codepilotRE: https://mastodon.social/@fefe_interim/115934649773412580
Die Insolvenz gönne ich diesen verlogenem Drecksladen #ModernSolution... leid tut es mir für deren Kunden. Vielleicht lernen sie etwas daraus.
kantorkelModern Solution ist pleite
Merke: Meldende von Sicherheitslücken zu verklagen lohnt nicht
https://wortfilter.de/jtl-agentur-modern-solution-insolvent/
JTL-Agentur: Modern Solution GmbH & Co. KG pleite – Händler stehen vor dem Totalausfall
Die Insolvenz der ehemaligen JTL-Agentur Modern Solution trifft Händler unvorbereitet: Server sind offline, JTL-Wawi und Shops nicht mehr erreichbar, Schnittstellen abgeschaltet. Ihr lest wie es dazu kam, warum der Schaden existenzbedrohend ist und was Händler jetzt tun sollten.
EvilBob@filmfacts @sl007 @bsi Ja im Bezug auf den #ModernSolution passt der Vergleich wahrlich nicht. Der Hackerparagraph kriminalisiert aber trivialste Dinge in der IT-Sicherheit. Das bringt uns nicht weiter. Das Gelächter aus Moskau, Peking und Washington kann ich schon hören. Möchte keine Zustände wie in diesen Ländern aber wir sollten uns nicht ständig selbst blockieren. #justmy2cents
@bsi Vielleicht solltet Ihr den Account auch dafür nutzen eine Brücke zwischen den Nutzergruppen zu bauen. Im Arbeitsalltag erlebe ich sehr häufig das nicht so sehr IT-Affine Menschen den Grundgedanken der #Informationssicherheit nach ausreichender Erklärung sehr gut nachvollziehen können und dann auch gewillt sind gemeinsam Dinge umzusetzen. Auch wenn das mühsam und nicht komfortabel ist. BTW #Pflichtkurs #ITSicherheit Für alle Richter und Staatsanwälte beim BSI #modernsolution #justmy2cents
Michael S.@XR_Nuernberg_sunny2 So lange Gesetzgebung und Gerichtsbarkeit die IT-Sicherheitsforscher verfolgen und die eigentlichen Gefährder (hier: #ModernSolution ) straf- und sanktionsfrei davon kommen lassen, wird das sowieso nichts mit der Residenz gegen Cyberangriffe. Da kann sich das BSI auf den Kopf stellen.
So lange diese Urteile Bestand haben, wird es in Deutschland keine IT-Sicherheit geben. Wer eine Sicherheitslücke findet, riskiert seine bürgerliche Existenz. Die eigentlichen Täter - hier die Firma Modern Solution - gehen hingegen straffrei aus. Skandalös ist hier noch viel zu milde.
#ModernSolution #hackerparagraph
Bundesverfassungsgericht lehnt Beschwerde im Fall Modern Solution ab | heise online
https://www.heise.de/news/Bundesverfassungsgericht-lehnt-Beschwerde-im-Fall-Modern-Solution-ab-10663649.html
Matthias KirschnerOpen a text editor, see password and try it out can be a criminal offence according to a German court. RIDICULOUS!!!
"#ModernSolution had stored the data of all shoppers ... in a single database. The password for this ... was stored unencrypted in an executable file of the middleware software and was the same for all MS customers. ... anyone with access to this software, which could be downloaded freely from the internet at the time, could easily obtain this data."
DitolWenn ich die Sachlage richtig verstehe, ist der "Hackerparagraph" eine wirklich im besten Sinne analoge Norm. Folgende Analogie (hehe) zum besseren Verständnis:
Jemand schließt ein Lagerhaus mit einem Vorhängeschloss ab und legt den Schlüssel unter einen Stein neben die Tür. Wenn ich beim Vorbeigehen, den Stein zufällig umstoße und den Schlüssel finde, kann ich 1 und 1 zusammenzählen und erkennen, dass der Schlüssel zum Lagerhaus gehört. Wenn ich nun das Schloss öffne und ins Lagerhaus reingehe, begehe ich Einbruch. Dabei ist es egal, wie dumm sich der Besitzer angestellt hat und wie unvernünftig es ist, Schlüssel neben den Schlössern aufzubewahren. Wichtig ist: da hängt ein Schloss dran und du weißt, dass du da nicht rein darfst. Und das ist für uns alle offensichtlich: Der Lagerbesitzer ist zwar selten dämlich, aber ich bin in dem Fall kriminell.
Im Fall von Modern Solution ist genau das passiert: Ein Sicherheitsforscher hat zufällig ein Passwort gefunden, bei dem es offensichtlich war, wozu es gehört. Er hat es ausprobiert und festgestellt, dass er auf die Datenbank zugreifen kann, auf die er kein Recht hatte zuzugreifen. Er hat den Zugriff dokumentiert und dem Betreiber die Schwachstelle geschildert.
