Die Staatsanwaltschaft Köln erwirkt in Berufung nun doch einen Strafprozess gegen den Programmierer, der die Daten von über 700.000 Endkunden schützen wollte.
Im Fall des IT-Experten, der eine gravierende Sicherheitslücke in den Systemen des Gladbecker Software-Dienstleisters Modern Solution gefunden hatte, kommt es nun doch zum Verfahren vor dem Amtsgericht Jülich. Wie das Landgericht Aachen laut einem auf den 27. Juli datierten Beschluss entschieden hat (Aktenzeichen 60 Qs 16/23), muss das AG Jülich den Fall doch verhandeln. Die Jülicher Richter hatten den Strafantrag der Staatsanwaltschaft Köln im Mai mit der Begründung abgelehnt, dass die Daten, auf die der IT-Experte zugegriffen hatte, nicht ausreichend geschützt gewesen seien, um eine Straftat im Sinne des Hackerparagrafen 202a StGB zu rechtfertigen. Daraufhin legte die Staatsanwaltschaft Köln Berufung ein.
Dekompilieren als eine Art schwarze Magie?
In Jülich war man der Ansicht, dass "ein Passwort nicht in jedem Fall eine effektive Datensicherung" bewirke, führten die Richter am Amtsgericht aus. "Etwa wenn es allzu simpel ist oder für bestimmte Anwendungen standardisiert verwendet wird. In solchen Fällen ist die Verschaffung des Zugangs zu Daten nicht tatbestandsmäßig." Die Richter am LG Aachen folgten dieser Begründung nicht. Die Daten seien besonders gesichert gewesen, da ein Passwortschutz vorlag und das "Abrufen" der Daten "zudem nur nach einer Dekompilierung möglich war", heißt es in dem Beschluss des LG Aachen. "Die Sicherung des Zugangs mittels Passwort reicht als Zugangssicherung aus", damit sei der Straftatbestand erfüllt.
Der Rechtsauffassung der Aachener Richter nach "ist auf die allgemeine Sicherung der Daten gegenüber Zugriff Unbefugter abzustellen, nicht darauf, ob Eingeweihte oder Experten leicht auf die Daten zugreifen können". Der Beschluss folgt außerdem der Argumentation der Staatsanwaltschaft Köln, die in ihrer Beschwerde argumentiert hatte, dass die Dekompilierung einer Binärdatei "ein tiefes Verständnis über Programmiersprachen und Softwareentwicklung" voraussetzt, "um mit dem Ergebnis der Dekompilierung umgehen zu können". Eine Schlussfolgerung, der wohl viele IT-Sicherheitsexperten widersprechen würden – nicht umsonst gibt es den Begriff "Script Kiddies". Die Kölner Staatsanwälte hatten gefolgert, dass "die hier in Rede stehenden Daten und Passwörter nur für einen eingeschränkten Personenkreis, der über das erforderliche Fachwissen verfügt, zugänglich" seien.
Wann ist ein Passwort eine "effektive Datensicherung"?
Das Amtsgericht muss das Verfahren (Aktenzeichen 17 Cs 55/23) gegen den IT-Experten, dem ein Einsatzkommando der Polizei das komplette Arbeitswerkzeug konfisziert hatte, nun doch verhandeln. Der Programmierer hatte die Sicherheitslücke im Juni 2021 gefunden. Modern Solution fungiert unter anderem als Dienstleister und hostet das Warenwirtschaftssystem JTL-WaWi für Kunden, die ihre Online-Shops mit Online-Marktplätzen zum Beispiel bei Kaufland, Otto, Check24 und Idealo verbinden wollen. Durch die Sicherheitslücke waren so die Daten von mehr als 700.000 Endkunden dieser Marktplätze nicht ausreichend geschützt. Der Programmierer, der zu dieser Zeit freiberuflich für einen Modern-Solution-Kunden auf Fehlersuche war, meldete die Sicherheitslücke bei Modern Solution und machte sie anschließend öffentlich, nachdem die Firma die Lücke behoben hatte. Dabei handelte er genau wie ein Sicherheitsforscher, der im Zuge seiner Arbeit eine Sicherheitslücke findet und meldet. Leider wurde er dafür von Modern Solution nicht belohnt, ganz im Gegenteil, die Firma zeigte ihn bei der Polizei an.
