Mittwoch, August 15, 2007
Partyguide: Die Posse nimmt kein Ende ...
Heute Mittwoch-Nachmittag stand ich also vor Gericht und musste mich für meine Untaten verantworten - dachte ich zumindest. Im Schlepptau hatte ich viele Kollegen, die die Gelegenheit nutzten, endlich einmal (als Zuschauer) an einer Strafverhandlung teilzunehmen. Es waren derart viele an der Zahl, dass die für Zuschauer reservierte Bankreihe fast aus ihren Nähten platzte. Danke an alle, die mir den "Rücken gestärkt" haben - und auch allen, die mir vorgängig viel Erfolg gewünscht haben.
Lonesome Cowboy
Nachdem wir am Amthaus in der Hodlerstrasse 7 eintraffen, durch die Schleuse gelassen wurden und danach vor Raum 002 warteten, sass da wie erwartet schon jemand auf der Wartebank. Es war definitiv kein Bekannter von uns. Wie sich später herausstellen sollte, war es aber nicht etwa der Anwalt von Partyguide, sondern Oliver Walzer, damals Freelancer, mittlerweile CTO von Partyguide. Während sich sein Chef im sonnigen Kalifornien die Nacht um die Ohren schlägt, vertrat Oliver die Firma vor Gericht.
Oli hat sich bereits mehrere Male in Kommentaren zu meinen Blog-Artikeln als Partyguide-Entwickler zu erkennen gegeben, war mir also (aus virtueller Sicht) kein Unbekannter.
Kein Vergleich möglich
Dieser Umstand führte kurz nach Verhandlungsbeginn bereits zum ersten Problem: Der Richter, auf ein möglichst schlankes und rasches Verfahren bedacht (das kostet alles!), hatte so keine Möglichkeit, die beiden Streithähne Parteien gleich zu einem Vergleich zu bewegen.
Wie ich mir nach der Verhandlung erklären liess, schliessen Kläger und Beklagter bei einem Vergleich einen Vertrag. Darin ist festgehalten, dass der Kläger die Klage zurückzieht, während der Beklagte im Gegenzug einen vereinbarten Betrag zahlt, der Teile des verursachten Aufwandes und Schadens decken.
Erste Abklärungen in dieser Richtung waren aber nicht möglich, da hierzu der Geschäftsführer selbst (oder sein bevollmächtigter Anwalt) hätten vor Ort sein müssen.
Jason Fellmann macht übrigens in einer Privatklage eine Schadenssumme von 20'000 SFr. geltend (Behebung der Sicherheitslücke, Ändern der Passwörter, Information der Benutzer, Verlust von Werbekunden, Imageschaden). Dieser Betrag wird in einem Prozess klar zu belegen sein - in einem Vergleich hinterfragt die Herleitung der Summe aber niemand (ausser höchstens der Beklagte, der aber nichts gegen Fantasiezahlen auswirken kann).
Kollege Smythe stellte einen treffenden Vergleich an: Durch meinen Hack müsste ein Arbeiter mit einem äusserst anständigen Nettolohn von 5'000 SFr. vier Monate lang arbeiten.
Die Vertretung des Klägers kommt zu Wort ...
Der Richter ging deshalb zu der Befragung über. Zuerst kam Oliver an die Reihe, der aus Sicht der "Geschädigten" schilderte, wie sie vom dritten Partyguide-Hack erfuhren und welche Massnahmen sie damals ergriffen. Im Anschluss stellte Richter Riesen einige gezielte Fragen, die ihm relevant erschienen (z.B., ob Partyguide zu dem Zeitpunkt Kreditkartendaten auf dem Server gespeichert hatte). Gemäss Aussagen von Oli entschloss man sich bei Partyguide anscheinend erst deshalb zu einer Anzeige, als ich Jason Fellmann in meinem Blog als "unfähig" bezeichnet hatte.
Erstaunlich war, dass dem Vertreter der Klägerin der Nachname des Mitinhabers von Partyguide, Manuel Kern, entfallen war. Aber es sei sowieso Jason, der in der Angelegenheit die Federführung inne habe.
