Wie mache ich den Technologiestandort Deutschland kaputt 101.
Mit dem Einsatz dieser Software habe der Beschuldigte nach Einschätzung des Amtsgerichts gemäß §202a StGB eine ausreichend hohe Hürde überwunden, um sich strafbar zu machen.
Konkret ging es wohl um die Verwendung des weitverbreiteten Datenbank-Administrationstools phpMyAdmin, in das der Angeklagte das entdeckte Passwort eingegeben hatte, um auf die Datenbank von Modern Solution zuzugreifen
Ich finde es immer wieder erschreckend, wie unwissend die Leute sind, die solche Sachen entscheiden. PMA hat die Überwindung der Hürde “Passwort” doch nicht möglich gemacht. Die Hürde “Passwort” wurde in dem Moment wirkungslos, als es von der Betreiberfirma überall im Klartext verteilt wurde. 🤦
Leider, leider ein korrektes Urteil nach aktueller Rechtslage.
Dadurch, dass er an das Passwort gekommen ist, hat er die Sicherheitslücke bereits entdeckt und hätte die Firma darauf hinweisen können, ohne sich strafbar zu machen.
Durch das Einloggen in phpMyAdmin hat er dann die Kundendaten gesehen, was einen echten finanziellen Schaden verursacht, wenn man die DSGVO ernst nimmt. Denn jetzt ist das Unternehmen nicht nur gezwungen, die Sicherheitslücke zu schließen, sondern muss auch alle Kunden darüber informieren, dass ihre Daten von einer nicht berechtigten Person eingesehen wurden. (Ohne Kenntnis, dass jemand die Daten tatsächlich gesehen hat wären sie dazu nicht verpflichtet.)Ich befürworte das Urteil hier nicht, ich sage nur dass hier die Rechtslage scheiße ist. Der Richter hatte da wenig Wahl, er muss sich an die geschriebenen Gesetze halten.
Sicherheitsforschung zu kriminalisieren ist halt einfacher als sichere Systeme zu entwickeln. Staatliche Stellen haben letztlich kein Interesse an sicherer IT, weil das ja ihre Fähigkeit zu Schnüffeln einschränken würde. Da nagelt man doch lieber mal ab und zu einen an die Wand.
Dein Kommentar liest sich für mich wie deine bloße Meinung. Eine substantiierte Auseinandersetzung erkenne ich nicht und woher deine Einschätzung kommt, ist auch nur in wenigen Teilen nachvollziehbar. Ich kenne die Entscheidungsgründe nicht, aber ich kenne die Strafnorm des§ 202a StGB.
§ 202a StGB setzt gegen unberechtigten Zugang besonders gesicherte Daten vorraus. Erfasst davon ist u.a. auch die Sicherung durch Passwort. Ausdrücklich ausgenommen davon ist hingegen die bloße Speicherung von Daten (z.B. auf Magnetstreifen). Ausgenommen nach Zweck der Norm müssen auch sonstige untaugliche (“Sicherungs”)Maßnahmen sein.
Soweit ein Passwort im Klartext gespeichert wird und ausgelesen werden kann, kann es voraussichtlich gar keine Sicherungsfunktion erfüllen. Das bloße Geheimhalten eines Passworts genügt nämlich nicht, mithin kan auch das “schlechte Verstecken” nicht genügen. Damit ist die Rechtslage weit entfernt von der Klarheit, die du suggerierst.
Die DSVGO hat im Übrigen nichts mit der Strafnorm zu tun. § 202a StGB erfordert Tathandlung das bloße unbefugte Überwinden einer Zugangssicherung, nicht mehr. Sicherlich nicht, dass durch eine Verletzung der DSVGO potentielle Haftungsfälle losgetreten werden.
Unmittelbar hat auch das Informieren der Betroffenen über die Möglichkeit der Auslesbarkeit des Passworts nichts mit der Strafnorm zu tun. Die Frage ist nicht, ob die Handlung moralisch okay war oder das Vorgehen des Angeklagten sonderlich schlau. Die Frage ist, ob es strafbar war. Darüber kann man berechtigt streiten. Auch streiten kann man darüber, inwieweit das Amtsgericht im Übrigen mangels vermeintlicher Verständnisprobleme womöglich § 202a StGB falsch angewandt hat.
