kontext
Goto Top

Sicherheitslücke gemeldet - nun Strafverfahren gegen Softwareentwickler

Ein Softwareentwickler, der im Juni 2021 eine Sicherheitslücke in einem IT-System des Gladbecker Dienstleisters Modern Solution entdeckt und gemeldet hat (nachdem die Lücke geschlossen wurde), muss sich nun einem Strafverfahren stellen.

Die Begründungen lassen mir ein wenig die Haare zu Berge stehen. Denn „mit dem Passwortschutz (das Passwort war in Klartext hinterlegt) habe eine Sicherheitsbarriere vorgelegen, die der Entwickler bewusst passiert habe.“

Außerdem sei für die Dekompilierung ja eine Software erforderlich gewesen sei, was schließlich "ein tiefes Verständnis über Programmiersprachen und Softwareentwicklung" voraussetze.

Folglich sei der Zugriff "nur für einen eingeschränkten Personenkreis, der über das erforderliche Fachwissen verfügt" möglich gewesen.

Na dann sind wir mal froh, dass es nur für einen eingeschränkten Personenkreis möglich war, nicht? Und das wir doch ein kleiner Haufen sind - die drei / vier Leute die sowas könnten, würden das auch nicht machen. (Achtung Ironie - sicher ist sicher).

Wenn der Beitrag nicht ernst gemeint wäre, wüsste ich nicht ob ich Lachen oder Weinen sollte - oder evtl. beides zu gleich. Aber so kann man auch erreichen, dass weniger Sicherheitslücken gemeldet werden.

Quelle:
https://www.golem.de/news/sicherheitsluecke-gemeldet-modern-solution-bri ...

Content-ID: 8177668473

Url: https://administrator.de/knowledge/sicherheitsluecke-gemeldet-nun-strafverfahren-gegen-softwareentwickler-8177668473.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

it-fraggle
it-fraggle 17.08.2023 um 12:21:31 Uhr
Goto Top
Da bleibt mir echt die Spucke weg. Das ist wie in den 80ern/90ern. "Die bösen Hacker" mal wieder, statt sich um das eigentliche Problem zu kümmern. Die Denkweise mancher Menschen ist mir absolut unverständlich.
ludaku
ludaku 17.08.2023 um 12:43:01 Uhr
Goto Top
Man sollte das Unternehmen belangen, immerhin versuchen sie so ja auch ihre "Fehler" zu vertuschen...
Ein kleiner Trost ist, dass die Rezensionen von Modern Solution immerhin nun komplett im Keller sind. face-smile
kontext
kontext 17.08.2023 aktualisiert um 13:14:40 Uhr
Goto Top
Zitat von @ludaku:
Ein kleiner Trost ist, dass die Rezensionen von Modern Solution immerhin nun komplett im Keller sind. face-smile

Ob das wirklich ein Trost ist?
Das Thema mit den Rezensionen ist ja auch wieder ein eigenes. Gerade Touristiker kämpfen hier extrem, da diese zum Teil mit negativen Rezensionen „erpresst“ werden.

Aber Back2Topic - so ein Urteil kann bzw. wird natürlich weisend für die Zukunft sein - darum bin ich jetzt schon ziemlich auf den Ausgang gespannt.
em-pie
em-pie 17.08.2023 aktualisiert um 13:18:04 Uhr
Goto Top
Moin,

man muss den Vorfall ja mit zwei "Systemen" bewerten:
Die juristische Seite wird hier vermutlich (nach aktueller Lage/ meinem nicht tiefgründig recherchierten Wissen) wird es sicherlich eine Straftat gewesen sein: Er hat die Software (der vermutlich rechtlich geschützt ist) dekompiliert, anschließend das hart programmierte Passwort "ausgelesen" (so ging es auf der Sekundärliteratur - heise-online - hervor) und sich dann Zugang verschafft. Zwei Hindernisse, die er überwunden hat - ob die Hindernisse jetzt ausreichend waren, gilt es zu klären. Laut Heise-Online war es des Weiteren ein leicht zu erratendes Kennwort.
Zudem ist er nicht vom Hersteller beauftragt worden.

