Plattformen ziehen sich aus der Affäre, die Klage läuft weiter

Die von Modern Solution entwickelte Software Moso-Connect verbindet das Warenwirtschaftssystem (Wawi) von JTL, mit dem Händler ihre Waren organisieren können, mit Online-Marktplätzen. Bis zum Datenleck war Modern Solution ein JTL-Servicepartner und wurde dort auch aktiv beworben. Insgesamt gibt es über 300 solcher Partnerunternehmen, welche die Software beispielsweise durch Plugins erweitern und so mit Handelsplattformen wie Amazon, Otto oder Ebay verbinden, aber auch den Versand abwickeln.

"Um Servicepartner zu werden, müssen Interessenten ein Auswahlverfahren bei uns durchlaufen. Nur etwa jeder vierte Antrag auf eine Servicepartnerschaft ist erfolgreich", erklärt ein JTL-Sprecher auf Nachfrage von Golem.de. "Soweit uns bekannt ist, entstand das Datenleck [bei Modern Solution] durch unzureichende Programmierung." Allerdings könne man den Quellcode der Partnerunternehmen nicht prüfen.

Doch um die Sicherheitslücke bei Modern Solution zu entdecken, hätte es nicht einmal einer umfangreichen Prüfung der Software bedurft. "Da bewirbt man erst eine Software, ohne sie zu prüfen und dann lässt man die Händler im Regen stehen," sagt Steier.

Die Geschäftsbeziehung mit Modern Solution wurde nach Angaben von JTL jedoch eingestellt. Die Software wird auch nicht mehr auf der Webseite von JTL beworben. Allerdings bietet Modern Solution weiterhin Dienstleistungen rund um das Warenwirtschaftssystem von JTL an.

Die E-Zigaretten-Konkurrenz

Im Unterschied zu Modern Solution ist Fluxel, das Unternehmen von Heinle, nie ein JTL-Servicepartner gewesen. Dennoch bietet auch Fluxel seinen Unternehmenskunden neben der Einrichtung der Büro-, Telekommunikations- und Server-Infrastruktur das Hosting von Onlineshops und deren Anbindung an das JTL-Wawi an.

Insofern steht er, wie die 300 JTL-Partnerunternehmen und etliche weitere Firmen, die ähnliche Dienstleistungen erbringen, in einem Konkurrenzverhältnis zu Modern Solution. Würde er sich nicht im Auftrag seiner Kunden mit der JTL-Software und deren Anbindungen beschäftigen, hätte er das Datenleck wahrscheinlich nie entdeckt und die Sicherheitslücken stünden vermutlich bis heute offen.

"Was soll es mir bringen, einem von Hunderten Konkurrenzunternehmen zu schaden?," fragt Heinle. Selbst wenn das Unternehmen etliche Kunden verlöre, würden diese nicht automatisch zu ihm abwandern, sondern wahrscheinlich zu einem der vielen anderen Konkurrenten. Ohnehin biete Fluxel nur eine Anbindung an einen Onlineshop an: Innocigs, einem E-Zigaretten-Großhändler. Anbindungen an Plattformen wie Otto oder Check24 habe er nicht im Angebot, erklärt Heinle.

Im Unterschied zu Onlineshops mit JTL-Anbindung, bei denen es unzählige Anbieter auf dem Markt gibt, stehen Fluxel und Modern Solution mit der Innocigs-Schnittstelle in einem direkten Konkurrenzverhältnis. Heinle erklärt jedoch, dass er an der Schnittstelle kaum etwas verdiene und damit ohnehin nur die Bestellungen bei dem Großhändler abgewickelt werden könnten.

"Wenn meine Intention tatsächlich gewesen wäre, dem Unternehmen Modern Solution zu schaden, dann wäre ich doch ganz anders vorgegangen", sagt Heinle. Beispielsweise hätte er die Daten einfach ins Internet stellen und Modern Solution eben nicht vorab informieren können. Oder er hätte offener mit seiner Entdeckung umgehen und sich als sichere Alternative darstellen und vermarkten können.

Stattdessen wollte Heinle sich und sein Unternehmen eigentlich aus dem ganzen Fall heraushalten. Auch in der Presse wollte er weder seinen Namen noch den seines Unternehmens lesen. Dass die Informationen nun dennoch öffentlich sind, liegt vor allem an der Stellungnahme von Modern Solution, in der Heinles voller Name und das Unternehmen Fluxel genannt werden. Beide waren Golem.de bereits vorher bekannt, doch auf Heinles Wunsch hin wurden sie in unserer bisherigen Berichterstattung nicht genannt.

