Hendrik H. entdeckte das Datenleck bei der Firma Modern Solution im Juni 2021. Nachdem der IT-Dienstleister nicht auf Nachrichten reagierte, wurde das Datenleck über wortfilter.de öffentlich. Daten waren zu diesem Zeitpunkt nicht mehr abgreifbar. Heute musste sich Hendrik erneut vor Gericht verantworten, nachdem er zunächst freigesprochen worden war. Mit dem Freispruch gab sich die Staatsanwaltschaft nicht zufrieden und erreichte, dass heute erneut vor dem Amtsgericht Jülich der Modern Solution Fall verhandelt werden musste. Nach wie vor ist Hendrik NICHT verurteilt worden!
Und es wird vor dem Landgericht Aachen weitergehen
Das Amtsgericht legt den sogenannten >Hackerparagraphen< eng aus (§202 StGB) und verdonnert Hendrik zu einem Strafbefehl in Höhe von 3.000 € (noch nicht rechtskräftig). Der äußerte bereits, dass ere den Strafbefehl nicht annehmen werde. Das bedeutet, das nächst höhere Gericht wird sich mit diesem Fall beschäftigen dürfen.
Die Zugangsdaten waren ohne Aufwand einsehbar
Ohne großen Aufwand und Kenntnis war es jedem gebildetem Laien möglich, Zugang zu der Modern-Solution-Datenbank mit über 700.000 Kundendaten zu erlangen. Um so mehr erschüttert der Strafbefehl, denn er ist grundlegend falsch. Ein Passwort, welches nahezu im Klartext gespeichert worden ist, stellt keine >besondere Sicherung< dar, welche aber der §202 fordert. Nachvollziehbar, dass das ein Richter nicht bewerten kann, aber dann hätte genau zu dieser Frage ein Gutachter gehört werden müssen. Leider ist das nicht geschehen.
Hinweis: Hendrik H. ist NICHT verurteilt worden. Es wurde lediglich ein Strafbefehl-Verfahren geführt, welches nicht die Schuld feststellt.
Warum dieses Verfahren wichtig ist
Jeder >weiße Hacker<, der Datenlecks aufdeckt und diese den betroffenen Unternehmen mitteilt, muss mit einer Strafanzeige und einer Strafverfolgung rechnen. Das sollte nicht sein, denn wenn ein Hinweisgeber auf Sicherheitslücken hinweist, hilft er. Eine ordentliche Strafe hätte die Firma Modern Solution verdient, welche nicht in der Lage war, professionell zu entwickeln und dann auch noch unprofessionell mit dem Datenleck umging.
In unserem kürzlich erschienenen Beitrag „Warum eine Verfahrensdokumentation nach GoBD für Unternehmen Pflicht ist“ haben Sie bereits erfahren, warum Unternehmen bei einer Betriebsprüfung den Prüfern nicht nur das nackte Zahlenwerk buchhaltungsrelevanter Daten und Informationen bereitstellen müssen, sondern auch eine Verfahrensdokumentation nach GoBD, die organisatorisch wie technisch alle in einem Unternehmen vorhandenen buchhalterisch relevanten Geschäftsprozesse beschreibt, die zur Erfassung, Verbuchung, Verarbeitung, Aufbewahrung und Entsorgung von Daten und Belegen dienen und damit sicherstellen, dass die Anforderungen der Abgabenordnung (AO) sowie des Handelsgesetzbuches (HGB) eingehalten werden.
Das ist nicht nur wichtig, um die Steuerschuld eines Unternehmens korrekt zu ermitteln, sondern auch, um alle Arbeitsabläufe und Internen Kontrollen zu dokumentieren und damit auch die Tax Compliance(Steuerehrlichkeit) eines Unternehmens für einen sachverständigen Dritten nachvollziehbar nachzuweisen.
Mindestens genauso wichtig, wie die korrekte Beschreibung der Prozesse und Arbeitsabläufe sind aber selbstverständlich auch die bereits erwähnten Daten (z.B. Eingangs- und Ausgangsrechnungen, Belege, Quittungen, Geschäftsbriefe etc.), auf denen die EDV-gestützte Buchführung beruht und auf deren Basis Gewinn- und Verlustrechnungen durchgeführt und Jahresabschlüsse erstellt werden.
Bei einer digitalen Betriebsprüfung müssen diese Daten vollständig, richtig und zeitnah den Außenprüfern des zuständigen Finanzamtes auf deren Verlangen zur Verfügung gestellt werden. Das setzt zum einen die ordnungsgemäße Aufbewahrung von Unterlagen voraus, zum anderen müssen auch die Formen der Bereitstellung eingehalten werden. Beide Punkte regelt § 147 der Abgabenordnung (AO).
In diesem Beitrag erfahren Sie, in welcher Form steuerpflichtige Unternehmer den Zugriff auf buchhalterisch relevante Daten für Betriebsprüfer gewährleisten müssen, um insbesondere die Anforderungen nach § 147 Abs. 6 AO zu erfüllen.
Zugriffsarten nach GoBD
Bei den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) handelt es sich um eine Verwaltungsanweisung durch das Bundesministerium für Finanzen, die Vorgaben des Fiskus für buchhalterisch (und damit auch steuerlich) relevante IT-Systeme enthält, damit die Grundsätze ordnungsmäßiger Buchführung auch beim Einsatz von IT in der Buchhaltung und bei der Jahresabschlusserstellung eingehalten werden.
Ein wichtiger Punkt ist dabei der Datenzugriff auf buchhalterisch relevante Daten, es geht also um die Art und Weise, wie ein Betriebsprüfer auf diese zugreifen kann, was konkret in § 147 Abs. 6 AO geregelt wird. Demnach hat die Finanzbehörde das Recht, im Rahmen einer Außenprüfung Einsicht in die gespeicherten Daten, die mithilfe eines Datenverarbeitungs(DV)-Systems erstellt wurden, zu nehmen und das DV-System zur Prüfung dieser Unterlagen zu nutzen.
Fordert die Steuerbehörde den Zugriff auf buchhaltungsrelevante Daten an, hat sie die folgenden drei Möglichkeiten:
den unmittelbaren „nur lesenden“ Datenzugriff (Z1)
einen mittelbaren Datenzugriff auf Auswertungen nach Vorgabe der Prüfer (Z2) und
die Datenträgerüberlassung in verschiedenen Formaten.
Z1 – Unmittelbarer Datenzugriff
Bei dieser Form des Datenzugriffs wird dem Außenprüfer der Finanzbehörde das Recht eingeräumt, in Form des „Nur-Lesezugriffs“ direkt – also unmittelbar – auf das DV-System des Steuerpflichtigen zuzugreifenund dort alle relevanten aufzeichnungs- und aufbewahrungspflichtigen Daten abzufragen. Das gilt auch dann, wenn sich die Daten bei einem Dritten befinden.
Im Rahmen dieser Zugriffsberechtigung müssen auch Zugriffe auf Stammdaten, Meta- oder Bewegungsdaten eingeräumt werden, damit alle buchhalterisch relevanten Informationen abgefragt werden können. Der Prüfer kann bei diesen Abfragen auch die Unterstützung von einer mit dem System vertrauten Person verlangen und außerdem die im DV-System bereits vorhandenen Auswertungsmöglichkeiten(Sortieren, Filtern etc.) nutzen.
Nicht erlaubt ist es dem Betriebsprüfer dagegen, eigene Programme zu installieren, um über diesen Weg eigene Auswertungen durchzuführen. Außerdem darf der Betriebsprüfer nicht Remote auf die Systeme des Geprüften zugreifen.
In der Praxis hat es sich bewährt, in den relevanten DV-Systemen einen eigenen Benutzer einzurichten, dem über das Benutzerberechtigungssystem nach dem „Need-to-know-Prinzip“ ganz gezielt nur die für die Durchführung der Prüfung benötigten Leseberechtigungen zugeordnet werden und diesen Benutzer dann für den Zeitraum der Prüfung an den Betriebsprüfer zu vergeben. Der Steuerpflichtige ist selbst dafür verantwortlich, dass durch den gewährten Datenzugriff die Unveränderbarkeit der Daten gewährleistet ist!
Z2 – Mittelbarer Datenzugriff
Neben dem beschriebenen unmittelbaren Lese-Zugriff auf die DV-Systeme und Steuerdaten des Steuerpflichtigen kann der Betriebsprüfer auch vom Geprüften verlangen, dass dieser ihm die steuerlich relevanten Daten nach Vorgabe der Finanzbehörde bereits maschinell ausgewertet bereitstellt. Diese Auswertung kann auch durch einen Dritten erfolgen.
