News Strafverfahren: IT-Experte für das Melden einer Sicherheitslücke verklagt

[charmin]

Deutschland ist so ein Zirkus, das wäre echt unterhaltsam wenn es nicht so traurig wäre...

 

[DarkSoul]

"...daher könnten die Lücken nur wenige Experten ausnutzen..."

Deswegen werden Sicherheitslücken auch von meistens kriminellen Profis ausgenutzt, die Argumentation des Gerichtes ist daher mehr als nur fraglich.

 

[IHEA1234]

Ein deutsches Gericht stellt sich auf die Position, dass ein hardgecodetes PW ausreichend sei?

Unfassbar. Dazu schreibe ich nix mehr, jedes weitere Wort wäre strafrechtlich relevant.

 

[donmiguell]

Leider wird es wie immer ablaufen.

Kein Richter wird sich näher mit der Materie auseinander setzen müssen, denn er ist nur Jurist.

Ob Ärtze- Krieg, Auto- Gebäude-Elektro Schäden etc. Es muß ein Sachverständiger ernannt werden, auf den er sich berufen wird. Diese sind zu mindest nach meinen vielen Erfahrungen (DRV Rentenfall) schon so alt, das sie keine Kassenzulassung mehr besitzen und nur noch Privat-Patienten behandeln oder teuere Gutachten ohne Fachwissen mit bla bla erstellen.

Der Richter glaubt den humbug, denn er ist nur Jurist und der Arzt ein studierter "Kollege"!

Saludos

 

[Whitehorse1979]

Armseeliges Unternehmen. Solchen Buden wünsche ich gerne eine Insolvenz ans Bein. Der Entwickler hat mein Mitgefühl. Und vor allem nicht davon abschrecken lassen wenn etwas gefunden wird.

 

[Palomino]

Wer so Gesetze macht die es ermöglichen dass Leute die Sicherheitslücken melden dafür angeklagt werden der schiesst sich ins eigene Bein.

Grundsätzlich kannst Du jeden anklagen. Das gesetzt soll ja dazu dienen, die schwarzen Schafe zu bestrafen. Um die Sicherheitslücken zu identifizieren muss auch der ehrliche Hacker erstmal das Programm hacken. Da bleibt am Ende immer eine Grauzone bestehen die dann vor Gericht geklärt werden muss.
Es macht schon einen Unterschied ob zum Knacken der Sicherheitslücke 2-3 Monate arbeit nötig waren oder ob es im 30 Minuten beim Kaffee erledigt war.

Die Gesetze sind nicht eindeutig. Von Amateuren ohne Ahnung gemacht. Jetzt kann man auf "Rechtsprechung" durch Gerichte gehen oder die Gesetzgeber durch Handlungen zwingen, die Gesetze zu ändern.

Wie soll man als Gesetzgeber denn so ein Gesetzt eindeutiger fassen?
So wie ich den Sachverhalt verstehe dreht es sich doch im Kern darum, als wie sicher das verankterte Passwort anzusehen ist bzw. welcher Aufwand notwendig war um die Sicherheitslücke ausnutzen zu können.

Egal, mit welchen Verfahrern man eine Software schützt. Was heute sicher ist und nur unter großem Aufwand, wenn überhaupt, geknackt werden kann, ist morgen schon für "Jedermann" möglich.
Ich gehe davon aus, dass dieser Fall am Ende höchstrichterlich Entschieden werden muss, aber das Problem, dass IT Sicherheit und Schutzmechanismen nie absolut sein kann, bleibt bestehen.

 

[IBISXI]

Unglaublich was bei "Modern Solutions" für Leuchten sitzen.

Alleine schon der "Werbeeffekt" für die Firma wird dadurch gigantisch sein.
Jeder Kunde weiß nun wie dort gearbeitet wird.

Und jede IT Fachkraft weiß auch schon im Voraus, für welche Firma man nicht arbeiten soll.

Zusätzlich ist das ganze noch ein riesen Ansporn, gefundene Lücken auf dem Schwarzmarkt zu verkaufen, anstatt korrekt zu melden.
Damit hat "Modern Solutions" dann sicher mehr Freude.


Solche Aktionen machen die Firma auch derart unsympathisch, dass man es ihnen fast gönnen würde.

Wenn es ganz toll läuft, könnten durch solches Verhalten und den Einblick in die "professionelle Arbeitsweise" gewisse Hackergruppen auf die Firma aufmerksam werden.

