Plattformen ziehen sich aus der Affäre, die Klage läuft weiter

Die von Modern Solution entwickelte Software Moso-Connect verbindet das Warenwirtschaftssystem (Wawi) von JTL, mit dem Händler ihre Waren organisieren können, mit Online-Marktplätzen. Bis zum Datenleck war Modern Solution ein JTL-Servicepartner und wurde dort auch aktiv beworben. Insgesamt gibt es über 300 solcher Partnerunternehmen, welche die Software beispielsweise durch Plugins erweitern und so mit Handelsplattformen wie Amazon, Otto oder Ebay verbinden, aber auch den Versand abwickeln.

Stellenmarkt
  1. (Senior) Software Developer (m/w/d)
    STABILO International GmbH, Heroldsberg
  2. Junior IT Business Consultant (w/m/d)
    Banijay Germany GmbH, Köln-Mülheim
Detailsuche

"Um Servicepartner zu werden, müssen Interessenten ein Auswahlverfahren bei uns durchlaufen. Nur etwa jeder vierte Antrag auf eine Servicepartnerschaft ist erfolgreich", erklärt ein JTL-Sprecher auf Nachfrage von Golem.de. "Soweit uns bekannt ist, entstand das Datenleck [bei Modern Solution] durch unzureichende Programmierung." Allerdings könne man den Quellcode der Partnerunternehmen nicht prüfen.

Doch um die Sicherheitslücke bei Modern Solution zu entdecken, hätte es nicht einmal einer umfangreichen Prüfung der Software bedurft. "Da bewirbt man erst eine Software, ohne sie zu prüfen und dann lässt man die Händler im Regen stehen," sagt Steier.

Die Geschäftsbeziehung mit Modern Solution wurde nach Angaben von JTL jedoch eingestellt. Die Software wird auch nicht mehr auf der Webseite von JTL beworben. Allerdings bietet Modern Solution weiterhin Dienstleistungen rund um das Warenwirtschaftssystem von JTL an.

Die E-Zigaretten-Konkurrenz

Golem Akademie
  1. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    18.-20.07.2022, Virtuell
  2. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    29./30.06.2022, virtuell
Weitere IT-Trainings

Im Unterschied zu Modern Solution ist Fluxel, das Unternehmen von Heinle, nie ein JTL-Servicepartner gewesen. Dennoch bietet auch Fluxel seinen Unternehmenskunden neben der Einrichtung der Büro-, Telekommunikations- und Server-Infrastruktur das Hosting von Onlineshops und deren Anbindung an das JTL-Wawi an.

Insofern steht er, wie die 300 JTL-Partnerunternehmen und etliche weitere Firmen, die ähnliche Dienstleistungen erbringen, in einem Konkurrenzverhältnis zu Modern Solution. Würde er sich nicht im Auftrag seiner Kunden mit der JTL-Software und deren Anbindungen beschäftigen, hätte er das Datenleck wahrscheinlich nie entdeckt und die Sicherheitslücken stünden vermutlich bis heute offen.

"Was soll es mir bringen, einem von Hunderten Konkurrenzunternehmen zu schaden?," fragt Heinle. Selbst wenn das Unternehmen etliche Kunden verlöre, würden diese nicht automatisch zu ihm abwandern, sondern wahrscheinlich zu einem der vielen anderen Konkurrenten. Ohnehin biete Fluxel nur eine Anbindung an einen Onlineshop an: Innocigs, einem E-Zigaretten-Großhändler. Anbindungen an Plattformen wie Otto oder Check24 habe er nicht im Angebot, erklärt Heinle.

Im Unterschied zu Onlineshops mit JTL-Anbindung, bei denen es unzählige Anbieter auf dem Markt gibt, stehen Fluxel und Modern Solution mit der Innocigs-Schnittstelle in einem direkten Konkurrenzverhältnis. Heinle erklärt jedoch, dass er an der Schnittstelle kaum etwas verdiene und damit ohnehin nur die Bestellungen bei dem Großhändler abgewickelt werden könnten.

