Eine Datenpanne beim deutschen Payment Service-Provider Novalnet führte dazu, dass unter gewissen Voraussetzungen der Zugriff auf Transaktionsdaten von zehntausenden Online Shoppern ohne jegliche Eingabe von Passwörtern möglich war. Aus den Daten soll nicht ersichtlich sein, welche Produkte gekauft wurden, jedoch seien Namen und Adressen von Käufern sowie den jeweiligen Webshops einsehbar.
Davon betroffen sind laut Computer Bild Artikel etwa 700 bis 800 kleinere Webshops in Deutschland sowie 20 bis 25 Shops in Österreich. Seit wann der Fehler besteht, konnte nicht nachvollzogen werden. Die Transaktionsdaten sollen bis 2007 zurückreichen. Der Fehler soll inzwischen behoben worden sein, eine offizielle Stellungnahme von Novalnet gibt es dazu bislang aber nicht. Auch auf der Novalnet Website ist dazu keine Information verfügbar.
Der Entdecker der Sicherheitslücke, der Webshop Betreiber Benjamin Weiss, behauptet, dass es sich dabei um eine Zufallsentdeckung handelt. Er habe in seiner Zugriffstatistik geprüft woher die Besucher seines Online Shops stammen. Darunter fand er einen Host von Novalnet, der einen ungewöhnlich langen Referrer URL String zeigte. Darin enthalten waren Benutzername und Passwort für einen Bereich des Novalnet Backoffices. Er folgte dem Link und landete in einem Frontend, dass eigentlich vor fremden Zugriffen geschützt hätte sein sollen.
Man kann davon ausgehen, dass alle Novalnet Kunden in ihren Zugriffstatistiken ähnliche Referrer Strings inklusive Zugangsdaten finden konnten.
Die Zeitschrift Computer Bild, die zuerst über die Panne berichtet hatte, befragte Rechtsanwalt Christian Solmecke zur rechtlichen Situation:
Quelle: Computer Bild, Futurezone
Davon betroffen sind laut Computer Bild Artikel etwa 700 bis 800 kleinere Webshops in Deutschland sowie 20 bis 25 Shops in Österreich. Seit wann der Fehler besteht, konnte nicht nachvollzogen werden. Die Transaktionsdaten sollen bis 2007 zurückreichen. Der Fehler soll inzwischen behoben worden sein, eine offizielle Stellungnahme von Novalnet gibt es dazu bislang aber nicht. Auch auf der Novalnet Website ist dazu keine Information verfügbar.
Der Entdecker der Sicherheitslücke, der Webshop Betreiber Benjamin Weiss, behauptet, dass es sich dabei um eine Zufallsentdeckung handelt. Er habe in seiner Zugriffstatistik geprüft woher die Besucher seines Online Shops stammen. Darunter fand er einen Host von Novalnet, der einen ungewöhnlich langen Referrer URL String zeigte. Darin enthalten waren Benutzername und Passwort für einen Bereich des Novalnet Backoffices. Er folgte dem Link und landete in einem Frontend, dass eigentlich vor fremden Zugriffen geschützt hätte sein sollen.
Man kann davon ausgehen, dass alle Novalnet Kunden in ihren Zugriffstatistiken ähnliche Referrer Strings inklusive Zugangsdaten finden konnten.
Die Zeitschrift Computer Bild, die zuerst über die Panne berichtet hatte, befragte Rechtsanwalt Christian Solmecke zur rechtlichen Situation:
Wenn Nutzer zufällig auf eine Sicherheitslücke stoßen: Wie haben sie sich zu verhalten?
Eine rechtliche Norm, die ihn verpflichten würde, die entdeckte Sicherheitslücke zu melden, gibt es nicht. Es sollte jedoch aus moralischer Sicht selbstverständlich sein, eine solch gravierende Sicherheitslücke dem betroffenen Unternehmen umgehend zu melden.
Wenn ein Nutzer durch eine Sicherheitslücke in ein Firmennetzwerk eindringt – darf er sich umsehen?
Aus rechtlicher Sicht ist das „Schnüffeln“ nicht strafbar, zumal wenn rein zufällig der Zugang zum System entdeckt wurde. Anders sähe es aus, wenn eine Zugangssicherung überwunden würde, um unberechtigt Daten zu erlangen. Dann käme eine Strafbarkeit nach § 202a StGB in Betracht. Dafür drohen bis zu drei Jahre Freiheitsstrafe.
Wie sieht die Sachlage aus, wenn ein Nutzer im Firmennetzwerk mutwillig Daten ändern würde?
Dann macht er sich strafbar. Hier käme zunächst eine Strafbarkeit wegen Datenveränderung nach § 303a StGB in Betracht. Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
Quelle: Computer Bild, Futurezone