So geht Deutschland technologisch den Bach runter

Die Modern-Solution-Geschichte ist durch: Vom Amtsgericht Jülich bis zum Bundesverfassungsgericht in Karlsruhe hat dieser Fall in vier Jahren alle Instanzen der deutschen Juristerei beschäftigt. Und was kam dabei herum? Ein riesiger Haufen Bockmist.

Da wird ein IT-Consultant von einem Kunden beauftragt, sich eine Software anzugucken, die rumzickt. Er findet eine Datenbankverbindung zu einem Server des Herstellers der Software und haufenweise Fehlermeldungen im Log, die darauf hindeuten, dass irgendwas mit dieser Datenbankverbindung nicht stimmt. Alles deutet darauf hin, dass die Datenbank auf dem Server spinnt. Also will er sich die Sache mal angucken. Er guckt, wie die Software denn genau die Verbindung aufbaut. Findet die Datenbankverbindung im Code und gleich daneben die Zugangsdaten. Das Passwort ist sowas wie “superfirma234”.

Der IT-Consultant macht manuell jetzt das, was die Software auch macht: Er wählt sich mit diesen Daten auf dem Server ein und verbindet sich mit einer Datenbank. Sofort fällt ihm auf, dass er nicht nur die Daten seines Kunden sehen kann, sondern auch die von allen Kunden des Softwareherstellers. Da es sich um eine E-Commerce-Middleware handelt, sind da die Adress- und Kontodaten von knapp 700.000 Online-Shoppern aus ganz Deutschland in der Datenbank. Eine krasse Sicherheitslücke! Das Passwort steht schließlich im Klartext des Programmcodes einer Software, die jeder einfach so von der Webseite des Software-Herstellers runterladen kann!

Der IT-Experte dokumentiert die Sicherheitslücke und meldet sie beim Hersteller. Der reagiert langsam und kommuniziert flapsig und unhöflich. Also schaltet der Programmierer einen Blogger ein, der im E-Commerce-Bereich in Deutschland viele Leser hat und beide üben Druck auf die Firma aus: Repariert die Sicherheitslücke umgehend, sonst veröffentlichen wir die Lücke. Da sind schließlich die Daten von 700.000 Deutschen für Jedermann zugänglich im Netz! Die Firma fixt die Lücke und weil der Blogger schließlich Arbeit in die Sache gesteckt hat, veröffentlicht er die Geschichte kurz darauf. Durchaus legitim, denn bei einer solch stümperhaft geschriebenen Software und bei der Menge der Daten von unschuldigen Dritten im Netz hat die Öffentlichkeit schließlich ein handfestes Interesse daran, zu erfahren, was genau passiert ist.

Und was macht die Firma? Eigentlich hätte man den IT-Consultant von Anfang an nett behandeln und für den Fund der Lücke belohnen sollen, dann wäre das wahrscheinlich gar nicht ans Licht der Öffentlichkeit gelangt, aber okay. Man könnte sich jetzt entschuldigen. Ach was! Natürlich nicht! Die Firma zeigt den freiberuflichen Programmierer an. Die Polizei räumt seine Wohnung aus und nimmt alle Computer, Handys und Festplatten mit. Für Jahre. Und jetzt kommt’s: Die Staatsanwaltschaft denkt wirklich, dass hier ein Verbrechen vorliegt! Also klagt man den unfreiwilligen Sicherheitsforscher auch noch an.

Zwei Jahre später landet das Ganze vor Gericht und nach weiteren zwei Jahren sind sich doch glatt das Amtsgericht Jülich, das Landgericht Aachen und das Oberlandesgericht Köln einig, dass hier eine Straftat vorlag und der IT-Experte glücklich sein kann, mit ein paar tausend Euro Strafe noch einmal dem Knast entkommen zu sein. Und das Bundesverfassungsgericht sieht keinen Grund dafür, hier irgendwas an den Gesetzen ändern zu lassen. Alles völlig logisch und gerecht.

Das ist Deutschland. Ein Land in dem die Politiker den lieben langen Tag über Fortschritt und die schöne, neue digitale Welt reden, in der in Zukunft alles besser wird und dann sehen es Staatsanwälte als Indiz einer Straftat an, wenn ein Programmierer einen Dekompilierer auf dem Rechner hat. Holy shit! Der Chefkoch dieses Restaurants hatte bei der Arbeit ein großes Messer in der Hand? Wir sehen es als erwiesen an, dass er jemanden ermorden wollte_!1einself11!_ Und Richter stimmen da auch noch zu! Da sitzt man als IT-Journalist mit einem Kompiler auf dem Linux-PC im Gerichtssaal und denkt sich: Wenn ich jetzt was dazu sage, komme ich dann auch in den Knast? Was für eine lachhafte Farce!

Unsere Bundeswehr soll im hybriden Cyber-Hyper-KI-Cyber-Krieg gegen die bösen Cyber-Russen auf Cyber-Trapp sein, aber deutsche Gerichte denken, das Auslesen eines Klartext-Passwortes, das ein Vierjähriger erraten könnte, und das darüber hinaus noch für jeden einsehbar im Klartext im Programmcode steht, stellt eine Straftat dar? Und es ist völlig egal, dass die Firma, die den armen Programmierer angezeigt hat, ihrem Kunden diesen digitalen Scheißhaufen als Produkt verkauft hat. Es ist keine legitime Entschuldigung, dass der Programmierer von dem Käufer der Scheißsoftware beauftragt war, deren Fehler zu finden und zu flicken? Da sieht sich das Bundesverfassungsgericht nicht genötigt, mal einzugreifen? Verfassungsbeschwerde ohne Begründung abgelehnt. “Diese Entscheidung ist unanfechtbar.”

Ja super. Tolle Wurst. Viel Spaß mit der digitalen Infrastruktur. Die ist nämlich schrottreif. Und die, die es besser machen wollen, denen drohen wir Knast an. Während Firmen, die sowas verbocken, noch belohnt werden. Das kann ja was geben.