mh

Deutsches Gericht verhängt Geldstrafe für Fund einer Sicherheitslücke

Der Prozess gegen einen IT-Experten, der quasi für die Entdeckung einer gravierenden Sicherheitslücke angeklagt wurde, endete nun tatsächlich in einer Verurteilung. Das Amtsgericht Jülich belegte denn Entwickler mit einer Geldstrafe von 50 Tagessätzen.

phpMyAdmin ist ein krasses Hacker-Tool

Der Fall beschäftigte bereits im vergangenen Jahr die Security-Szene des Landes und sorgte milde gesagt für Verwunderung. Immerhin wurde hier jemand, der eine Schwachstelle aufdeckte und damit womöglich zahlreiche Nutzer davor bewahrte, dass ihre persönlichen Daten Kriminellen in die Hände fallen, kriminalisiert und vor Gericht gestellt.

In dem Verfahren ging es letztlich vor allem darum, ob das Auslesen eines Passwortes, dass fest in den Code einer Binary hineingeschrieben wurde, bereits eine Überwindung eines ausreichend hohen Hindernisses darstellt, damit der §202a StGB "Ausspähen von Daten" greift. Nach Ansicht des Gerichtes erfordert dies bereits einiger technischer Expertise, so dass man nicht mehr davon sprechen könne, dass die Daten weitgehend ungeschützt zugänglich waren. Das geht aus einem Bericht des Lokalmagazins DN-News hervor, das bei der Verhandlung anwesend war.

Mit nur ein wenig technischem Sachverstand dürfte man diese Einschätzung wohl anzweifeln. Immerhin muss man wahrlich kein Superhacker sein, um mit einfachen Tools ein Passwort aus Binärcode zu extrahieren. Als weiteren belastenden Punkt nannte das Gericht allerdings die Tatsache, dass der Entwickler sich sogar noch eine spezielle Zugangs-Software zunutze machen musste, um mit dem Passwort an die Daten heranzukommen. Was im Juristendeutsch beeindruckend klingt, entpuppte sich in den Aussagen des Beschuldigten allerdings als schlichte lokale phpMyAdmin-Installation.

Urteil nicht akzeptiert

Der betroffene Entwickler kündigte bereits kurz nach der Urteilsverkündung an, die Entscheidung so nicht hinnehmen zu wollen. Es wird also wohl zu einer Revisionsverhandlung am Amtsgericht Aachen kommen. Denn sollte das Beispiel Schule machen, müsste sich zukünftig besser jeder davor hüten, in Deutschland noch einmal eine gefundene Sicherheitslücke zu melden und bekannt zu machen. Denn zur Prüfung gefundener Schwachstellen kommen wohl immer irgendwelche Software-Tools zum Einsatz und es bedarf auch immer einer Expertise, die die des Amtsgerichts Jülich wohl übersteigt.

Gefunden wurde die Schwachstelle damals übrigens bei der Firma Modern Solution. Diese ist selbst weniger bekannt, sie war aber als Dienstleister in den Betrieb größerer Online-Angebote und -Shops von Kaufland, Otto, Check24 und Idealo eingebunden. Zu den abrufbaren Daten gehörten diverse Kundeninformationen bis hin zu den Bankverbindungen.

Zusammenfassung

  • IT-Experte wegen Sicherheitslücke verurteilt
  • Amtsgericht Jülich verhängt 50 Tagessätze Geldstrafe
  • Verfahren sorgt in Security-Szene für Aufsehen
  • Streitpunkt: Auslesen eines Passworts aus Code
  • Gericht sieht technische Expertise als Hindernisüberwindung
  • Entwickler nutzte phpMyAdmin für Datenzugriff
  • Revision am Amtsgericht Aachen angekündigt
  • Schwachstelle bei Firma Modern Solution entdeckt

Siehe auch:

Title: Deutsches Gericht verhängt Geldstrafe für Fund einer Sicherheitslücke
URL: https://winfuture.de/news,140681.html
Source: WinFuture News
Source URL: https://winfuture.de/
Date: January 18, 2024 at 08:40AM
Feedly Board(s): Technologie