Datenleck bei Modern Solution: Hausdurchsuchung statt Bug Bounty

Ein IT-Experte half, Firmensysteme sicherer zu machen. Statt Belohnung gab es eine Hausdurchsuchung der Polizei, bei der seine Ausrüstung beschlagnahmt wurde.

Lesezeit: 6 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 501 Beiträge
Polizei - Virtueller Tatort

(Bild: Heiko Kueverling/Shutterstock.com)

Von
  • Fabian A. Scherschel

Nachdem ein unabhängiger Programmierer ein Datenleck bei einem Dienstleister für den Online-Handel publik gemacht hatte, erhielt er Besuch von der Polizei. Am 15. September wurde seine Wohnung in Nordrhein-Westfalen durchsucht und sein gesamtes Arbeitsmaterial beschlagnahmt. Das betroffene Unternehmen Modern Solution, das sich nach derzeitigen Erkenntnissen zumindest grobe Fahrlässigkeit vorwerfen lassen muss, blockt ab und will sich gegenüber heise Security nicht äußern.

Modern Solution bietet Händlern aller Art an, ihre Warenwirtschafts-Systeme an die Online-Marktplätze großer Firmen wie Otto, Kaufland und Check24 anzubinden, damit sie ihre Waren dort anbieten können. Im Regelfall findet eine solche Anbindung über eine lokale Software statt, die sich mit dem Warenwirtschaftssystem des Händlers verbindet und Informationen mit den Servern des Marktplatzes austauscht. Im Normalfall sollte das über zugangsgeschützte APIs erfolgen.

Im Juni hatte der IT-Experte, dessen Identität heise Security bekannt ist, eigenen Angaben zufolge beim Troubleshooting für einen Kunden von Modern Solution entdeckt, dass dieser Datenaustausch bei Modern Solution über eine im Klartext einsehbare SQL-Verbindung lief und die Zugangsdaten fest in der Software verankert waren. Dadurch waren die Daten von mehr als 700.000 Endkunden einsehbar – und das offenbar schon über längere Zeit.

Der in der E-Commerce-Community bekannten Blogger Mark Steier riet dem Programmierer, seinen Fund zunächst dem Unternehmen zu melden. Am folgenden Morgen meldete der Experte die Lücke an Modern Solution mit einer Frist zur Behebung der Sicherheitsprobleme innerhalb von drei Tagen. Dabei sei er recht schroff abgewiesen worden, erzählt der Programmierer im Gespräch mit heise Security: Modern Solution habe abgestritten, dass es eine Lücke gebe.

Nachdem der Dienstleister im Anschluss allerdings die verwundbaren Systeme vom Netz genommen hatte, habe er sich entschlossen, den Vorfall öffentlich zu machen und wandte sich erneut an Steier. Auch ihm gegenüber habe Modern Solution bestritten, dass es eine Sicherheitslücke in den eigenen Systemen gebe. Beide berichten allerdings, dass das Unternehmen offenbar den betroffenen Server vom Netz genommen hatte.

Da die Sicherheitslücke nun beseitigt war, entschlossen sich Programmierer und Blogger, die Öffentlichkeit schnell zu informieren. Steier fragte noch einmal bei Modern Solution nach einer Stellungnahme, wurde abgewiesen, und veröffentlichte dann einen ausführlichen Blog-Eintrag. Dieser Artikel ging am 23. Juni online, demselben Tag, an dem der Programmierer Modern Solution und Steier informiert hatte.

Über die Geschwindigkeit der Veröffentlichung lässt sich streiten. Der IT-Experte und Blogger Steier gingen am selben Tag an die Öffentlichkeit, an dem sie Datenleck und Lücke an den Hersteller und die zuständigen Datenschutzbehörden gemeldet hatten. Erfahrene Sicherheitsforscher und Journalisten lassen Firmen in der Regel mehr Zeit, sich zu dem Sachverhalt zu äußern. Hat Modern Solution die beiden allerdings so schroff abgewiesen, wie der Programmierer dies gegenüber heise Security zu Protokoll gab, ist davon auszugehen, dass keine konstruktive Zusammenarbeit gewünscht war.

So ungeschickt das Timing der beiden wirken mag, rein technisch haben sie die Grundregel der Responsible Disclosure eingehalten: Die Lücke war zu dem Zeitpunkt, an dem sie die Öffentlichkeit informiert haben, offenbar schon geschlossen. Und bei über 700.000 betroffenen Endkunden bleibt auch kein Zweifel daran, dass ein öffentliches Interesse an dem Fall angenommen werden konnte. In einer Stellungnahme gegenüber Steier bezeichnet Modern Solution den Programmierer als "ethischen Hacker" – in Anführungszeichen.

Doch statt Dank für die Entdeckung eines für 700.000 Endkunden potenziell katastrophalen Datenlecks bekommt der Programmierer richtig Ärger mit den Behörden. Am 15. September steht ein Durchsuchungskommando des Kriminalkommissariats 22 der Polizei Aachen vor der Tür. Die Beamten gaben sich nach Schilderung des Programmierers als Paketboten aus, verschafften sich Zugang zur Wohnung und drückten ihn an die Wand. Die Polizei beschlagnahmte einen PC, fünf Laptops, ein Mobiltelefon und fünf externe Speichermedien – das gesamte Arbeitsgerät des Programmierers.

Laut dem Durchsuchungsprotokoll, das heise Security vorliegt, wird dem IT-Experten "ua. Ausspähen von Daten" vorgeworfen – ein Verweis auf den sogenannten Hackerparagraph 202a StGB. Wer die Anzeige erstattet hat, ist uns nicht bekannt. Die Polizei Aachen verweist auf die Staatsanwaltschaft Köln, die Durchsuchung und Beschlagnahmung veranlasst hatte. Die Staatsanwaltschaft bestätigt unsere Informationen zu Tatbestand und Durchsuchung. Die Auswertung der sichergestellten Datenträger dauere noch an, erklärte die Justizbehörde auf Anfrage.

Warum im September die Wohnung des Programmierers nach Spuren durchsucht werden musste, wenn der Sachverhalt sowie die Sicherheitslücke seit Juni öffentlich gut dokumentiert waren, beantworten die Behörden nicht. Modern Solution selbst will sich gegenüber heise Security offenbar gar nicht zu der Sachlage äußern: Eine entsprechende Anfrage blieb gänzlich unbeantwortet. Allein der Programmierer und Blogger Steier waren bereit, mit uns konstruktiv zu sprechen.

Der Fall erinnert an ähnliche Vorgänge im August, als gegen die Programmiererin Lilith Wittmann ein Strafverfahren eingeleitet wurde, weil sie eklatante Sicherheitslücken in der Software CDUconnect öffentlicht gemacht hatte. Die CDU zog ihre Anzeige zurück, nachdem es viel politischen Druck in diese Richtung gegeben hatte und das Verfahren wurde schließlich eingestellt, weil der Hackerparagraph in diesem Fall nicht anwendbar sei.

Als Begründung dazu hieß es zu dieser Zeit in Unterlagen der Staatsanwaltschaft Berlin: "Die Daten waren somit nicht vor einem unberechtigten Zugriff geschützt und aus technischer Sicht öffentlich abrufbar." Die Kölner Kollegen sollten das aufmerksam lesen.

(fab)