In den bisherigen zwei Verfahrensschritten zeichnen sich zwei unterschiedliche Rechtsauffassungen davon ab, welche Daten als besonders gesichert gelten und ob der unbefugte Zugriff darauf ein "Ausspähen von Daten" im Sinne des § 202a StGB darstellt. Im vorliegenden Fall handelt es sich um ein extrem leicht zu erratendes Passwort, das fest in die betroffene Software eingetragen und damit für alle Installationen gleich war. Es konnte entweder an Punkten im internen Netz des Kunden mitgeschnitten werden, an denen die Transportverschlüsselung nicht greift, oder durch Dekompilieren der Binärdateien des Programms gefunden werden. Mit diesem Passwort wurde eine SQL-Verbindung durchs Internet auf die Server von Modern Solution geöffnet.
Gefährlicher Präzedenzfall
Für Sicherheitsforscher und Menschen, die sich beruflich mit Computersystemen beschäftigen, wird die Entscheidung der Aachener Richter schwer nachzuvollziehen sein. Die wenigsten Experten würden bei einer solchen technischen Umsetzung wirklich von einer Absicherung sprechen. Der Standpunkt, eine Kompilierung des Programmcodes in Binärdaten stelle irgendeine Art von Schutz dar, wäre vor einem Expertengremium wohl ebenfalls schwer zu vertreten.
Unabhängig von der Frage, was hierzulande rechtlich als "besondere Sicherung gegen unberechtigten Zugang" gilt, ist der Fall wohl für Sicherheitsforscher und IT-Experten gerade auch deshalb so interessant, weil der Beschuldigte augenscheinlich im Interesse der Allgemeinheit handelte. Dass dem Beschuldigten ein Strafverfahren ins Haus steht, könnte nicht zuletzt Sicherheitsforscher hierzulande abschrecken, Sicherheitslücken bei Firmen zu melden. Bisher ist kein Termin für die Verhandlung am Amtsgericht Jülich angesetzt.
Quelle; heise
Im Fall des IT-Experten, der eine gravierende Sicherheitslücke in den Systemen des Gladbecker Software-Dienstleisters Modern Solution gefunden hatte, kommt es nun doch zum Verfahren vor dem Amtsgericht Jülich. Wie das Landgericht Aachen laut einem auf den 27. Juli datierten Beschluss entschieden hat (Aktenzeichen 60 Qs 16/23), muss das AG Jülich den Fall doch verhandeln. Die Jülicher Richter hatten den Strafantrag der Staatsanwaltschaft Köln im Mai mit der Begründung abgelehnt, dass die Daten, auf die der IT-Experte zugegriffen hatte, nicht ausreichend geschützt gewesen seien, um eine Straftat im Sinne des Hackerparagrafen 202a StGB zu rechtfertigen. Daraufhin legte die Staatsanwaltschaft Köln Berufung ein.
Dekompilieren als eine Art schwarze Magie?
In Jülich war man der Ansicht, dass "ein Passwort nicht in jedem Fall eine effektive Datensicherung" bewirke, führten die Richter am Amtsgericht aus. "Etwa wenn es allzu simpel ist oder für bestimmte Anwendungen standardisiert verwendet wird. In solchen Fällen ist die Verschaffung des Zugangs zu Daten nicht tatbestandsmäßig." Die Richter am LG Aachen folgten dieser Begründung nicht. Die Daten seien besonders gesichert gewesen, da ein Passwortschutz vorlag und das "Abrufen" der Daten "zudem nur nach einer Dekompilierung möglich war", heißt es in dem Beschluss des LG Aachen. "Die Sicherung des Zugangs mittels Passwort reicht als Zugangssicherung aus", damit sei der Straftatbestand erfüllt.