Die zweite Sicht ist die moralische.
Der Beklagte hat das ja erst publik gemacht, nachdem der Hersteller das Problem gemeldet bekommen und behoben hat. Der Beklagte hat somit nicht angestrebt, die Lücke für kriminelle Zwecke auszunutzen.
Zudem hat er "... zum Wohle der Allgemeinheit..." agiert. Dass man ihm daraus einen Strick drehen will, ist dreist/ frech/ was auch immer. Und sicherlich werden, je nach Urteilssprechung, entdeckte Lücken nicht mehr so schnell gemeldet werden - zumindest nicht, wenn es keine Meldestellen gibt, an die man sich anonym wenden kann.

Ob das Thema im übrigen meldepflichtig (im Sinner der DSGVO) war, wäre auch mal spannend. denn so völlig frei verfügbar waren die 700.000 Kundendaten ja nicht. Zumindest ist dies (noch) nicht bekannt.
kontext
kontext 17.08.2023 aktualisiert um 13:36:05 Uhr
Goto Top
Moin @em-pie,

Bzgl. Der Juristischen Seite würde ich sagen Jein - aber ich bin auch kein Rechtsexperte. Aber laut dem Heise Bericht war der Programmierer zu dieser Zeit freiberuflich für einen Modern-Solution-Kunden auf Fehlersuche und meldete die Sicherheitslücke bei Modern Solution und machte sie anschließend öffentlich, nachdem die Firma die Lücke behoben hatte.

Wie du gesagt hast, handelt es sich im vorliegenden Fall um ein extrem leicht zu erratendes Passwort, das fest in die betroffene Software eingetragen und damit für alle Installationen gleich war.

Es konnte entweder an Punkten im internen Netz des Kunden mitgeschnitten werden, an denen die Transportverschlüsselung nicht greift, oder eben durch Dekompilieren der Binärdateien des Programms gefunden werden. Und mit diesem Passwort wurde eine SQL-Verbindung durchs Internet auf die Server von Modern Solution geöffnet.

Wie gesagt - ich bin kein Rechtsexperte oder ähnliches, aber wenn das hier wirklich so war, kann man imho nicht von einer Straftat oder einer „gewollten Aktion“ ausgehen - aber ich denke, dass wir auf jeden Fall das Ergebnis hören / sehen / lesen werden.
wiesi200
wiesi200 17.08.2023 um 15:49:23 Uhr
Goto Top
Zitat von @kontext:

Wie du gesagt hast, handelt es sich im vorliegenden Fall um ein extrem leicht zu erratendes Passwort, das fest in die betroffene Software eingetragen und damit für alle Installationen gleich war.

Und da verstößt doch der Hersteller schon mal gegen EU Recht, wenn ich mich nicht täusche?
C.R.S.
C.R.S. 17.08.2023 um 18:59:02 Uhr
Goto Top
Hallo,

der Vorwurf lautet, "er habe sich selber im Rahmen der Aufdeckung unrechtmäßig Zugang zu den Kundendaten verschafft".
Hätte er den Hersteller nicht auf das Passwort hinweisen können und/oder die diesen Umstand öffentlich diskutieren können, ohne es selbst zu nutzen?

Ich halte die rechtliche Barriere, die er damit überschritten hat, als solche für leicht erkennbar; darauf zielen letztlich die Argumente des Landgerichts ab - man stolperte nicht unversehens über die Kundendaten.

Grüße
Richard
mayho33
mayho33 17.08.2023 um 22:28:06 Uhr
Goto Top
Zitat von @wiesi200:

Zitat von @kontext:

Wie du gesagt hast, handelt es sich im vorliegenden Fall um ein extrem leicht zu erratendes Passwort, das fest in die betroffene Software eingetragen und damit für alle Installationen gleich war.

Und da verstößt doch der Hersteller schon mal gegen EU Recht, wenn ich mich nicht täusche?

Fest hinterlegtes Passwort... Alter Schwede! Sowas kam mir zuletzt in den 90er-Jahren unter.

Und da hatten wir auch gleich alle Produkte beinhart entfernt wo der Hersteller sich gewunden hat das zu korrigieren oder auch noch Geld verlangen wollte dafür.

