Wer ist eigentlich ein Hacker? Wenn es um die Sicherheit von IT-Systemen geht, dann gibt es unterschiedliche Ansichten darüber, wann Maßnahmen zur Umgehung von Security-Schranken weitreichend genug sind, damit sich jemand diese Bezeichnung verdient. Nicht aber, wenn es um Mike Parsons, den republikanischen Gouverneur des US-Bundesstaates Missouri geht. Dessen Verwendung des Begriffs ist bislang in Fachkreisen auf universelle Ablehnung gestoßen.
Der Politiker befindet sich in einem Kleinkrieg mit einer lokalen Zeitung, dem "St. Louis Post-Dispatch". Ein Journalist des Blattes, Josh Renaud, meldete Mitte Oktober in einem Artikel ein Datenleck auf der Website der Schulbehörde (Department of Elementary and Secondary Education), über das die Sozialversicherungsnummern und andere Daten von Lehrern, Schülerberatern und Administratoren öffentlich abrufbar waren.
Die Zeitung machte dabei im Prinzip alles richtig. Man veröffentlichte den Fund nicht sofort, sondern kontaktierte die Behörde sowie die Lehrergewerkschaft und informierte sie über das Problem. Der Text wurde erst veröffentlicht, als nach der Entfernung der betroffenen Suchfunktion und Prüfung der Onlineauftritte der anderen Behörden des Bundesstaates sichergestellt war, dass von der Lücke keine Gefahr mehr ausging. Wie lange die Daten über das Schulpersonal zugänglich waren und ob sich jemand das Leck bereits zunutze gemacht hatte, ist bislang unklar.
"Werden dieses Verbrechen nicht ungestraft lassen"
Parsons könnte sich eigentlich freuen, dass durch die Entdeckung des "St. Louis Post-Dispatch" letztlich die Datensicherheit der Schulbehörde verbessert wurde. Doch seine Reaktion war ein Frontalangriff auf das Medium.
Wenige Tage nach der Veröffentlichung des Textes hielt Parsons eine Pressekonferenz ab, auf der er die Staatsanwaltschaft und die Polizei des Bundesstaates aufrief, gegen die Zeitung vorzugehen. Josh Renaud hätte die Seite gehackt und Lehrerdaten kompromittiert, um "den Bundesstaat zu blamieren und Schlagzeilen zu bekommen", behauptete er. "Wir werden dieses Verbrechen nicht ungestraft lassen." Parsons ortet einen Bruch des Gesetzes, das in Missouri den "unautorisierten Zugang zu Informationen oder Inhalten" verbietet.
Nicht nur das Medium, sondern auch Presseorganisationen und eine Reihe von Security-Experten wehrten sich gegen diese Darstellung. Er sei "dankbar" für die Arbeit seines Journalisten, erklärte der Herausgeber der Zeitung, Ian Caso, und zeigte sich "überrascht und enttäuscht" von der Reaktion des Gouverneurs. Joe Martineau, der das Medium als Anwalt vertritt, schätzte die Anschuldigungen gegenüber der "New York Times" als "unbegründet" ein. Renaud habe keine Firewall oder andere Sicherheitsmechanismen umgangen, und sein Vorgehen habe auch keinen böswilligen Zweck verfolgt.
Daten über HTML-Quellcode einsehbar
Seitens der Sicherheitsbehörden gibt man sich zurückhaltend. Die Polizei "untersucht" nach eigenen Angaben die Angelegenheit. Auch die Staatsanwaltschaft sichtet die Lage und will anschließend entscheiden, ob es überhaupt Grund für eine Klage gibt.
Laut Schilderung des "St. Louis Post-Dispatch" bedurfte es nur minimalen Aufwands, um an die Daten des Schulpersonals zu gelangen. Offenbar war es ausreichend, den HTML-Quelltext bestimmter Unterseiten anzusehen. Die fraglichen Daten sollen dort direkt eingebettet gewesen sein.
Dementsprechend sieht der Rechtsexperte Frank Bowman von der University of Missouri den Drohgebärden gegen Renaud gelassen entgegen. Der Journalist habe lediglich eine öffentlich zugängliche Website untersucht. Die Chancen, dass die Staatsanwaltschaft tatsächlich Klage erhebt, sieht er bei null. Man würde sich dort nicht "auf so eine Weise lächerlich machen", meint er.
Erstaunt zeigen sich auch manche Parteigänger von Parsons. So meint etwa IT-Experte Tony Lovasco, der für die Republikaner im Kongress von Missouri sitzt, dass der Gouverneur ein "fundamentales" Verständnisproblem in Bezug auf Webtechnologie und die Standards zur Meldung von Sicherheitslecks habe. Kritik an Parsons kommt auch von der Lehrergewerkschaft.
