Deutscher Entwickler, der in einer App hartcodierte Zugangsdaten offenlegte, wegen „Hackings“ schuldig gesprochen

 (infosec.exchange)
1 Punkte von GN⁺ 2024-01-20 | 1 Kommentare | Auf WhatsApp teilen

Deutsches Recht macht Sicherheitsforschung zu einer riskanten Tätigkeit

  • Ein deutsches Gericht hat einen Entwickler wegen des Vorwurfs des „Hackings“ schuldig gesprochen.
  • Der Entwickler sollte eine Software untersuchen, die zu viele Log-Meldungen erzeugte, und stellte fest, dass die Software eine MySQL-Verbindung zum Datenbankserver des Anbieters aufbaute.
  • Bei der Überprüfung der MySQL-Verbindung stellte sich heraus, dass die Datenbank nicht nur Kundendaten des Auftraggebers, sondern die Daten aller Kunden des Anbieters enthielt. Er informierte den Anbieter sofort, doch dieser behob die Schwachstelle und erstattete zugleich Anzeige.

Gerichtsurteil

  • Vor Gericht wurde ausführlich darüber diskutiert, ob in der Anwendung hartcodierte Datenbank-Zugangsdaten — offenbar im Klartext und nicht einmal durch Decompilierung verborgen — als ausreichende Schutzmaßnahme gelten, um den Vorwurf des Hackings zu rechtfertigen.
  • Das Gericht stellte in seinem Urteil fest, dass wegen des vorhandenen Passworts ein Schutzmechanismus umgangen worden sei und dies somit Hacking darstelle.
  • Dieses Urteil führt dazu, dass selbst noch so mangelhafter „Schutz“ allein durch seine Existenz Sicherheitsforschung nach deutschem Recht in kriminelles Hacking verwandeln kann.

Reaktion der Community

  • In der Community wurden verschiedene Vergleiche herangezogen, um Meinungen zu diesem Fall auszudrücken.
  • Einige argumentieren, dass die Nutzung hartcodierter Zugangsdaten zwar als Hacking gewertet werden könne, dass aber auch Absicht und entstandener Schaden berücksichtigt werden müssten.
  • Andere weisen darauf hin, dass die Software des Anbieters Aufrufe an eine undokumentierte externe Infrastruktur machte und dabei potenziell sensible Daten weitergab.
  • Zudem wurde auf die Notwendigkeit rechtlich geschützter unabhängiger Prüfer hingewiesen sowie auf die Probleme, wenn dies in der Praxis nicht umsetzbar ist.

Meinung von GN⁺

  • Dieser Fall zeigt, dass das Auffinden und Melden von Schwachstellen für Sicherheitsforscher mit rechtlichen Risiken verbunden sein kann.
  • Das Urteil unterstreicht die Spannung zwischen Sicherheitsforschung und verantwortungsvoller Offenlegung und stößt eine wichtige Diskussion darüber an, wie rechtliche Rahmenbedingungen mit dem technischen Fortschritt in Einklang gebracht werden sollten.
  • Es deutet außerdem darauf hin, dass solche Urteile eine abschreckende Wirkung auf Sicherheitsforscher haben könnten, wodurch Unternehmen mit unzureichenden Sicherheitsmaßnahmen Problemen aus dem Weg gehen und letztlich Nutzer einem Risiko aussetzen könnten.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-01-20
Hacker-News-Kommentare

  • Der Titel ist verwirrend und wirkt fast wie Clickbait

    • Die Überschrift des Artikels ist irreführend und bewegt sich an der Grenze zu Clickbait. Tatsächlich ging es nicht darum, Datenbank-Zugangsdaten offenzulegen, sondern darum, sie zu benutzen, um sich bei einem Datenbankserver eines Dritten anzumelden. Das ist ein großes Problem wegen der Strafrechtsparagrafen StGB 202 ff., die Sicherheitsforschung in Deutschland faktisch unmöglich machen.

