# taz.de -- IT-Experte wird angezeigt: Kein Dankeschön, sondern Polizei
> Erneut wird ein IT-Experte angezeigt, nachdem er auf eine
> Sicherheitslücke hinwies. Datenträger wurden beschlagnahmt, der CCC
> verurteilt das Vorgehen.
IMG Bild: Wer in Deutschland auf Sicherheitslücken hinweist, wird oft kriminalisiert
Die Causa um IT-Expert:innen, die Unternehmen und Parteien auf
Sicherheitslücken aufmerksam machen und dann selbst kriminalisiert werden,
geht in die nächste Runde. Ein Programmierer, der im Juni 2021 ein großes
Datenleck bei der Firma Modern Solution entdeckte, wurde angezeigt, seine
Firma von der Polizei durchsucht und Geräte beschlagnahmt, [1][wie die
Tech-Website Golem.de schreibt]. Potenziell waren von der Sicherheitslücke
700.000 Kund:innen bei großen Online-Marktplätzen wie Check24, Otto oder
Kaufland betroffen. Transaktionen ließen sich bis zum Sommer 2018 einsehen
inklusive Anschriften und dazugehöriger Bankverbindungen.
Modern Solution ist ein sogenannter Schnittstellendienstleister, über den
sich Einzelhändler an Marktplätze im Netz anbinden lassen können. Dafür
nutzen die Händler eine Software des Unternehmens, die alle Bestellungen in
Datenbanken auf den Unternehmensservern erfasst. Der IT-Spezialist stieß
auf die Sicherheitslücke, weil er für einen Einzelhändler bei Modern
Solution ein technisches Problem beheben sollte. So waren alle für den
Serverzugriff notwendigen Zugangsdaten im Klartext in der Software
gespeichert und bei Modern Solutions herunterladbar, und
Kund:innendaten waren seit Jahren nicht entfernt worden.
Im Sinne [2][des responsible disclosure], also jenes Verfahrens,
Sicherheitslücken an die zuständigen Stellen weiterzuleiten und erst dann
öffentlich zu machen, wenn sie behoben sind, kontaktierte der Programmierer
den Blogger Mark Steier, dessen Webseite [3][wortfilter.de] sich auf
Onlinehandel spezialisiert hat. Laut Golem.de habe er Modern Solution per
Mail und Telefon kontaktiert, das Unternehmen hätte die Sicherheitslücke
allerdings abgestritten und auf weitere Anfragen nicht mehr reagiert.
Daraufhin wand sich Steier [4][in einem Post vom 23. Juni] an die
Öffentlichkeit, Anfang Juli [5][berichtete auch Spiegel Online]. Laut
Steier hätte Modern Solution erst nach der Veröffentlichung und Beschwerden
durch die Händler reagiert. Der Versandhändler Otto stellte jedoch fest,
dass das System weiter unsicher war, auch nachdem Modern Solution
vorgegeben hatte, die Lücke gefixt zu haben.
## Hausdurchsuchung als Dankeschön
Am gleichen Tag wurde Steier eine von Modern Solution [6][für seine
Kund:innen geschriebene Stellungnahme] zugespielt. Darin wird der
Programmierer indirekt beschuldigt, Daten abgegriffen zu haben und die
eigene Verantwortung an der Sicherheitslücke negiert: „Inwiefern eine
Weitergabe oder weitere Nutzung dieser Daten durch den,ethischen Hacker'
erfolgt ist und ob es zu weiteren Zugriffen gekommen ist, ist uns derzeit
nicht bekannt.“
Am 15. September durchsuchte schließlich die Polizei die Firma des
Programmierers. Fünf Notebooks, drei externe Festplatten, zwei USB-Sticks
und ein Rechner wurden beschlagnahmt. Auch das Smartphone des Betroffenen
wurde eingezogen. Ob Modern Solution den Programmierer angezeigt hatte, ist
anzunehmen, aber nicht belegt. Die Ermittlungen laufen. Um einen Prozess
finanzieren zu können, wurde eine Fundraising-Aktion aufgesetzt, in kurzer
Zeit sollen bereits mehr als 5.000 Euro gesammelt worden sein.
Der Chaos Computer Club verurteilt das Vorgehen gegen den Programmierer:
„Was wir hier sehen, ist leider nur zu alltäglich in Deutschland“, sagt
Dirk Engling, Pressesprecher des Chaos Computer Clubs. „Statt sich im
Vorfeld nach Stand der Technik um die Sicherheit der eigenen Infrastruktur
zu sorgen, simulieren die Betreiber schlecht gepflegter Systeme im
Nachhinein Aktivität, indem sie Überbringer schlechter Nachrichten
drangsalieren.“ Es könne laut Engling nicht im Interesse der IT-Sicherheit
hierzulande sein, ehrenamtlich wirkenden Sicherheitsforschern mithilfe der
Staatsmacht hinterherzusteigen.
## Der Fall Lilith Wittmann
Der Fall des angezeigten Programmiers erinnert an den Fall Lilith Wittmann.
Die IT-Sicherheitsexpertin hatte im Mai 2021 [7][gravierende
Sicherheitslücken in der CDU-Wahlkampf-App „CDUconnect“ entdeckt] und den
zuständigen Behörden weitergeleitet: dem Bundesamt für Sicherheit in der
Informationstechnik, der Berliner Datenschutzbeauftragten und den
verantwortlichen Stellen in der Union. Daraufhin zeigte die CDU Wittmann
an, zog nach massivem öffentlichen Druck die Anzeige aber schließlich
zurück und entschuldigte sich.
