Federal Anayasa Mahkemesi, modern çözüm sürecinde suçlanan BT uzmanının gerekçelendirilmeden anayasal şikayetini reddetti. 15 Eylül'deki bir kararda Haberler Online, Mahkeme İkinci Senato'nun üçüncü odasının üç hakiminin oybirliğiyle anayasal şikayetin bir karar için kabul edilmediğine karar verdiğini belirtiyor. Haziran 2021'den bu yana, modern çözüm davası, Jülich Bölge Mahkemesi'nden Karlsruhe Federal Anayasa Mahkemesine kadar tüm Alman Mahkemesi davalarından geçmiştir.
Heinsberg'in Kuzey Ren-Westphalia'daki serbest BT uzmanının tarihi, bir e-ticaret yazılımında Ruhr bölgesindeki moden çözümünden bir güvenlik boşluğunu keşfeden ve ödül yerine bir reklam ve arama alan, Alman BT endüstrisinin birçok gözlemcisi tarafından zulüm gördü. Son olarak, bazıları BT uzmanlarının ve güvenlik araştırmacılarının günlük yaşamındaki çeşitli yasal belirsizlikleri netleştirmeyi umuyordu. Bunun yerine, Köln Bölge Mahkemesi'nin talebinin son kararı ve şimdi anayasal şikayetin reddedilmesi tam tersini sunar: Ceza Kanunu'nun 202 adlı hacker paragrafı, Almanya'da halka asla bir güvenlik açığı getirmeyen bir güvenlik boşluğu getirmeyen bunu zorlaştırıyor.
Modern Çözüm: Yeni Bir Bölgeden Modern Peri Masalı
Modern çözümün etrafındaki destan, Haziran 2021'in sonunda halkın isimlere, adreslere, hesap verilerine ve yaklaşık 700.000 çevrimiçi alıcıdan daha fazla bilgiye yol açan bir güvenlik boşluğunu keşfettiğinde kursunu izledi. Güvenlik açığı, Modern Solutions Company'nin e-ticaret merkezde yazılımlarındaydı, bu da varlıklarını büyük Kaufland çevrimiçi mağazalarında, Otto, Check24 ve diğer şirketlerde sunmak için daha küçük çevrimiçi mağazalar sunmanızı sağlayacak. Modern çözüm, modern çözüm yazılımının operatörlerine bu yazılım aracılığıyla tek bir veritabanında iletilen tüm alıcıların verilerini ezberlemiştir. Modern çözüm sunucularındaki bu veritabanının parolası, ara katman yazılımı yazılımının yürütülebilir bir dosyasında ve modern çözümün tüm müşterileri için aynı şekilde şifrelenmemiş. Bu nedenle, bu noktada ağdan serbestçe indirilebilen bu yazılıma erişim ile bu verilere ulaşmak yeterince kolaydı. Haberler Online'da o anda kendimiz bu verilere halka açık erişim onaylayabildik.
Hatayı düzeltmek yerine, modern çözüm mantıksızdı, bu yüzden boşluğu keşfeden BT danışmanı, şirket üzerindeki baskıyı artırmak için bir e-ticaret blogcusuna bildirdi. Bu, modern çözümün boşluğu kapattığı anlamına geliyordu, ancak boşluğu bildiren danışman ve bunu bildiren blog yazarı da belirtildi. Blogger'a karşı duruşma kesintiye uğradı, ancak bağımsız BT uzmanında Ekim 2021'de gerçekleştirildi ve tüm çalışma ekipmanlarına el konuldu.