Gesetzeskonform oder nicht. Höchst fragwürdig auf jeden Fall.
MysticFoxDE
MysticFoxDE 18.08.2023 aktualisiert um 06:33:24 Uhr
Goto Top
Moin @kontext,

Ein Softwareentwickler, der im Juni 2021 eine Sicherheitslücke in einem IT-System des Gladbecker Dienstleisters Modern Solution entdeckt und gemeldet hat (nachdem die Lücke geschlossen wurde), muss sich nun einem Strafverfahren stellen.

Wann und wo ist die Verhandlung?
Ich würde gerne bei diesem Schwachsinn mit anwesend sein.

Die Begründungen lassen mir ein wenig die Haare zu Berge stehen. Denn „mit dem Passwortschutz (das Passwort war in Klartext hinterlegt) habe eine Sicherheitsbarriere vorgelegen, die der Entwickler bewusst passiert habe.“

Außerdem sei für die Dekompilierung ja eine Software erforderlich gewesen sei, was schließlich "ein tiefes Verständnis über Programmiersprachen und Softwareentwicklung" voraussetze.

Folglich sei der Zugriff "nur für einen eingeschränkten Personenkreis, der über das erforderliche Fachwissen verfügt" möglich gewesen.

😯 ... bitte was ... 😱
Oh je, da es ein Strafverfahren ist, geht die Anklage von der Staatsanwaltschaft aus. 🙈
Na ja, hier hat sich definitiv ein(e) Staatsanwalt(in), der von IT und vor allem deren Security überhaupt keine Ahnung hat, wohl auch zu wichtig genommen. 😔

Der Softwareentwickler sollte sich einen guten Anwalt nehmen, der sowohl der entsprechenden Staatsanwaltschaft, aber vor allem der "Modern Solution" mal ordentlich zeigt wo es in der IT lang geht. 🤪

Der Gute sollte gelobt und nicht an den Prager gestellt werden!

Beste Grüsse aus BaWü
Alex
beidermachtvongreyscull
beidermachtvongreyscull 18.08.2023 um 07:37:49 Uhr
Goto Top
Zitat von @kontext:
Ein Softwareentwickler, der im Juni 2021 eine Sicherheitslücke in einem IT-System des Gladbecker Dienstleisters Modern Solution entdeckt und gemeldet hat (nachdem die Lücke geschlossen wurde), muss sich nun einem Strafverfahren stellen.

Willkommen im besten Deutschland aller Zeiten! Anstatt einzugestehen "Ja, auch wir machen mal Mist, sind aber dankbar, wenn es jemand herausfindet." nee, nur großes MIMIMI. Das spricht wohl für die neue deutsche Qualität.

Die Begründungen lassen mir ein wenig die Haare zu Berge stehen. Denn „mit dem Passwortschutz (das Passwort war in Klartext hinterlegt) habe eine Sicherheitsbarriere vorgelegen, die der Entwickler bewusst passiert habe.“

Nun ja. Ein Caprio gilt auch als abgeschlossen, wenn die Türen wirklich abgeschlossen sind, selbst wenn das Verdeck dann offen steht.

Außerdem sei für die Dekompilierung ja eine Software erforderlich gewesen sei, was schließlich "ein tiefes Verständnis über Programmiersprachen und Softwareentwicklung" voraussetze.

Wow. Wer noch Assembler beherrscht, kann jede Software in einen Code übersetzen, der alle seine Geheimnisse offenbart. (Schade, dass ich da raus bin.)

Folglich sei der Zugriff "nur für einen eingeschränkten Personenkreis, der über das erforderliche Fachwissen verfügt" möglich gewesen.

Programmierer und Entwickler eben.

Grüße
bdmvg
MysticFoxDE
MysticFoxDE 18.08.2023 aktualisiert um 08:00:24 Uhr
Goto Top
Moin @beidermachtvongreyscull,

Nun ja. Ein Caprio gilt auch als abgeschlossen, wenn die Türen wirklich abgeschlossen sind, selbst wenn das Verdeck dann offen steht.

diese Ansicht ist selbst unter den Rechtsverdrehern sehr strittig. 🤪
Absolut nicht zulässig hingegen ist, wenn man bei dem Cabrio nur die Türen und Fenster schliesst und dann durch das offenen Verdeck den Fahrzeugschlüssel wieder auf den Fahrersitzt legt.
Den dass ist grob fahrlässig und genau das ...