Die Auswertungen müssen nur in der durch das DV-System des Steuerpflichtigen möglichen Auswertungsmöglichkeiten und in maschinell lesbarer Form bereitgestellt werden. Auswertungen, die das DV-System des Steuerpflichtigen nicht leisten kann, müssen demzufolge auch nicht durchgeführt werden. Auf diese Auswertungen hat der Betriebsprüfer dann wiederum „Nur-Lesezugriff“.
Z3 – Datenträgerüberlassung
Neben den beiden vorher beschriebenen Möglichkeiten des Datenzugriffs können die Außenprüfer außerdem vom Geprüften verlangen, dass er die gespeicherten steuerlich relevanten Daten in Form eines maschinell verwertbaren Datenträgers zur Verfügung stellt. Das gilt auch dann, wenn ein Dritter die Daten bereitstellt.
Die gängigste Form der Datenträgerüberlassung ist die Bereitstellung der Datenträger als DVD – die Finanzverwaltung empfiehlt hier die Bereitstellung der Daten in Form des Beschreibungsstandard (was aber nicht zwingend ist).
Nach Abschluss der Prüfung, d.h. wenn dem Steuerpflichtigen das Prüfungsergebnis in Form eines Bescheids vorliegt, muss die zuständige Finanzbehörde die Daten löschen und den Datenträger zurückgeben.
Kosten der Datenbereitstellung
Die Kosten, die dem Steuerpflichtigen durch die vom Außenprüfer angeforderte Überlassung von Daten oder die Einrichtung des zum Datenabruf notwendigen Zugriffs entstehen, muss er im Sinne der „Mitwirkungspflicht von Steuerpflichtigen“ selbst tragen.
Kommt der Steuerpflichtige seiner Mitwirkungspflicht nicht nach, kann die Finanzbehörde ein Verzögerungsgeld von 2.500 bis 250.000 Euro verhängen (§ 146 Abs. 2c AO).
Fazit: Eine gute Vorbereitung auf die digitale Betriebsprüfung spart Zeit und Geld
Damit eine Betriebsprüfung so reibungslos wie möglich abläuft, sollten Sie sich im Vorfeld bereits gut vorbereiten und sicherstellen, dass dem Prüfer der geforderte Datenzugriff eingerichtet wird bzw. die angeforderten Daten vollständig, richtig und zeitnah zur Verfügung gestellt werden.
Zum einen werden dadurch Wartezeiten des Prüfers vermieden und damit auch die Gefahr von möglichen Verzögerungsgeldern (von der Laune des Prüfers einmal abgesehen). Noch schlimmer wäre es, wenn der Finanzbeamte deshalb bereits zu Prüfungsbeginn zum Schluss kommt, dass Sie nicht prüfungsbereit sind und deshalb wieder abrückt. Dann besteht das Risiko, dass Ihre Steuerschuld geschätzt wird, was für Ihr Unternehmen ziemlich teuer werden kann.
Vor allem angesichts der zuletzt gestiegenen Aktivität von Betriebsprüfern lohnt es sich, hier schnell aktiv zu werden und bestens vorbereitet auf die Anforderungen an den Datenzugriff und die Datenbereitstellung zu sein.
Sollten Sie dazu Fragen haben, sprechen Sie uns gerne an. Wir helfen Ihnen bei der Vorbereitung und Umsetzung!
7 Stunden lang sind die wichtigen Plattformen Instagram, WhatsApp und Facebook ausgefallen. Gleichzeitig ächzten andere Kanäle unter der damit verbundenen gestiegenen Nutzung. Laut Facebook war für den Ausfall ein fehlerhaft konfigurierter Router verantwortlich. Ein wenig Detox tat gut.
Doch, die sieben Stunden gaben uns die unverhoffte Möglichkeit, viele Fragen zu stellen, sie uns zu beantworten und um uns zu wundern. Wie wichtig sind soziale Medien? Wie hart hat uns der Ausfall getroffen? Hat er uns überhaupt getroffen? Welche Menschen haben wir vermisst? Ist das hier nicht doch die Matrix? – Es war schön, einmal unter ›Live-Bedingungen‹ zu reflektieren.
Erschreckend und sehr irritierend ist dann aber so manche Verschwörungstheorie, die aufgekommen ist. Ganz vorne mit dabei – und mit besonders großem Aluhut – ist der digitale Nomade und auf Facebook sehr aktive Agenturinhaber Björn Puls von onlinepuls.de mitsamt seiner Follower. Ein Fest für alle Dunning-Kruger-Fans.
Er sieht eine Kausalität zwischen dem Sonnenzyklus, der Polwanderung und dem Plattformausfall. Eine Begründung seiner befremdlichen Ansicht gibt es nicht, lediglich noch die Erwähnung, dass es eine fortschreitende Polwanderung gibt. Und selbstverständlich bedeutet seine Sichtweise, dass Facebook uns alle über diese ›Fakten‹ täuscht. Aber es geht ja noch weiter:
Ein Diskussionsteilnehmer ist sogar der Meinung, dass wir möglicherweise in einer Simulation leben. – Hier schließt sich der Kreis, merkt ihr? – Nicht verwunderlich, dass er die Existenz einer flachen Erde nicht verneint. Wo sind diese Menschen falsch abgebogen? Warum ist ihnen nicht in ausreichendem Maß Bildung zuteilgeworden? Bereits Wissenschaftler in der Antike, also vor mindestens 1.500 Jahren, waren in der Lage, mittels Mathematik und eigener Beobachtung nachzuweisen, dass die Erde rund ist.
Aber, was hat das nun mit dem E-Commerce zu tun?
Vordergründig wenig, denn die Themen berühren unseren Onlinehandel nicht. Oder doch? Ja! Und zwar dann, wenn wir uns überlegen, dass Björn Puls Inhaber einer Agentur ist, welche umfassende Dienstleistungen für euch anbietet. Wie mag nun seine Argumentation innerhalb von Projekten sein?
›Der Button lässt sich nicht setzen, weil wir ein extreme Polwanderung hatten …‹ Oder: ›Der Termin ist leider nicht einzuhalten, musst du verstehen, der Sonnensturm war so heftig.‹ solche Diskussionen möchte wohl niemand führen und ganz ehrlich, fragt euch selbst: Wie schaut es denn mit Vertrauen aus? Ist die für solche Verschwörungsideologen noch da? Ein Glück, dass Thomas kein Dienstleister, sondern Schriftsteller ist, sonst würde es bei einem Bug wohl heißen: ›Sorry, du bist wohl in einer anderen Simulation. Das soll so sein‹.
Denkt mal nach. Selbständig. Seid keine Schlafschafe!
Bereits am Donnerstag, den 8. Juli 2021 (Update: 12. Juli) meldete Spreadshirt einen Sicherheitsvorfall. Dem Unternehmen wurden auf der eigenen Plattform Spreadshop Kundendaten entwendet. Spreadshop ist ein Shopsystem, mit dem sich Händler individuelle angebunde Spreadshirt-Shops bauen können. Die Meldung geht nicht genauer darauf ein, ob auch Endverbraucherdaten vom Diebstahl betroffen sind.
»Betroffen sind die Adressdaten vor 2014 gespeicherte Passwort-Hashes sowie Bankverbindungen bzw. PayPal-Adressen«, so der Betreiber, die sprd.net AG aus Leipzig.
Das Unternehmen rät Kunden, ihre Passwörter zu erneuern. Bemerkenswert ist, dass Bankdaten und PayPal-Adressen offensichtlich auslesbar und somit im Klartext gespeichert wurden.
Auch dieser Vorfall zeigt, dass Unternehmen oft sehr nachlässig mit Daten umgehen. Ein Unding, dass Bankdaten und PayPal-Adressen unverschlüsselt gespeichert werden.
Nachdem jetzt auch der zweite Versuch des JTL-Partners gescheitert ist, den Händlern eine schnelle und sichere Lösung für den Betrieb der Schnittstelle anzubieten, hat sich der Sicherheitsexperte, welcher das Leck aufdeckte, vom CCC inspirieren lassen und der Modern Solution GmbH & Co kostenlos eine Open-Source-Lösung zur Verfügung gestellt. Hier der GitHub-Link. Diese kann kostenlos benutzt werden, sodass ein Betrieb der Schnittstelle möglich ist.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube. Mehr erfahren
(Vortrag auf dem CCC zu eine sehr ähnlichen Situation & die Reaktion der Hacker)
Nur für euch
Für euch bedeutet es, dass ihr nicht mehr unter dem Ausfall und möglichen Performance-Einschränkungen zu leiden habt. Für die Entwicklung des Hotfixes der ›moso.connect‹-Schnittstelle wurden circa 12 Mannstunden aufgewendet!
