Da staunte Thomas Lohninger von epicenter.works nicht schlecht, als er im Dezember 2022 erfuhr, dass die Staatsanwaltschaft mit Ermächtigung des österreichischen Gesundheitsministers seit einem Jahr gegen ihn wegen angeblichen Hackings ermittelte. Die Datenschutz-NGO hatte zusammen mit der österreichischen Tageszeitung „Der Standard“ eine Sicherheitslücke im Epidemiologischen Meldesystems aufgedeckt und diese vor Veröffentlichung nach den Prinzipien des responsible disclosure dem Gesundheitsministerium mitgeteilt, damit dieses sie schließen konnte.
Die gemeinsame Recherche hatte ein schwerwiegendes Sicherheitsproblem in Österreichs zentralem Meldesystem für Corona-Daten festgestellt: Demnach wäre es für Unbefugte möglich gewesen, personenbezogene Daten abzufragen und falsche Laborergebnisse einzuspielen. Der Zugriff auf die Schnittstelle zum Epidemiologischen Meldesystem (EMS) war durch ein nicht-personalisiertes Zertifikat möglich. Wer ein solches Zertifikat hatte, konnte auf das System zugreifen. Insgesamt waren laut der Recherche mehr als 225 solcher Zertifikate im Umlauf, mindestens eines davon lief auf eine Labor-Firma, die schon seit mehreren Monaten nicht mehr dazu berechtigt hätte sein sollen. Es gab keine Bindung auf IP-Adressen von Laboren, welche den Zugriff begrenzt hätte.
Ermächtigung im Namen des Ministers
Nachdem Standard und epicenter.works sich beim von den Grünen geführten Gesundheitsministerium gemeldet hatten, schloss dieses die Lücke vor Veröffentlichung der Berichte am 16. Dezember. Eine Woche später stellten nach Angabe von epicenter.works jedoch zwei hochrangige Beamte aus dem Gesundheitsministerium Anzeige wegen § 118a StGB (Widerrechtlicher Zugriff auf ein Computersystem) und ermächtigten so die Strafverfolgung gegen die NGO im Namen des damaligen Ministers. Das Delikt kann bei einer Verurteilung mit bis zu drei Jahren Haft bestraft werden.
Erst ein Jahr später erfährt die Datenschutzorganisation, dass gegen sie ermittelt wird. Sie wendet sich an den Nachfolger des Gesundheitsministers, beschwert sich per Brief (PDF), fordert die Rücknahme der Ermächtigung – und erhält keine Antwort. Erst ein gutes Jahr später, Mitte Februar 2024, wird das Verfahren dann endlich eingestellt. Es dauerte unter anderem so lange, weil das Verfahren mit einem weiteren juristischen Verfahren gegen den Verursacher der Sicherheitslücke verknüpft war und deswegen jeder Schritt berichtspflichtig war.
Lohninger hält eine politische Motivation der Anzeige nicht für ausgeschlossen. Der Verein habe in der Covid-Pandemie eine Vielzahl an Sicherheitslücken und Datenschutzproblemen im Gesundheitsbereich aufgezeigt. „Wir fragen uns, ob die Anzeige gegen uns damit zu tun hat“, so Lohninger gegenüber netzpolitik.org.
Der Vorstand der Datenschutz-NGO weiter:
Es ist alarmierend, dass über zwei Jahre gegen uns als Datenschutzorganisation ermittelt wird, obwohl wir nur unseren Job als Public Watchdog gemacht haben. Anstatt uns um den Schutz der Daten der Bevölkerung zu kümmern und wie bisher Sicherheitslücken den Verantwortlichen zu melden, waren auch wir mit der Strafverfolgung gegen uns abgelenkt.
Im Gesundheitsministerium wehrt man sich gegen diesen Vorwurf. Eine Sprecherin sagt gegenüber netzpolitik.org, dass das Ministerium zur Anzeige verpflichtet gewesen sei, deswegen habe es die Ermächtigung auch nicht später zurücknehmen können. „Selbstverständlich gab es kein Motiv, die Arbeit von epicenter.works zu behindern“, so die Sprecherin weiter. „Kontrolle ist wichtig in unserer Demokratie. Das gilt vor allem, wenn es um den Schutz von Gesundheitsdaten geht. NGOs wie epicenter.works leisten mit ihrer Arbeit hierfür einen wichtigen Beitrag.“
Die warmen Worte helfen der Datenschutzorganisation im Nachhinein nur wenig, ihr sind im Verfahren für interne Bearbeitung und juristische Beratung fast 15.000 Euro Kosten entstanden, von denen die Anwaltskosten immerhin von der Rechtsschutzversicherung übernommen wurden.
Änderungen im Hackerparagraf gefordert
Doch auch politisch ist der Fall ein Problem. Epicenter spricht von einer „abschreckenden Wirkung“ auf alle Sicherheitsforscher:innen und NGOs, die ähnliche Sicherheitslücken den Verantwortlichen aus Angst vor Strafverfolgung vermutlich nicht mehr melden werden. „Moralisch richtiges Handeln wird nach derzeitiger Rechtslage bestraft, was uns alle unsicherer macht“, sagt Lohninger.