"das Passwort war in Klartext hinterlegt"

... ist in diesem Fall meiner Ansicht nach auch geschehen. 😉

Gruss Alex
mayho33
mayho33 18.08.2023 um 08:06:44 Uhr
Goto Top
Zitat von @beidermachtvongreyscull:
Wow. Wer noch Assembler beherrscht, kann jede Software in einen Code übersetzen, der alle seine Geheimnisse offenbart. (Schade, dass ich da raus bin.)
Es geht noch viel einfacher. Wenn das Progrämchen in C# geschrieben wurde und das macht heutzutage ja schon fast jeder, dann ist nur eines wichtig:
Die Namen der Tools zu kennen die das Reingeneering für einen übernehmen. Viele davon kosten nicht mal was.

Also von wegen ...besonderes Fachwissen...
em-pie
em-pie 18.08.2023 um 08:57:44 Uhr
Goto Top
Mal als Anmerkung: nur weil etwas techn. Möglich ist (Reverse Engineering) heißt es nicht automatisch, dass es legal ist.
Beispiel Cabrio: Ist das Fahrzeug komplett abgeschlossen, aber das VErdeck offen, bleibt der Diebstahl der Handtasche vom Beifahrersitz weiterhin eine Straftat. Der Halter/ Fahrer wird dennoch mit herangezogen, da es ein sicherlich fahrlässiges VErhalten gewesen ist.

Zitat von @kontext
Bzgl. Der Juristischen Seite würde ich sagen Jein - aber ich bin auch kein Rechtsexperte. Aber laut dem Heise Bericht war der Programmierer zu dieser Zeit freiberuflich für einen Modern-Solution-Kunden auf Fehlersuche und meldete die Sicherheitslücke bei Modern Solution und machte sie anschließend öffentlich, nachdem die Firma die Lücke behoben hatte.
Ja genau. Der Entwickler/ Finder der Lücke war im Auftrag eines anderen auf der Suche, nicht aber im Auftrag des Herstellers selbst. Wenn ich einen Hacker Entwickler beauftrage, bei TeamViewer mal nach Lücken zu suchen und dabei die Software "auseinander zunehmen" (im Sinne von Barrieren zu überwinden), ist es sicherlich eine Straftat. Würde TeamViewer dieselbe Person selbst beauftragen, sähe die Sache anders aus...

Und nur der Vollständigkeit halber:
Bin kein Jurist. Versuche die Sache aber auch mal sachlich zu betrachten.
Dass jemand seitens der Staatsanwaltschaft angeklagt wird, weil er etwas Gutes im Sinn hatte, halte ich ebenfalls für mehr als nur fragwürdig. Aber das Rechtssystem funktioniert (zum Glück) auf Fakten (in den allermeisten Fällen jedenfalls) und nicht auf Basis eines Nasenfaktors.


=> Ethisch/ Moralisch bleibt der hier vorliegende Fall aber zweifelsfrei spannend.
beidermachtvongreyscull
beidermachtvongreyscull 18.08.2023 um 09:34:57 Uhr
Goto Top
Zitat von @em-pie:
Mal als Anmerkung: nur weil etwas techn. Möglich ist (Reverse Engineering) heißt es nicht automatisch, dass es legal ist.
Beispiel Cabrio: Ist das Fahrzeug komplett abgeschlossen, aber das VErdeck offen, bleibt der Diebstahl der Handtasche vom Beifahrersitz weiterhin eine Straftat. Der Halter/ Fahrer wird dennoch mit herangezogen, da es ein sicherlich fahrlässiges VErhalten gewesen ist.

Da bin ich bei Dir. Es gibt allerdings Sprachen, da ist eine Dekompilierung anscheinend sogar per Design nicht mal ausgeschlossen. Ich hatte den Fall, dass ich ein Kompilat (dll-Datei) im Quellcode brauchte. Rückübersetzung nach C# lief fehlerfrei. Ich war selbst erstaunt.