... und dann der Beklagte
Dann durfte ich auf dem Sessel in der Mitte des Raumes, vor dem Richter und der Protokollführerin, Platz nehmen. Nachdem ich über meine Rechte aufgeklärt worden war und meine Zustimmung gegeben hatte, Aussagen machen zu wollen, durfte ich aus meiner Sicht erklären, wie ich auf das Datenleck stiess. Mit der Partyguide-Suche konnte nach beliebigen Passwörtern gesucht werden, worauf ich innert 7 Tagen 13'000 Passwörter ergatterte. Auch mir stellte der Gerichtspräsident gewisse Fragen, um meinen Antrieb hinter meinem Vorgehen zu ergründen.
To Be Continued ...
Am Schluss teilte der Gerichtspräsident uns Anwesenden mit, dass ein nächstes Treffen unumgänglich sein. Dann aber müsse ein Vertreter von Partyguide erscheinen, der dann auch (wenn nötig) einen Vergleich schliessen könne (sprich der Geschäftsführer). Auf die Frage von Oliver, in welchem Zeitraum die nächste Sitzung etwa stattfinden würde, wurde uns ein Zeitpunkt innerhalb der nächsten Monaten, aber garantiert noch vor Ende Jahr, versprochen.
Die Mühlen mahlen
Juhui. Langsam verstehe ich, wieso die Gesetzeshüter und Strafbehörden nicht mit ihrer Arbeit nachkommen. Übrigens: Wenn ein Vergleich nicht zustande kommt (Oliver machte Andeutungen in diese Richtung - und auch ich habe eigentlich nicht vor, Jason mit meinem sauer verdienten Geld einen neuen Porsche kaufen zu lassen), wird man nicht darum herum kommen, die mächtige Prozessmaschinerie anzuwerfen. Das bedeutet: Gutachten, Gerichts- und Anwaltskosten, die der Verlierer dann bezahlen muss. Dabei bleibt der Weg durch die Instanzen selbstverständlich vorbehalten - wogegen der Swissair-Prozess wie ein Klacks aussehen wird.
Dr Aut hat jedenfalls schon angetönt, dass er nötigenfalls die Lokalität für eine Atriiichete in Lausanne (Bundesgericht) bereitstellen werde.
Labels: Bern, Partyguide, Recht
Abonnieren
Kommentare
neuen Kommentar verfassen
ist wirklich nervenaufreibend, kann ich verstehen, zuerst 1 Jahr warten und dann das Debakel beim Gerichtstermin.
Aber das zeigt ja wieder mal, wie "professionell" gewisse Firmen vorgehen. Einfach den CTO die "Drecksarbeit" machen lassen, während der Chef irgendwo in Amerika hockt. So ein Mist, nun hoffen wir doch mal, dass das Theater bald ein Ende findet, weiterhin viel Glück
Um dem ganzen noch ein Krönchen aufzusetzten, wie wäre es mit einer Klage von Usern gegen Partyguide, da diese fahrlässig mit ihren Benutzerdaten umgegangen sind (noch schöner, falls tatsächlich Kreditkartendaten vorhanden gewsesen wären?
... Kreditkartendaten dürfte man sowieso nicht komplett speichern, sonst gibts richtig ärger....
Ich wünsche dir auch viel Glück und ich glaube an dich!
Sali Mario
Einiges an deinen Ausführungen erstaunt mich...
1) Die Anwesenheitsfrage
Als durchaus interessant erachte ich, dass zu dem genannten Termin weder der Kläger selbst, noch ein gesetzlich legitimierter Vertreter des Klägers, anwesend sein musste. Handelt es sich bei der Auseinandersetzung nun doch "nur noch" um eine rein zivilrechtliche Auseinandersetzung oder stehen nach wie vor strafrechtliche Komponenten im Raum? Anders gefragt, welche Partei klagt? Hr. Fellmann, die Partyguide GmbH, "Vater Staat" oder eine Kombination der Genannten? ...und last but not least: War der Termin ausschliesslich eine Anhörung oder hat überhaupt jemals die Möglichkeit einer anschliessenden Hauptverhandlung am vergangenen Tage bestanden?