Soweit ein Passwort im Klartext gespeichert wird und ausgelesen werden kann, kann es voraussichtlich gar keine Sicherungsfunktion erfüllen. Das bloße Geheimhalten eines Passworts genügt nämlich nicht, mithin kan auch das “schlechte Verstecken” nicht genügen. Damit ist die Rechtslage weit entfernt von der Klarheit, die du suggerierst.
Das sah das Landgericht Aachen aber anders, weshalb sie den Fall zwecks Revision an das Amtsgericht zurückgegeben hatten:
Die Daten seien besonders gesichert gewesen, da ein Passwortschutz vorlag und das “Abrufen” der Daten “zudem nur nach einer Dekompilierung möglich war”, heißt es in dem Beschluss des LG Aachen. “Die Sicherung des Zugangs mittels Passwort reicht als Zugangssicherung aus”, damit sei der Straftatbestand erfüllt. Damit folgt das Gericht der seit Jahren auch an anderen Gerichten vorherrschenden Rechtsmeinung.
Der Rechtsauffassung der Aachener Richter nach “ist auf die allgemeine Sicherung der Daten gegenüber Zugriff Unbefugter abzustellen, nicht darauf, ob Eingeweihte oder Experten leicht auf die Daten zugreifen können”. Der Beschluss folgt außerdem der Argumentation der Staatsanwaltschaft Köln, die in ihrer Beschwerde argumentiert hatte, dass die Dekompilierung einer Binärdatei “ein tiefes Verständnis über Programmiersprachen und Softwareentwicklung” voraussetzt, “um mit dem Ergebnis der Dekompilierung umgehen zu können”.
Deswegen informiert man Betriebe in Deutschland durch ein einfaches drop database via VPN ueber ihre Sicherheitsprobleme.
Denn jetzt ist das Unternehmen nicht nur gezwungen, die Sicherheitslücke zu schließen, sondern muss auch alle Kunden darüber informieren, dass ihre Daten von einer nicht berechtigten Person eingesehen wurden. (Ohne Kenntnis, dass jemand die Daten tatsächlich gesehen hat wären sie dazu nicht verpflichtet.)
In der beschriebenen Situation ist davon auszugehen dass die Daten auch von anderen abgegriffen wurden die den Betreiber nicht informiert haben - solange er das nicht ausschliessen kann (was jemand der so ein Problem hat eher nicht koennen wird) bin ich der Meinung dass die Datenschutzbehoerden informiert werden sollten, auch wenn die Formulierung in der DSVGO das nicht direkt so hergibt. Es ist im heutigen Internet einfach unrealistisch anzunehmen dass es da keinen Zugriff gab - und ich hoffe dass die Rechtsprechung in den naechsten Jahren auch in die Richtung gehen wird.
Welche Optionen hat man aktuell denn laut der Rechtslage (sofern es kein BugBlunty-Programm o.ä. gibt)? Ich mein… ich hab schon Sicherheitslücken gefunden und gemeldet, ohne explizit danach gesucht zu haben…
- Lücke melden - man wird verklagt
- Lücke nicht melden - (schwerwiegende) Probleme werden nicht behoben, wenn sie einfach zu finden sind, werden die munter ausgenutzt
- Veröffentlichung über Dritte - ist ja hier schief gegangen, zurück zu Punkt 1
- Anonyme Full Disclosure - blöde für den Hersteller und vermutlich auch die betroffenen, deren Daten abgesaugt werden könnten, aber sorgt potentiell am ehesten für einen Fix. Wenn man es richtig anstellt, keine Spur, keine Klage. Geld hätte man ggf eh nie gesehen
Mich würde nicht wundern, wenn 2 und 4 in Zukunft zunehmen…
Ich persoenlich hab inzwischen die Schnauze voll (aktuell ist glaub ich noch eine Anzeige gegen mich offen) - ich mach in Zukunft nur noch direktes full disclosure. Falls es danach aussieht als ob persoenliche Daten betroffen sind, und ich die Moeglichkeit habe die zu loeschen wuerde ich selbiges (natuerlich nicht zu mir verfolgbar) vor disclosure tun.