»Dies ist eine Beispielimplementation, wie man die jüngsten Sicherheitsprobleme der MoSo.Connect-Schnittstelle durch einfachste Mittel beheben kann.
Das Beispiel enthält einen Großteil der Client-Implementation (Ordner: Client) und einen Ansatz des Servers (Ordner: Api).
Beide Projekte teilen sich den Shared-Bereich, wo Dto-Objekte abgelegt sind. Der Server erstellt anhand der definierten Controller automatisch eine OpenAPI-Dokumentation«, so der Sicherheitsexperte & Entwickler.
Es ist zu hoffen, dass damit nun das leidige Thema um den JTL-Partner Modern Solution und sein Datenleck ein Ende findet. Im Nachgang werden noch etliche Frage aufzuarbeiten sein. Insbesondere muss die Rolle der Plattformen und des Wawi/ERP-Dienstleisters JTL Software betrachtet werden. Letztere hat sich ja durch seine Kultur, unter anderem der Zensierung und Informationsunterdrückung, nicht gerade beliebt gemacht.
An der Stelle sei angemerkt, dass auch JTL hier den Händlern mit überschaubarem Aufwand hätte unterstützen können. Und zwar indem sie für den Hotfix der Schnittstelle eigene Entwicklerressource freigestellt hätte …
Ende gut alles gut!
Der jetzige Hotfix erfüllt die durchschnittlichen Anforderungen an Sicherheit. Er kann sofort und kostenlos eingesetzt werden. Er ist Open Source und darf-kann-soll als Basis für weitere Verbesserungen dienen.
An dieser Stelle ein Dankeschön an moki11so, oder etwas umgestellt killmoso!
Der JTL-Servicepartner Modern Solution GmbH & Co KG ist erneut einem schweren Datenleck ausgesetzt. Die neue Version der Anwendung moso.connect, welche das ursprüngliche Datenloch schließen sollte, ist ebenfalls durchlässig. Aktuellste Händlerdaten, Endkundendaten, personenbezogene Daten inklusive Bankdaten und Transaktionsdaten sind einsehbar. UND: Daten sind außerhalb des Unternehmens in die Hände Unbefugter gelangt. Seit heute Nacht ist der Server ausgefallen und die Anwendung moso.connect nicht live.
Datensatz von gestern. Hier vom Marktplatz tyre24.de. Bankdaten sind einsehbar.
Betroffen sind erneut die Händler, Endkunden- und Transaktionsdaten der Marktplätze wie z. B. otto.de, tyre24.de, kaufland.de, check24.de oder Mirakle. Seit Donnerstag, 24. Juni, wurde durch den JTL-Partner eine neue Version namens moso.connect ausgerollt. Modern Solution GmbH & Co KG versprach seinen Partnern, das Datenleck sei mit der neuen Version geschlossen. Dem ist nicht so!
Was bedeutet das für betroffene Händler und Partner?
Händlern ist angeraten, unverzüglich ihren Datenschutzbeauftragten zu informieren und einen Rechtsbeistand zu kontaktieren, um zu prüfen, wie mit dem neuen Vorfall umzugehen ist. Jeder Händler sollte die zukünftige Nutzung der Anwendung moso.connect kritisch prüfen. Auch JTL und die Marktplatzpartner sollten ihre Zusammenarbeit mit der Modern Solution GmbH & Co KG erneut auf den Prüfstand stellen.
Zugriff mit Zeitstempel
Es ist zu erwarten, dass die Schnittstelle über das Wochenende erneut ausfällt, damit keine Daten an die Händler übermittelt werden können. Allerdings bedeutet das wohl auch, dass somit gar keine Daten bei den Plattformen abgeholt werden können. Einige Marktplätze schlossen die API-Zugänge der Händler.
Der Schnittstellenanbieter Marcos Software hat über das Wochenende Ressourcen für Händler bereitgestellt, wenn sie auf die von ihm angebotene Schnittstelle Unicorn2 wechseln möchten. Das Unternehmen verzichtet auf die sonst übliche Umzugs- und Einrichtungsgebühr in Höhe von 200 €. Weitere Lösungsanbieter sind z. B. auch Magnalister oder Synesty.
Am gestrigen Abend informierte Modern Solution seine Händler wie folgt:
Information der Modern Solution vom 25. Juni
Die Kommunikation ist für einen durchschnittlichen Händler kaum verständlich. Insbesondere wird keine klare Handlungsempfehlung geliefert. Aus dem Text ist herauszulesen, dass die Händler den ersten Datenvorfall bis heute an ihre zuständige Datenschutzbehörde zu melden haben.
Technische Beschreibung für Versierte
Der Quellcode der ›moso.connect‹-Anwendung wurde kaum angepasst. Das Passwort wird immer noch im Klartext angezeigt. Auf dem ›aufgeräumten‹ Server sind einige Modern-Solution-spezifische Datenbanken ›verschwunden‹. An der grundsätzlichen Struktur der Händlerdatenbank und der Datenübertragung hat sich nichts geändert. Diese war auf unverändertem Weg erneut einseh- und kopierbar.
Etwas sarkastisch und mit Galgenhumor liefert der Sicherheitsexperte seine technische Sichtweise:
Die neue Version von moso.connect ist sicher. Oder?
Als ich die neue EXE samt Abhängigkeiten erhalten habe, freute ich mich zunächst. Immerhin hat es MoSo geschafft, innerhalb weniger Tage eine vermeintlich sichere Version zu erstellen. Und nicht nur das. Jetzt ist auch eine Zertifikats-Datei im Lieferumfang enthalten. “Zertifikat” klingt erstmal sicher für den allgemeinen Nutzer. Da passiert was mit Kryptographie und ordentlicher Verschlüsselung! Oder etwa doch nicht? (Screenshot 43)
MySQL-Verbindung wird weiterhin aufgebaut
Ich habe also mir erstmal die EXE geschnappt und hinter einer Testumgebung gestartet. Ergebnis war, dass immer noch eine Verbindung zu einer MySQL-Datenbank aufgebaut wird. Mir erschlich sich an der Stelle ein böser Verdacht. Mit einer Vorahnung, aber immer noch guten Hoffnungen schaute ich mir die Programm-Dateien einmal an.
Aber die EXE ist jetzt sicher. Oder?
Hier folgt ein Teil, den man als Deep-Dive in die Deobfuskierung bezeichnen könnte, technisches Blabla oder: Warum Obfuskieren Schwachsinn ist. Wer obfuskiert, hat was zu verbergen. Eventuell schlechten Coding-Stil, gibt es vielleicht noch mehr Schwachstellen? Fragen über Fragen…
Den Decompiler meiner Wahl gestartet und was musste ich da sehen? Auf einmal war die EXE-Datei obfuskiert, also verschleiert oder einfacher: nicht lesbar, Grütze (Screenshot 38). Das hält den einfachen Pöbel vom Lesen der Datei ab, aber nicht mich, als “ethischen Hacker”! Ein paar Funktionen ließen sich auch gar nicht mehr rekonstruieren. Also habe ich direkt mal geschaut, was da so alles werkelt und gesehen, es werden Module während der Laufzeit erzeugt. Zu technisch? Na gut, der Computer bastelt in etwa das Programm während der Laufzeit zusammen. Das erklärt auf jeden Fall, warum Funktionen fehlten. Die waren noch nicht da.
Das Modul konnte ich mir einfach als neue EXE-Datei in meinem Decompiler anzeigen lassen, ein paar Module ausgebaut, die das ganze “schützen” sollen, und voilà, alle Funktionen sind dekompiliert und “lesbar” (Screenshot 39). Man verwendet an der Stelle while-switch Schleifen, die das Ganze noch viel unleserlicher machen, als der ursprüngliche Code schon war. Zwinkersmiley. Auch die Benennung war grausam zerpflückt. Funktionen, Variablen usw. hatten Namen, die sich keinesfalls lesen lassen.
Jetzt kam Code-Analyse ins Spiel. Kurz und knapp, ich musste einfach den Code etwas aufräumen, um ihn etwas weniger schwer lesbar zu machen.
Bis hierhin habe ich 20 Minuten gebraucht. Das Einbauen der Obfuskierung war also eher weniger wirksam.
