Datenleck: Anzeigegerät gegen IT-Fachkraft kam von Modern Solution
[ad_1]
Die Firma Modern Solutions hat den IT-Experten angezeigt, jener eine potenzielle Gefährdung jener Datenansammlung von hunderttausenden Kunden durch die Software des Unternehmens aufgedeckt hatte. Dies geht aus den Ermittlungsakten hervor, die heise online hineinblicken konnte. Uff die Anzeigegerät hin hatte die Polizei eine Hausdurchsuchung c/o dem Programmierer durchgeführt und zahlreiche Geräte beschlagnahmt. Ebenso gegen verknüpfen Weblog-Verfasser, jener darüber berichtet hatte, hat Modern Solutions demnach Anzeigegerät erstattet.
Gegen den Programmierer wird unter anderem wegen des Ausspähens von Datenansammlung, Datenhehlerei und Verstoßes gegen dasjenige Bundesdatenschutzgesetz ermittelt. Modern Solutions hat jener Ermittlungsakte zufolge gegensätzlich jener Polizei angegeben, jener Programmierer habe sich nur mit Insiderwissen Zugang zu den Systemen jener Firma verschaffen können. Die Bekräftigung dieser Vermutung ist sehr wohl technisch wenig luzid.
Datenansammlung von 700.000 Kunden
Uff den Systemen von Modern Solution waren die persönlichen Datenansammlung von rund 700.000 Kunden verschiedener Onlinehändler mehrere Jahre weitgehend ungesichert einsehbar. Welche Kunden hatten c/o kleineren Händlern eingekauft, die ihre Produkte mittels einer Software von Modern Solution uff den Marktplätzen großer Online-Händler wie Otto, Kaufland oder Check24 angeboten hatten
Nachdem jener unabhängige Programmierer dasjenige Datenleck im Rosenmonat publik gemacht hatte, wurden am 15. September seine Wohn- und Arbeitsräume durchsucht, hierbei wurde sein komplettes Instrument – ein PC, fünf Laptops, ein Mobiltelefon und fünf externe Speichermedien – beschlagnahmt. Die Geräte entscheiden sich nachher wie vor im Gewahrsam jener Polizei. Zu Gunsten von Modern Solution hatte dasjenige riesige Datenleck, soweit publik traut, bisher keine rechtlichen Nachsteigen.
Die Anzeigegerät und die darauffolgende Hausdurchsuchung, so lässt sich nun gesichert sagen, wurde von Modern Solution wie direkte Reaktion uff die Veröffentlichung des Datenlecks veranlasst. Bisher war dies eine reine Vermutung. Dies Unternehmen erklärt, jener Programmierer habe die Datenansammlung nur mit Insiderwissen abrufen können und sei darüber hinaus ein Wettbewerber.
“Insider und Wettbewerber”
Führende Mitwirkender von Modern Solution sagten laut jener Ermittlungsakte gegensätzlich jener Polizei aus, jener Programmierer habe früher c/o jener Firma JTL in Hückelhoven gearbeitet. JTL stellt die Warenwirtschafts-Systeme her, mit denen sich die Software von Modern Solution uff Seite des Einzelhändlers verbindet. Dies Arbeitsverhältnis des Programmierers c/o JTL sei einst nachher Konflikten beendet worden. Dieser Beschuldigte bestätigte seine Beschäftigung c/o JTL gegensätzlich heise online und stritt nicht ab, “Probleme” c/o seiner Zeit in jener Firma gehabt zu nach sich ziehen.
Modern Solution ist nachher eigenen Informationen uff die Mechanismus und dasjenige Hosting dieser sogenannten WaWi-Systeme von JTL spezialisiert. Im Gegensatz zu jener Polizei gaben Vertreter von Modern Solution demnach zu Protokoll, jener Programmierer habe es durch sein c/o JTL erlangtes Insiderwissen geschafft, an dasjenige Passwort zu gelangen, mit dem er Zugriff uff die Datenansammlung c/o Modern Solution erhalten habe.