=> Ethisch/ Moralisch bleibt der hier vorliegende Fall aber zweifelsfrei spannend.

Ich wäre einfach nur dankbar gewesen, wenn mich jemand auf meine Fehler hinweist, sodass ich schlimmeres verhindern kann. Hätte der Betreiber Storm-0558 zu Besuch gehabt, würden die wohl jetzt niemandem zum juristischen Hauklotz führen, sondern selbst drunter liegen, wenn die Lücke rausgekommen wäre.
mayho33
mayho33 18.08.2023 um 10:11:02 Uhr
Goto Top
Zitat von @em-pie:
Ja genau. Der Entwickler/ Finder der Lücke war im Auftrag eines anderen auf der Suche, nicht aber im Auftrag des Herstellers selbst. Wenn ich einen Hacker Entwickler beauftrage, bei TeamViewer mal nach Lücken zu suchen und dabei die Software "auseinander zunehmen" (im Sinne von Barrieren zu überwinden), ist es sicherlich eine Straftat. Würde TeamViewer dieselbe Person selbst beauftragen, sähe die Sache anders aus...

Also ich bin ja auch kein Experte, aber wenn mich eine Firma beauftragt Schwachstellen in Netzwerk und Apps zu finden, dann gehört es ja wohl auch zu den Aufgaben bestimmte Techniken einzusetzen die auch geeignet sind einen Fehler zu finden.

Ein Wireshark, LanGuard und wie sie alle heißen um das Netzwerk zu analysieren, sind da durchaus üblich. Käme dann MS daher und würde ein Anzeige machen, weil man im Protokoll XYZ einen Fehler aufgedeckt hat mit Mitteln die 08/15 halt nicht kennt, würde sich selbst ein unbedarfter Staatsanwalt die Stirn halten.

Und genauso ist es bei Applicationen. Wenn man eine DLL oder eine EXE mit einem Freeware-Tool total aufdröseln kann (nur eine Vermutung), darin aber sensible Daten enthalten sind, noch dazu, wie es heißt, im Klartext und nicht "salted" dann ist das das doch fahrlässig oder? Hatte der Auftragnehmer nicht sogar die Pflicht das aufzudecken? Zumindest in Österreich ist man aufgrund vieler Gesetze verpflichtet auf Datensicherheit zu achten. Was mich zu der Frage führt ob nicht eher dieses Unternehmen das die Software entwickelt hat hinterfragt werden sollte...

Just saying!!

Und nur der Vollständigkeit halber:
Bin kein Jurist. Versuche die Sache aber auch mal sachlich zu betrachten.
Dass jemand seitens der Staatsanwaltschaft angeklagt wird, weil er etwas Gutes im Sinn hatte, halte ich ebenfalls für mehr als nur fragwürdig. Aber das Rechtssystem funktioniert (zum Glück) auf Fakten (in den allermeisten Fällen jedenfalls) und nicht auf Basis eines Nasenfaktors.

Recht ist eben nicht immer = Richtig. Traurig und wie ich, ebenso wie du, schon geschrieben habe ethisch und moralisch zumindest zweifelhaft.
MysticFoxDE
MysticFoxDE 18.08.2023 aktualisiert um 10:42:51 Uhr
Goto Top
Moin @mayho33,

Recht ist eben nicht immer = Richtig. Traurig und wie ich, ebenso wie du, schon geschrieben habe ethisch und moralisch zumindest zweifelhaft.

aber genau das, nämlich ethisch und moralisch zweifelhaft zu sein, darf das Recht eigentlich schon alleine aufgrund des Grundgesetzes, überhaupt nicht sein!

GG Art 1
1. Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.

Und wenn etwas ethisch und oder moralisch nicht in Ornung ist, kann es ja wohl kaum Menschenwürdig sein.