 

[honky-tonk]

das beste was mir dazu einfällt:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

denen gehört einfach eine ordentliche Ohrfeige, damit sie wieder zur Vernunft kommen

 

[Der Funkmeister]

Wenn sich das Gericht tatsächlich darauf einlässt das ein Hard-Coded-Password ausreichend sicher sei, und den meldenden Entwickler bestraft, dann:

1. Kann keine ausländische Firma mehr irgendeiner Software aus Deutschland vertrauen.
   Oder sie wären doof wenn doch.
2. Werden noch mehr Softwareentwickler aus Deutschland abwandern. Wieso in Deutschland leben und arbeiten wenn es im Ausland mehr Geld und auch noch Rechtssicherheit gibt?
3. Wird Deutsche Software noch mehr und häufiger gehackt als bisher schon. Weil Hacker sich ohnehin nicht an Gesetze halten. Daher ist es nötig Sicherheitslücken zu schliessen, statt die Ausnutzung solcher zu verbieten.
4. Digitalisierung in Deutschland die ohnehin schon schleppend vorankommt, wird komplett versanden. Da die miserable Softwarequalität noch weiter abnimmt und dies jetzt auch noch juristisch gestattet wird.

Übrigens muss man die Software nicht immer dekompilieren um an das Passwort zu kommen. In diesem Fall wird das Passwort benutzt um auf irgendein remote Server, Datenbank, etc. zu kommen. Die Kundendaten werden ja hier nicht mit der Software ausgeliefert, sondern liegen irgendwo im Netz. Das Passwort erlaubt dort den Zugriff darauf. Es reicht in diesem Fall die Kommunikation der Software zu überwachen um das Passwort zu finden.

 

[Unnu]

Aber hey dann fischen halt die Amis und Chinesen in den Daten rum

Die fischen da sowieso drin rum.
Mach' Dir da mal keine Illusionen.

MS ist ein amerikanisches Unternehmen ... !
... wo war nochmal die Meldung, dass die Amis den Japanern gesteckt haben, dass in deren hochgeheimen, abgeriegelten Netzwerk die Chinesen unterwegs sind und die Japaner sich dann fragten, woher die Amis das wohl wussten?

 

[Aloysius]

Angesichts dieses Beispiels frage Ich mich wirklich langsam... Was funktioniert in Deutschland noch? Denn was hier beschrieben wird ist kein technisches Problem sondern ein menschliches. Irgendwann werde ich noch verhaftet weil ich ein Feuer, Stromausfall oder Internetausfall melde. Vor allem frage ich mich auch ob man dass Passwort nicht auch mit einem Hex-Editor im Programm hätte finden können.

 

[XamBonX]

Tja, dann werden die Lücken halt verschebelt für Monie$. Sollen die Firmen sich um den Shitstorm dann selber kümmern.

 

[Unnu]

Willkommen in Dukeldeutschland in seiner schwärzesten Stunde! Naja, fast, noch ist er nicht verurteilt.
Das wäre dann der Sargnagel für IT in Deutschland.

Diese Meldung, und hier vor allem diese Passage "während man beim Landgericht Aachen nun die Ansicht vertritt, der „Zugangs mittels Passwort reicht als Zugangssicherung aus“. Um an das fest verankerte Passwort zu gelangen, wäre eine Dekompilierung der Software nötig, was aber ein „tiefes Verständnis über Programmiersprachen und Softwareentwicklung“ erfordere – daher könnten die Lücken nur wenige Experten ausnutzen."
reichen eigentlich komplett aus um folgendes zu illustrieren:

• Deutschland ist digital noch viel schlimmer dran, als es die ganzen Untergangsmeldungen verlauten lassen.
• Deutschland verdient noch viel viel mehr Häme, als es international ohnehin schon bekommt.
• Digitalisierung und Bürokratur gehen nicht zusammen. Geht einfach nicht.
• Richter, oder besser Amtsrichter sind offensichtlich NOCH ungebildeter in Sachen Digital als der normale Dunkeldeutsche.
• Ich kann Richter werden: Ohne jegliche Sachkenntnis, frei von Wissen oder zumindest dem Anschein von Nachdenken die Leben von gutmeinenden Menschen ruinieren und sich "im Recht" fühlen.
• Dumm nur, dass Amtsrichter ca. 3mal weniger verdienen als ich jetzt.

Alles Andere was ich schreiben könnte, ist nicht publizierbar und würde mich wohl Klagen aussetzen.

Aber hey, Rechtsstaat. Und sei er noch so idiotisch.
Es tut einfach nur noch weh.

