County zahlt 600.000 Dollar an Pentesting-Experten, die bei einer Sicherheitsprüfung am Gerichtsgebäude festgenommen wurden

 (arstechnica.com)
1 Punkte von GN⁺ 2026-01-31 | 1 Kommentare | Auf WhatsApp teilen
  • Zwei Sicherheitsexperten, die 2019 während einer Sicherheitsprüfung an einem Gerichtsgebäude in Iowa festgenommen wurden, erhalten in einem Vergleich wegen unrechtmäßiger Festnahme und Verleumdung 600.000 Dollar
  • Die beiden waren Penetrationstester von Coalfire Labs und führten einen von der Justiz in Iowa offiziell genehmigten Red-Team-Einbruchstest durch
  • Im Test war ausdrücklich vorgesehen, dass physische Angriffe (z. B. Schlossknacken) einbezogen werden, dennoch nahm die örtliche Sicherheitsbehörde sie wegen schweren Diebstahls fest
  • Später wurden die Vorwürfe auf Hausfriedensbruch als Ordnungswidrigkeit herabgestuft, doch der Sheriff von Dallas County beharrte weiter auf einer Straftat und setzte die öffentliche Kritik fort
  • Der Fall wird als Warnung verstanden, dass Sicherheitsexperten selbst bei legalen Tests festgenommen werden können, und löste weitreichende Änderungen bei Verfahren für physische Penetrationstests aus

Überblick über den Fall

  • 2019 wurden Gary DeMercurio und Justin Wynn im Gerichtsgebäude von Dallas County, Iowa, während einer offiziell genehmigten Sicherheitsprüfung festgenommen
    • Die beiden arbeiteten für Coalfire Labs, ein Sicherheitsunternehmen mit Sitz in Colorado, und führten mit schriftlicher Genehmigung der Justiz in Iowa einen Red-Team-Simulationseinbruch durch
    • Ziel des Tests war es, die Widerstandsfähigkeit der Sicherheitsvorkehrungen zu prüfen, indem Methoden realer Krimineller oder Hacker nachgeahmt wurden
  • Laut Vorgaben waren physische Angriffe (wie Schlossknacken) erlaubt, solange sie keine erheblichen Schäden verursachten

Festnahme und rechtliche Schritte

  • Die beiden wurden wegen Diebstahls dritten Grades als schweres Verbrechen festgenommen, 20 Stunden inhaftiert und gegen jeweils 50.000 Dollar Kaution freigelassen
  • Später wurden die Vorwürfe auf Hausfriedensbruch als Ordnungswidrigkeit herabgestuft, doch Sheriff Chad Leonard aus Dallas County behauptete weiterhin, es habe sich um eine illegale Handlung gehandelt, und setzte die öffentliche Verurteilung fort
  • Die beiden reichten Klage wegen unrechtmäßiger Festnahme und Verleumdung ein und erhalten sechs Jahre nach dem Vorfall einen Vergleich über 600.000 Dollar

Auswirkungen des Falls

  • Wynn sagte, „dieser Fall hat niemanden sicherer gemacht“, und erklärte, dass ein abschreckender Effekt entstanden sei: Wer Behörden bei der Prüfung von Schwachstellen helfe, könne dafür mit Festnahme, Anklage und Verleumdung konfrontiert werden
  • Ein solcher Reputationsschaden kann für die Karriere von Sicherheitsexperten verheerend sein, und auch Kunden erkennen das Risiko
  • Nach dem Vorfall kam es zu weitreichenden Änderungen bei Abläufen und Genehmigungen für physische Penetrationstests

Situation zum Zeitpunkt des Vorfalls

  • Am frühen Morgen des 11. September 2019 stellten die beiden fest, dass eine Seitentür des Gerichtsgebäudes unverschlossen war; sie schlossen sie, verriegelten sie und öffneten dann über den Türspalt den Schließmechanismus, um einzudringen
  • Unmittelbar nach dem Eindringen löste der Alarm aus, die Polizei rückte an, und es kam zur Festnahme
  • Im Artikel heißt es, der Fall sei vor allem wegen der Reaktion des Sheriffs außer Kontrolle geraten; in den meisten anderen Regionen wäre ein solcher Fall ohne Anklage beendet worden