Der Rechtsauffassung der Aachener Richter nach "ist auf die allgemeine Sicherung der Daten gegenüber Zugriff Unbefugter abzustellen, nicht darauf, ob Eingeweihte oder Experten leicht auf die Daten zugreifen können". Der Beschluss folgt außerdem der Argumentation der Staatsanwaltschaft Köln, die in ihrer Beschwerde argumentiert hatte, dass die Dekompilierung einer Binärdatei "ein tiefes Verständnis über Programmiersprachen und Softwareentwicklung" voraussetzt, "um mit dem Ergebnis der Dekompilierung umgehen zu können". Eine Schlussfolgerung, der wohl viele IT-Sicherheitsexperten widersprechen würden – nicht umsonst gibt es den Begriff "Script Kiddies". Die Kölner Staatsanwälte hatten gefolgert, dass "die hier in Rede stehenden Daten und Passwörter nur für einen eingeschränkten Personenkreis, der über das erforderliche Fachwissen verfügt, zugänglich" seien.
Wann ist ein Passwort eine "effektive Datensicherung"?
Das Amtsgericht muss das Verfahren (Aktenzeichen 17 Cs 55/23) gegen den IT-Experten, dem ein Einsatzkommando der Polizei das komplette Arbeitswerkzeug konfisziert hatte, nun doch verhandeln. Der Programmierer hatte die Sicherheitslücke im Juni 2021 gefunden. Modern Solution fungiert unter anderem als Dienstleister und hostet das Warenwirtschaftssystem JTL-WaWi für Kunden, die ihre Online-Shops mit Online-Marktplätzen zum Beispiel bei Kaufland, Otto, Check24 und Idealo verbinden wollen. Durch die Sicherheitslücke waren so die Daten von mehr als 700.000 Endkunden dieser Marktplätze nicht ausreichend geschützt. Der Programmierer, der zu dieser Zeit freiberuflich für einen Modern-Solution-Kunden auf Fehlersuche war, meldete die Sicherheitslücke bei Modern Solution und machte sie anschließend öffentlich, nachdem die Firma die Lücke behoben hatte. Dabei handelte er genau wie ein Sicherheitsforscher, der im Zuge seiner Arbeit eine Sicherheitslücke findet und meldet. Leider wurde er dafür von Modern Solution nicht belohnt, ganz im Gegenteil, die Firma zeigte ihn bei der Polizei an.
In den bisherigen zwei Verfahrensschritten zeichnen sich zwei unterschiedliche Rechtsauffassungen davon ab, welche Daten als besonders gesichert gelten und ob der unbefugte Zugriff darauf ein "Ausspähen von Daten" im Sinne des § 202a StGB darstellt. Im vorliegenden Fall handelt es sich um ein extrem leicht zu erratendes Passwort, das fest in die betroffene Software eingetragen und damit für alle Installationen gleich war. Es konnte entweder an Punkten im internen Netz des Kunden mitgeschnitten werden, an denen die Transportverschlüsselung nicht greift, oder durch Dekompilieren der Binärdateien des Programms gefunden werden. Mit diesem Passwort wurde eine SQL-Verbindung durchs Internet auf die Server von Modern Solution geöffnet.
Gefährlicher Präzedenzfall
Für Sicherheitsforscher und Menschen, die sich beruflich mit Computersystemen beschäftigen, wird die Entscheidung der Aachener Richter schwer nachzuvollziehen sein. Die wenigsten Experten würden bei einer solchen technischen Umsetzung wirklich von einer Absicherung sprechen. Der Standpunkt, eine Kompilierung des Programmcodes in Binärdaten stelle irgendeine Art von Schutz dar, wäre vor einem Expertengremium wohl ebenfalls schwer zu vertreten.
Unabhängig von der Frage, was hierzulande rechtlich als "besondere Sicherung gegen unberechtigten Zugang" gilt, ist der Fall wohl für Sicherheitsforscher und IT-Experten gerade auch deshalb so interessant, weil der Beschuldigte augenscheinlich im Interesse der Allgemeinheit handelte. Dass dem Beschuldigten ein Strafverfahren ins Haus steht, könnte nicht zuletzt Sicherheitsforscher hierzulande abschrecken, Sicherheitslücken bei Firmen zu melden. Bisher ist kein Termin für die Verhandlung am Amtsgericht Jülich angesetzt.
Quelle; heise
