Damals bei Heise habe ich eine Handvoll Editorials in der c’t verfasst. Sowohl als c’t- wie auch als heise online-Redakteur ist es allerdings nie dazu gekommen, dass ich auch mal ein Editorial für die iX, das andere Magazin von Heise, geschrieben habe. Das hat sich diesen Monat, fünf Jahre nach meiner Zeit bei Heise, endlich geändert. In der aktuellen iX findet sich nämlich ein Editorial von mir zum Thema Modern Solution.

→ Deutsche Justiz: Verloren im Neuland, iX 3/2024, S. 3

heise online hat gerade einen zweiten Kommentar von mir zur Causa Modern Solution veröffentlicht:

→ Kommentar zu Modern Solution: Der Hackerparagraf muss endlich weg!

Das Modern-Solution-Verfahren ist nur eins in einer langen Reihe von Fehltritten der deutschen Justiz, wenn es um Digitalpolitik geht.

Mein erster Kommentar bei heise online zu dem Thema ist vom Oktober 2021.

Eine aktuelle Meldung von mir bei heise online zum Thema Modern Solution:

→ Gericht sieht Nutzung von Klartext-Passwörtern als Hacken an

Der Programmierer, der eine gravierende Lücke in der Software der Firma Modern Solution aufgedeckt hat, fällt unter den Hackerparagrafen, meint das Gericht.

Dazu hatte ich auch in der Vergangenheit mehrmals was geschrieben. Unter anderem am 20. Oktober 2021, 5. November 2021 und 16. Juni 2023.

Anmerkung: Die Meldung ist übrigens auch bei Fefe gelandet.

Ihr könnt euch vielleicht noch an die Modern-Solution-Geschichte von vor knapp zwei Jahren erinnern. Die, wo eine Firma einen Sicherheitsforscher angezeigt hat, weil der eine Schwachstelle in ihrer Software gefunden hat? Letzte Woche habe ich dazu eine weitere Meldung bei heise online mit neuen Entwicklungen in dem Fall geschrieben:

→ Modern Solution: Staatsanwaltschaft scheitert mit Anklage gegen IT-Experten

Ich habe heute für heise online über das Urteil im Cyberbunker-Prozess geschrieben, schließlich war ich ja schon beim Prozess-Auftakt vor Ort:

• Cyberbunker: Betreiber als “kriminelle Vereinigung” zu Haftstrafen verurteilt

heise online hat gerade eine exklusive Recherche von mir im Fall Modern Solution veröffentlicht:

• Datenleck: Anzeige gegen IT-Experte kam von Modern Solution

Da drin bestätige ich zum ersten Mal auf Grund von Fakten die (bisherige) Vermutung, Modern Solution habe den unfreiwilligen Sicherheitsforscher angezeigt. Das haben die tatsächlich gemacht. Also gab es statt Belohnung fürs Finden und Melden einer heftigen Sicherheitslücke eine Durchsuchung und Beschlagnahmung aller Arbeitsgegenstände.

Es ist zum Teil hanebüchen, was diese Firma der Polizei da erzählt hat. Und auch wie lange es vom ersten Verdacht zur Durchsuchung gedauert hat – trotz mehrmaligem Aktenvermerk eilt! – ist grotesk. Man stelle sich nur einmal vor, die Ermittler hätten es hier mit einem wirklich bösartigen Hacker zu tun gehabt. Einer, der seine Spuren vielleicht verwischt, anstatt der Polizei noch nach Monaten freiwillig Zugang zu seinem Computer zu gewähren.

Ich wüsste wirklich zu gern, was in den Köpfen dieser Geschäftsführer, Richter und Staatsanwälte so vorgeht.

Golem hatte vergangene Woche diese Geschichte gebracht. Ich bekam von Heise den Auftrag, das mal zu recherchieren. Also habe ich meine Fühler ausgestreckt. Mit der Polizei Aachen, der Staatsanwaltschaft Köln und ein paar anderen Quellen geredet. Heraus kam diese Geschichte bei heise online:

• Datenleck bei Modern Solution: Hausdurchsuchung statt Bug Bounty

Weil mich das ganze so aufgeregt hat, hab ich dann heute diesen Kommentar nachgeschoben:

• Kommentar zu Modern Solution: Der Staat darf kein Handlanger von Stümpern sein

Zwischenzeitlich musste ich mich dann noch im Heise-Forum verteidigen. Da meinte nämlich ein offensichtlicher Insider die Schuld weit von sich weisen zu müssen, was ich nicht auf mir sitzen lassen wollte. Daraufhin legte der Insider nach, wahrscheinlich um ein für alle mal zu beweisen, warum richtige Firmen eine Presseabteilung haben. Ich hab dann das hier gepostet, wofür ich gleich zweimal ungeahntes Lob bekam.

Jeder macht Fehler. Aber wenn man Fehler nicht zugibt und stattdessen versucht, Menschen, die das Richtige tun, in den Knast zu bringen und dann auch noch auf ihnen und der Presse rumhackt, dann regt mich das auf. Der Staat darf ein solches Verhalten auf keinen Fall unterstützen. Auch nicht unfreiwillig.

Ich schreibe momentan wieder verstärkt für heise Security. Hier sind meine Meldungen aus der letzten Woche:

• Microsoft Digital Defense Report: Im Westen nichts Neues
• Brückenbau: LAN-Kabel als Antenne überwindet Air-Gaps
• Google wappnet Hochrisiko-Nutzer gegen Phishing-Welle aus Russland
• Hackerfreundliche Gesetze: Pariser Verein will Sicherheitsforscher schützen
• Schlimmer als Google: Welche Daten alternative Android-Hersteller sammeln

Ganz wichtiger Kommentar von Jürgen Schmidt (meinem ehemaligen Chef) bei heise Security:

• Kommentar zu Attributionen: IT-Sicherheit darf kein Propagandawerkzeug sein