Reaktion der Sicherheitsbranche

  • Der Fall löste große Kontroversen unter Sicherheitsfachleuten und Strafverfolgungsbehörden aus
  • Er zeigte, dass selbst Tests auf Grundlage eines rechtmäßigen Vertrags einem strafrechtlichen Risiko ausgesetzt sein können, und schärfte das Bewusstsein in der gesamten Sicherheitsbranche
  • Infolgedessen wurde die Notwendigkeit deutlicher, Genehmigungsverfahren und rechtliche Schutzmechanismen für physisches Hacking zu stärken

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-01-31
Hacker-News-Kommentare

  • Die Polizei kam zum Ort, nahm die Männer fest, prüfte das von ihnen vorgelegte offizielle Autorisierungsschreiben und rief sogar die zuständige Person an, um zu bestätigen, dass alles seine Richtigkeit hatte.
    Doch sobald der Sheriff eintraf, ordnete er die Festnahme an. Letztlich lag das Problem also bei einer einzigen Person, noch dazu einer entscheidungsbefugten.

    • Es wirkte weniger so, als hätte der Sheriff es nicht verstanden, sondern eher, als hätte er einfach einen Machtkampf austragen wollen.
    • Laut Artikel änderte sich die Stimmung abrupt, als Sheriff Leonard eintraf. Er sagte: „Dieses Gebäude fällt in meinen Zuständigkeitsbereich“ und behauptete, es handle sich um ein Eindringen, das er nicht genehmigt habe. Wahrscheinlich war es einfach eine Frage des Egos oder des Ärgers darüber, übergangen worden zu sein.
    • Rein rechtlich gesehen könnte die Festnahme zunächst eine vorsichtige Maßnahme gewesen sein, bis die Echtheit der Unterlagen geprüft war. Das Problem war die absurde Reaktion danach.

  • Ich erinnere mich, den Artikel gelesen zu haben, als das damals passiert ist. Immerhin ist es gut, dass es am Ende zu einem einigermaßen positiven Ausgang gekommen ist.
    Der HN-Thread direkt nach der Festnahme ist übrigens hier.

    • Sechs Jahre Gerichtsverfahren und 600.000 Dollar gegen Anklagen wegen schwerer Straftaten aufzuwenden, ist wirklich furchtbar.
    • Es gibt auch eine Episode von Darknet Diaries mit einem Interview der beiden Pentester.

  • Der Vorfall war 2019, und die Mühlen der Gerechtigkeit mahlen wirklich langsam.

    • Die Mühlen von Zivilprozessen mahlen noch langsamer.
    • Verzögerte Gerechtigkeit ist keine Gerechtigkeit.
    • Dass man als Erwachsener 10 % seiner Zeit in einen Rechtsstreit stecken muss, ist absurd.
    • Nur Wohlhabende können dieses Tempo beeinflussen.

  • Ich erinnere mich noch daran, wie absurd dieser Fall damals war. Ich finde, der Sheriff hätte entlassen werden müssen, aber 100.000 Dollar pro Jahr als Entschädigung für die Inkompetenz von Dallas County ist immerhin besser als nichts.

  • Genau solche Geschichten möchte ich auf Hacker News sehen.

  • Es ist gut, dass die Anklagen fallen gelassen wurden, aber wenn man sich die ursprüngliche Berichterstattung ansieht, hatte der Fall einen deutlich komplexeren Kontext, als es im Artikel wirkt.
    Laut diesem Ars-Technica-Artikel aus dem Jahr 2019:

    • Als die Polizei die in der Genehmigung angegebenen Kontakte anrief, bestritt einer, dass ein „physisches Eindringen“ genehmigt worden sei, und der andere ging nicht ans Telefon. In so einer Situation ist fraglich, was die Polizei sonst hätte tun sollen.
    • Im Vertrag stand die mehrdeutige Formulierung, man solle „keine Türen gewaltsam öffnen“, und die beiden sagten aus, sie hätten eine verschlossene Tür mit Werkzeug geöffnet. Die Formulierung hätte präziser sein müssen.
    • Es gab eine Klausel „keine Manipulation an der Alarmanlage“, aber die Polizei behauptete, sie hätten versucht, die Alarmanlage zu manipulieren. Die beiden bestritten das.
    • Problematisch war auch der Alkoholkonsum vor dem Eindringen. Der Blutalkoholwert lag bei 0,05, also dürfte er zu Beginn noch höher gewesen sein.
    • Auch dass sie sich versteckten, statt sich sofort auszuweisen, als der Alarm losging und die Polizei kam, lag außerhalb des Vertragsrahmens.
      Insgesamt war die Überreaktion des Sheriffs zwar falsch, aber auch die Pentester haben sich nicht vollständig mustergültig verhalten.
    • Ich habe früher solche physischen Penetrationstests durchgeführt, und wir hatten immer die private Telefonnummer des zuständigen Ansprechpartners sowie eine unterschriebene Leistungsbeschreibung dabei. Dass ein Notfallkontakt nicht erreichbar ist, wäre für uns unvorstellbar gewesen.
      Alkohol oder Sachbeschädigung waren absolut tabu, und wenn die Polizei mit gezogener Waffe auftauchte, hätten wir uns niemals versteckt.
      Solche Tests sind riskant, deshalb hatten wir zur Sicherheit ehemalige Militär- oder Polizeikräfte im Team.
    • Wenn ich allerdings einen Einbruchstest in einem Gerichtsgebäude hätte durchführen müssen, hätte ich zur Beruhigung vielleicht ehrlich gesagt auch ein oder zwei Bier getrunken.
      Laut Artikel waren „physische Angriffe“ und „Lockpicking“ erlaubt, und tatsächlich wurde eine verschlossene Tür wohl ohne Beschädigung geöffnet.
    • Ein Teil der Verantwortung liegt auch bei den Pentestern, aber Aussagen der Polizei sind nicht immer präzise oder ehrlich, daher fällt es mir schwer, ihnen vollständig zu vertrauen.
    • Letztlich hätte so etwas innerhalb weniger Stunden geklärt sein müssen. Wegen des Machtkampfs zwischen Gericht und County ist die Sache eskaliert, und mit einem Anwalt hätte noch in derselben Nacht jemand gesagt: „Das wird teuer.“
    • Zur Klarstellung: Die Polizei hat sich auf 600.000 Dollar Vergleich geeinigt; es wurde nicht einfach nur eingestellt.

  • Der öffentliche Sektor sagt, er könne „keine Leute finden“, und macht dann so etwas. Außerdem war dieser Sheriff wahrscheinlich ein gewählter Amtsträger.

  • Wer künftig in so eine Situation geraten könnte, sollte die örtliche Polizei unbedingt schriftlich, telefonisch und persönlich im Voraus informieren.
    Am sichersten ist es, sich vorab eine polizeiliche Zustimmung oder ein no-objection letter zu besorgen. Auch der Anwalt sollte alle Unterlagen erhalten. Die Welt ist nicht freundlich.

    • Sie hatten eine schriftliche Genehmigung und eine mündliche Bestätigung vom Staatsgericht, hatten aber die Spannungen zwischen Justiz und Sheriff nicht vorhergesehen.
    • Tatsächlich haben die Polizeibeamten zunächst richtig reagiert. Nach der Identitätsprüfung wollten sie die beiden sofort freilassen; eskaliert ist es erst durch einen einzelnen Sheriff, der später auftauchte.
    • Realistisch gesehen rückt die Polizei aber bei einer Meldung immer aus, um die Lage zu prüfen. Ich habe früher beim Betrieb eines Schießstands Ähnliches erlebt. Am Ende hieß es einfach nur: „Wenn ein Anruf eingeht, fahren wir hin.“
    • Natürlich kann eine Vorabinformation an die Polizei die Authentizität des Tests beeinträchtigen.
    • Wenn das Ziel des Staats war, das Sicherheitsniveau des County zu bewerten, könnte eine Vorabinformation die Aussagekraft des Tests zunichtemachen. Die Reaktion des Sheriffs weckt den Verdacht, dass er etwas verbergen wollte.

  • Schade, dass es mit einem Vergleich endete. Ich verstehe, dass die Kläger nicht weiterkämpfen wollten, aber der Machtmissbrauch des Sheriffs hätte unbedingt geahndet werden müssen.

    • Sheriff Chad Leonard ging 2022 vorzeitig in den Ruhestand (Artikel).
    • Er war ein gewählter Beamter, also hätten letztlich die Wähler ihn an der Urne zur Verantwortung ziehen müssen.