2) Die Forderungen
Eher mit einem gewissen Amusement las ich, dass angeblich die Unkosten zur Korrektur der Sicherheitslücke eingeklagt werden - Dies ist aus jenem Grunde rel. chancenlos, da du (annehmbar) mit deinem Verhalten keinen direkten Einfluss auf die Entstehung jener Lücke, noch einer Veränderung jenes Lecks, hattest. Die dazmalige Ausnutzung des Lecks und das Publikmachen sowie die Umstände der beiden Handlungen, sehe ich eher als problematische Punkte (strafrechtliche Relevanz?). Ein schwer zu kalkulierender Faktor ist auch ein möglicherweise entstandener Imageschaden (da sehr viel Ermessensspielraum) - eine gewisse wirtschaftsschädigende Komponente, wenn auch nicht gezwungenermassen vorsätzlicher Natur, könnte ich dem Publizieren von "massiven" Sicherheitslecks in einer bekannten und grossen Onlinecommunity durchaus abgewinnen. Exakt aus jenem möglichen Grunde des Imageschadens ist auch die Rechnung von "Smythe" nicht wirklich aussagekräftig.
Hmm... ich hoffe dass du, unabhängig von weiteren Verlauf des Falles, eine gute Rechtsvertretung (Rechtschutzversicherung?) hast.
Grüsse
MT
Wir zitieren:
Kollege Smythe stellte einen treffenden Vergleich an: Durch meinen Hack müsste ein Arbeiter mit einem äusserst anständigen Nettolohn von 5'000 SFr. vier Monate lang arbeiten.
Was macht der Herr sonst, sitzt das und spielt Tetris? Die Kosten sind ja eh da und nur weil genau DU den Fehler gefunden hast, haben Sie jetzt mehr Aufwand? Ich nenne das schlampiges Vorgehen. (Werde ich jetzt auch durch Jason oder sein Papi verklagt?).
Ich wünsche dir jedenfalls viel Erfolg. Und ja, du hast recht, sein Porsche soll er doch weiterhin durch seine Handlanger (aka. Fotographen) verdienen und nicht durch dich :)
Fazit: Aufruf zum PG Boykott :)
Obwohl ich persönlich deine Chancen als nicht besonders gut einschätze hoffe ich doch auf einen Sieg von dir.
Ich hoffe dass dieser Presidenzfall nicht in einem Vergleich endet. Das schwammige Schweizer Internetrecht braucht endlich Gerichtspraxis. Für die Atriiichete in Lausanne würde ich das Bier sponsern!
Dieser Post wurde vom Autoren entfernt.
@MT:
Schadensberechnung ist eine ganz grosse, komplexe und umstrittene juristische Thematik. Meine "Rechnung" bezieht sich einzig auf den Ersatz der Aufwendungen von Partyguide, welche durch den "Hack" verursacht wurden und sollte lediglich die Relation der PG-Schadenersatzforderung andeuten. Oli, der anwesende Argonaut, nannte jedenfalls keine weiteren Schadensposten wie etwa einen "Imageschaden", welche PG ersetzt haben möchte.
Zweifelsfrei entstand PG ein Imageschaden. Diesen ersetzt zu erhalten wäre indessen noch unwahrscheinlicher als der Ersatz der Auslagen, hat sich PG den Imageverlust doch grösstenteils selbst zugefügt! Nicht nur wegen der offenbar dilettantischen Programmierung. Wirklich gelitten hat das PG-Image erst nach Publikation der Zeitungsartikel (heute, Berner Zeitung) und DAZU wäre es ohne diesen (gelinde gesagt) wenig intelligenten Brief an Aeby's Arbeitgeber nie gekommen...