Anlass der Berichterstattung und der Datenschutz-Kritik an Modern Solution waren darüber hinaus auch weniger die Bestellungen von Unternehmen bei Großhändlern wie Innocigs, sondern die von Privatkunden getätigten Bestellungen bei den Händlern über Plattformen wie Otto oder Check24.

Otto erhöht technische Anforderungen nach Datenleck bei Modern Solution

Auf Nachfrage von Golem.de erklärte Otto, dass man seit dem Vorfall nicht mehr mit Modern Solution zusammenarbeite. Ein Problem sei, dass Dienstleiter wie Modern Solution derzeit nur eine vertragliche Beziehung mit einem Händler hätten und Otto wiederum nur eine Beziehung mit dem Händler, erklärt Frank Surholt, Pressesprecher des Versandhauses.

"Wir haben die technischen Anforderungen seitdem stark erhöht und einen Katalog an Datensicherheitsfragen eingeführt, die jeder Dienstleister uns nun erfüllen muss", sagt Surholt. Eine Kontrolle erfolge durch vorgegebene Testfälle und die Kontrolle der Daten. Über ein bestimmtes Attribut könne man nachvollziehen, welcher Dienstleister für welchen Händler Daten sendet und welche Qualität diese hätten. So wolle man "schwarze Schafe" so früh wie möglich erkennen. Man wolle sich weiter mit dem Thema beschäftigen und gegebenenfalls weiter nachschärfen.

"Die Plattform kann sich aus meiner Sicht nicht mit dem Argument rausreden, dass sie keinen direkt Vertrag mit dem Dienstleister haben", sagte der Datenschutzexperte und ehemalige Datenschutzbeauftragte von Schleswig-Holstein Thilo Weichert der ARD. Es komme jedoch nicht auf eine vertragliche Situation an, sondern darauf, wie die tatsächliche Datenverarbeitung stattfinde. Da Plattform und Händler gemeinsam die Mittel und Zwecke der Datenverarbeitung festlegten, stünden sie auch beide in der Pflicht, die Betroffenen zu informieren, betont Weichert.

Dass es auch anders gehe, zeigten beispielsweise Ebay und Amazon, sagt Steier. Im Unterschied zu den deutschen Plattformen würden diese ihre Schnittstellen erst nach einem Audit für externe Software freigeben. Zudem gebe es laufende Kontrollen. So etwas wünscht sich Steier auch von den deutschen Online-Handelsplattformen, die sich bisher jedoch aus der Verantwortung stehlen würden.

Klage von Modern Solution läuft weiter

Das von Modern Solution initiierte Verfahren gegen Heinle und Steier läuft derweil weiter und ein Gericht muss über den Vorfall entscheiden. Heinle wird das Ausspähen von Daten nach dem sogenannten Hackerparagraphen vorgeworfen, wie es auch die Sicherheitsforscherin Lilith Wittmann nach dem Aufdecken einer Sicherheitslücke in einer App der CDU getroffen hatte. Der Paragraph wird schon lange kritisiert, weil er die Arbeit von Sicherheitsforschern und das verantwortliche Melden von Sicherheitslücken kriminalisiert.

"Im Nachgang hätte ich doch ein paar Dinge anders gemacht", sagt Heinle und spielt auf das Pseudonym und die recht kurze Reaktionsfrist für Modern Solution an. "Aber aus ethischer Sicht haben wir uns nichts zuschulden kommen lassen." Man habe nach den Grundsätzen des Responsible Disclosure gearbeitet, betont Heinle.

"Man kann gerne darüber diskutieren, ob ich zu schnell gehandelt habe", sagt auch Steier. Ihm sei es aber nie darum gegangen, Modern Solution zu schaden. Im Gegenteil: Die Motivation der schnellen Berichterstattung sei gewesen, dass die Händler zügig informiert und dass nichts unter den Tisch gekehrt würde. Dabei sei jedoch genau das eingetreten, was er befürchtet habe: Weder seien die Händler umfassend informiert worden, noch hätten die meisten Kunden jenseits von der Medienberichterstattung etwas von dem Datenleck gehört.

"Die haben gegen 10 Uhr ihre Server abgedreht und keinem Händler Bescheid gesagt", sagt Steier. "Das muss man sich mal vorstellen. In ihrer Stellungnahme haben sie dann meine Berichterstattung für etliche Anrufe der Kunden verantwortlich gemacht." Erst am späten Nachmittag habe Modern Solution eine Info an die Händler herausgegeben, die obendrein auch noch fehlerhaft gewesen sei, denn es sei nur ein Teil der vom Datenleck betroffenen Daten genannt worden. Später habe die Firma einen fehlerhaften Hotfix herausgebracht.

