Nach Meldung einer Schwachstelle

Gericht verurteilt IT-Experten wegen Nutzung einer Zugriffssoftware

Uhr
von Coen Kaat und jor

In Deutschland soll ein IT-Experte 3000 Euro zahlen. Der Grund: Mit einem Tool und einem im Klartext gespeicherten Passwort legte er eine Schwachstelle in einer Software offen. Der Softwareentwickler klagte ihn an.

(Source: Gina Sanders / Fotolia.com)
(Source: Gina Sanders / Fotolia.com)

Im Juni 2021 hat ein deutscher IT-Experte eine Schwachstelle in einer Softwarelösung von Modern Solution veröffentlicht. Rund zweieinhalb Jahre später führte dies zu einer Geldstrafe von 50 Tagessätzen beziehungsweise 3000 Euro, wie "Golem" berichtet. 

Der IT-Experte und selbst auch Softwareentwickler hatte 2021 im Auftrag eines Einzelhändlers (ein Kunde von Modern Solution) ein technisches Problem geprüft, wie "Heise" damals berichtete. Dabei entdeckte er ein im Klartext hinterlegtes Passwort. Auf diesem Weg kam der IT-Experte an die persönlichen Daten von rund 700'000 Kunden und Kundinnen verschiedener Onlinehändler, die auf den Systemen von Modern Solution gespeichert waren. Das Unternehmen wurde informiert - und zugleich auch ein deutscher Blogger, der gleichentags darüber schrieb. 

Modern Solution reagierte mit einer Klage gegen den IT-Experten. Er wurde wegen eines Verstosses gegen den Artikel 202a des deutschen Strafgesetzbuches angeklagt. Dieser betrifft das Ausspähen von Daten, die u.a. "besonders gesichert sind". Hiermit waren der Passwortschutz und die Tatsache, dass die Daten in der Software kompiliert waren, gemeint. 

Wie "Heise" in einem weiteren Bericht schreibt, warf Modern Solution dem IT-Experten auch vor, dass dieser als Konkurrent der Firma in Erscheinung treten und dem Unternehmen schaden wolle. Der IT-Experte hingegen sagte, dass er die Sicherheitslücke schnellstmöglich offengelegt hatte, um die Kunden zu schützen. 

Zugriffssoftware ist das Problem

Vor Gericht folgte ein Auf und Ab für den IT-Experten. Zunächst stellte sich ein Gericht auf seine Seite mit der Begründung, dass Modern Solution die Software nicht genügend geschützt habe. Dieses Urteil von Juni 2023 wurde nun allerdings wieder aufgehoben: Am 17 Januar 2024 verurteilte das Amtsgericht Jülich den IT-Experten zu der erwähnten Geldstrafe und zur Zahlung der Gerichtskosten, wie "The Register" berichtet.

Für den Zugriff auf die Datenbank sei eine Zugriffssoftware erforderlich gewesen, schreibt "Golem". Damit sei eine ausreichend hohe Hürde überwunden, um sich strafbar zu machen. "Golem" vermutet, dass es sich dabei um das weitverbreitete Datenbank-Administrations-Tool "phpMyAdmin" handelt, mit dem der IT-Experte auf die Datenbank von Modern Solution zugegriffen hatte. Es wird vermutet, dass der IT-Experte in Berufung gehen wird. 

Übrigens: Auch in der Schweiz ist die Rechtmässigkeit von Ethical Hacking nicht abschliessend geklärt. Das NTC liess zunächst ein Rechtsgutachten erstellen, demnach man sich nicht immer strafbar macht, wenn man ohne Einwilligung des Betreibers fremde IT-Infrastrukturen hackt (lesen Sie hier mehr dazu). Während einer Paneldiskussion stellte Florian Schütz, seit Anfang Jahr Direktor des Bundesamtes für Cybersicherheit (BACS), allerdings klar, dass er diese Einschätzung nicht teile. Die Paneldiskussion fand im Rahmen des Suissedigital Day 2023 statt, über den Sie hier mehr lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
xaKoM5R5