 

[pitu]

Was ein Skandal. Der arme Mann wird sich beim nächsten Mal zweimal überlegen ob er die Lücke meldet oder die Daten im Darknet an den Meistbietenden verkauft.

Snowden light in DE? Das ich das noch erleben darf!

 

[BeBur]

Die Timeline geht nicht so recht aus dem Artikel hervor, finde ich. Und das wirkt etwas verdächtig. Wurden wirklich die Regeln des Responsible Disclosure eingehalten?
Im übrigen halte ich diesen Teil für falsch:

Relevant ist laut dem Bericht vor allem, inwieweit ein fest in der Software verankertes Passwort ausreichend ist, um Kundendaten vor fremden Zugriff zu schützen.

Es geht wie ich vermute viel mehr um die Frage, ob ein Sicherheitsmechanismus umgangen wurde, also das Passwort "beschafft" werden musste oder ob das nicht notwendig war, weil es hardcoded war.

Der Originalartikel bietet auch mehr Kontext:

In Jülich war man der Ansicht, dass "ein Passwort nicht in jedem Fall eine effektive Datensicherung" bewirke, führten die Richter am Amtsgericht aus. "Etwa wenn es allzu simpel ist oder für bestimmte Anwendungen standardisiert verwendet wird. In solchen Fällen ist die Verschaffung des Zugangs zu Daten nicht tatbestandsmäßig." Die Richter am LG Aachen folgten dieser Begründung nicht. Die Daten seien besonders gesichert gewesen, da ein Passwortschutz vorlag und das "Abrufen" der Daten "zudem nur nach einer Dekompilierung möglich war", heißt es in dem Beschluss des LG Aachen. "Die Sicherung des Zugangs mittels Passwort reicht als Zugangssicherung aus", damit sei der Straftatbestand erfüllt. Damit folgt das Gericht der seit Jahren auch an anderen Gerichten vorherrschenden Rechtsmeinung.

Also alle, die sich hier grob aufregen bei erster Gelegenheit, erstmal genau lesen worum es eigentlich geht und was hier geprüft wurde und warum wie entschieden wurde. Es geht darum, ob die Voraussetzungen des Hackerparagrafen erfüllt wurden oder nicht. Es geht nicht darum, ob das Gericht das so für allgemein sicher hält oder nicht.

 

[Unnu]

Vor allem frage ich mich auch ob man dass Passwort nicht auch mit einem Hex-Editor im Programm hätte finden können.

J anatürlich, jedoch:
Das ist nicht die Frage. Man "muss" da gar nix dekompilieren. Man muss das PW nur kennen! Oder erraten.
Hart kodierte PW in Software sind ein absolut hartes No. Softwareengineering 101, Things that never ever should be done! .... and if it was done 30 years ago then f*cking don't anymore!!

Das ist eine reinrassige Backdoor. Einfach zu finden und zu nutzen. Wahrscheinlich sowas wie "IAMGOD!" oder solch ähnlicher Unsinn. Lach nicht, so eines habe ich auch mal gefunden, hart codiert. (Naja gut, in dieser "Software" waren alle OWASP Top 10 vertreten. Alle!)

Sowas ist ein Grund für eine Abmahnung. Und das auch nur, weil es gerade so wenige Softwareingenieure gibt.
... Vielleicht doch besser direkt feuern.

Merke: IT-Security is a peoples problem!

 

[Incanus]

Ein Einbrecher bricht bei meinem Nachbarn ein und ich rufe ihn an und der zeig mich dann an, weil ich ihn angerufen habe und ihm berichtet habe, dass gerade jemand versucht, bei ihm einzubrechen.

Es ist dabei aber ein Unterschied, ob Du den Einbruch bemerkst, weil Du aus Deiner Wohnung heraus ein sich bewegendes Taschenlampenlicht in der Nachbarwohnung siehst, oder weil Du selber gerade dort mit dem hinterlegten Ersatzschlüssel eingedrungen bist .

Entschuldigung, Ihr LKW ist kaputt und verliert Ladung, hier, ich hab Ihnen was davon aufgesammelt.

Hier auch: Wenn Du den Ladungsverlust nur bemerkst, ist das etwas anderes, als wenn Du das marode Sicherungsseil guten Willens durchreißt und damit den Verlust verursachst.

Was ich sagen will ist, dass wir aus der kurzen Meldung hier nicht eindeutig Schuld, Fehl- oder untadeliges Verhalten schließen können. Sonst wäre ja auch gar keine Verhandlung nötig. Und eine Anklage ist eben noch kein Schuldspruch.