"Wenn meine Intention tatsächlich gewesen wäre, dem Unternehmen Modern Solution zu schaden, dann wäre ich doch ganz anders vorgegangen", sagt Heinle. Beispielsweise hätte er die Daten einfach ins Internet stellen und Modern Solution eben nicht vorab informieren können. Oder er hätte offener mit seiner Entdeckung umgehen und sich als sichere Alternative darstellen und vermarkten können.

Stattdessen wollte Heinle sich und sein Unternehmen eigentlich aus dem ganzen Fall heraushalten. Auch in der Presse wollte er weder seinen Namen noch den seines Unternehmens lesen. Dass die Informationen nun dennoch öffentlich sind, liegt vor allem an der Stellungnahme von Modern Solution, in der Heinles voller Name und das Unternehmen Fluxel genannt werden. Beide waren Golem.de bereits vorher bekannt, doch auf Heinles Wunsch hin wurden sie in unserer bisherigen Berichterstattung nicht genannt.

Anlass der Berichterstattung und der Datenschutz-Kritik an Modern Solution waren darüber hinaus auch weniger die Bestellungen von Unternehmen bei Großhändlern wie Innocigs, sondern die von Privatkunden getätigten Bestellungen bei den Händlern über Plattformen wie Otto oder Check24.

Otto erhöht technische Anforderungen nach Datenleck bei Modern Solution

Auf Nachfrage von Golem.de erklärte Otto, dass man seit dem Vorfall nicht mehr mit Modern Solution zusammenarbeite. Ein Problem sei, dass Dienstleiter wie Modern Solution derzeit nur eine vertragliche Beziehung mit einem Händler hätten und Otto wiederum nur eine Beziehung mit dem Händler, erklärt Frank Surholt, Pressesprecher des Versandhauses.

"Wir haben die technischen Anforderungen seitdem stark erhöht und einen Katalog an Datensicherheitsfragen eingeführt, die jeder Dienstleister uns nun erfüllen muss", sagt Surholt. Eine Kontrolle erfolge durch vorgegebene Testfälle und die Kontrolle der Daten. Über ein bestimmtes Attribut könne man nachvollziehen, welcher Dienstleister für welchen Händler Daten sendet und welche Qualität diese hätten. So wolle man "schwarze Schafe" so früh wie möglich erkennen. Man wolle sich weiter mit dem Thema beschäftigen und gegebenenfalls weiter nachschärfen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

"Die Plattform kann sich aus meiner Sicht nicht mit dem Argument rausreden, dass sie keinen direkt Vertrag mit dem Dienstleister haben", sagte der Datenschutzexperte und ehemalige Datenschutzbeauftragte von Schleswig-Holstein Thilo Weichert der ARD. Es komme jedoch nicht auf eine vertragliche Situation an, sondern darauf, wie die tatsächliche Datenverarbeitung stattfinde. Da Plattform und Händler gemeinsam die Mittel und Zwecke der Datenverarbeitung festlegten, stünden sie auch beide in der Pflicht, die Betroffenen zu informieren, betont Weichert.

Dass es auch anders gehe, zeigten beispielsweise Ebay und Amazon, sagt Steier. Im Unterschied zu den deutschen Plattformen würden diese ihre Schnittstellen erst nach einem Audit für externe Software freigeben. Zudem gebe es laufende Kontrollen. So etwas wünscht sich Steier auch von den deutschen Online-Handelsplattformen, die sich bisher jedoch aus der Verantwortung stehlen würden.

Klage von Modern Solution läuft weiter

Das von Modern Solution initiierte Verfahren gegen Heinle und Steier läuft derweil weiter und ein Gericht muss über den Vorfall entscheiden. Heinle wird das Ausspähen von Daten nach dem sogenannten Hackerparagraphen vorgeworfen, wie es auch die Sicherheitsforscherin Lilith Wittmann nach dem Aufdecken einer Sicherheitslücke in einer App der CDU getroffen hatte. Der Paragraph wird schon lange kritisiert, weil er die Arbeit von Sicherheitsforschern und das verantwortliche Melden von Sicherheitslücken kriminalisiert.

"Im Nachgang hätte ich doch ein paar Dinge anders gemacht", sagt Heinle und spielt auf das Pseudonym und die recht kurze Reaktionsfrist für Modern Solution an. "Aber aus ethischer Sicht haben wir uns nichts zuschulden kommen lassen." Man habe nach den Grundsätzen des Responsible Disclosure gearbeitet, betont Heinle.