Betroffene können selbst prüfen, ob sie im Datenleck sind

Seit Kurzem können potenziell Betroffene über Steiers Webseite prüfen, ob ihre Daten im Leck enthalten waren. Für einen Abgleich müssen Vorname, Nachname und Postleitzahl in ein Formular eingetragen werden. Diese werden noch im Browser in einen MD5-Hash umgewandelt. Auch der Server selbst kennt nur die Hashes der Betroffenen und vergleicht diese. Gibt es den gleichen Hash auch in der Datenbank, ist die Person betroffen, gibt es ihn nicht, ist die Person nicht Teil des Datenlecks.

Nochmal würde Heinle jedoch keine Sicherheitslücke bei Modern Solution melden. "Ich habe wirklich keine Lust auf ein weiteres Verfahren", sagt Heinle. Auch viele andere Sicherheitsforscher dürfte das Verhalten von Modern Solution abschrecken. Im Zweifel bleiben Sicherheitslücken nun entweder unentdeckt oder werden nicht gemeldet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Eine triviale Sicherheitslücke führt zum Datenleck
  1.  
  2. 1
  3. 2
  4. 3
Verwandte Artikel
artikel-bild
Nach Datenleck bei Modern Solution
Hausdurchsuchung statt Dankeschön
artikel-bild
Versandhaus
Otto zeigte Bestellungen von anderen Kunden an
artikel-bild
Vergleich nach Datenleck
T-Mobile US will Nutzern 350 Millionen US-Dollar zahlen
Meistgelesen
artikel-bild
KI im Programmierertest
Kann GPT-4 wirklich Code schreiben?
artikel-bild
Reddit
Stundenlanger Ausfall, weil niemand mehr den Code kennt
artikel-bild
Mysteriöses Start-up
Atomic Semi will Chips einfacher und günstiger herstellen
Kommentarübersicht
Re: Was ist das für ein unprofessioneller Haufen?!
golum1321 05. Feb 2022

So sieht es aus. Wer so einen Schrott betreibt und nicht nur hofft damit durchzukommen...

Re: Im Heiseforum hat
golum1321 05. Feb 2022

Hier doch auch. Wer immer hier von 'ach, Fehler passieren' schwadroniert und den...

Re: Peinlich
golum1321 05. Feb 2022

Nochmal Bullshit, Inkompetenz ist Inkompetenz und Dinge unter den Teppich kehren und die...

Re: Wer Modern Solutions jetzt nicht rauswirft
golum1321 05. Feb 2022

Sorry, aber dass trifft in diesem Fall nicht zu! Die Fehler in der Programmierung sind...

Aktuell auf der Startseite von Golem.de
Nachfolger von CS GO
Counter-Strike 2 ist geleakt

Eigentlich steht CS 2 bisher nur ausgewählten Personen zur Verfügung. Eine davon hat die Spieldateien aber offenbar ins Internet hochgeladen.

Nachfolger von CS GO: Counter-Strike 2 ist geleakt
Artikel
  1. SAP Event Mesh: Eventbasierte Anwendungen in der SAP-Welt
    SAP Event Mesh
    Eventbasierte Anwendungen in der SAP-Welt

    Eventbasierte Architektur in SAP-Systemen, ganz ohne Vendor Lock-in: Der Service SAP Event Mesh ist attraktiv, hat aber auch seine Grenzen.
    Ein Deep Dive von Volker Buzek

  2. Kriminalität: Polizei nutzt Airtag zur Überwachung
    Kriminalität
    Polizei nutzt Airtag zur Überwachung

    Die US-Polizei hat einen Airtag in einem abgefangenen Paket versteckt, um mutmaßliche Drogenhändler zu überführen.

  3. KI im Programmierertest: Kann GPT-4 wirklich Code schreiben?
    KI im Programmierertest
    Kann GPT-4 wirklich Code schreiben?

    GPT-4 kann gut einfachen Code schreiben. Meine Tests mit schwierigeren Pfadfindungs- und Kollisionsalgorithmen hat es nicht bestanden. Und statt das einzugestehen, hat es lieber geraten.
    Ein Erfahrungsbericht von Tyler Glaiel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Cyberport Jubiläums-Deals • MindStar: Gigabyte RTX 4080 OC 1.229€ • Nur noch heute: 38GB Allnet-Flat 12,99€/M. • NBB Black Weeks • Crucial SSD 1TB/2TB (PS5) bis -50% • Amazon Smart TVs ab 189€ • Nintendo Switch + Spiel + Goodie 288€ • PS5 + RE4 569€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /