County zahlt 600.000 Dollar an Pentesting-Experten, die bei einer Sicherheitsprüfung am Gerichtsgebäude festgenommen wurden

• Zwei Sicherheitsexperten, die 2019 während einer Sicherheitsprüfung an einem Gerichtsgebäude in Iowa festgenommen wurden, erhalten in einem Vergleich wegen unrechtmäßiger Festnahme und Verleumdung 600.000 Dollar
• Die beiden waren Penetrationstester von Coalfire Labs und führten einen von der Justiz in Iowa offiziell genehmigten Red-Team-Einbruchstest durch
• Im Test war ausdrücklich vorgesehen, dass physische Angriffe (z. B. Schlossknacken) einbezogen werden, dennoch nahm die örtliche Sicherheitsbehörde sie wegen schweren Diebstahls fest
• Später wurden die Vorwürfe auf Hausfriedensbruch als Ordnungswidrigkeit herabgestuft, doch der Sheriff von Dallas County beharrte weiter auf einer Straftat und setzte die öffentliche Kritik fort
• Der Fall wird als Warnung verstanden, dass Sicherheitsexperten selbst bei legalen Tests festgenommen werden können, und löste weitreichende Änderungen bei Verfahren für physische Penetrationstests aus

Überblick über den Fall

• 2019 wurden Gary DeMercurio und Justin Wynn im Gerichtsgebäude von Dallas County, Iowa, während einer offiziell genehmigten Sicherheitsprüfung festgenommen
  • Die beiden arbeiteten für Coalfire Labs, ein Sicherheitsunternehmen mit Sitz in Colorado, und führten mit schriftlicher Genehmigung der Justiz in Iowa einen Red-Team-Simulationseinbruch durch
  • Ziel des Tests war es, die Widerstandsfähigkeit der Sicherheitsvorkehrungen zu prüfen, indem Methoden realer Krimineller oder Hacker nachgeahmt wurden
• Laut Vorgaben waren physische Angriffe (wie Schlossknacken) erlaubt, solange sie keine erheblichen Schäden verursachten

Festnahme und rechtliche Schritte

• Die beiden wurden wegen Diebstahls dritten Grades als schweres Verbrechen festgenommen, 20 Stunden inhaftiert und gegen jeweils 50.000 Dollar Kaution freigelassen
• Später wurden die Vorwürfe auf Hausfriedensbruch als Ordnungswidrigkeit herabgestuft, doch Sheriff Chad Leonard aus Dallas County behauptete weiterhin, es habe sich um eine illegale Handlung gehandelt, und setzte die öffentliche Verurteilung fort
• Die beiden reichten Klage wegen unrechtmäßiger Festnahme und Verleumdung ein und erhalten sechs Jahre nach dem Vorfall einen Vergleich über 600.000 Dollar

Auswirkungen des Falls

• Wynn sagte, „dieser Fall hat niemanden sicherer gemacht“, und erklärte, dass ein abschreckender Effekt entstanden sei: Wer Behörden bei der Prüfung von Schwachstellen helfe, könne dafür mit Festnahme, Anklage und Verleumdung konfrontiert werden
• Ein solcher Reputationsschaden kann für die Karriere von Sicherheitsexperten verheerend sein, und auch Kunden erkennen das Risiko
• Nach dem Vorfall kam es zu weitreichenden Änderungen bei Abläufen und Genehmigungen für physische Penetrationstests

Situation zum Zeitpunkt des Vorfalls

• Am frühen Morgen des 11. September 2019 stellten die beiden fest, dass eine Seitentür des Gerichtsgebäudes unverschlossen war; sie schlossen sie, verriegelten sie und öffneten dann über den Türspalt den Schließmechanismus, um einzudringen
• Unmittelbar nach dem Eindringen löste der Alarm aus, die Polizei rückte an, und es kam zur Festnahme
• Im Artikel heißt es, der Fall sei vor allem wegen der Reaktion des Sheriffs außer Kontrolle geraten; in den meisten anderen Regionen wäre ein solcher Fall ohne Anklage beendet worden

Reaktion der Sicherheitsbranche

• Der Fall löste große Kontroversen unter Sicherheitsfachleuten und Strafverfolgungsbehörden aus
• Er zeigte, dass selbst Tests auf Grundlage eines rechtmäßigen Vertrags einem strafrechtlichen Risiko ausgesetzt sein können, und schärfte das Bewusstsein in der gesamten Sicherheitsbranche
• Infolgedessen wurde die Notwendigkeit deutlicher, Genehmigungsverfahren und rechtliche Schutzmechanismen für physisches Hacking zu stärken