Analyse der EXE-Datei
Als nächstes habe ich mir den Quellcode der EXE-Datei zu Gemüte geführt. Hier hat sich nichts verändert, bis aus die Zugangsdaten (Screenshot 40). Das Kennwort wird in meinem Fall noch von einer Funktion zusammengebaut, aber das ist eine Hürde von wenigen Sekunden. Keine Kryptographie oder ähnliches, auch Klartext genannt. (Screenshot 41)
Aber da war doch das Zertifikat!
Ja, was soll ich dazu sagen? Das Zertifikat wird beim Aufbauen der Verbindung mit dem MySQL-Server mitgesendet (Screenshot 44). Das ist der öffentliche Teil einer asymmetrischen TLS-Verschlüsselung. Im Klartext, die client.pfx ist der öffentliche Teil, auf dem Server liegt der private Teil. Sollte der Server nicht den privaten Teil haben, kann dieser die Nachrichten vom Client nicht verwerten.
So wird sichergestellt, dass der Server am anderen Ende auch der richtige ist. Netter Nebeneffekt und vermutlich auch der angestrebte ist, dass die Verbindung zwischen Client und Server somit verschlüsselt ist. Ob das für Kunden bei MoSo auf den Servern notwendig kann ich nicht sagen. Normalerweise fließt solcher Verkehr nicht über das Internet, sondern über ein internes Netz. Aber ist definitiv nice to have.
Der MySQL-Server ist doch sicher vor externen Zugriffen nun geschützt!
Das war meine letzte Hoffnung. Irgendwas müssen die doch auf die Kette kriegen. Ich, voll entschlossen, schnell einen externen Server gestartet, das MySQL-CLI geöffnet und siehe da. Ich bin drin, inkl. Einsicht in aktuelle Daten aller Kunden.
Beim Testen größerer Datensätze stürzt jedoch der Datenbankserver ab (Screenshot 42). Das ist wohl das “neue Sicherheitskonzept”. Sehr effizient, nicht? (Screenshot 45)
Fazit: Modern Problems require Modern Solution.
Humor ist die beste Stressbewältigung. Ich kann sowohl die MoSo als auch das Thema nicht mehr ernst nehmen. Was hier geliefert wurde, ist Teil 2 der Reihe ›Beleidigung aller ›guten‹ Programmierer oder IT-Spezis‹.
Information vom JTL-Servicepartner Modern Solution GmbH & Co KG
Aktuelle Information von JTL Software Partner Modern Solution | Stand 26. Juni 9:00 Uhr
Diesmal erfolgte eine zeitnähere Information an die Kunden. Der Datenschutzvorfall ereignete sich am gestrigen Abend gegen 23:00 Uhr. Das ›Update‹ zur Datenschutzverletzung wurde heute gegen 9:00 Uhr an die Kunden versendet. Leider versäumt der JTL-Partner, die Kunden über den Umfang der Verletzung zu informieren. Er scheint das Leck noch nicht erfasst zu haben.
Kommentar
Nicht sprachlos aber doch mir gegen die Stirn klatschend. Das ist echt kaum in Worte zu fassen. Liebe JTL Software GmbH, liebe Modern Solution GmbH & Co KG, liebe Marktplätze und Dienstleister, mal ein paar kleine aufgekommene Fragen:
Warum durfte eine so unsichere Anwendung ausgerollt werden?
Warum sind den Händlern keine Auftragsdatenverarbeitungsverträge angeboten worden?
Warum hat JTL diese Anwendung ohne Prüfung beworben?
Warum setzte JTL und die Marktplätze die Händler solchen Risiken aus?
Warum haben JTL-Dienstleister, die die ›moso.connect‹-Systeme betreuen, die Anwendung nicht geprüft?
Warum gestatteten Marktplätze den unkontrollierten Zugriff und vor allem die unkontrollierte und unverschlüsselte Speicherung der Daten?
Warum werden die Händler verunsichert?
Ich hätte da noch viel mehr Fragen, die gestellt werden müssten. Die Rollen von JTL als ERP- und Wawi-Anbieter und der angeschlossenen Marktplätze muss dringend untersucht werden! Aber von außen. Selbst kriegt man das wohl nicht hin!
Eine nochmalige Überprüfung der geleakten Datenbanken hat ein weit größeres Ausmaß des Datenlecks ergeben. Die Endkundendaten aller Transaktionen der verbundenen Marktplätze sind einsehbar. Das sind Millionen Datensätze. Neben sämtlichen von den Marktplätzen übermittelten Daten sind teilweise auch Bankdaten von Endverbrauchern einsehbar. Vom Datenleck betroffen sind die Marktplätze und Plattformen: autoteile24, check24, Crodfox, Hood, idealo, innoCigs, Otto, Rakuten, kaufland (real), Tyre24 und interne Systeme der Modern Solution GmbH & Co KG. Der älteste Datensatz ist drei Jahre alt, er stammt vom 3. Juni 2018.
Es steht fest und ist belegt, dass Unbefugte Zugriff auf die Datenbank haben. Sie ist kopiert worden und befindet sich außerhalb der Modern Solution GmbH & Co KG
Zeitlicher Verlauf
Bisher war festgestellt, dass aus Händler-Host-Systemen die Endkundendaten einsehbar waren. Das ist zwar richtig, aber es sind weit mehr Daten einsehbar. Wie bereits berichtet ist die Stellungnahme zu dem Datenvorfall der Modern Solution falsch. Auch war die Wortfilter-Berichterstattung unvollständig. Nach nochmaliger Überprüfung der Daten ist festgestellt worden, dass ALLE jemals von den Plattformen im Rahmen der Anwendungen übermittelten Daten seit Juni 2018 lesbar sind.
Technische Einordnung
Die installierten MoSo-Anwendungen auf den Kundensystemen greifen auf die Datenbanken der Modern Solution Server zu, um sich Transaktionsdaten abzuholen. Die Händlersysteme haben einen Schreib-/Lese-Zugriff auf die mySQL-Datenbank. Alle Händler haben die Zugangsdaten, die im Klartext auslesbar waren. Dadurch konnte auch ohne die Modern-Solution-Anwendung und mit einem beliebigen SQL-Client auf den Server bzw. dieDatenbank zugegriffen werden. Mindestens ein Fall ist dokumentiert, dass die kompletten Datenbanken ›entwendet‹ wurden.
Passwort im Klartext der Modern Solution GmbH & Co KG
Nachdem die Transaktionsdaten von der Anwendung in die Händlersysteme übertragen worden sind, schreibt die Anwendung auf dem Händlersystem die Information in die Datenbank. Alt- oder Historiendaten sind nicht gelöscht worden. Der erste Datensatz in der Endkundendatenbank trägt das Datum: 2018-06-03 11:00:00
In der Endkundendatenbank finden sich die Endverbraucherdaten aller Händler in einer Tabelle. Das bedeutet, die Verbraucherdaten von Händler A stehen eine Zeile über den Daten von Händler B. Alle Daten sind geordnet nach Plattform. Es gibt also eine Datenbank ›crowdfox‹ in der alle Transaktionsdaten aller Händler zeitlich aufsteigend gespeichert sind.
Schnittstelle mit dem Namen “wawi”
– Erster: 2019-01-16 00:00:00
– Letzter: 2021-06-22 14:52:03
– Anzahl: 13.014
Reaktionen und rechtliche Empfehlung
Bisher hat lediglich kaufland.de (ex real.de) auf das Datenleck reagiert und seine Händler informiert. Ob noch andere Plattformen folgen, wird sich in den kommenden Tagen zeigen.
Kaufland Stellungnahme zum Datenleck
Der Datenschutzbeauftragte von JTL hat Wortfilter heute kontaktiert, um sich detailliert zu informieren. Rechtsanwalt Dr. Thomas von der Kölner Kanzlei Lexea hat in der Wortfilter Facebook-Gruppe eine Einschätzung gepostet.
»Bei dem beschriebenen Umfang des Datenlecks ist von einer Meldepflicht auszugehen. Denn wenn tatsächlich Endkundendaten in Hände Dritter gelangt sind, muss man zwingend melden. Die Frist ist maximal 72h, und die hat spätestens mit dem Zugang der Mail von Modern Solutions begonnen«, so Dr. Thomas Engels.
Die Modern Solution GmbH & Co KG informiert heute Kunden, dass sie eine Lösung gefunden haben wollen, und updaten Kundensysteme. Es gibt erste Hinweise, dass mit der ›neuen‹ Lösung nicht alle Herausforderungen behoben werden. Mangels fehlender Verträge der Auftragsdatenverarbeitung dürfte eine Nutzung der MoSo-Anwendung aus datenschutzrechtlicher Betrachtung fragwürdig sein.