Meine (wenngleich harmlos verlaufenen) Highlights bislang - für nix davon war ein Hacking-Tool nötig
- Webseite mit Doku, beim Verwenden der Suche gibt’s ab und an komische SQL Fehler. Auf einen Verdacht hin halt mal nach
Suchbegriff' UNION SELECT * FROM TabelleGibtsNicht;--gesucht und… ups… Fehlermeldung, dass die Tabelle nicht existiert… - Hersteller einer Software schickt uns die neue Version. Ich beschwere mich, dass sie vergessen haben die Jar für die API der neuen Version mitzuliefern. Antwort: Ja, passiert. Wir verwenden die auch intern in Komponente X, kopiere dir einfach die API.jar aus diesem Ordner und nimm die. Hab mich gewundert, warum die plötzlich so groß ist. In die IDE rein geladen und gesehen, dass da einige Klassen sind, die da nicht hin passen. Beim rumklicken in der IDE listet mir die die Inhalte der Jar und da liegen plötzlich der komplette Sourcecode und andere Daten und Dokumente in der JAR, die ich definitiv nicht haben sollte. Mit den älteren Versionen verglichen: Ja, der offizielle Build ist sauber. Die API für die eine Komponente liefert das aber schon seit über einem Jahr so aus. Da ist irgendein Buildprozess Amok gelaufen und hat gefühlt das komplette Home Verzeichnis des Entwicklers mit reingebaut.
- Andere Software, anderer Hersteller, Java-Webapp. Unser Sicherheitsscanner meldet verwundbare Komponenten im Tomcat webapps Ordner der Anwendung. Er hatte dort die pom.xml usw. gefunden und analysiert. Hab mich gewundert und reingeschaut. Blöderweise waren darin für Build Steps Passwörter für Fileshares, Systeme und Codezertifikate enthalten (die Zertifikate selber zum Glück nur als Pfad zur Datei angegeben) und ein paar andere interessante Dinge
- Webseite mit Doku, beim Verwenden der Suche gibt’s ab und an komische SQL Fehler. Auf einen Verdacht hin halt mal nach
Dadurch, dass er an das Passwort gekommen ist, hat er die Sicherheitslücke bereits entdeckt und hätte die Firma darauf hinweisen können, ohne sich strafbar zu machen.
Hier stellt sich mir die Frage, ob es allein schon strafbar ist, denn Schlüssel ins Schloss zu stecken. Es könnte ja durchaus sein, dass dieses hart gecodete Passwort überhaupt nicht mehr valide ist. Dann müsste man auch nicht die Pferde scheu machen.
Durch das Einloggen in phpMyAdmin hat er dann die Kundendaten gesehen, was einen echten finanziellen Schaden verursacht, wenn man die DSGVO ernst nimmt. Denn jetzt ist das Unternehmen nicht nur gezwungen, die Sicherheitslücke zu schließen, sondern muss auch alle Kunden darüber informieren, dass ihre Daten von einer nicht berechtigten Person eingesehen wurden.
Ich bin mir nicht sicher, ob man die Kosten, die dem Unternehmen dadurch entstehen, dass es über eine Sicherheitslücke informieren muss, als finanzieller Schaden dem Entdecker anlasten kann. Ein direkter Schaden wäre meiner Ansicht nach eher, wenn z.B. der Entdecker zu den Kunden geht und diese mit Verweis auf die mangelnde Sicherheit abwirbt.
Phpmyadmin Ist aber auch tiefes insider wissen!
Ehrlich, plain pw und beliebige passende Software zum Zugriff mit Strafe? Lächerlich.
Was mir in der Debatte hier (und im Schrotturteil) fehlt: Es ist halt für den IT-Experten null absehbar gewesen, dass er mit dem Passwort dann direkt Zugriff auf die komplette Kundendatenbank bekommen würde. Es wäre absolut zu erwarten, dass man mit einem bei einem Kunden praktisch im Klartext gespeichertem Passwort dann Zugriff auf die eigenen Kundendaten hat. Also auf die Daten, die man eh sehen darf. Das ist so als wenn man in einer Bank dann die Tür mit dem Schild “WC” öffnet und dann plötzlich im Tresorraum steht und wegen Bankraubs verurteilt wird.
Hoffen wir, dass die nächste Instanz das kassiert.