Und hier sehen wir, wie sehr sich die Logik der analogen Welt von der digitalen unterscheidet. In der realen Welt laufen nicht Millionen synthetische Menschen aus aller Herren Länder rund um die Uhr mit Millionen Schlüsselkopien durch die Gegend und probieren alle Schlüssel an allen Schlössern, die ihnen begegnen, aus. In der Computerwelt passiert aber genau das. Und das führt dazu, dass die Konzepte, die in der realen Welt funktionieren, in der digitalen nicht anwendbar sind. Und andersherum auch! Deswegen muss man digitale Datenbanken mit personenbezogenen Daten viel besser schützen und Daten so bald wie möglich wieder löschen, damit nichts schief geht, während man in der realen Welt irgendwelche Leitzordner jahrelang einfach in einem Aktenschrank einschließen kann, solange der Raum und das Gebäude auch abgeschlossen sind.
Ja, es ist erschreckend, dass für die digitale Welt eine analoge Strafrechtsnorm gilt. Irre. Und mMn ist die Norm nicht verhältnismäßig und damit verfassungswidrig. Aber ich weiß nicht, wie man diese Verfassungswidrigkeit begründen soll, wo doch das Grundgesetz eben durch und durch analog ist. Bin gern für Vorschläge offen.
Zum Fall Modern Solution und Hackerparagraph hier ein guter Einblick von vor einem Jahr, woraus verständlich wird, warum die Entscheidungen auch des BVerfG so kommen mussten, wie sie dann auch kamen:
https://chaos.social/@cccpresser/113435360767982512
Das Problem sind nicht die Gerichte, sondern das Gesetz. Und es ist mir nicht verständlich, warum bis heute noch keine Normkontrolle stattgefunden hat. Ich bin zwar nicht vom Fach, aber ein/e Jurist/in wird doch sicher schnell ein Paar Punkte finden, warum dieses unsinnige und wirklich schädliche Gesetz als verfassungswidrig anzusehen ist.
cpresser (@[email protected])
Nochmal zur Strafsache #ModernSolution Ich lese viele hot-takes dazu hier im Fedi und teilweise auch an anderen Stellen. Fast alle davon sind IMHO Bullshit 😩 Das TLDR des Urteil ist: * Es wurden Screenshots der Daten angefertigt, das war unbefugt. * Es ist offensichtlich das MS versucht hat diese Daten zu schützen. Ein Kennwort auf der SQL-Datenbank reicht als "besondere Sicherung". Damit sind alle Tatbestandsmerkmale erfüllt und die Verurteilung ist safe.
@kuketzblog
Mir fehlt zwar der Einblick in die Details des ganzen Verfahrens, deswegen kann ich in der Kürze der Zeit die Situation nur oberflächlich beurteilen, aber es scheint mir ein Misverständnis vorzuliegen. Das Bundeswerfassungsgericht rollt nicht die vorangegangenen Verfahren auf, sondern kann nur grob gesagt prüfen, ob die in der Klage genannten Rechtsgüter im Verfassungsrang unrechtmäßig eingeschränkt wurden. Im Artikel von Heise.de zur damals beim BVerfG eingereichten Klage hieß es:
"Diese stützt sich sowohl auf den Vorwurf, das Verfahren sei unfair geführt worden, als auch das Argument, das verfassungsmäßige Recht des Angeklagten auf freie Berufsausübung (Art. 12 GG) sei eingeschränkt worden."
Es scheint also um den Verlauf des Verfahrens und um eine Einschränkung des Rechts auf freie Berufsausübung (vermutlich durch die Gerichtsentscheidung) gegangen zu sein. Es scheint NICHT um die Sinnhaftigkeit und Richtigkeit des "Hackerparagraphen" gegangen zu sein, wie die meisten empörten Kommentierenden meinen. Das Gesetz wurde eben NICHT geprüft, obwohl es der gesamten IT-Sicherheits-Branche und der Fachöffentlichkeit genau darum geht.
>>>Oberflächlich<<< betrachtet finde ich auch, dass das BVerfG gute Gründe hatte, die Klage abzuweisen, weil sie kaum Aussicht auf Erfolg hatte. Das bisherige Verfahren wurde durch Berufungsinstanzen geprüft, eklatante Mängel sind nicht zu erwarten und das Recht auf freie Berufsausübung ist durch dieses Gerichtsverfahren (und die Feststellung, dass man sinngemäß nicht mit einem am Bildschirm klebenden Passwort ein daneben liegenden Notebook nicht entsperren darf) ja nicht eingeschränkt.
Was wir brauchen, ist eine (abstrakte oder konkrete) Normenkontrolle, also eine Prüfung, ob der "Hackerparagraph" verfassungswidrig ist (was er sicher ist). Und es ist mir wirklich nicht verständlich, warum im Verlauf des Verfahrens keines der Gerichte eine konkrete Normenkontrolle beantragt hat. Diese Norm, auf deren Grundlage hier entschieden wurde, kann doch niemals verhältnismäßig sein. Wenn es jetzt nicht im Verlauf des Gerichtsverfahrens durch eine konkrete Normenkontrolle entschieden wurde, muss es eben durch eine abstrakte Normenkontrolle geprüft werden. Mit der derzetigen Zusammensetzung der Bundesregierung wird der Antrag von den Grünen und Linken zusammen mit einigen Abweichlern aus der CDU und SPD kommen müssen. Aber das muss endlich kommen.