Wenn der Gesetzgeber es gut meint, aber schlecht ausführt, dann sind die Verbraucher mitunter die Leidtragenden. Und genau so ist das im Rahmen der Cookie-Hinweisorgien zu interpretieren. 25,4 % aller Online-Käufer in Deutschland lehnen Website-Cookies ab. Das hat eine repräsentative Umfrage des Meinungsforschungsinstituts civey im Auftrag von vviinn ergeben.
»64,3% aller Kunden empfinden Cookie-Hinweise als nervendes Hindernis beim Onlineshopping, dieser Trend verstetigt sich zunehmend«, sagt Philipp Derksen, E-Commerce-Experte. »Ziel muss es sein, den Kunden ein Onlineshoppingerlebnis ohne Cookie-Hinweise zu bieten.«
Diese Umfrage zeigt deutlich, dass Verbraucher den Sinn und die Notwendigkeit der Belehrung oder besser ausgedrückt der aktiven Zustimmung zur Nutzung von Cookies nicht unterstützen. Er ist lästig und stellt eine Hürde beim Surfen dar. Verbraucher scheinen in der Breite die durch die DSGVO und das neue TTDSG bestimmte Pflicht der Zustimmung abzulehnen.
Wann & wie kommt die ePrivacy-Verordnung?
Es bleibt also nur zu hoffen, dass es bald Ergebnisse in den Trilogverhandlungen zwischen EU-Rat, Kommission und Parlament zur ePrivacy-VO kommen wird. Denn diese sieht eine Lockerung der gegenwärtigen Cookie-Regelung vor. Das ist gut so, denn dadurch wird die Nutzung von Webseiten vereinfacht und Verbraucher können ungestört eure Seiten nutzen.
Handlungsaufforderung an Interessensvertreter
Verbände sollten sich in ihr Hausaufgabenbuch schreiben, die politischen Entscheidungsprozesse mit aussagekräftigen Positionen und Daten aus Umfragen und Studien zu unterstützen. Wenn mündige Verbraucher in der Mehrheit komplexe Zustimmungen und Cookie-Hinweise ablehnen und sie als Behinderung erkennen, dann ist diesem Verbraucherwillen auch zu folgen. Denn ansonsten wird hier eine unnötige Hürde eingezogen, die das Nutzererlebnis negativ beeinflusst.
(Quelle: Screenshot IONOS)
Tatsächlich hat es mitunter den Anschein, dass eine kleine Gruppe an Datenschutzaktivisten beginnen, dass Onlinegeschehen zu bestimmen, OHNE dass sie und ihre Positionen den Willen der Mehrheit repräsentieren. DAS muss durch die Verbände, Interessenvertreter der Unternehmen und Kammern deutlich gemacht werden.
Update: In den Kommentaren hat paydirekt mitgeteilt, dass die Lücke behoben ist. Es steht eine aktuelle Version des Plug-in zum Download
Wer
in seinem Shopware-Onlineshop bereits Paydirekt einsetzt lebt möglicherweise
gefährlich.
Denn
durch eine Sicherheitslücke im aktuellen Zahlungsplugin von Paydirekt (Version
1.0.26) ist es derzeit möglich den Lagerbestand von Shopware Online-Shops so zu
kompromittieren, dass eine Bestellung der Artikel nicht mehr möglich ist.
Darauf
weist der IT Sachverständige und Shopware-Experte Patrick Emmler hin, der die
Sicherheitslücke entdeckt hat.
Das
Anwenden der Sicherheitslücke ist dabei relativ trivial, führt Emmler weiter
aus und kann praktisch ohne großen Aufwand ausgeführt werden, wenn man weiß
wie.
Die Gefahr besteht darin, dass mit der entdeckten Lücke der Lagerbestand von einigen wenigen Artikeln oder sogar über ein Script der gesamte Lagerbestand des Produktsortiment im Shop auf 0 gesetzt werden kann, ohne das man sich einen internen Zugang auf den Shop verschaffen muss.
Bestellungen
durch weitere potentielle Kunden sind dann gesamtheitlich nicht mehr möglich
und der damit verbundene Schaden durch den entgangenen Umsatz je nach Shopgröße
entsprechend hoch.
Gerade
Shopbetreiber, welche durch fehlendes fachliches Wissen, unregelmäßige
Shop-Pflege und Kontrolle im Backend dies nicht oder zu spät bemerken sind
davon besonders gefährdet.
Ein Schelm wer sich Böses dabei denkt, wenn möglicherweise ein Mitbewerber aus der eigenen Branche dem Marktbegleiter mit einem Shopware-Shop ein Schnippchen schlagen möchte und die am Besten laufenden Artikel einfach mal über das Wochenende „aus dem Sortiment nimmt“.
Ebenso
kann die Sicherheitslücke auch von klassischen Hackern verwendet werden, um
ohne konkreten Bezug auf den Onlineshop großen Schaden anzurichten.
Patrick
Emmler empfiehlt deshalb das Paydirekt-Plugin vorerst zu deaktivieren und auf
ein mögliches Update zu warten, welches diese Lücke schließt.
Von der Sicherheitslücke hat er Paydirekt und den Plugin-Entwickler bereits in Kenntnis gesetzt und auch Rückmeldungen erhalten.
Fun
fact hierbei: Paydirekt will seine Meldung zur Sicherheitslücke bisher aus
Datenschutzgründen nicht annehmen und bearbeiten, weil er kein authorisierter
Paydirekt-Händler ist.
Ebenso
erstaunt die Rückmeldung des Plugin-Entwickler: „Die Art und Weise wie der
Zahlungsvorgang durchgeführt wird, ist seitens Paydirekt funktionspezifisch so
gegeben, dass die Sicherheitslücke in der aktuellen Form vorhanden ist.“
Dies kann Emmler aus seiner Erfahrung mit anderen Zahlungsdienstleistern wie Paypal, Sofort oder Klarna nicht bestätigen. Diese funktionieren ordnungsgemäß und können für einen entsprechenden Angriff nicht genutzt werden.
Sollte
die bestehende Lücke seitens Paydirekt tatsächlich technisch systemimmanent
sein, rät Emmler davon ab, Paydirekt bis auf Weiteres einzusetzen, um sich vor
der Gefahr eines „Paydirekt-Knockout“ zu schützen.
Außer
Shopware beträfe dies möglicherweise dann auch alle anderen Shopsysteme, welche
Paydirekt bereits einsetzen.
Er
sieht hierbei im Kontext auch ein generelles Problem, welches immer wieder
anzutreffen ist. Funktionserweiterungen jeglicher Art werden seines Erachtens
immer mehr, nur noch auf die spezifische Hauptfunktionen hin entwickelt.
Usability,
Logik, Effizienz und Sicherheit geraten leider oft immer mehr ins
Hintertreffen. Dies jedoch nicht nur aus Sicht der Entwickler, welche unter
Zeitdruck in immer kürzerer Zeit „eine Funktion abliefern“ müssen. Sondern auch
auf Seiten der Kunden oder beauftragenden Unternehmen, welche auf externe
Dienstleister zurückgreifen.
Oft
genug bleibt am Schluss zu wenig Zeit und Muße, um wirklich alle relevanten
Bereiche ausführlich genug zu testen oder fragliche Prozesse auf deren weitere
Auswirkungen zu interpretieren.
Deshalb sein Rat – auch – für Shopbetreiber: Testen, testen, testen.
Update: In den Kommentaren hat paydirekt mitgeteilt, dass die Lücke behoben ist. Es steht eine aktuelle Version des Plug-in zum Download
Ein großer Teil des Internet-Traffic ist gefaket. Er wird von Social Bots generiert: Große Netzwerke aus Fake-Profilen, die die Beliebtheit einer Website, Social Media-Posts oder Werbebeiträgen künstlich in die Höhe treiben. Hier seht ihr wie eine solche Klick- oder Like Farm von innen aussieht.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube. Mehr erfahren
Viele Geschäft Modelle basieren auf der Generierung von Likes, Traffic und Klicks. Denn das sind die Messgrößen ob eine Kampagne oder ein Influencer wichtig ist. Und wenn die eigene Kreativität versagt und der ‚Fame‘ organisch nicht so recht gelingen will, dann müssen halt die Klickfarmen her.
