News Strafverfahren: IT-Experte für das Melden einer Sicherheitslücke verklagt

[Kuristina]

Macht nur für die Versicherung einen Unterschied. Aber Ganove ist er ja trotzdem, wenn er das ausnutzt. ^^

wenn die Identifikation einer Sicherheitslücke in der Supply Chain bereits eine Straftat ist

Die reine Identifikation ist keine Straftat. Der dazu gewählte Weg kann es aber sein.

 

[dev/random]

Wenn ich mit einem "gefundenen" schlüssel einen raum/besitz aufschließe/betrete in dem ich nichts zu suchen habe. Spielt es dann eine rolle wie schlecht der schlüssel gegen das 'finden' gesichert war?

Ja. das spielt eine große Rolle. Um die hier schon mal zitierte Gesetzesbegründung heranzuziehen (Seite 10 zu §202a):

Nicht erfasst werden daher Fälle, in denen dem Angreifer die Durchbrechung des Schutzes ohne weiteres möglich ist (Münch-Komm-Graf, a. a. O., § 202a Rn. 28; Tröndle/Fischer, a. a. O., § 202a Rn. 8). Erforderlich ist vielmehr, dass die Überwindung der Zugangssicherung einen nicht unerheblichen zeitlichen oder technischen Aufwand erfordert (LK-Schünemann, a. a. O., § 202a Rn. 15).

Der Aufwand um "den Schlüssel zu finden" ist also entscheidend.

Ergänzung (20. Januar 2024)

Die reine Identifikation ist keine Straftat. Der dazu gewählte Weg kann es aber sein.

Der Weg kann nach §202b oder §202c strafbar sein, §202a ist aber noch umfassender.
Wenn einer meiner Zulieferer meine Daten mit den Daten anderer Kunden zusammen auf seinen Systemen speichert, gibt es für mich nach deutscher Gesetzeslage keine legale Möglichkeit die Sicherheit meiner Daten zu überprüfen. Schon die Identifikation einer Sicherheitslücke im Mehrbenutzersystems des Zulieferers ist zugleich einer Identifikation eines unberechtigten Zugangs zu fremden Daten und fällt somit unter §202a.

Ich halte eine Überarbeitung dieser Paragraphen für dringend geboten. Andernfalls ist es in Deutschland kaum noch möglich, Sicherheitsdienstleistungen nach Stand der Technik zu erbringen.

 

[Kuristina]

Wär das dann nicht Aufgabe des Zulieferers die Sicherheit der Daten zu prüfen? Seine Systeme, sein Job für Sicherheit zu sorgen. Und selber vielleicht einen Zulieferer wählen, der das inklusive hat.

 

[pseudopseudonym]

@Kuristina Nur funktioniert das offensichtlich nicht.

Wenn ich mir eine Tür mit Schloss zuliefern lasse, rüttel ich doch auch mal kräftig dran. Wenn dabei aufgrund eines Herstellerfehlers auch gleich die Türen der Nachbarn mit den gleichen Türen aufgehen, hat wohl eher der Hersteller Mist gebaut. Nicht ich, der das entdeckt und aus Eigeninteresse dem Hersteller meldet, bevor ein Verbrecher das gleiche entdeckt und mir die Bude leerräumt.

Mit solchen Urteilen wird das Rütteln weiter stattfinden. Schon allein, weil der Schritt wie hier gezeigt teilweise so extrem klein ist. Nur wird man das Ergebnis jetzt geheimhalten müssen, womit man sich selbst und auch vielen anderen schadet.

 

[Madcat69]

Im Normalfall muss man doch ohnehin davon ausgehen, dass das hartkodierte Passwort eben nicht Zugriff auf die Daten aller Kunden gewährt. Das wäre schließlich dann ein Software-Design abseits jeglicher BestPractice und wahrscheinlich sogar grob fahrlässig in Sachen Datenschutz (DSGVO lässt grüßen). Damit muss doch schon der Vorsatz der Überwindung einer besonderen Sicherung der Daten, was aus technischer Sicht bei einem hartkodierten Passwort IMHO eh nicht gegeben ist, fehlen.