 

[Lotsenbruder]

Ich hoffe der Angeklagte hat einen erstklassigen Anwalt.
Der Firma wünsche ich.... ach lieber nicht, könnte Ärger geben.

 

[der Unzensierte]

Die Argumentation des Landgerichts Aachen ist ja wohl ein Juristenwitz. Als würden die die Systeme hacken nicht über „tiefes Verständnis über Programmiersprachen und Softwareentwicklung“ verfügen. Ich hoffe doch sehr die Richter am Amtsgericht Jülich bleiben bei Ihrer Sicht der Dinge und diese vertrottelte Softwarebude bleibt auf den Verfahrenskosten sitzen.

Kann man denen (der Softewarebude, nicht dem Langericht )wenigstens irgendwo eine Rezension reinknallen?

 

[Yuuri]

Also was mich hier ja mal interessieren würde, warum hat er überhaupt dekompiliert?

Er hat nichts dekompiliert. Das ist ne Behauptung der Kripo.

Das initiale Problem war, dass ein Kunde von ihm Probleme mit dem Interface hatte, welches permanent seine DB zumüllte. Dem sollte er mal nachgehen, ggf. findet er was. Hat er sich das also in ner VM installiert. Über Logs der Firewall ist er dadurch aufmerksam geworden, dass ne unverschlüsselte Verbindung zu einer MySQL-DB aufgenommen wurde und hat mal direkt in der exe nachgesehen. Dann nahm das Übel seinen Lauf.

Das Passwort stand direkt in der exe. Unverschlüsselt (genauso dumm, irgendwo muss der Schlüssel liegen!), kein Base64 oder anderes Encoding oder ne Obfuscation/Verschleierung (mindestens genauso dumm), es stand plain drin - fixe Zugangsdaten offen liegend, verteilt viele tausende Male, der Download war öffentlich. Keine kundenspezifischen Zugangsdaten, keine API Keys, kein nix - 1 fixer Zugang.

Das Passwort kannst du dir selbst mit notepad raus suchen. "Komfortabler" via strings (bzw. siehe auch die man Page unter Linux), auch gibts ne Möglichkeit via Process Explorer. Oder für die Analogen unter uns: Man kann die exe ausdrucken und hat das Passwort dann analog vor sich auf einem Blatt Papier liegen. Man muss hier kein Hexenmeister sein, das kann jedem Einzelnen passieren (Öffnen mit -> Editor). Man muss sich beim Draufschauen halt nur der Implikationen des Auftretens bewusst werden.

So sieht das bei denen im Code aus:

Rechts der Code, links die Ausgabe von strings (lediglich durch g++ gejagt, ergo kompiliert). So wurde das an alle Kunden verteilt. Da ist nichts "geschützt".

Ich könnte auch nen OneDrive-Link mit der exe setzen, aber das lass ich mal. Dann könnte man sich das Übel selbst ansehen. Da standen allerdings auch noch mehr (FTP-)Zugänge drin, also nicht nur zu dieser Datenbank. Die exe gibt so einigen "Einblick" in die stümperhafte Arbeitsweise.

Erstmal sollte man denen den Sinn von Web APIs erklären bzw. wie man Credentials verteilt (User + Passwort, API Keys, OAuth, ...) und wie man sowas korrekt im Deployment konfiguriert. Danach kann man sich durch den restlichen Moloch wühlen, wo man gar nicht weiß, wo man anfangen soll...

In letztem Fall ist die Klage leider durchaus nachvollziehbar.

Nicht mal ansatzweise. Das ist vollständig auf deren Mist gewachsen. Den Überbringer schlechter Nachrichten zu köpfen hat allerdings schon im Mittelalter funktioniert. Wieso also Bewährtes ändern, nicht?

Man könnte auch einfach "Danke" sagen und das Problem lösen. Niemanden hätte es gejuckt, die Meldung zur Lücke würde an Kunden verteilt werden "Wir haben ein Sicherheitsproblem gefixt blablabla, seht her wie toll wir sind" und alles wäre im Sande verlaufen. Stattdessen gibts nun wieder ein riesiges, mediales Echo, die eigene Inkompetenz wird (wie immer) zur Schau gestellt, jemand wird durch eine Hausdurchsuchung und Konfiszierung von "Beweismitteln" in Ausübung seines Jobs behindert, hat eine Klage am Hals, die Staatsanwaltschaft muss sich wieder fadenscheinige Argumente dafür einfallen lassen und und und...

Kannste dir nicht ausdenken.