Der Betrieb solcher Farmen ist in vielen asiatischen Ländern
illegal und wird teilweise hart bestraft. Trotzdem lassen sich windige
Geschäftemacher nicht dadurch abhalten.
Das Geschäft mit Traffic, Like und Klicks boomt weltweit.
Auch hierzulande gibt es Plattformen wie z.B. maba-web.de. Bereits ab unter 10€ könnt ihr dort 1.000.000
Seitenbesucher kaufen.
Unter der Domain www.ido-shop.de scheint der Abmahnverband offensichtlich einen Onlineshop aufbauen zu wollen. Wie der Startseite zu entnehmen ist, wird der Onlineshop des IDO “Rechtstexte und Dienstleistungen im Zusammenhang mit dem rechtssicheren Betrieb von Webseiten anbieten und sich mit Legal Tech befassen”. Anbieter ist die IDO Management GmbH mit Sitz in Leverkusen.
(Quelle: Screenshot der Startseite)
Ist der Internetauftritt abmahnbar?
Selbstverständlich ist das eine der ersten Fragen, die sich stellen. Der IDO Verband ist ja bekannt dafür, selbst Kleinigkeiten abzumahnen. Daher ist es mit Sicherheit angemessen, dass er sich selbst mit strengeren Maßstäben messen lässt.
(Quelle: Impressum des IDO Shop, betrieben von der IDO Management GmbH))
Ein Blick in das Impressum lässt eine Rufnummer zur schneller Kontaktaufnahme vermissen. Eine alternative, wie z. B. ein Kontaktformular, ist auch nicht bereitgestellt. Ein Cookie-Hinweis fehlt. Allerdings werden auch keine Cookies gespeichert. Eine Datenschutzerklärung ist vorhanden. Diese ist aber fehlerhaft und kaum lesbar.
(Quelle: Screenshot der Datenschutzerklärung)
Es gilt wohl zu überprüfen, ob die Datenschutzerklärung in dieser fehlerhaften Form überhaupt anzuwenden ist. Wesentliche Inhalte können in meinen Augen nicht konsumiert werden.
Sicherheit der Webseite
Diese ist laut Google nicht uneingeschränkt gegeben. Google führt hierzu aus: “Die Website nutzt keine private Verbindung. Es ist möglich, dass eine unbefugte Person Zugriff auf Informationen erhält, die Sie an die Website gesendet haben oder die Ihnen von der Website übermittelt wurden, und diese ändern kann.”
Ja, dann mal los …
… oder: Wer will nochmal, wer hat noch nicht? Für mich ist der Onlineauftritt des IDO-Shops abmahnbar. Jetzt stellt sich nur noch die Frage, wer denn genau Wettbewerber sein kann. Ich als ordentlicher Verbraucher fühle mich schon massiv eingeschränkt. Und jeder Wettbewerber, der den IDO abmahnen möchte, hat mein vollstes Verständnis.
Passives Einkommen ist in aller Munde. Es gibt viele großartige Ideen, die euch im Netz präsentiert werden. Aber keine funktioniert so wirklich. Ich zeige euch als erfahrener Abmahner, wie ihr echtes passives Einkommen mit Abmahnungen generieren könnt. Die DSGVO Abmahnung bietet euch dafür fantastische Möglichkeiten. Lernt in meiner kostenlosen Anleitung, wie ihr in wenigen Tagen mehr als 1.000 € pro Monat einfach und ohne eigenes Investment dazuverdienen könnt.
In nur wenigen Schritten seid ihr in der Lage, mit DSGVO Abmahnungen richtig abzusahnen. Dazu ist es nicht nötig, eigenes Geld zu investieren. Das verspreche ich euch. Holt einfach eure Freunde und die Community mit ins Boot.
Was wirklich einzigartig bei diesem legalen und skalierbaren Businessmodell ist: Eure Freunde verdienen sofort mit. Ich zeige euch jetzt in einer Schritt für Schritt Anleitung, was ihr tun müsst, damit auch ihr dem Hamsterrad enteilen könnt. Folgt meinen Tipps, abonniert mich auf YouTube, tretet der einzigartigen Facebook-Community bei und zieht euren Freifahrtschein in das Leben, wie es euch zusteht!
(Timm B., das erste DSGVO-Abmahnungs-Kind. Erfolgreich bereits als Start-up)
Tipp: Gründet einen DSGVO-Abmahnverein
Wie gründe ich einen Abmahnverein? Das ist nicht schwer. Das können sogar Rechtsanwälte. Schaut einfach, wie es der IDO gemacht. Die Rechtsanwälte und Präsidentin sharen sicherlich ihren Businessplan. Hinweis: Macht es aber nicht so wie Rechtsanwalt Gereon Sandhage. Der hat es irgendwie nicht drauf und kassiert reihenweise Strafanzeigen wegen vermeintlich rechtsmissbräuchlicher Abmahnungen.
Lernt aus den Fehlern anderer und sucht euch frische Abmahnanwälte direkt von der Uni. Sie bringen alle Eigenschaften mit, um einen erfolgreichen Abmahnverein zu gründen. Sie sind geldgeil, skrupellos und haben keine Ahnung.
Solche angehenden Abmahnanwälte findet ihr, indem ihr z. B. Aushänge an den schwarzen Brettern der Universitäten anbringt, oder ihr teilt euer Gesuch in den Jura-Facebookgruppen.
Ein weiterer großer Vorteil ist, dass ihr nicht mit eurem Namen auf den Gegnerlisten anderer Rechtsanwälte wegen der DSGVO-Abmahnungen erscheint. Ihr bleibt völlig anonym und generiert hohes passives Einkommen. Völlig ohne Risiko. Ihr könnt das Geschäft sogar neben eurem eigentlich Amazon FBA Private Label Business betreiben.
Der DSGVO-Abmahnverein ist gegründet. Jetzt geht es darum, passives Einkommen mit Abmahnungen zu generieren.
Der Abmahnverein ist gegründet, was jetzt? Nun beginnt ihr, das Netz nach DSGVO-Verstößen zu crawlen. Jeder Verstoß, den ihr findet, ist viel Geld wert. Geld, das euch gehören kann. Ohne viel Mühe und Arbeit. Lebt euer Leben und nicht euren Job.
Nachdem ihr genug DSGVO-Verstöße gefunden habt, könnt ihr mit den Abmahnungen beginnen. Ihr dürft als Abmahnverein oder Abmahnverband euren Opfern nur den Betrag in Rechnung stellen, den euch das Schreiben tatsächlich kostet. Die Gerichte winken aber Abmahnkosten von bis zu 300 € pro Abmahnung durch. Der IDO-Verband nimmt circa 230 € pro Abmahnung.
(Händler M.A. am Strand, nachdem er meine Tipps befolgt hat)
Ein wichtiger Hinweis: Optimiert eure Arbeitsabläufe und arbeitet mit Textvorlagen und Textblöcken. Das reduziert euren Arbeitsaufwand und es bleibt mehr für euer passives Einkommen von den 230 € Abmahnkosten übrig.
Versucht also, so viele identische DSGVO-Verstöße wie möglich gleichzeitig abzumahnen. Passieren kann euch nichts. Auch wenn manche Bedenken- und Aluhutträger euch jetzt versuchen, dass solche Abmahnungen als rechtsmissbräuchlich anzusehen sind. Das ist natürlich Quatsch.
Lasst euch nicht von eurem erfolgreichen Weg abringen. Ihr, die Macher, werdet erfolgreich sein. Ihr seid Unternehmer und das kommt von unternehmen und nicht unterlassen.
Rechnen sich DSGVO-Abmahnungen wirklich?
Ja, das tun sie und ich zeige euch jetzt, wie viel Geld ihr damit ohne Risiko und sofort verdienen könnt. Hier eine ganz einfache Rechnung, die jeder versteht und nachvollziehen kann:
10 Abmahnungen in der Woche bringen euch schon 2.300 € Verdienst. Jeder Monat hat vier Wochen. Und da wird es keinen geben, der das anders sieht. Also 4 x 2.300 € = 15.600 €. Und das ist EUER Monatsverdienst.
Aber für die Abmahnungen gehen doch sicher auch Kosten ab?
Nein, natürlich nicht. Das ist doch gerade das Großartige an diesem DSGVO-Abmahn-Geschäftsmodell. Ihr könnt es von zu Hause betreiben. Ihr benötigt noch nicht mal einen Computer oder einen Laptop. Ein einfaches Nokia 3310 reicht aus. Ist das nicht umwerfend?
