Modern Solution: Hausdurchsuchung bei Programmierer, der Datenleck fand

Ein Programmierer, der eine Datenlücke in einem System von Modern Solution entdeckte und das Unternehmen darauf hinwies, wurde angezeigt. Es folgten eine Hausdurchsuchung sowie die Beschlagnahme seiner Arbeitsgeräte.

700.000 Personen betroffen

Modern Solution bietet eine Software für Unternehmen an, die ihre Produkte auf verschiedenen Marktplätzen verkaufen möchten. Angebunden werden die Unternehmen etwa an Check24 oder an Otto. Der betroffene Programmierer wurde von einem dieser Unternehmen beauftragt, ein Problem mit besagter Software zu beseitigen. Im Rahmen seiner Arbeit stellte er fest, dass die Unternehmen nicht nur die bei ihnen getätigten Bestellungen, sondern auch die Daten aller anderen Endkundinnen und -kunden, die bei einem Unternehmen, das die Modern-Solution-Software einsetzte, bestellt hatten, sehen konnten. Darüber hinaus fand er heraus, dass die für den Serverzugriff notwendigen Daten unverschlüsselt abrufbar waren.

Letztlich ließen sich alle Bestellungen seit Sommer 2018 problemlos abrufen – inklusive Name, Adresse, E-Mail-Adresse und Warenkorb. Betroffen waren rund 700.000 Personen. In mehreren tausend Fällen fand sich in den Datensätzen neben den genannten Angaben auch eine Bankverbindung. Inwieweit das Datenleck bereits vorher entdeckt und genutzt worden ist, ist nicht bekannt.

Modern Solution reagierte nicht

Der Programmierer wandte sich darauf hin zunächst an den Blogger Mark Steier und unmittelbar danach an Modern Solution. In einem Telefongespräch soll das Unternehmen die Existenz der Sicherheitslücke geleugnet haben. Weitere Kontaktaufnahmeversuche scheiterten, woraufhin Mark Steier sich an die Öffentlichkeit wandte, um auf die Gefahren für Kundinnen und Kunden sowie für die Unternehmen, die die Software nutzen, hinzuweisen.

Eine Reaktion seitens Modern Solution erfolgte erst nach Berichterstattung in etlichen Medien, unter anderem im Spiegel. Der Versandhändler Otto berichtet diesbezüglich davon, dass Modern Solution bereits zu einem Zeitpunkt, an welchem die Lücke noch bestand, vorgab, sie geschlossen zu haben. Im weiteren Verlauf verfasste das Unternehmen eine Stellungnahme, in welcher es wörtlich heißt: „Inwiefern eine Weitergabe oder weitere Nutzung dieser Daten durch den ,ethischen Hacker‘ erfolgt ist und ob es zu weiteren Zugriffen gekommen ist, ist uns derzeit nicht bekannt“ – ein deutlicher Angriff auf den Programmierer, der die Sicherheitslücke entdeckte und meldete.

Am 15. September kam es dann zu einer Hausdurchsuchung in der Firma des Betroffenen, im Rahmen derer dieser nicht nur körperlich angegangen wurde, sondern auch die Beschlagnahme seiner Arbeitsgeräte hinnehmen musste, was es ihm zunächst verunmöglichte, seiner Arbeit weiter nachzugehen. Auch heute ist die Arbeit nur eingeschränkt möglich, da der Quellcode für verschiedene Projekte, an denen er kurz vor der Durchsuchung arbeitete, weiterhin beschlagnahmt ist. Neben dem Programmierer wurde auch Mark Steier von Modern Solution angezeigt.

Um trotz der prekären Arbeitssituation, die durch die aus der Anzeige folgende Durchsuchung entstanden ist, einen Prozess gegen Modern Solution finanzieren zu können, wurde eine Fundraising-Aktion aufgesetzt, im Rahmen derer in kurzer Zeit mehr als 5.000 Euro gesammelt werden konnten. Eingesammeltes Geld, das nicht für den Prozess benötigt wird, soll der Kinderkrebshilfe gespendet werden.