Fehlende Datensicherheit bei Modern Solutions – Hinweisgeber hat Ärger mit Polizei und Staatsanwaltschaft
Ein externer IT-Experte entdeckte ein Datenleck beim Anbieter Modern Solutions und machte diesen auf den Fehler aufmerksam. Statt einer Belohnung oder auch nur einer Würdigung wurde die Wohnung des Mannes von der Polizei durchsucht. Dabei beschlagnahmten Polizei und Staatsanwaltschaft seine berufliche Ausrüstung. Und dies nur, weil die Person über den Fund die Öffentlichkeit informiert hatte. Moderne Datensicherheit sieht anders aus.
IT-Spezialist entdeckt Datenlecks beim Dienstleister Modern Solutions
Das Unternehmen Modern Solutions bietet verschiedenen Händlern an, die Warenwirtschaftssysteme an große Online-Marktplätze anzubinden. Zu diesen Marktplätzen gehören unter anderem Otto, Kaufland, aber auch Check24. Somit können die Unternehmen ihre Waren über diese Marktplätze verkaufen. Ein externer IT-Spezialist sollte in einem Unternehmen einige Fehler beheben und begutachtete im Rahmen dessen auch die Anbindung an die Online-Marktplätze. Dabei fiel dem Mann auf, dass der Austausch der Informationen nicht über zugangsgeschützte APIs erfolgte. Der Datenaustausch erfolgte über eine klar einsehbare und nicht verschlüsselte SQL-Verbindung, deren Zugangsdaten direkt in der Software einprogrammiert waren. So konnten Daten von mehr als 700.000 Endkunden eingesehen werden.
Versuche der Kontaktaufnahme scheitern deutlich
Der IT-Experte wandte sich an den bekannten IT-Blogger Mark Steier, der ihm riet, sich mit dem Unternehmen Modern Solutions in Verbindung zu setzen und dieses über die Sicherheitslücke zu informieren. Ein Vorgehen, das auch von Experten wie CompiPower immer wieder empfohlen wird. Doch Modern Solution reagierte laut Aussagen des IT-Experten sehr schroff auf seine Meldung und seine Frist zur Behebung des Problems. Allerdings wurde der Server vom Netz genommen, sodass die Datensicherheit wiederhergestellt werden konnte. Da also eine Lösung vorlag, gingen der IT-Experte und der Blogger Mark Steier weiter und veröffentlichten ihr Wissen. Schließlich galt es die betroffenen mehr als 700.000 Endkunden zu informieren.
Besuch von der Polizei – Beschlagnahmung von Arbeitswerkzeug
Zum Dank gab es allerdings keine Blumen von Modern Solutions, sondern Besuch von der Polizei. Denn dem IT-Experten wurde unter anderem das “Ausspähen von Daten” vorgeworfen. Im Rahmen einer Hausdurchsuchung drangen Beamte des Kriminalkommissariats 22 der Aachener Polizei in die Wohnung des IT-Experten ein. Dort wurden unter anderem ein PC, fünf Notebooks, ein Mobiltelefon sowie verschiedene Speichermedien beschlagnahmt. Da die verschiedenen Medien noch von der Polizei ausgewertet würden, könne man noch keine weiteren Angaben machen. Es zeigt sich jedoch deutlich, dass ein Mensch, der versucht hat, die Datensicherheit zu verbessern, für genau diese Versuche nun bestraft werden soll.
Unternehmen müssen sich besser absichern
Ein solches Nachtreten wie jetzt gegen den IT-Experten ist für Unternehmen ein schlechter Ansatz. Dies zeigt sich unter anderem auch in den sozialen Medien, in denen das Unternehmen Modern Solution mittlerweile sehr deutlich negativ konnotiert ist. Sollte ein Datenleck auftauchen und ein unabhängiger Experte berichtet einem Unternehmen darüber, sollte eine konstruktive Zusammenarbeit in jedem Fall bevorzugt werden. Denn nur so können alle gemeinsam sicherstellen, dass Sicherheitslücken und Datenlecks schnellstmöglich behoben werden.
Autor:
Peter Debus, zertifizierter ethischer Hacker, CompiPower, Mitglied im BDS SH
Bild: ©_Thapana_AdobeStock
Nehmen Sie Teil an unseren Online- und Live-Events!
Sie können dann Ihre weiteren Fragen stellen und mitdiskutieren …
Die nächsten Termine zu diesem Thema finden Sie unter >> Events <<