Die Bürgerrechtsorganisation fordert nicht erst seit dem Verfahren gegen sich selbst, im Hackerparagrafen „eine explizite gesetzliche Ausnahme für den verantwortlichen Umgang mit Sicherheitslücken zu schaffen“, die dann unter gewissen Voraussetzungen immer straffrei bleiben soll. In einem Hintergrundpapier (PDF) hat sie die Gründe dafür dargelegt.
Offenlegung:
Thomas Lohninger hat in der Vergangenheit Artikel bei netzpolitik.org geschrieben.
Warum zeigt Ihr die uniformiuerten Täter nicht einfach an?
Spätestens der EUGh wird Österreichs Rechtsextreme züchtigen.
Ich habe leider sachdienliche Hinweise zum Grundrechtsverständniss des EUGhs. Denn die sind heute bezüglich Vorratsdatenspeicherung umgefallen und haben somit eine mögliche Anonymität im (EU)Internet beendet.
https://netzpolitik.org/2024/eugh-urteil-zur-vorratsdatenspeicherung-traurige-wende-beim-schutz-der-privatsphaere/
Sehr schade, so wird auch effektiv verhindert dass ein schlauer IT-Sicherheitsforscher auf die Idee kommen könnte Lücken anonym zu melden. Das ist nun scheinbar nur noch postalisch möglich (aufpassen, Farbdrucker haben starke Implikationen auf die Anonymität https://www.heise.de/hintergrund/Kein-anonymes-Drucken-und-Kopieren-3735925.html).
Keine Angst haben Sie damals gesagt. Niemand könnte bei responsible disclosure Böswilligkeit unterstellen. Tja. Ich fühle mich **richtig** sicher.
Sicherheitslücken nicht melden, sondern stattdessen im Darknet an den Meistbietenden verkaufen. Ist notiert
Eine weniger anrüchige Alternative stellt ein Full Disclosure auf Mastodon dar mit entsprechendem Shittalking. Macht auch mehr Spaß :)
Bei solchen Klagen Frage ich mich auch wirklich was da der erwartete Outcome sein soll. Sicherheitsforscher an den Karren fahren die **gratis** für einen arbeiten?!?!? Auf so eine Idee kann man ja wirklich nur schwer kommen.
Hat jemand eine Idee was damit bezweckt werden sollte?
> Eine weniger anrüchige Alternative stellt ein Full Disclosure auf Mastodon dar mit entsprechendem Shittalking. Macht auch mehr Spaß :)
Der Blick auf eine angeschwollene bitcoin-wallet könnte mehr Befriedigung bringen.
Es gibt noch Leute die finden Lücken aus Spaß an der Freude. Und melden sie gratis um was gutes zu tun.
Derartige Verfolgung dezimiert die Anzahl jedoch erheblich.
Sollte man dies ohnehin, blackhat style, mit Gewinnabsicht machen, wird man imo zu Recht verfolgt.
Ich lache lieber auf Mastodon, als mein Gewissen mit einem verkauften Exploit zu belasten.
Produktbegriffs auf Software – Ausnahme für Open-Source-Software
https://www.europarl.europa.eu/doceo/document/TA-9-2024-0132_DE.pdf
Mit der neuen Produkthaftungsrichtlinie dehnt die Europäische Union den Produktbegriff erheblich aus. Gemäß Art. 4 Nr. 1 des Richtlinienentwurfs gelten unter anderem auch Software, digitale Produktionsunterlagen und Rohstoffe fortan als Produkt.
Ein Produkt ist gemäß Art. 7 Abs. 1 des Richtlinienentwurfs fehlerhaft, wenn es (a) entweder den Sicherheitserwartungen, die eine durchschnittliche Person an das Produkt haben darf, nicht gerecht wird oder es (b) die Sicherheitsanforderungen nach europäischem oder nationalem Recht nicht erfüllt.
Bei der Beurteilung der Fehlerhaftigkeit sind gemäß Art. 7 Abs. 2 des Richtlinienentwurfs unter anderem die Eigenschaften eines Produkts und dessen technische Funktionsfähigkeit maßgeblich. Speziell eine Software kann darüber hinaus auch wegen ausbleibender Sicherheitsupdates oder mangelnder Nutzbarkeit verbundener Dienste fehlerhaft sein.
Beachtlich ist weiter, dass der europäische Normgeber neben dem Produktbegriff auch den Schadensbegriff ausweitet. Ersatzfähig sind nach Art. 6 des Richtlinienentwurfs künftig auch immaterielle Schäden sowie Schäden, die auf einer Zerstörung oder Beschädigung von bestimmten Daten beruhen.
Öffnungsklausel für den Maximalbetrag von 85 Mio. EUR ist ersatzlos gestrichen. Betroffene Unternehmen sind dadurch im Falle eines Produktfehlers unter Umständen zu höheren Ersatzleistungen verpflichtet.
Die Mitgliedstaaten werden die Vorschriften innerhalb von 24 Monaten ab Inkrafttreten der Richtlinie umzusetzen haben, vermutlich also bis Q3/2026