@leo
Kommt drauf an, wie das Gericht das Ganze beurteilt. Der objektive Tatbestand "besonders gesichert" ist ja gemäss emeidi nicht erfüllt und daher hat er sicherlich gute Chancen heil aus der Sache rauszukommen. PS mein Fall ist ähnlich geartet (STGB143bis), mal schauen was bei mir passiert
Apropos Imageschaden:
Wenn etwas Partyguide geschadet hat, dann das diletantische Verhalten nach Auftauchen des Lecks.
Der CTO führt aus, dass man erst geklagt habe, als Jason als «unfähig» bezeichnet wurde!!
Ich würde sagen, der ist nicht nur unfähig, sondern der hat «keine Eier», der Junge!
@Martin Thomas
Meines Wissens ist der Kläger (wie auch der Beklagte) verpflichtet am Gerichtstermin teilzunehmen, bin mir aber nicht 100 pro sicher (ein Jurist wüsste das sicher) Alleine schon deswegen verkommt das Ganze zu einer Farce, ich vermute mal, dass die Klage nur deswegen angestrengt wurde, weil angeblich eMeidi Jason Fellmann als unfähig bezeichnet hat und der "Hack" jetzt als Grund vorgeschoben wird.
Abwarten, wies nun weitergeht.
Dir lieber eMeidi wünsche ich viel Kraft und Glück, dass das Ganze noch ein gutes Ende findet
@leo:
In Punkto Rechtssicherheitwäre ein klares Urteil, wie es auch immer lauten möge, der allgemeinen Lage sicherlich sehr dienlich.
@Smythe:
Zitat: Meine "Rechnung" bezieht sich einzig auf den Ersatz der Aufwendungen von Partyguide, welche durch den "Hack" verursacht wurden und sollte lediglich die Relation der PG-Schadenersatzforderung andeuten. Oli ... nannte jedenfalls keine weiteren Schadensposten wie etwa einen "Imageschaden", welche PG ersetzt haben möchte.
Meine obige Aussage stütz sich ausschliesslich auf die Informationen dieses Blogposts (wo unter aderen Punkten auch der Imageschaden angeführt wird), da ich weder selbst vor Ort war, noch erweiterte Kentnisse im Fall besitze.
Zitat: Zweifelsfrei entstand PG ein Imageschaden. Diesen ersetzt zu erhalten wäre indessen noch unwahrscheinlicher als der Ersatz der Auslagen, hat sich PG den Imageverlust doch grösstenteils selbst zugefügt! Nicht nur wegen der offenbar dilettantischen Programmierung. Wirklich gelitten hat das PG-Image erst nach Publikation der Zeitungsartikel (heute, Berner Zeitung) und DAZU wäre es ohne diesen (gelinde gesagt) wenig intelligenten Brief an Aeby's Arbeitgeber nie gekommen.
Sicherlich kann man über Ausmass und Ursache(n) eines möglichen Imageschadens debattieren - Ich beurteilte den vorliegenden Fall, in anbetracht natürlich das mir versch. Aktenkentnisse fehlen, nicht so "glasklar" wie du dies vielleicht tun magst. Ich sähe exakt in jenem Vorwurf des wirtschaftsschädigenden Handeln, angenommen es würde sich herausstellen dass jener legitimiert wäre, den Grund für die hohe Schadensforderung.
@Anonym:
Zitat: Meines Wissens ist der Kläger (wie auch der Beklagte) verpflichtet am Gerichtstermin teilzunehmen, bin mir aber nicht 100 pro sicher
Ich meinte auch (zumindest müssten die Parteien in einer legitimierten Form vertreten sein), wesshalb ich wohl davon ausgehen muss, dass es sich bei dem vergangenen Termin lediglich um eine Art Anhörung (?) handelte.
@anonym:
Der objektive Tatbestand "besonders gesichert" ist ja gemäss emeidi nicht erfüllt
Aus meiner Sicht ist er das auch nicht. Ob das jedoch ein Richter (als Nicht-Informatiker) auch so sieht wage ich zu bezweifeln.
@alle Rechner:
Bei einem Monatslohn rechnet der Arbeitgeber normalerweise noch mal den gleichen Betrag dazu (für Arbeitsplatz, Management und Verwaltungskosten). Aber selbst wenn der Aufwand Änderungen in grossen System vorzunehmen recht hohe ist, sind zwei Mann-Monate doch recht überrissen um ein(!!) Sicherheitsloch zu flicken.
