--------------------------------------------------------------------------------
date: 2024-11-10T19:16 tags: [date/2024/11/10, gemnews]
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
created: 2024-11-10T20:12:38 (UTC +01:00) tags: [Hacking,Justiz,Security,Software,Strafverfolgung,Whistlerblower] source:
author: Volker Briegleb
--------------------------------------------------------------------------------
## Excerpt
Ein Programmierer wird für das Aufdecken einer Sicherheitslücke bestraft. Prozessbeobachter Fabian Scherschel hält diese Entscheidung für katastrophal.
--------------------------------------------------------------------------------
Der Fall um "Modern Solution" und den wegen des Ausnutzens einer Sicherheitslücke verurteilten Programmierers wird katastrophale Konsequenzen haben.
Die Entscheidung des Landgerichts Aachen
mag gängigem Recht entsprechen. Nichtsdestotrotz ist sie ein Desaster für die IT-Sicherheit in unserem Land.
Nicht nur,
dass sich Justiz und Strafverfolgungsbehörden zum Instrument einer Firma haben machen lassen
, die lieber um sich schlägt, als ihre eigenen Fehler einzusehen: Sie kriminalisieren mit diesem Urteil einen gemeinnützigen Akt. Das bringt nicht nur Sicherheitsforscher in Gefahr, die Schwachstellen an betroffene Firmen melden, sondern auch Whistleblower, die Gefahren durch renitente Security-Analphabeten offenlegen wollen.
Knackpunkt in dem Aachener Verfahren waren Screenshots, mit denen der Angeklagte die gefundene Sicherheitslücke dokumentiert hat. Ohne Dokumentation glauben weder betroffene Firmen noch seriöse Journalisten, an die sich ein Sicherheitsforscher wendet, dass eine Sicherheitslücke wirklich besteht. Aber genau diese Dokumentation der Lücke war es, die dem Programmierer zum Verhängnis wurde, denn die Screenshots bestätigten letzten Endes seine Schuld.
Was bedeutet das für Programmierer oder Support-Mitarbeiter, die im Zuge ihrer Arbeit auf Sicherheitslücken stoßen? Dass sie diese am besten nicht an die betroffene Firma melden, denn das könnte sie im schlimmsten Fall in den Knast bringen. Ich bin geneigt, Fefe zuzustimmen,
, dass es wahrscheinlich weniger riskant ist, "die Daten direkt im Darknet zu verkloppen."
Die einzige Option für solche Menschen, die trotz aller Gefahren das Richtige für die Gesellschaft tun wollen, ist nach diesem Urteil, sich an einen vertrauenswürdigen Journalisten zu wenden, für den Quellenschutz oberste Priorität hat (zum Beispiel der Autor dieses Kommentars oder die Kollegen von Heise Security). Denn nur ein gewissenhafter Journalist kann die Lücke bei der Firma melden und anschließend die Öffentlichkeit informieren, ohne sich selbst und den Whistleblower unnötig in Gefahr zu bringen.
Zwar wird auch für Journalisten die Luft dünner, seit das Medienfreiheitsgesetz der EU das
zur Aufdeckung der Straftaten von Quellen eindeutig erlaubt hat. Journalisten sind aber nach wie vor die beste Option für Sicherheitsforscher, die gewissenhaft handeln wollen, ohne sich dabei unnötig selbst zu gefährden.
(
)
Kommentar zu Modern Solution: Wer gemeinnützig handelt, wird bestraft | heise online was published on 2024-11-10
![Mehr von heise Security [IMG]](https://heise.cloudimg.io/width/1830/q50.png-lossy-50.webp-lossy-50.foil1/_www-heise-de_/imgs/09/2/2/0/4/9/6/5/HSP_desktop-2e64e1c752c763f3.png){kind=link}