Aber ja, ich weiss, Theorie und Praxis. 😔

Gruss Alex
mayho33
mayho33 18.08.2023 um 10:55:50 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin @mayho33,

Recht ist eben nicht immer = Richtig. Traurig und wie ich, ebenso wie du, schon geschrieben habe ethisch und moralisch zumindest zweifelhaft.

aber genau das, nämlich ethisch und moralisch zweifelhaft zu sein, darf das Recht eigentlich schon alleine aufgrund des Grundgesetzes, überhaupt nicht sein!

GG Art 1
1. Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.

Und wenn etwas ethisch und oder moralisch nicht in Ornung ist, kann es ja wohl kaum Menschenwürdig sein.

Aber ja, ich weiss, Theorie und Praxis. 😔

Gruss Alex

Ein Beispiel aus dem Leben:

Jeder Mensch hat das Recht Cookies abzulehnen. Gleichzeitig hat jedes Unternehmen das Recht Cookies einzusetzen um etwas über das Surf-Verhalten der Menschen herauszufinden.

Damit nicht jeder Mensch gleich alle Cookies ablehnt, wird eigentlich immer verhindert, dass ein abgelehntes Cookie dauerhaft gesperichert wird. Man muss es also unter Umständen immer wieder ablehnen.
Eine andere Variante, dass es User leid werden Cookies abzulehnen ist, jeden einzelnen Punkt separat ablehnen zu lassen. Vielleicht sogar in Sub-Menüs verschschtelt
Oder man hebt die Ablehnung bedingt mit "berechtigtem Interesse" auf.

Das alles ist vor dem Gesetz Recht. Ob es richtig ist Leute auszuspionieren oder ethisch? Das ist die Frage.
wiesi200
wiesi200 18.08.2023 um 10:58:49 Uhr
Goto Top
Ich hab mir den Golem Text mal durchgelesen.
Dort steht das der Zuständige Richter den Strafantrag abgelehnt hat.
Das Landgericht Aachen hat aber nach Berufung der Staatsanwaltschaft entschieden das verhandelt werden muss.

Ich sag mal, nur weil irgendwas verhandelt wird ist die Schuld ja noch nicht festgelegt. Vielleicht soll es ja mal zu einem Referenzurteil kommen damit "ruhe" ist und Festgestellt wird das der Programmierer in so nem Fall eben nicht Schuldhaft ist.
MysticFoxDE
MysticFoxDE 18.08.2023 aktualisiert um 11:13:58 Uhr
Goto Top
Dort steht das der Zuständige Richter den Strafantrag abgelehnt hat.

👍👍👍 Lob an diesen Richter, der definitiv "Hirn" bewiesen hat.

Das Landgericht Aachen hat aber nach Berufung der Staatsanwaltschaft entschieden das verhandelt werden muss.

👎👎👎

Sag ich doch, von IT und vor allem deren Sicherheit nichts verstehende Staatsanwaltschaft die sich gerne zu wichtig machen möchte. 🤢🤮
kontext
kontext 18.08.2023 um 16:43:42 Uhr
Goto Top
Zitat von @em-pie:
Ja genau. Der Entwickler/ Finder der Lücke war im Auftrag eines anderen auf der Suche, nicht aber im Auftrag des Herstellers selbst. Wenn ich einen Hacker Entwickler beauftrage, bei TeamViewer mal nach Lücken zu suchen und dabei die Software "auseinander zunehmen" (im Sinne von Barrieren zu überwinden), ist es sicherlich eine Straftat. Würde TeamViewer dieselbe Person selbst beauftragen, sähe die Sache anders aus...

Das ist imho eine der Kernfragen bzw. wie es hier abgelaufen ist. Ich zum Beispiel verstehe das so: Der Modern Solution Kunde X hat ein Problem und hat selber ein Entwickler bzw. „kennt da jemand“ der ihm das macht. Derjenige geht auf Fehlersuche und stoßt dann auf das Problem bzw. Sicherheitslücke.

Er findet also den Autoschlüssel und statt gleich diesen dem Fundbüro zu bringen, schaut er zu welchem Auto es gehört und meldet sich dann beim KFZ-Inhaber.