Der Anwalt, den ihr benutzt, hat doch eh ein Büro. Warum solltet ihr euch also ein eigenes anschaffen. Das ist nicht zeitgemäß. Ihr arbeitet mit einer virtuellen Abmahn-Assistentin. Sie ist günstig und lässt sich ›on demand‹ buchen.
Ich habe euch ja versprochen, ihr müsst kein eigenes Geld investieren. Geld verdienen mit DSGVO-Abmahnungen ist das mir einzig bekannte Geschäftsmodell, bei dem das auch wirklich funktioniert.
Ihr habt abgemahnt und was passiert jetzt?
Nachdem ihr jedem Händler eine DSGVO-Abmahnung für 190 € gesendet habt, müsst ihr euch um nichts weiter kümmern. Das macht alles euer Abmahnanwalt. Er kümmert sich jetzt darum, dass eure Opfer die Rechnung bezahlen und eine strafbewehrte Unterlassungserklärung abgeben. Das geht alles vollautomatisch. Euer Abmahnanwalt wird dabei von eurer virtuellen Assistentin Mandy unterstützt.
Natürlich haben eure Abmahnopfer großes Interesse, dass die Abmahnungen schnell erledigt sind. Das bedeutet für euch, ihr generiert euren Umsatz ebenso schnell, da die Abgemahnten ihre Rechnungen meistens nach nur wenigen Tagen auf euer Abmahnvereinskonto überweisen.
Der Clou: Vetragsstrafen
Und wenn ihr jetzt bis hierhin gelesen habt, dann bekommt ihr von mir den letzten Hammertipp geschenkt. Kostenlos. Und nur für euch. Für den jetzt folgenden Tipp habe ich mich extra zwei Stunden in die Buroräume des IDO-Interessenverbands für das Rechts- und Finanzconsulting deutscher Online-Unternehmen e.V. in Leverkusen versucht zu begeben. Für euch habe ich versucht, eines der Gründungsmitglieder, Onlinemarketing-Rockstar Florian Berger zu sprechen.
Und jetzt kommt der ultimative Tipp: Verdient Zusatzeinkommen mit Vertragsstrafen aus Abmahnungen.
Das geht ganz einfach. Wenn ihr die Unterlassungserklärung eurer Abmahnopfer in den Händen haltet, dann schaut nach, ob sie wirklich alle Verstöße beseitigt haben. Ihr werdet erkennen, dass die wenigsten Händler ihr Business beherrschen und sich die alten Verstöße noch immer finden lassen. Und genau das ist jetzt eure persönliche Goldgrube.
Jeder entdeckte Verstoß wird euch von den Abgemahnten mit einer Vertragsstrafe vergütet. Ihr müsst nichts dafür tun. Das sieht das Gesetz vor. Und das ist zu 100 % legal.
»Vertragsstrafen aus Abmahnungen zu generieren ist gesetzlich sogar eingefordert. Und das ist auch gut so, denn die Erträge aus Abmahnungen reichen oft nicht, um eine seriöse Anwaltskanzlei zu betreiben«, so Rechtsanwalt und Rechtsgelehrter Prof. Dr. Dr. Andreas Timm Alt aus Berlin, selbst in der Vergangenheit erfolgreicher Abmahnanwalt und jetzt Vorsitzender eines großen Firmen-, Verbands- und Abmahnkonglomerats.
Er vertritt sogar die Auffassung, dass man selbst gar nicht mehr abmahnen müsse, um erfolgreich zu sein. Er ist erfolgreich mit dem Verkauf von Rechtsschutzpaketen und damit Angst zu generieren. Nebenbei erzählte er, dass er eh kaum haften müsse, daher könne er seine Familie gut damit durchbringen. Aber das ist ein anderes, etwas komplexeres Geschäftsmodell und nicht für Start-ups geeignet.
Jede generierte DSGVO-Abmahn-Vertragsstrafe lässt euer passives Einkommen durch die Decke gehen. Arbeitet auf der ganzen Welt, ortsunabhängig. Wenn ihr meiner Anleitung folgt, habt ihr nie wieder finanzielle Sorgen.
Mit dem Laden des Beitrags akzeptieren Sie die Datenschutzerklärung von Facebook. Mehr erfahren
(Quelle: Prof. Dr. Dr. Andreas Timm Alt auf dem Weg zum nächsten Opfer)
Freifahrschein in das Leben wie es euch zusteht!
Und den wünsche ich von ganzem Herzen. Ja, es hat sich ein unfassbares Business rund um Abmahnungen mithilfe der DSGVO-Angst entwickelt. Man munkelt, dass ganze Heerscharen von geldgeilen Anwälten und sonstigem unseriösen Gesocks bereits in den Startlöschern stehen.
Und ich verspreche euch, am Ende des Tages bekommt jeder, was er verdient hat und was ihm zusteht, nämlich eine krasse Bauchlandung mit Hoffnung auf Insolvenz.
Habt also Spaß mit meiner Anleitung und erwirtschaftet mit DSGVO-Abmahnungen und Vertragsstrafen viel Geld. Ich verspreche und garantiere euch: Das geht in die Hose.
Ihr werdet es nicht glauben. Ich bin angeschrieben worden. Von wem? Kein Scherz. Das ist jetzt wirklich war. Das könnt ihr euch nicht ausdenken. Vom IDO.
Sehr geehrter Herr Steier,
wir haben von Ihrem Beitrag
„Der DSGVO-Abmahnverein ist gegründet. Jetzt geht es darum, passives Einkommen mit Abmahnungen zu generieren.“
heute Kenntnis erlangt. Wenn Sie wüssten, was es bedeutet, ca. 2.400 Mitglieder für die Vorgaben der DSGVO vorzubereiten, dazu den Arbeitsaufwand der letzten Monate kennen würden, hätten Sie – jedenfalls nicht bezüglich unserem Verband – diesen Bericht erstellen können. Wir stimmen Ihnen allerdings zu, dass es für unseriöse Verbandsstrukturen sowohl nach dem UWG (§ 8 Abs. 3 Nr. 2) als auch nach dem UKlaG, wo der Datenschutz auch noch ausdrücklich erwähnt wird (§ 8 Abs. 1 Nr. 2; § 2 Abs. 2 Nr. 11) die von Ihnen aufgezeigten Möglichkeiten eines „DSGVO-Abmahnvereins“ geben könnte. In der Praxis kommen solche Verbände – zum Glück – aber nicht vor. Denn wer den Mitgliedern keinen hinreichenden Support liefert, ist auch schnell aus dem Geschäft. Beispiele sind uns bekannt. Mitglieder, die keine Rechtssicherheit durch den Verband erfahren, bleiben nicht lange.
Nun aber zum aktuellen Anlass. Sie wissen, wir haben uns kürzlich schon mit erheblichem Aufwand und Kostenvolumen gestritten. Dieses Mal möchten wir einen anderen Weg gehen und mahnen Sie bewusst nicht förmlich ab.
Zwei Äußerungen in Ihrem Beitrag sind schlicht falsch. Insofern können Sie sich auch nicht auf die journalistischen Freiheiten, die wir grundsätzlich akzeptieren und auch an Ihnen schätzen, berufen:
Sie führen in dem o. g. Beitrag aus:
„Der IDO-Verband nimmt circa 290 € pro Abmahnung.
…
Für den jetzt folgenden Tipp habe ich mich extra zwei Stunden in die Buroräume des IDO-Interessenverbands für das Rechts- und Finanzconsulting deutscher Online-Unternehmen e.V. in Leverkusen versucht zu begeben. Für euch habe ich versucht, eines der Gründungsmitglieder, Onlinemarketing-Rockstar Florian Berger zu sprechen.“
Der IDO Verband hat noch nie „circa 290 €“ für eine Abmahnung verlangt. Vermutlich ist Ihnen da ein Schreibfehler unterlaufen. Der IDO Verband setzt 195,00 EUR netto pro Abmahnung an, was auch von den Gerichten – wie Sie es formulieren „durchgewunken“ wird.
Nicht wahr sein kann auch die Aussage, sie hätten sich zwei Stunden versucht, in die Räume unseres Verbandes zu begeben. Aber ggf. können Sie uns das ja noch erläutern.
Dass Sie aber als „eines der Gründungsmitglieder“ unseres Verbandes den „Onlinemarketing-Rockstar Florian Berger“ benennen, ist jedenfalls eindeutig falsch. Wir kennen keinen Florian Berger und diese ist dementsprechend auch kein Gründungsmitglied (im Übrigen auch kein Mitglied).