Die Staatsanwaltschaft Berlin ermittelte trotzdem weiter gegen die
Sicherheitsexpertin wegen eines Verstoßes gegen den Paragrafen 202a/b/c
StGB. Den von der Zivilgesellschaft kritisierten sogenannten
Hackerparagrafen hatte die Große Koalition 2007 eingeführt. Er stellt das
Überwinden von Sicherheitshürden etwa durch das Hacken von Passwörtern oder
selbstgeschriebene Programme unter Strafe. Im September [8][stellte die
Staatsanwaltschaft das Verfahren schließlich ein, weil der Hackerparagraf
nicht griff]: Die Daten waren schlicht nicht gesichert, sondern öffentlich
abrufbar.
## Ein „totaler Gummiparagraf“
Wegen der mangelnden Datensicherung schaltete sich die Berliner
Landesdatenschutzbeauftragte ein und untersuchte, ob die CDU-App womöglich
gegen die Datenschutzgrundverordnung (DSGVO) verstößt. Die Prüfung läuft
noch (Stand: 15.10.2021). Der Partei droht ein Bußgeld von bis zu 20
Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes.
[9][Im Interview mit der taz] kritisierte Wittmann den Hackerparagrafen als
„totalen Gummiparagrafen“, weshalb es in Deutschland auch keine Kultur der
responsible disclosure gäbe. „In Deutschland ist nicht mal das Rechtssystem
auf responsible disclosure ausgelegt. Potenziell begehe ich immer, wenn ich
eine Sicherheitslücke finde, eine Straftat“, sagte Wittmann. Ob das dann
tatsächlich so angesehen werde, hänge aber vom technischen Verständnis und
der Interpretation der Staatsanwaltschaft ab.
Das Beispiel des Programmiers und Modern Solution zeigt, „wie dringend wir
hier eine Veränderung im Rechtsverständnis – weg von der Verfolgung derer,
die die Lücken finden, hin zu einer Verfolgung der Verursacher – brauchen“,
sagt die Sicherheitsforscherin.
Nachdem Wittmann [10][auf Twitter auf die Causa um Modern Solution hinwies]
und implizit forderte, man brauche eine Übersicht für Unternehmen, „die
sich dauerhaft für responsible disclosures disqualifiziert haben“, bauten
zwei Hacker:innen die Webseiten „[11][Unverantwortli.ch“] und
„[12][better save then sorry“], auf der jene Unternehmen und Organisationen
aufgeführt werden, die sich weigern, am responsible disclosure-Verfahren
teilzunehmen. Das Unternehmen Modern Solution und die CDU sind vorerst
Spitzenreiter.
Der Text wurde um ein Statement des Chaos Computer Clubs ergänzt. Letzte
Aktualisierung: 15.10.2021, 15:14 Uhr
15 Oct 2021
## LINKS
DIR [1] https://www.golem.de/news/nach-datenleck-hausdurchsuchung-statt-dankeschoen-2110-160269.html
DIR [2] https://en.wikipedia.org/wiki/Responsible_disclosure
DIR [3] https://wortfilter.de/
DIR [4] https://wortfilter.de/warnung-datenleck-beim-jtl-partner-modern-solution-gmbh-co-kg/
DIR [5] https://www.spiegel.de/netzwelt/web/online-marktplaetze-it-experte-entdeckt-informationen-von-700-000-kaeufern-a-7626137c-1d68-4fa2-978e-5d3b60ea8389
DIR [6] https://wortfilter.de/wp-content/uploads/2021/06/moso-1.pdf
DIR [7] /Verstoss-von-CDUconnect-gegen-DSGVO/!5791754
DIR [8] /Moeglicher-Verstoss-gegen-Datenschutz/!5802205
DIR [9] /Lilith-Wittmann-ueber-Wahlkampf-Apps/!5802119
DIR [10] https://twitter.com/LilithWittmann/status/1448737265849704452
DIR [11] https://unverantwortli.ch/
DIR [12] https://better-save-then-sorry.de/
## AUTOREN
DIR Denis Gießler
## TAGS
DIR Schwerpunkt Überwachung
DIR Hacking
DIR DSGVO
DIR Datenbank
DIR Datenschutz
DIR GNS
DIR Schwerpunkt Chaos Computer Club
DIR CCC-Kongress
DIR Netzkultur
DIR IG
DIR Schwerpunkt Überwachung
DIR Schwerpunkt Überwachung
## ARTIKEL ZUM THEMA
DIR Kongress des Chaos Computer Clubs: Der CCC im Hier und Jetzt
Der rC3 tut der Zivilgesellschaft gut, auch weil er online stattfindet.
Zentral diskutiert wird die Frage der Freiheit.
DIR Reddit in Deutschland: Das bessere Internet
Das soziale Netzwerk Reddit eröffnet eine Außenstelle in Berlin-Mitte. Die
Plattform wächst, doch User:innen kritisieren die Kommerzialisierung.
DIR Lilith Wittmann über Wahlkampf-Apps: „Manche spielen Sudoku. Ich hacke“
Die Sicherheitsexpertin Lilith Wittmann hat in der CDU-Wahlkampf-App
Schwachstellen gefunden. Ein Gespräch über Hacker*innen-Ehre.
DIR Möglicher Verstoß gegen Datenschutz: CDU-Wahl-App doch nicht gehackt
Weil die Daten frei abrufbar waren, wurden Ermittlungen gegen IT-Expertin
Wittmann eingestellt. Hat die CDU mit ihrer App gegen Datenschutz
verstoßen?
DIR Verstoß von „CDUconnect“ gegen DSGVO: Prüfverfahren gegen CDU-App
Die Partei erhob in ihrer Wahlkampf-App Daten tausender Menschen. Nun prüft
die Berliner Datenschutzbeauftragte einen Verstoß gegen die DSGVO.