@leo
Nun sofern Partyguide das Eindringen mit Hilfe von Logs oder dergleichen stichhaltig beweisen kann, dann stehen die Chancen wiederum schlecht für eMeidi. Aber wenn das fehlt, dann ist die Klage nur ein bisschen "Säbelrasseln" mehr nicht.
Hallo werte Kommentatoren
Es wird Zeit, dass ich mich auch einmal zu Wort melde.
Verhandlung oder Einvernahme?
Martin Thomas hat natürlich recht - es war keine Verhandlung, sondern ausschliesslich eine Befragung. Dass dabei weder der Kläger noch ein gesetzlicher Vertreter erschienen ist, hat auch meine juristisch versierten Kollegen erstaunt. Den Gerichtspräsidenten schien dies aber nicht zu stören, weshalb ich annehme, dass man den CTO oder wohl gar den "Chief Toilet Facility Officer" an eine solche Einvernahme schicken könnte ...
Falls dem nicht so ist: Gibt es eine Frist, innerhalb der ich solche "Verfahrensfehler" (?) geltend machen kann?
Besonders gesichertes System
Aus meiner Sicht wird genau diese Anforderung des Gesetzesartikels bei einem allfälligen Verfahren massgebend sein.
Bisher war ich der Ansicht, dass der Partyguide-Server diesen Punkt nicht erfüllte. Um das Passwortfeld mit der Suchanfrage zu durchsuchen, musste ich keine Sicherheitsschranken überwinden. Die Suchfunktion stand der ganzen Welt offen - man kann auch heute ohne Login Suchabfragen starten.
Natürlich könnte sich aber die Justiz auf den Standpunkt stellen, dass das Partyguide-System durchaus "besonders gesichert" war - z.B. durch ein Passwort für den Linux-Benutzer root. Dass die Sicherung an anderen Orten nicht griff, spiele keine Rolle. Verglichen mit einem Haus: Alle Fenster stehen sperrangelweit offen, doch die Haustüre ist gleich mit drei Schlössern gesichert. Verübt ein Dieb nun einen Einbruch oder nicht, wenn er durch das Fenster einsteigt?
Geldfragen
Leider habe ich diesbezüglich keine Erfahrung.
Ich erwarte keine us-amerikanischen Verhältnisse, wo ich für eine in der Wäscherei verbrannte Hose 50 Millionen USD Schadenersatz fordern kann. Ich zähle darauf, dass das Gericht Augenmass walten und sich alle Zahlen bis ins Detail ausweisen liesse.
Handfest bewiesen werden kann ein "Schaden" sicherlich durch einen unnatürlichen Einbruch in den Werbebuchungen. Ich habe aber munkeln gehört (kein Gewähr!), dass nach den zwei Artikeln in den Medien die Anzeigenzahlen gar in die Höhe geschossen sind.
Auch hat der CTO bei der Einvernahme gesagt, dass meine Abfragen am Freitagmorgen, 9. Juni 2006, entdeckt wurden und die Lücke am Mittag bereits geschlossen war. Am Nachmittag wurden die Passwörter geändert und die Benutzer informiert. Rechnen wir mit einem ganzen Arbeitstag, den ich Partyguide zu berappen hätte, ergäbe die geforderte Summe von 20'000 SFr. ein immenser Stundenlohn ...
Zitat eMeidi
Falls dem nicht so ist: Gibt es eine Frist, innerhalb der ich solche "Verfahrensfehler" (?) geltend machen kann?
Jedes Verfahren beinhaltet auch sogenannte Rechtsmittel, d.h. am Ende einer Verfügung steht dann z.B. "Angeschuldigter und Kläger können gegen diesen... innert ... Tagen von der Zustellung an gerechnet Einsprache erheben etc"
aber das sollte Dein Rechtsbeistand wissen, bzw. wie man nun weiter vorgeht