  • Das Problem der Sicherheitsforschung in Deutschland

    • In Deutschland gibt es seit etwa 20 Jahren kaum junge Ingenieure mit Interesse am Sicherheitsbereich, und selbst Ausgebildete sind selten. Große Unternehmen haben alle fähigen Talente aufgesogen, und die Besten sind ins Ausland gegangen. Infolgedessen werden die meisten deutschen KMU täglich gehackt, und weil niemand Audits durchführt, wird alles, was mit dem Netzwerk verbunden ist, zu einem Sicherheitsrisiko.

  • Rechtlicher Rat

    • Zu erwarten, dass dieser Fall vor einem höheren Gericht abgewiesen wird, ist sehr naiv. Der Angeklagte wird über Jahre hinweg mehrere Instanzen durchlaufen und dabei rund 100.000 Euro an Anwaltskosten verbrennen. All das, weil das Unternehmen seine Daten nicht richtig geschützt hat. Wenn es kein klares Bug-Bounty-Programm gibt, es nicht die eigene Firma ist oder man nicht dafür beauftragt wurde, Lücken zu finden, sollte man sich das Problem nicht zu eigen machen.

  • Reaktionen deutscher Sicherheitsexperten

    • Einige erfahrene deutsche Informationssicherheitsexperten sind über solche Situationen so wütend, dass sie sich weigern, staatlichen Stellen zu helfen, selbst wenn etwas passiert. Sie beschreiben die Situation mit dem Ausdruck „Lernen durch Schmerz“.

  • Vergleich mit britischem Recht

    • Ich kenne das deutsche Recht nicht genau, aber in Großbritannien würde das klar als Computer Misuse gelten und als unkomplizierter Fall behandelt werden.

  • Notwendigkeit einer Gesetzesänderung

    • Das Gesetz scheint neu geschrieben werden zu müssen. Die Absicht ist wichtig, und dieser „Hacker“ scheint keinen Schaden angerichtet haben zu wollen. Das Unternehmen hat seine eigene Schwachstelle offengelegt und will nun die Person bestrafen, die sie publik gemacht hat.

  • Ähnlicher Fall

    • Das erinnert an einen Fall, in dem das Dekodieren von mit BASE64 codierten Sozialversicherungsnummern als „Hacking“ eingestuft wurde.

  • Fall eines niederländischen Food-Startups

    • Während der Zusammenarbeit mit PostNL stellte sich heraus, dass Zugriff auf Daten anderer Kunden möglich war, doch um rechtliche Verantwortung zu vermeiden, wurde beschlossen, das nicht auszunutzen. Das Unternehmen hätte dies rechtlich melden müssen, tat es aber nicht.

  • Allgemeine Haltung zur Sicherheit

    • Viele Fälle von „Hacking“ sind so, als würden Leute ihre Haustür weit offen stehen lassen. Wenn man die Tür offen lässt und bestohlen wird, bekommt man kein Mitgefühl, aber wenn Unternehmen Sicherheit vernachlässigen, richtet sich die Wut gegen Hacker.

  • Eine Situation entgegen dem Prinzip von Treu und Glauben

    • Wenn man ein Problem entdeckt, sollte man offenbar nichts sagen und nichts tun. Ich frage mich, ob es legal wäre, bei einem vermuteten Problem einfach aufzuhören und dann die Aktie des Unternehmens leerzuverkaufen.

  • Wie man mit entdeckten Problemen umgehen sollte

    • Selbst wenn man ein Problem entdeckt, ist es besser, es zu ignorieren. Schon darauf hinzuweisen, dass ein Passwort sichtbar ist, bedeutet ein Risiko einzugehen. Das Passwort tatsächlich zu benutzen, sollte man erst recht vermeiden.

  • § 202a StGB

    • Er beschreibt den „Zugang zu Daten, die gegen unberechtigten Zugang besonders gesichert sind“, und auch ein im Client hartkodiertes Passwort fällt darunter.