"Man kann gerne darüber diskutieren, ob ich zu schnell gehandelt habe", sagt auch Steier. Ihm sei es aber nie darum gegangen, Modern Solution zu schaden. Im Gegenteil: Die Motivation der schnellen Berichterstattung sei gewesen, dass die Händler zügig informiert und dass nichts unter den Tisch gekehrt würde. Dabei sei jedoch genau das eingetreten, was er befürchtet habe: Weder seien die Händler umfassend informiert worden, noch hätten die meisten Kunden jenseits von der Medienberichterstattung etwas von dem Datenleck gehört.

"Die haben gegen 10 Uhr ihre Server abgedreht und keinem Händler Bescheid gesagt", sagt Steier. "Das muss man sich mal vorstellen. In ihrer Stellungnahme haben sie dann meine Berichterstattung für etliche Anrufe der Kunden verantwortlich gemacht." Erst am späten Nachmittag habe Modern Solution eine Info an die Händler herausgegeben, die obendrein auch noch fehlerhaft gewesen sei, denn es sei nur ein Teil der vom Datenleck betroffenen Daten genannt worden. Später habe die Firma einen fehlerhaften Hotfix herausgebracht.

Betroffene können selbst prüfen, ob sie im Datenleck sind

Seit Kurzem können potenziell Betroffene über Steiers Webseite prüfen, ob ihre Daten im Leck enthalten waren. Für einen Abgleich müssen Vorname, Nachname und Postleitzahl in ein Formular eingetragen werden. Diese werden noch im Browser in einen MD5-Hash umgewandelt. Auch der Server selbst kennt nur die Hashes der Betroffenen und vergleicht diese. Gibt es den gleichen Hash auch in der Datenbank, ist die Person betroffen, gibt es ihn nicht, ist die Person nicht Teil des Datenlecks.

Nochmal würde Heinle jedoch keine Sicherheitslücke bei Modern Solution melden. "Ich habe wirklich keine Lust auf ein weiteres Verfahren", sagt Heinle. Auch viele andere Sicherheitsforscher dürfte das Verhalten von Modern Solution abschrecken. Im Zweifel bleiben Sicherheitslücken nun entweder unentdeckt oder werden nicht gemeldet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Eine triviale Sicherheitslücke führt zum Datenleck
  1.  
  2. 1
  3. 2
  4. 3


golum1321 05. Feb 2022

So sieht es aus. Wer so einen Schrott betreibt und nicht nur hofft damit durchzukommen...

golum1321 05. Feb 2022

Hier doch auch. Wer immer hier von 'ach, Fehler passieren' schwadroniert und den...

golum1321 05. Feb 2022

Nochmal Bullshit, Inkompetenz ist Inkompetenz und Dinge unter den Teppich kehren und die...

golum1321 05. Feb 2022

Sorry, aber dass trifft in diesem Fall nicht zu! Die Fehler in der Programmierung sind...



Aktuell auf der Startseite von Golem.de
Strange New Worlds Folge 1 bis 3
Star Trek - The Latest Generation

Strange New Worlds kehrt zu episodenhaften Geschichten zurück und will damit Star-Trek-Fans alter Schule abholen. Das gelingt mit Bravour. Achtung, Spoiler!
Eine Rezension von Oliver Nickel

Strange New Worlds Folge 1 bis 3: Star Trek - The Latest Generation
Artikel
  1. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

  2. Flowcamper: Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt
    Flowcamper
    Elektro-Wohnmobil Frieda Volt auf VW-Basis vorgestellt

    Das elektrische Wohnmobil Frieda Volt basiert auf einem umgebauten Volkswagen T5 oder T6 und ist mit einem 72-kWh-Akku ausgerüstet.

  3. Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
    Cariad
    Aufsichtsrat greift bei VWs Softwareentwicklung durch

    Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 614€ • Crucial P5 Plus 2 TB 229,99€ • Preis-Tipp: Kingston NV1 2 TB 129,90€ • AVM FRITZ!Repeater 1200 AX 69€ • MindStar (u. a. Palit RTX 3050 339€) • MMOGA (u. a. Total War Warhammer 3 29,49€) [Werbung]
    •  /