das Framing ist unvollständig

im Februar 2022 waren die ersten Berichte dazu:
https://www.golem.de/news/nach-datenleck-bei-modern-solution-vorwuerfe-statt-entschuldigung-2202-162762.html

Auf drei seiten dargelegt, was "eigentlich" vorgefallen ist. Bisschen mehr als der jetzige 2-min-Lesezeitartikel hergibt. Mit WayBackMachine lässt sich bestimmt auch die Stellungnahme von MOSO herausfischen.

Alles in allem verstehe ich die Argumentation des Gerichts mit der "hohen Hürde". Ich könnte so argumentieren:
Er sah irgendwelche Blockversuche seiner Firewall (welche Firewall checkt eigentlich ob login/pwd unverschlüsselt an irgendeinen Server irgendwo schickt??). Hat daraufhin die Software im Texteditor/Hex-Editor angeschaut. Sah das Passwort. HIER hätte schon Schluss sein sollen.
Mit dem Wissen, dass das Passwort hardcoded drin steht, hätte er MOSO genauso in die Ecke drücken können. Auch mit dem resp. Disclousure - die Nachricht "Passwort für Datenbankzugriff in der runterladbaren Exe" ist genau so viel Wert wie "Auch ich konnte 700k Bestellvorgänge einsehen..". Nachschauen in der Datenbank ist nicht notwendig gewesen und bringt keinen Mehrwert. Das ist ja eigentlich schon die "Lücke" an sich.

Aber, stattdessen "Neeee.. kann nicht sein, dass hardcoded ist.. hahaha die deppen.. ich check mal die Datenbank.." und dann nach dem Nichtreagieren seitens MOSO ein taboowobohu drum gemacht.. worauf die MOSOs dann auch anfingen im Eimer zu rühren.

Für mich bedeutet es ebenfalls er hat eine Hürde überwunden. Ich teile nicht unbedingt die Meinung des Gerichts, also doch schon irgendwie - jedoch DAS IST DOCH EINFACH NUR DUMM! Das Gesetz gehört geändert!
Momentan ist es halt so als wenn einer einen Schlüssel im Briefkasten findet, diesen nimmt, in die Wohnung reingeht und bisschen rumschaut, dann wieder aus der Wohnung herausgeht und dann den Wohnungseigentümer darauf hinweist, dass er mit dem Schlüssel aus dem Biefkasten, den potentiell jeder entdecken kann (einfach das Lid hochklappen), in der Wohnung drin war und der Eigentümer möchte bitte den Schlüssel woanders hinpacken.

Das ist löblich, jedoch müsste dafür die Wohnung nicht betreten werden. Ein einfaches "Hallo ich weiß was du im Briefkasten versteckst" hätte auch gereicht.

Das mit PHPAdminDings da - selbst wenns curl wäre - es ist eine ZUGRIFFSSOFTWARE. JA!
Es geht nicht darum ob das ein Quasi-Standard ist, oder schlechte Software - gute Software.
Es geht rein darum, dass es einen Schritt weiter ging, als nötig. Mit dem Zugriff für dessen durchführung eine Zugriffssoftware nötig ist, ist er in ein anderes System hineingegangen. Und dafür wird das Urteil nun verhängt. Prinzipiell verhandelte man nur die eine Frage "wurde ein Hilfsmittel benutzt?" Warum, wird vielleicht so deutlich:

- kann man die Daten einfach so herauslesen?
Nein. Passwort.
- Ok. Kann man die Daten runterladen?
Nein. Datenbank.
- Ok. Findet man die daten bei google oder anderer Webseite?
UM GOTTES WILLEN NEIN!
- ok.. Was muss ich denn machen?
.. Sie müssen xx, yy, aa, machen.
- WAS?!?!? SO VIEL!!! Und das hat er getan???"

Rein weil er sich entschieden hat ein Zugriffswerkzeug einzusätzen, obwohl es nicht mehr hätte sein brauchen. Das ist die Hürde, die überwunden wurde. Nicht, weil PHPAdmin dings da verwendet hat. Das wäre ihm auch mit einem FTP-Client passiert oder anderen "Zugriffssoftwares". Einzig der Übertritt dieser Hürde.

Das Beispiel mit dem Briefkasten trifft die Urteilsbegründung auf den Punkt: Ein "Hey, da besteht Zugriff auf ein cleartext-Passwort" wäre genug gewesen - auch wenn sicher fraglich, wie trivial es war dieses herauszufinden.
Dass er diese Daten dann aber nutzt - DAFÜR hat er auf den Sack bekommen - und dass nunmal zu Recht!
Nix mit Hacker-Paragraph ...

Der Gesetzestext besagt:

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Was heißt "besonders gesichert"? Wird die Zugangssicherung überwunden, wenn ein im Klartext vorhandenes Passwort genutzt wird?

Keine Ahnung, bisher haben in meiner Wahrnehmung Juristen kein guten Trackrecord wenn es um das Verständnis von technischen Fragen geht. Ich schätze wir sind einer Meinung das so ein Paragraph ein Zeitbombe ist, die hier hochgegangen ist.

Ein Browser wäre im Zweifel wohl auch Zugangssoftware? Maßgeblich sollte hier sein, dass keine Schadensabsicht bestand sondern auf eine massive Datenschutzverletzung hingewiesen wurde. Also quasi eine Art Notstandssituation.

shifu schrieb:
--------------------------------------------------------------------------------
> Mit dem Wissen, dass das Passwort hardcoded drin steht, hätte er MOSO
> genauso in die Ecke drücken können.

Nö, der Richter hätte auch das reine Öffnen einer Datei in einem Texteditor als "Versuch zur Umgehung" oder "Nutzung von Hackertools" ansehen können.

violator schrieb:
--------------------------------------------------------------------------------
> shifu schrieb:
> ---------------------------------------------------------------------------
> -----
> > Mit dem Wissen, dass das Passwort hardcoded drin steht, hätte er MOSO
> > genauso in die Ecke drücken können.
>
> Nö, der Richter hätte auch das reine Öffnen einer Datei in einem Texteditor
> als "Versuch zur Umgehung" oder "Nutzung von Hackertools" ansehen können.

Dann wäre Windows die Zugriffssoftware.
Böser rechtsklick und böses "öffnen mit ..." :D

Ich sehe das Problem aber woanders. Die Firma wofür er das gecheckt hat hat ein Produkt gekauft und ihre Kundendaten landen in einer Datenbank. Das dieser ITler auf die Datenbank zugegriffen hat sollte eigentlich kein Problem sein weil das meiner Meinung nach durch den Anwendungsfall des gekauften Produkt abgedeckt ist. Was das Problem hier ist und das konnte der ITler vor dem Zugriff nicht wissen, ist das die Datenbank nicht nur die Daten der Firma inne hatte sondern die Daten aller Kunden von Modern Solutions.

Ja und Nein. Es stimmt alles was du sagst. Ja. Er konnte es nicht wissen.. Aber eigentlich konnte er es wissen! Zumindest kann mir keiner erzählen, dass, wenn ich in einer herunterladbaren Ausführungsdatei credentials finde, gleichzeitig aber auch individuelle credentials vom Anbieter für den Zugang zu der angebotenen Leistung bekomme - da schrillen doch alle Alarm- und Neugierigkeitsglocken! Wenn nicht, was bekommt man denn so von der Welt mit, in der man sich tagtäglich bewegt, wenn schon sowas offensichtliches nicht auffällt???

Was dann dahinter sich verbarg, war nicht das Thema der Verhandlung und tut nichts in dieser Verhandlung zur Sache. Da ging es nur darum, dass MOSO den IT-Experten angezeigt hat ("Frage1") und die Behandlung der Vorwürfe durch das Gericht ("Frage2").

Frage1: Ist es gegen das Gesetzt gewesen sich da umzuschauen? Ist mit ja beantwortet
Frage2: Sind besondere Maßnahmen ergriffen worden, um sich dort umzuschauen? Ist auch mit ja beantwortet worden.

Anderes stand nicht zur Debate und war Verhandlungssache. Aber es steht jedem frei MOSO für ihr potentiell DSVGO..DVSGO..DGSVO..Whatever-relevantes mal durchzuklopfen :)

Und ja, heftiges Systemarchitekturdesign bei MOSO. Da sitzen echte Experten ;)



1 mal bearbeitet, zuletzt am 19.01.24 12:41 durch shifu.

Hätte er/sie/es tatsächlich können, war aber nicht Sache dieser Verhandlung. In der ersten Verhandlung damals ist genau das eigentlich die Argumentationslinie gewesen.. sinngemäß "er hätte die Passwörter gehackt mit seinem Wissen und dem Konkurrenzverhalten, um MOSO zu schaden"

Im Endeffekt hat man dann den IT-Experten jetzt in die Ecke gedrängt, weil er den gefundenen Schlüssel noch benutzt hat. Zum Benutzen muss aber eine andere Software benutzt und dort der Schlüssel dann eingetragen werden. Diese Extrabewegungen mit der Muas ist bestraft worden, nicht, dass er eine bestimmte Software benutzt hat. Sondern allein die Tatsache, dass er den Schlüssel selbst verwendet hat. Dafür bestand keine Notwendigkeit. Auch riskierte er dadurch, dass das angeschaute System kaputt gemacht wird. Es kann nie ausgeschlossen werden, dass die Zugriffssoftware fehlerfrei mit dem Endsystem kommuniziert.

Alles im Ganzen betrachtet macht dieses Urteil Kopfschmerzen ("ob die blöd sind, hab ich gefragt???"). Aber das Urteil bezieht sich tatsächluich nur auf einen kleinen Bereich des Ganzen..

Analog gesagt "Hat der Angeklagte sich eine Brille angezogen, damit er die Wohnung besser begutachten kann nachdem er den Schlüssel hinterm Haus beim herumlumlungern gefunden hat?" Welche Brille, ist dabei nicht die Frage, sondern allein "hatta in die Hosentasch gegriffen? ja/nein."

als er drin war??? Ja. Das hat er."

Vielleicht ist es ähnlich gelagert wie im Patentrecht, dass auch ein Patent eine gewissen Schaffenshöhe beinhalten muss, um schützenswert zu sein.
In Patentstreitigkeiten geht es dann auch darum, ob ein "normaler Ingenieuer" ohne spezielles Wissen ebenfalls auf die zu patentierende Idee gekommen wäre - Wenn ja, dann ist das ein triviales Patent und kann dann auch aberkannt werden.

Wichtig ist hierbei dass ein "normaler Ingenieuer" auf die Lösung kommt.
Somit wäre ein in der Binärdatei hinterlegtes Passwort auch im Klartext ein substantieller Schutz, denn ein Nomalo, auch ein "normaler Ingenieur", kommt nicht mal auf die Idee, die Binärdatei mal im Edit zu öffnen. Geschweige denn, überhaupt eine Binärdatei im Editor zu öffnen. ... Wozu und was bringen die nichtlesbaren Zeichen?!?!?!?

Und wenn er das Passwort dann hätte, dann muss auch ein Normalo wissen, wie er es denn nutzt. Und das ist dann eben dieses Spezialwissen, das angeführt wird..

Übertragen auf das Patentbeispiel oben "Das ist kein trivial Patent, denn ein "normaler Ingenieur" kommt nicht auf die Lösung. Es ist ein Domänenwissen nötig. Damit weist das Patent eine Schaffenshöhe aus und ist von der Idee schützenswert"

Und somit kann dann auch eine versteckte Datei mit Klartextpasswörtern in der hintersten Ecke des Filesystems auf die der Windows Explorer.exe keinen Zugriff bietet und der Zugriff nur mit Knoppix + DD + speichern des Datenstreams oder mit total commander v4.23, ein ausreichender Schutz sein. Selbst eine .INI Datei im Programmverzeichniss mit dem Passwort drin wäre prinzipiell schon ein Schutz - 90% der Benutzer kennen nicht mal eine .INI mehr. Das ist das Argument ...

Für Dich und für mich nicht, wir haben aber auch ein Domänenwissen - Wenn wir dieses nutzen um sich auf fremden Systemen umzusehen, dann haben wir ein Problem. Es ist nicht gestattet ohne eine Einladung sich umzusehen.

Ja, ein Browser ist dann auch eine Zugangssoftware. Das ist dann schon etwas trivialisiert. Es geht auch nicht darum, ob etwas eine Zugangssoftware ist oder nicht, sondern einfach nur um die Bewegung der Hand zum Starten der Zugangssoftware -

Um es mit ALLCAPS zu visuallisieren:

die VERWEDNUNG einer Zugangssoftware um etwas zu erledigen soll bestrafft werden und nicht die verwendung einer bestimmten ZUGANGSSOFTWARE.