Antragsteller*in
Trier-Saarburg
Zur Weiterleitung an
/
Antragstext
Wir fordern ein bundesweites Programm zur Bekanntgabe und Veröffentlichung von Schwachstellen in Soft- und Hardware, sowie eine Reform des „Hackerparagraphen“ §202c StGB zur Berücksichtigung von White-Hat Hackern und Sicherheitsforschenden.
Begründung
Mitte 2021 entdeckte ein IT-Sicherheitsforscher eine Schwachstelle in den Datenbanksystemen der Modern Solution GmbH, ein Anbieter von Onlineshops.
Der Forscher konnte aufgrund einer unsicheren Serververbindung die Zugangsdaten zur Hauptdatenbank auslesen und mittels einer Standardsoftware zum Datenbankzugriff (phpMyAdmin) auf die Systeme von Modern Solution zugreifen.
Auslesbar waren Endkundendaten zu allen Transaktionen der verbundenen Onlineshops.
Neben den Klarnamen waren die Adressen, E-Mail-Konten, Rechnungsdaten sowie Telefonnummern für jede*n mit Internetzugriff einsehbar.
Nachdem der Hacker die Schwachstelle der Modern Solution gemeldet hatte und diese nicht reagierte, wendete er sich an die Presse und ließ die Meldung in einem Blog veröffentlichen.
Als auch der Spiegel berichtete, folgte eine Anzeige durch den Hersteller gegen den Hacker und den Blogger wegen unbefugten Zugriffs auf fremde Computersysteme und Ausspähens von Daten. Darauf folgte eine Hausdurchsuchung und ein langwieriger Gerichtsprozess, welcher immer noch andauert.
Ähnliches passierte der Sicherheitsforscherin Lilith Wittmann im Frühling 2021, als sie mehrere Schwachstellen in der CDUconnect App fand.
So waren persönliche Daten von 18.500 Wahlkampfhelfern sowie von 1350 Unterstützer*innen aufgrund einer Schwachstelle in der Programmierschnittstelle für jede*n einsehbar.
Die CDU bot der Forscherin ein Jobangebot an und forderte Sie auf, ein NDA zu unterzeichnen. Nachdem Sie ablehnte, verklagte die CDU Frau Wittmann.
Dies sorgte für eine hohe mediale Aufmerksamkeit und die CDU nahm die Klage kleinlaut zurück.
Dies sind nur zwei Beispiele dazu, wie aktuell in Deutschland mit Schwachstellen in IT-Infrastrukturen umgegangen wird.
Gesunde Fehlerkultur? Fehlanzeige.
Stattdessen nutzen Firmen die aktuelle Gesetzgebung, um mögliche Whistleblower vor der Veröffentlichung von Schwachstellen abzuhalten.
Wegen der Schikanierung von Forschenden herrscht eine Kultur der Zurückhaltung in Kreisen von IT- Sicherheitsexperten.
So spricht der Chaos Computer Club (CCC) von einem „Standortnachteil für die deutsche Forschung und Wirtschaft“ und meldet z.B. garkeine Sicherheitsmeldungen mehr der CDU „Um künftig rechtliche Auseinandersetzungen zu vermeiden […]“.
Zudem spricht sich der CCC gegen die schwammige Ausführung des Gesetzes aus.
So lässt sich anhand des Gesetzestextes nicht erschließen, welche Software nun „in erster Linie dafür ausgelegt oder hergerichtet worden ist, bestimmte Computerstraftaten zu begehen“
Man kann einer Software nicht nachweisen, dass sie programmiert wurde, um Straftaten zu begehen. Genauso kann man einem Hammer nicht vorgeben, exklusiv Nägel in die Wand zu hauen.
Mit Verschlüsselungssoftware kann ich wichtige Informationen verschlüsselt übermitteln, mit derselben Software kann ein Hacker aber auch sämtliche Datenbanken einer Firma verschlüsseln und ein Lösegeld fordern.
Sollte diese deswegen verboten werden?
Eine objektive Zweckbestimmung ist unmöglich, und öffnet die Tore für langwierige Gerichtsprozesse und Schikane von Einzelpersonen, welche die Anwaltskosten gegen Großunternehmen nicht tragen können.
