierten elektrischen Anlagen, erhalten
Ein Elektriker der vergisst einen FI/RCD einzubauen kann sich später nicht mit „Bedauerlicher Handwerkerfehler – da kann man nichts machen“ rausreden, der haftet, wenn aus dem Grund das Haus abbrennt. Eine Regelung in der Art sollte auf für so Läden wie M$ aber ebenso für „Softwareschmiede B. Blümchen“ angwandt werden, was bringen einen die ganzen innovationen wenn mit „einem Klick“ die ganze Firma vor die Wand fährt oder man sehr viel Geld in die Hand nehmen muss damit es einigemaßen sicher wird ohne das unnutzbar ist.
Es ist zwar bizarr, aber angesichts solcher Vorkommnisse muss man jedem Entdecker einer Lücke wohl raten, das gefundene Geheimnis möglichst schnell zu verkaufen – und zwar an möglichst zwielichtige Käufer.
Denn dann kann man auch davon ausgehen, dass die Lücke genutzt wird und Leiden verursacht. Deutsche Unternehmen lernen nur durch Schmerzen…
Ich finde das Verhalten von Modern Solution bizarr.
Die sollen doch froh sein, wenn jemand eine Sicherheitslücke findet.
Oder war das evtl. gar keine Sicherheitslücke, sondern eine absichtlich eingebaute Backdoor und die sind deshalb sauer, weil die jemand gefunden hat?
Viele größe Firmen, so z.B. auch Microsoft, haben ein Programm, über das man Sicherheitslücken melden kann und oft gibts dann auch eine Belohnung in Form von Geld. 1.000-10.000 USD sind da keine Ausnahme.
Bei Microsoft ist das das MSRC (Microsoft Security Response Center): https://www.microsoft.com/en-us/msrc?rtc=1