Dieser Schritt ist halt das Dilemma. Auf der einen Seite erwartet mann ja nicht, dass nachdem man das Passwort knapp 700.000 Kundendaten präsentiert bekommt bzw. Zugriff hat. Auf der anderen Seite muss man im Zuge einer Fehleranalye schauen warum das Problem XY existiert und ob es in dem „privaten Bereich“ eine mögliche Fehlerursache gibt. Aber wie gesagt - ist meine persönliche Meinung bzw. So wie ich es Verstanden habe.

Zitat von @wiesi200:
Ich sag mal, nur weil irgendwas verhandelt wird ist die Schuld ja noch nicht festgelegt. Vielleicht soll es ja mal zu einem Referenzurteil kommen damit "ruhe" ist und Festgestellt wird das der Programmierer in so nem Fall eben nicht Schuldhaft ist.

Bin ich bei dir - es wird auf jeden Fall ein Präzedenzfall werden bzw. Ich bin mal gespannt. Ich bin auch dafür das ganze sachlich zu sehen und bin kein Fan von Emotionen (egal um welches Thema es geht) - aber leider kann sowas in diese Richtung sehr schnell passieren und auch den meisten von uns im Falle von Troubleshooting…

Gruß
@kontext
Hr-Schmidt
Hr-Schmidt 22.08.2023 um 07:40:05 Uhr
Goto Top
Was hier nicht steht:
Der Entdecker hat vorher bei der Firma gearbeitet.. das dürfte da wohl mit reinspielen:
https://www.borncity.com/blog/2023/06/13/anzeige-von-modern-solution-geg ...
kontext
kontext 22.08.2023 aktualisiert um 08:02:39 Uhr
Goto Top
Zitat von @Hr-Schmidt:
Was hier nicht steht:
Der Entdecker hat vorher bei der Firma gearbeitet.. das dürfte da wohl mit reinspielen

Nicht ganz richtig. Der Entwickler / Angeklagte war nicht bei Modern Solution angestellt sondern bei JTL.
Und JTL ist der Hersteller der Warenwirtschafts-Systeme, mit denen die Software von Modern Solution auf Seite des Einzelhändlers verbunden wird.

Der Entwickler hat diesen Arbeitgeber wohl "nach Konflikten" verlassen, was dieser laut heise auch nicht bestreitet.

Edit: Aber reicht sowas bzw. bietet das genügend Nährboden um den Stein so ins Rollen zu bringen? Wäre es ebenfalls so passiert, wenn es sich um einen „fremden“ Entwickler gehandelt hätte?

Grüße
@kontext
Bingo61
Bingo61 07.09.2023 um 09:14:25 Uhr
Goto Top
Meldete die Sicherheitslücke bei Modern Solution und machte sie anschließend öffentlich, nachdem die Firma die Lücke behoben hatte.
Das ist der Knackpunkt. Warum macht man das Üffentlich? Er ist als Dienstleiter Vetrauensperson, da sollte mla mit Veröffentlichungen Vorsichtig sein. Eine Meldung an die Firma aleine, wäre sicher kein Problem gewesen. Mit einer Öffentlichen Meldung hat er er Justizia auf den Plan gerufen.

Mal andersherum, man entdeckt im Rahmen einer Dienstleistung solches Problem, meldet es den Kunden, der veröffentlicht --> Juriistisch kein Problem.
wiesi200
wiesi200 07.09.2023 um 09:22:59 Uhr
Goto Top
Und was ist wenn der Dienstleister es behebt und verheimlicht. Ich als Kunde muss wissen welche Problem es mit meinem System gegeben hat.
Bingo61
Bingo61 07.09.2023 aktualisiert um 09:28:25 Uhr
Goto Top
Schrieb ja, den KUNDEN mitteilen. nicht an die Presse. Was der Kunden damit macht ist sein Problem. Normal ist sowas Meldepflichtig mit Meldung an die Datenschutzbehörde.
Wenn ich als Firma einen Dienstleister habe, der an Presse geht, der WAR mal. Vertrauen ist das A&O. Das er nun Anzeige an Backe hat, heisst ja nicht das er bestraft wird.
wiesi200
wiesi200 07.09.2023 um 09:34:30 Uhr
Goto Top
Und der Entdecker kennt alle Kunden und kann die auch Kontaktieren?
Das währe ein Verstoß gegen den Datenschutz.