Gouverneur eskaliert Auseinandersetzung
Ungeachtet dessen setzt der eingeschworene Trump-Fan an der Spitze des Bundesstaates seinen Kreuzzug gegen den "St. Louis Post-Dispatch" fort. In einem bizarren Video mit dem Titel "Gouverneur Parsons zieht Fake-News zur Verantwortung" wirft er dem Journalisten vor, "im HTML-Code einer staatlichen Website herumgegraben" zu haben, als wäre die Betrachtung des Quellcodes einer Seite – was mit jedem Browser mit zwei Klicks möglich ist – ein krimineller Akt.
Und weiter: Der "Hacker" habe den HTML-Code "dekodiert" und die Sozialversicherungsnummern von drei Lehrkräften eingesehen. Parsons glaube aber an das Recht auf Privatsphäre für jeden und werde jeden vor Gericht bringen, der sich private Daten anderer aneigne. Die Zeitung habe den Artikel nur aus politischen Gründen veröffentlicht und würde sich nun hinter dem Deckmantel der Meinungsfreiheit verstecken. Finanziert wurde der Clip von Uniting Missouri, dem PAC von Parsons.
Am selben Tag beschwerte der Politiker sich auch bereits darüber, dass die Behebung des von der Zeitung aufgedeckten Problems 50 Millionen Dollar kosten werde, berichtet "Gizmodo". Diese Zahl wird allerdings nicht nur in Zweifel gezogen, der größte Teil des Aufwands entfällt auch gar nicht auf das Ausbügeln des technischen Problems, sondern auf das notwendige Monitoring, mit dem sichergestellt werden muss, dass niemand Schindluder mit den Sozialversicherungsnummern treibt, die bis vor kurzem frei zugänglich waren. Die Zeitung hat freilich nichts damit zu tun, dass das Datenleck existierte.
Entwickler fand Datenleck bei B2B-Dienstleister
Es ist allerdings längst nicht das erste Mal, dass jemand, der ein Sicherheitsproblem aufdeckt, plötzlich selbst zum Ziel wird. In Deutschland entdeckte im Juni ein Entwickler während seiner Arbeit für einen Kunden des Unternehmens Modern Solutions, einen B2B-Dienstleister im E-Commerce-Bereich, eine im Klartext laufende SQL-Datenbankverbindung, schreibt "Heise". Über diese waren Daten von rund 700.000 Endkunden abrufbar.
Er habe sich mit einem bekannten Blogger, Mark Steier, abgesprochen und sich an dessen Empfehlung gehalten, der Firma eine Frist zur Behebung des Problems zu setzen. Diese fiel mit drei Tagen recht knapp aus, jedoch soll Modern Solutions dem Experten sehr unfreundlich begegnet sein und die Existenz des Lecks abgestritten haben. Dennoch sei aber der betroffene Server unmittelbar vom Netz genommen worden.
Noch am selben Tag (23. Juni) veröffentlichte Steier dann gemeinsam mit dem IT-Experten einen Blogeintrag, in dem die zu diesem Zeitpunkt nicht mehr ausnutzbare Schwachstelle publik gemacht wurde. Zuvor waren auch die Datenschutzbehörden informiert worden. Das Vorgehen entspricht prinzipiell den Regeln sogenannter "Responsible Disclosure", dass eine Veröffentlichung noch am gleichen Tag geschieht, an dem der Fehler den Betroffenen gemeldet wird, ist extrem unüblich, auch wenn das Leck bereits behoben ist.
Hausdurchsuchung wegen "Hackerparagrafen"
Für den Programmierer hatte das eigentlich gut gemeinte Vorgehen unangenehme Folgen. Infolge einer Anzeige – wer diese eingereicht hat, ist nicht bekannt – durchsuchte ein Kommando der Polizei Aachen am 15. September seine Wohnung und beschlagnahmte sämtliche Arbeitsgeräte und Datenträger. Die Vorwürfe beziehen sich laut Durchsuchungsprotokoll unter anderem auf den "Hackerparagrafen" 202a des Strafgesetzbuchs. Obwohl die Abläufe im Juni gut dokumentiert worden waren, gab die Polizei keine Auskunft darüber, warum die Hausdurchsuchung notwendig gewesen sei. Modern Solution wollte gegenüber "Heise" keine Stellungnahme abgeben.
Dass Menschen, die Zeit und Fachkenntnis einsetzen, um Lücken zu finden, welche die Privatsphäre zahlreicher Menschen gefährden können, zum Ziel politischer Aggression oder gar staatlicher Verfolgung werden, ist mehr als problematisch. Denn es könnte dazu führen, dass sich die Entdecker von solchen Sicherheitsdefiziten künftig zweimal überlegen, ob sie ihre Erkenntnisse überhaupt preisgeben sollen.
Zahlreiche IT-Unternehmen zeigen allerdings auch, wie es anders geht. Sie betreiben sogenannte "Bug Bounty"-Programme. Über diese bieten sie meist finanzielle Belohnungen für die Meldung von noch unentdeckten Problemen an. Das gilt sowohl für die namensgebenden Bugs, also einfache Fehler, als auch für Sicherheitsdefizite. Die Höhe der Belohnung hängt davon ab, wie schwerwiegend ein Problem ist und wie groß die Gefahr ist, die von ihm ausgeht. (gpi, 25.10.2021)