 

[vander]

Der Aufwand um "den Schlüssel zu finden" ist also entscheidend.

Nicht erfasst werden daher Fälle, in denen dem Angreifer die Durchbrechung des Schutzes ohne weiteres möglich ist

Das 'ohne weiteres' ist wohl ansichtssache, das gericht war hier wohl der meinung das es eben nicht ohne weiteres möglich war.
Er musste schon einen gewissen aufwand betreiben und wissen anwenden dass nicht jeder hat.

 

[Salamimander]

Und genau diese Auslegung ist grob falsch. Nur weil Hildegart das nicht kann, ist es noch lange kein Aufwand. Genau diese Interpretation des Richters zeigt, dass er hier ein Urteil zu etwas fällt von dem er wirklich null (!) Ahnung hat.

 

[Kuristina]

Nur weil Hildegart das nicht kann, ist es noch lange kein Aufwand

Naja, das kannst du ja dann pauschal immer sagen, wenn einer im Schlaf was kann, was andere nicht können. Wo willst du denn dann überhaupt mal eine Grenze ziehen?

 

[Mensch_lein]

Am besten in einem Plus an Sicherheit für alle. Die durch dieses Urteil schlicht nicht gegeben ist. Um genau zu sein, ist dieses Urteil der Grund, warum in naher Zukunft Sicherheitslücken eben NICHT gemeldet werden, noch ausreichend gesucht.

Aber gut zu sehen, dass ein Gericht keinerlei Weitsicht besitzt um derlei zu erkennen.

Ich Narr hatte ja den Gedanken früher, dass ein Gericht dazu da ist, die Gesetze zum Wohle der Allgemeinheit anzuwenden. Mit dem Alter wird man klüger.

 

[Salamimander]

Naja, das kannst du ja dann pauschal immer sagen, wenn einer im Schlaf was kann, was andere nicht können. Wo willst du denn dann überhaupt mal eine Grenze ziehen?

Ist doch auch richtig. Hier geht es um IT(Sicherheit), also betrifft es Menschen vom Fach. Und damit meine ich nicht Kevin, der seine GPU einbauen kann, sondern Menschen die in dem Feld arbeiten. Und ein phpmyadmin (oder sqlstudio, oder oder) sind normale Werkzeuge wie auch ein Schraubenzieher.

 

[Kuristina]

Hacker sind auch Menschen vom Fach. Die kennen sich genauso damit aus. Und nu? Nur weil einer eine Sicherheitslücke meldet, ist er nicht pauschal unschuldig. Der Trick wär sonst bisschen zu einfach. ^^

 

[Piktogramm]

Naja, das kannst du ja dann pauschal immer sagen, wenn einer im Schlaf was kann, was andere nicht können. Wo willst du denn dann überhaupt mal eine Grenze ziehen?

Alles was man von einem mittelprächtigem Absolventem mit Bachelor der Informatik (ohne weitere Spezialisierung auf IT-Sec) erwarten kann, sollte als Minimum an Kompetenz angenommen werden können.

Hacker sind auch Menschen vom Fach. Die kennen sich genauso damit aus. Und nu? Nur weil einer eine Sicherheitslücke meldet, ist er nicht pauschal unschuldig. Der Trick wär sonst bisschen zu einfach. ^^

Beim Melden nach responsible Disclosure überwiegt typischerweise der positive Aspekt, die Schwachstelle bei Betroffenen abstellen zu können, bei gleichzeitig minimaler Schadwirkung. Das StGB samt Rechtssprechung sieht das normalerweise auch so vor. Bei Wiederbelebungsversuchen kann man (gerade älteren Menschen) Rippen brechen. Das ist astreine Körperverletzung, dient aber zum Zwecke der Lebenserhaltung bzw. Abwendung von Schaden. Selbst wenn bei so einem Fall eine Anzeige wegen Körperverletzung erfolgt, sollte die Staatsanwaltschaft solche Fälle im Regelfall nicht verfolgen und selbst wenn, vor Gericht muss sowas im Freispruch enden.

Der Hackerparagraf samt Begründung sollten eigentlich auch so ausgelegt werden. Aber irgendwas klappt hier ganz und garnicht.