Jülich'te prosedür
Haziran 2023'te Köln Savcılığı başlangıçta BT danışmanını suçlamadı. Jülich'in bölge mahkemesi, herhangi bir ceza suçu olmadığı için süreci reddetti, çünkü güvenlik uzmanının soruşturmaları sırasında eriştiği veriler etkili bir şekilde korunmadı. Köln Savcısı ve Temmuz 2023'te Aachen Bölge Mahkemesi davanın Jülich için müzakere edileceğine karar verdi. Veriler özellikle garanti edildi çünkü bir şifre koruması vardı ve “veri kurtarma” da sadece ayrışmadan sonra “Bölge Mahkemesinin yargısı oldu”. Şifre ile erişim garantisi erişim koruması olarak yeterlidir “, bu nedenle hackleme cezası suçu karşılanır.
Ocak 2024'te Jülich'in sessiz bölge mahkemesinden önce bir prosedür vardı. Savunma, sanıkların, modern çözümün müşterisi için mevcut tüm verilerle sunduğu yazılımı incelediğini düşündü. Sadece kendisine yönelik verileri kabul etmişti. Mahkeme bu konuyla aynı fikirde değildir ve Ceza Kanunu'nun 202A Bölümü uyarınca bir suç görmüştür.
Kamu savcısı, sanığın veritabanının bağlantısı için şifreyi elde etmek için modern çözüm yazılımı programının kodunu ayrıştırdığını göstererek test almanın önemli bir bölümünü geçirmişti. Sanık, protokolü yalnızca bir metin düzenleyicisini düşünmüş ve daha sonra veritabanının şifresini normal metinde okumayı verdi. Daha önce gözlemlediği MySQL bağlantısının diğer iyi bilinen bağlantı verilerinin hemen yakınında buldu. Kanıt varsayımında, mahkeme doğrudan ilgili dosyayla karşılaşmadı ve sanıklardan gelen bilgileri kontrol etmeye çalışılmadı. Buna ek olarak, polis, duruşmada okunan soruşturma dosyasının taraflarına göre bunu yapmış gibi görünmüyor. Buna ek olarak, mahkeme sanıkları parçalanarak şifreyi almayı gösterememiştir. Polis müfettişleri, sanıkların bilgisayarlarındaki modern çözüm yazılımını ayrıştırma endikasyonlarını garanti edebildiler, ancak bu sadece yazılımı * verilerdeki casusluk iddia ettikten sonra * kapladığını gösterdi.
Ancak duruşmanın sonunda, bunun karar üzerinde çok az etkisi olmuştur. Başkan Hakimi, yazılımın bağlantı için bir şifre ayarladığı tek gerçeği, programın ham verilerine bir bakış ve veritabanına daha sonra modern çözüme bağlantının hacker paragrafının cezai suçunu karşıladığı anlamına geldiğini bildirdi. Savunma, modern çözümlerin bir müşterisi adına (yazılımla söz konusu şifreyi alan) yazılımın “fonksiyonel analizi” sırasında birkaç kez altı çizdiği için bunun birkaç kez altını çizmiş olması, bu kararda oynanmamış gibi görünmüyordu. Aachen Mahkemesi'nin kararına gelince, Jülich'in hâkimi şimdi yasal durumun kapsamlı bir vizyonundan sonra, yasa koyucunun 2007'de ceza kanununun 202A bölümünün “bu şekilde hacklemeyi cezalandırmaya” odaklandığını söyledi. Bu açıdan, “herkes için değil” nin korunması suçu tatmin etmek için yeterlidir. Sanık bir yargı kutusu olmadığı için para cezasına çarptırıldı ve hapis cezasına çarptırıldı.
İkinci randevu, revizyon ve anayasal şikayet
Sanık, duruma itiraz konusunda ikinci kez karar vermek zorunda olan Aachen Bölge Mahkemesine başvurdu. Kasım 2024'te mahkeme onları asılsız olarak kovmaya karar verdi. Bu süreçte, LG Aachen, Ag Jülich'in garantili veritabanına erişimin suçu tatmin ettiğini sürekli olarak kabul etmiştir. Ayrıca, sanık şifreye ulaştıkça mahkeme ilgisiz görünüyordu. Parola, bir suça erişimi sağlayan kolayca tahmin edilmedi veya kamuya açık olarak bilinmedi. Duruşmada, Mahkeme'nin küçük ceza odası, sanığın görmemesi gereken müşterilerin verilerine erişebileceğini fark ettiği anda erişmeyi bırakmış olsaydı, davalının cezai bir sorumluluktan kaçınabileceğini vurguladı. Bu verilerin bu süreçte tartışılmaz olan ekran görüntüleri ile belgelenmiş olması, cezai sorumluluğunu mühürlemiştir.
Bu nedenle savunma, 3 Temmuz 2025'teki 1. ceza senatosu LG Aachen'in kararının yasal hatalar içermediğine ve bu nedenle yasal olarak bağlayıcı olduğuna karar veren Köln Superiore Bölge Mahkemesi'nde duruşmanın bir revizyonunu talep etti. İncelemelerde her zamanki gibi, davanın gerçek koşulları bu prosedürde artık incelenmemiştir. Savunma, Jülich ve Aachen'deki iki süreçte Jülich'in iki sürecinde hala haksız kabul edildiğinden ve anayasal haklarının ihlal edildiğini varsayarak, ancak Ağustos 2025'te federal Anayasa Mahkemesi'nin temyiz edildiği, şimdi reddedildiği varsayılarak. Federal Anayasa Mahkemesi'nin kararı akıl almaz.
BT uzmanları ve güvenlik araştırmacıları için sonuç
Bu prosedür, çalıştıklarında BT sistemlerinde güvenlik boşluklarıyla karşılaşabilecek herkes için çok sayıda önemli sonuç anlamına gelir. Bu durumda BT uzmanı ile tedavi, Almanya'da ölümcül bir hata olabileceğini göstermektedir. Zaten kapatılmış olsalar bile güvenlik boşlukları hakkında detaylar yayınlamaktadır. Buna ek olarak, prosedür, bir programcı, müşterisi adına ticari ortaklar tarafından bu müşteri tarafından sağlanan verilere erişim sağlıyorsa ve yazılım sorunlarını çözmek ve yazılımın sorunlarını çözmek için Alman mahkemelerinin bunu cezalandırabileceğini düşünebileceğini açıklığa kavuşturmaktadır.
Bununla birlikte, bu tür verilerin bir şifre ile korunması – – çok basit ve tahmin edilmesi kolay olsa bile, yasa anlamında erişimin korunması ve ceza suçuna verilere erişim sağladığı için şüphe yoktur. Bu, bu şifre açık bir internet yazılımında basit bir metin olarak bulunabilirse de geçerlidir. Bir mesleğin yazılımını analiz etmesi gereken herkes, Alman bakanlıklarının bilgisayarda bir ayrışmacınız varsa bunu cezai davranışın bir göstergesi olarak gördüğünü de düşünmelidir. Bu durumda, bu görüş mahkemede birkaç kez ifade edilmiştir ve hatta bazen hakimler tarafından tespit edilmiştir.
Sonuç olarak, dört yıldan fazla modern destan çözümlerinin yazılım analizinin cezai sorumluluğundaki ve Almanya'daki güvenlik boşluklarının yayınlanmasındaki yasal belirsizliklerin sınırlandırılmasına yol açmadığı söylenebilir. Aksine: Mahkemeler tarafından temsil edilen yasal görüşler, § 202 STGB'yi tamamen olmasa da, Almanya'daki yazılımın kalitesini iyileştirmek isteyenler için hiç olmadığı kadar büyük bir tehlikeye dönüştürmektedir. Ayrıca federal Anayasa Mahkemesi, genel halk anlamında iyi niyetlerle ilgilenen bu tür BT profesyonelleri için işin işini geliştirmek yerine, kendisini bu şekilde adlandırılan herhangi bir “hack” ü cezalandırmaya meyilli gibi görünmektedir.
(Asla)
Bir yanıt yazın