Im Rosenmonat hatte jener IT-Fachkraft eigenen Informationen zufolge beim Troubleshooting pro verknüpfen Kunden von Modern Solution entdeckt, dass jener Datenübertragung jener Software von Modern Solution hoch eine im Klartext einsehbare SQL-Verpflichtung lief und die Zugangsdaten starr in jener Software verankert waren. Im Zuge dessen hatte jeder, jener eine Kopie jener im Prinzip zu besetzen verfügbaren Software gelangen konnte, Zugriff uff die Datenansammlung aller Kunden, deren Käufe hoch Systeme von Modern Solution abgewickelt wurden. Wie genau dasjenige funktionierte, hat jener Weblog-Verfasser Mark Steier in einem Mitgliedsbeitrag vom 23. Rosenmonat dokumentiert.
Publik hat Modern Solution jene Darstellung nie bestritten. Im Gegensatz zu jener Polizei argumentierten hochrangige Mitwirkender jener Gelsenkirchener Firma sehr wohl damit, jener Programmierer habe nur Zugang zu diesem Passwort nach sich ziehen können, weil er früher pro JTL gearbeitet habe. Außerdem vertritt dasjenige Unternehmen laut jener Dossier den Standpunkt, dass die Kompilierung jener Software ein wirksamer Schutzmechanismus gegen Angriffe wie etwa dasjenige Herauspicken von Passwort-Strings darstelle. Folgt man dieser Auslegung, so könnte die Überwindung dieser angeblichen Vorkehrung eine Strafbarkeit nachher sich ziehen.
Schützt Kompilierung vor Zugriff?
Experten bezweifeln hingegen, dasjenige Hinüberfahren von Quellcode stelle verknüpfen wirksamen Schutzmechanismus von Passwörtern oder desgleichen dar. Im Zuge jener Recherchen gelang es heise online etwa, mittels gängiger Tools ebenfalls passwortähnliche Strings aus Software jener Firma Modern Solution auszulesen, die zu besetzen im Web zum Download steht. Ebenso die vorherrschende Rechtsmeinung scheint jener Interpretation von Modern Solution zu widersprechen. So hat zum Paradebeispiel jener Europäische Gerichtshof (EuGH) ohne Rest durch zwei teilbar erst entschlossen, dass Reverse Engineering zur Fehlerkorrektur erlaubt ist. Und genau aus diesem Grund hatte sich jener Programmierer die Software repräsentabel und Teile davon dekompiliert.
Modern Solution erklärte gegensätzlich jener Polizei, jener Programmierer wolle wie Wettbewerber jener Firma in Gegebenheit treten – welches er heise online gegensätzlich nicht abstritt – und versuche deswegen, jener Firma zu schaden. Dieser Programmierer weist dasjenige zurück. Er habe die Sicherheitslücke und dasjenige Datenleck schnellstmöglich offenlegen wollen, um die Kunden zu schützen.
Laut des Durchsuchungsprotokolls jener Polizei kooperierte er mit den Beamten und gab ihnen sogar die Passwörter zu seinen Geräten und verschlüsselten Datenansammlung. Unseren Informationen zufolge löschte er in den weitestgehend drei Monaten, die zwischen Öffentlichmachung jener Lücke und Hausdurchsuchung vergingen, keine Datenansammlung, die den Kern zurechenbar sein – wie es ein bösartiger Angreifer wohl umgehend getan hätte.
“Eilt!”
Die zuständige Staatsanwaltschaft Köln wollte gegensätzlich heise online uff wiederholte Antrag keine Informationen zu Einzelheiten zeugen. Damit bleibt nicht zuletzt die Frage unbeantwortet, warum zwischen Veröffentlichung jener Lücke und jener Hausdurchsuchung mehrere Monate vergingen. Nun ist den Ermittlungsakten mehrmals jener Zusatz “Eilt!” zu Vorlesung halten, unter anderem uff einer Durchschrift von Werden August.
Modern Solution will sich uff Antrag nicht vermerken. “Wir nach sich ziehen uns wie Unternehmen dazu entschlossen, Anfragen, die ein laufendes Ermittlungsverfahren zurechenbar sein, nicht zu beantworten”, erklärte die Firma gegensätzlich heise online. “Wir verfassen zurzeit ein eigenes Statement und benötigen hierfür noch irgendetwas Zeit. Wir nach sich ziehen kein Motivation daran, die aktuelle Situation weiter aufzuheizen.” Dieses Statement ist bisher nicht erschienen.
(vbr)