 

[Salamimander]

Danke, genau so.

 

[Kuristina]

Der Hackerparagraf samt Begründung sollten eigentlich auch so ausgelegt werden.

Das fände ich arg naiv. Mal eben eine Firma hacken, die Daten zum Verkauf einstellen und die Sicherheitslücke melden. Man wird ja eh freigesprochen. ¯\(ツ)/¯ Das kann so nicht richtig sein.

Ansonsten hinkt dein Vergleich etwas.

 

[Piktogramm]

@Kuristina
Ich verwende die meisten Worte nicht zur Zierde!

Beim Melden nach responsible Disclosure [...]

https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/IT-Schwachstellen/it-schwachstellen.html
Also selbst die zuständige Behörde hat da Regelungen für. Cordinated Disclosure wird Synonym verwendet.

Edit: Oder auf Ebene der EU: https://www.enisa.europa.eu/news/enisa-news/coordinated-vulnerability-disclosure-policies-in-the-eu

Oder in den USA:
https://csrc.nist.gov/projects/vdg

Das was das Gericht in diesem Fall veranstaltet ist halt wirklich einfach nur ne Arschbombe.

Hatte ich erwähnt, dass in so manchen Kaffeeküchen ganz hervorragend geschimpft wird die Woche!?

 

[Mensch_lein]

1. Wurden die Daten zum Verkauf angeboten? Nein.
2. Wurde die Lücke der Firma gemeldet? Ja.
3. Entstand ein Schaden? Nein, ein Gewinn, da die Lücke nun geschlossen werden konnte.
4. Schadet das Urteil der Sicherheit in Zukunft? Ja!

Noch Fragen?

So schwer kann das doch nicht sein. Die Gesetze sind - wenn sie zu so einem Urteil führen - gelinde gesagt Besch... . Dienen sie dem Volk/Recht? Nein. Schaden sie? Ja.

 

[Salamimander]

Das fände ich arg naiv. Mal eben eine Firma hacken, die Daten zum Verkauf einstellen und die Sicherheitslücke melden. Man wird ja eh freigesprochen. ¯\(ツ)/¯ Das kann so nicht richtig sein.

Ansonsten hinkt dein Vergleich etwas.

irgendwie willst du es nicht verstehen?
Ja, das melden sollte Straffrei bleiben. Die eigentliche Straftat aber nicht. In deinem Beispiel eindringen* und Daten stehlen…

* Das schlichte testen von Zugängen erzeugt keinen Schaden. Testen und melden = Sicherheitsgewinn…

 

[Mensch_lein]

Nicht verstehen wollen, ist das Stichwort.

 

[Unnu]

Kann es sein, dass Du ein ganz klein wenig übertreibst?

Nein. Tut er nicht.
Der sog. Hackerparagraph ist ein absolutes Armutszeugnis für jeglichen Standort, der irgendwas „mit digital“ machen will, oder vielleicht mal gerne ernst genommen werden würde.

Die Deutschen beweisen damit eigentlich nur ein Höchstmaß an Inkompetenz, Ignoranz und Idiotie in Reinkultur.

Und die Verurteilung ist schlicht eine Katastrophe!
Mal ganz davon abgesehen, dass keinerlei Experte angehört wurde.

Das Ganze ist so dermassen absurd, dass kein Mensch je auf die Idee kommen würde sowas auch nur als Satire aufschreiben zu wollen, weil das sowieso jeder für zu unrealistisch hielte.

Ergänzung (21. Januar 2024)

Beruflicher Alltag eines Entwicklers ist es fremde Datenbanken zu entschlüsseln?

Stellst Du Dich absichtlich dumm?
Oder kennst Du den Sachverhalt nicht?
Die DB musste nicht entschlüsselt werden.

 

[Incanus]

Müssen solche persönlichen Angriffe sein?
Und hast Du nur Teile des Threads gelesen? Ob jetzt ‚entschlüsselt‘ oder ‚Passwort für den Zugriff benutzt‘ spielt am Ende meiner Meinung nach keine entscheidende Rolle.