Wer weiß wie oft der Zugang bereits aktiv ausgenutzt wurde. So richtig ausgenutzt und nicht nur mal rein geschaut und dem Hersteller gemeldet. Einfach um den Konkurrenten auszuspionieren oder um dessen Preise "anzupassen" oder einfach mal um fremde Kundendaten einzusehen oder oder oder...

Man brauch gar keine NSA, man muss sich nur inkompetente Firmen zum Ziel machen.

Aber man liest ja auch ständig von der Baufirma verklagten Hausbesitzern, welche die Baufirma auf ihren Pfusch hingewiesen haben. Tägliche Meldungen!

Wurden wirklich die Regeln des Responsible Disclosure eingehalten?

Welche Regeln? Das ist alles hausgemacht und erdacht und niemand muss sich dran halten.

Der Firma wurden Tage zur Behebung gegeben, Mark hat lediglich "zu früh" in einer Facebook Gruppe Infos gepostet (keine Details zur Lücke, sondern nur dass eine existiert). Hierbei wurde afaik gar nichts an Details geleakt.

Einfach mal bei Heise quer lesen, da steht sehr vieles drin: https://www.google.com/search?q=modern+solutions+site:heise.de

Anscheinend hat man sich selbst auch aktiv im Forum "beteiligt": https://www.heise.de/forum/heise-on...-hier-dargestellt-wird/posting-39812831/show/

In den Kommentaren drunter stehen auch genug Zusammenfassungen. U.a. hat Mark es auch schriftlich, dass ein anderer Partner von der Lücke weiß (und wohl nichts tut).

Selbst der Redakteur teilt dort ordentlich aus.

Wahrscheinlich sowas wie "IAMGOD!" oder solch ähnlicher Unsinn.

8 Stellen [a-zA-Z0-9], davon ein Sonderzeichen - Beispiel: a2c3efg$. Ziemlich amateurhaft eben. Wohl aus nem Passwortgenerator von ner 0815 Webseite erstellt... Selbst ne UUID ist als Passwort sicherer. Die FTP-Zugänge haben das selbe Format, es variiert lediglich in der Stelle des Sonderzeichens.

Ach und btw:

Dem Urteil zufolge ist es erlaubt, proprietäre Software "ganz oder teilweise zu dekompilieren, um Fehler, die das Funktionieren dieses Programms beeinträchtigen, zu berichtigen".

[...]

Die nun getroffenen Entscheidung des EuGH stützt sich im Wesentlichen auf die Richtlinie 91/250, die den Schutz von Computerprogrammen regelt. Insbesondere ist darin festgelegt, dass etwa das Vervielfältigen oder eine Übersetzung von Programmen nicht der Zustimmung der Urheber bedarf, wenn dies für eine Fehlerbehebung notwendig ist. Der EuGH schließt dafür nun also auch explizit das Dekompilieren und eben Reverse Engineering ein, da bei proprietärer Software anders eine Fehlerbehebung nicht möglich ist.

Nettes Detail: erste Anklageerhebung: Sommer 2009. Urteil: Oktober 2021 - zwölf Jahre

Also selbst eine Dekompilierung ist heute legal. "Tatzeitpunkt" war hier aber einen Monat früher, ergo wäre das mindestens in der Schwebe. Brauchte es aber nicht mal. Der Schlüssel steckte bereits und war gedreht. Man musste nur die Tür anstupsen.

Auf dem Dorf wäre nun jeder "nette Nachbar" ein Krimineller, weil er nen steckenden Schlüssel an der Tür abgenommen, ihn in den Flur o.ä. gelegt und die Tür wieder verschlossen hat. Letzteres wäre allerdings nicht möglich, denn das wäre Bugfixing. Was der "pöse Hacker" nicht machen kann.

Aber gut, man weiß ja was mit Snowden und Assange passiert ist. Nichts Anderes ist dieser Fall.

Gibt auch ne Seite, wo man "zu aktive" Parteien auflistet: https://unverantwortli.ch/

Was ich sagen will ist, dass wir aus der kurzen Meldung hier nicht eindeutig Schuld, Fehl- oder untadeliges Verhalten schließen können. Sonst wäre ja auch gar keine Verhandlung nötig. Und eine Anklage ist eben noch kein Schuldspruch.

Hier nicht. Bei Heise ist das quasi seit Aufkommen Thema: https://www.google.com/search?q=modern+solutions+site:heise.de

An alle notwendigen Informationen kann man durch etwas "Recherche" selbst ran kommen. Wenn man nur will. Mittlerweile ist eigentlich alles öffentlich dargelegt.