Falls Sie bis zum 29.05.2018 die vorgenannten, von uns beanstandeten Aussagen, von Ihrer Webseite nehmen, ist der Vorgang für uns erledigt. Ansonsten müssten wir erneut gerichtliche Hilfe in Anspruch nehmen. Da wir Ihre Beiträge grundsätzlich schätzen, wäre uns der Weg lieber, dass wir uns verständigen.
Mit freundlichen GrüßenSxxxh Sxxxxu
IDO Interessenverband für das Rechts- und Finanzconsulting deutscher Online-Unternehmen e.V. vertreten durch den Vorstand, dieser vertreten durch die Präsidentin Helene Eibl
Eingetragen im Vereinsregister des Amtsgerichts Köln unter der Registernummer: VR 16434
Diese E-Mail kann vertrauliche und/oder rechtlich geschützte Informationen enthalten. Wenn Sie nicht der Empfänger sind oder diese Nachricht irrtümlich erhalten haben, löschen Sie diese E-Mail und informieren Sie bitte sofort den Absender.
Ein Super-Gau kann nicht nur durch unvorhergesehene Probleme wie in Tschernobyl oder Fukushima ausgelöst werden. Da über die Jahre leider immer mehr Geräte digitalisiert und mit dem Netz verbunden werden, bleibt dies auch nicht bei Kohlekraftwerken aus. Ein Anschlag auf ein Kohlekraftwerk mithilfe des Internets würde wahrscheinlich nur einen temporären Stromausfall in einem bestimmten Radius auslösen, wie es auch bei Windrädern möglich ist. Aber wie sieht es mit Kernkraftwerken aus welche im Fall einer Kernschmelze ein weitreichendes Risiko für die Menschen darstellen?
Sind Hackerangriffe auf Kernkraftwerke wirklich möglich?
Bei der Frage tendiere ich eher zu “Ja!”, denn was ich bereits gesehen habe reicht mir, um davon ausgehen zu können, dass auch Kernkraftwerke vereinzelt am Netz nach Außen hängen. Selbst wenn es sich in einem internen Firmen-Netzwerk befindet, besteht daraufhin schon eine Gefahr durch Trojaner welche die Rechner dort befallen könnten. In Deutschland liegen anscheinend die Standards der Absicherung hoch. Jedoch bieten nicht alle Länder diesen Standard und so fand ich bereits in China einen Server mit wenigen offenen Toren wie SSH, Telnet und FTP sowie Textschnipsel à la “Nuclear Power Plant“. Ob es sich hierbei nun wirklich um eine direkte Anbindung zu einem AKW handelt kann man ohne Zugriff nicht sagen, aber ein mulmiges Gefühl hinterlässt es trotzdem. Gehen die Inhaber wirklich so leichtsinnig mit diesen besonders empfindlichen Bereichen um?
Was zunächst nach einem Witz klingt über den man am liebsten lachen möchte, ist in diesem Zeitalter des Internets leider die Realität. Daher sollte man nicht ausschließen, dass ein terroristischer Anschlag auf ein Kernkraftwerk in Form eines Hackerangriffs möglich ist. Man will natürlich nicht den Teufel an die Wand malen und auch ich erhoffe mir, dass es niemals zu einem solchen Angriff kommen wird.
Login von Horizon Nuclear Power
Neben dem AKW in China fand ich durch den Scan verschiedener IP-Bereiche auch ein Webinterface vom britischen Unternehmen “Horizon Nuclear Power”. Kaum zu glauben, dass es sich hierbei wirklich um den Zugang zu einem AKW handeln könnte, wenn hier noch schön ein Login-Screen präsentiert wird und dieser öffentlich anhand der IP-Adresse aufrufbar ist. Es könnte sich aber auch um eine Verwaltung handeln. Hacker würden hier, wie auch über SSH, Telnet oder FTP eine Bruteforce Attacke (Generieren und abfragen von Millionen/Milliarden potenziellen Passwörtern o. Nutzernamen) durchführen oder auf Exploits(Scripte zum Ausnutzen von Sicherheitslücken) setzen, sofern der Server ein veraltetes System besitzt. Investiert man nur genug Zeit, bekommt man sicherlich auch Ergebnisse.
Wie bspw. in den meisten Banken, sind die Betriebssysteme in Kraftwerken eher vom alten Stamm und auf vollständige Absicherung wird nicht genug Wert gelegt, da man anscheinend nicht mit einem Angriff dieser Art rechnet.
Super-Gau: Wer ist schuldig?
Nehmen wir mal an es käme tatsächlich eines Tages zu einem Hackerangriff auf ein Kernkraftwerk. Wer trägt daraufhin die Schuld? Ist es der Betreiber des AKWs oder der Entwickler der Software? Für die Absicherung ist der Betreiber verantwortlich. Käme es jedoch zu einem Angriff durch Sicherheitslücken, von denen der Betreiber selbst nichts wissen kann, dann liegt die Schuld beim Softwareentwickler. Das Strafmaß mag ich mir gar nicht vorstellen.
Die Wahrscheinlichkeit, dass ausgerechnet ein Hacker durch Zufall auf ein Kernkraftwerk stößt ist wohl extrem gering. Falls ein Hacker dies vor hat, muss es über einen langen Zeitraum geplant werden und Angriffe müssten vielleicht auch physisch über eine direkte Anbindung stattfinden. Die AKWs haben keine Weberkennung in der bereits Hinweise dazu stehen, dass es sich bei dieser IP-Adresse um eines handelt. Manche Tools erlauben aber auch das “Abgrasen” des Website-Headers, in dem Dinge wie “(Nuclear) Power Plant” versteckt sein könnten. Gleiches gilt bei automatisierter Abfrage via Telnet.
Ich würde mich zukünftig mit dem Thema auseinandersetzen und Systeme untersuchen, welche eine potenzielle Gefährdung darstellen, damit ich diese melden kann. Leider wäre dies ohne Genehmigung des Betreibers keinesfalls mehr eine Grauzone, daher bleibt eigentlich nur eine Hoffnung: Die vollständige Remote-Abschirmung für Kernkraftwerke, sodass diese nur noch vor Ort verwaltet werden können.
Wir haben aus der Vergangenheit gelernt, dass die Regierung erst handelt, wenn etwas bereits geschehen ist.
Ich liefere Updates anhand von Screenshots, wenn mir wieder durch Zufall ein AKW in die Finger kommen sollte.
Über mich
Ich nenne mich ZZb00t. Seit 2009 beschäftige ich mich mit der IT-Sicherheit und dem Aushebeln von Systemen, war beruflich als IT-Sicherheitsberater tätig, besitze einen ausgeprägten Sicherheitstick und setze auf Linux statt Windows. Für viele Leser wird das Pseudonym “ZZb00t” ein negatives Bild hinterlassen haben, denn dieser Name steht in Verbindung mit mehreren DDoS-Angriffen wie bspw. auf die Paket-Dienstleister DHL, DPD und GLS im Mai 2017.
Mark Steier berichtete hier erstmals von den Angriffen. Kurz erklärt werden bei einem DDoS-Angriff massenhaft Anfragen zahlreicher Rechner auf ein System mittels IP-Adresse gestellt, welches diese nach einer variierenden Zeit nicht mehr verarbeiten kann und dadurch für die Zeit des Angriffs ausfällt. Das hängt jedoch von der Geschwindigkeit der Bandbreite sowie dem Protokoll ab, welches für den Angriff genutzt wird. Seit einigen Jahren bieten spezielle Unternehmen einen Schutz in Form einer DDoS-Firewall an, welche den Angriffen wesentlich besser standhalten kann und den massiven Traffic im Notfall ins Leere umleitet, sofern die Firewall vollständig auf alle Subdomains und öffentlichen IP-Adressen implementiert wurde.
Die kurzen Angriffe auf die verwundbaren Systeme waren lediglich ein Hinweis darauf, dass die Unternehmen anfällig für Angriffe sind, was sich vermeiden lassen würde, wenn man denn schon als großes und wichtiges Unternehmen im Internet vertreten ist. In der Zeit der Angriffe waren jegliche Dienste der Unternehmen temporär stillgelegt und somit konnten bspw. Sendungsverfolgungen nicht mehr abgerufen oder Versandetikette gedruckt werden.
Die Angriffe sind seit Ende Mai Geschichte und mittlerweile biete ich Unternehmen Beratungen für die richtige System-Absicherung sowie Penetrationstests an, welche Sicherheitslücken oder Schwachstellen aufweisen können und in einem eigenen Bericht samt Empfehlungen zusammengefasst werden.
