flowing0000 schrieb:
Na ja ich glaube Häcken und kurz die Firma informieren, das bringt wohl kaum was. Denn die Firmen wissen auch so, das es lücken gibt, nur solange das nicht bekannt gemacht wird, ist die Firma meist aus Ihrer sich nicht im zugzwang. Also muss das schon öffentlich passieren, damit gehandelt wird und die jeweilige Firma die Lücke schliesst. Sicherheit kostet Geld und warum Geld ausgeben für was, was noch nicht überwunden wurde. Ist nicht meine Einstellung aber sicher die der Personen, die am Hebel sitzen und für den Gewinn der Firma verantwortlich sind.
So schauts aus... es gab hier lokal auch 3 Firmen, die von Informatikstudenten darüber informiert wurden das ihr System (bei denen Kreditkarteninfos usw gespeichert wurden) absolut nicht gesichert sei und das eine 4 Jahre alte, nicht upgedatete Serversoftware keine Option sei.
Anbei hatten sie auch die letzten 50 Bestellungen inklusive Kreditkarteninformationen als Bestätigungsmöglichkeit bekommen. (Es lagen dort mehrere Tausend Datensätze für jeden offen herum der ~5 Minuten google mit den richtigen Wörtern verwendet hätte..)
Die Resonanz war lediglich nen "Verpisst euch oder wir rufen die Polizei".
Auch einen Monat später war noch keine Änderung in Sicht, also entschloss sich eine Studentin das ganze an ne Regionale Zeitung hier weiter zu geben (überregional interessiert keinen, bei den 3 Läden handelt es sich um FastFood Buden die nur Ortsansässig sind). Nach der Veröffentlichung waren die Seiten 1 Tag down und das System zumindest nicht mehr für die einfachen Wege offen... hätte sich aber die Dame nicht an die Öffentlichkeit gewendet hätte jeder Hacker (wobei in diesem Fall wohl eher Scriptkiddie so einfach wie es war) mit nen bisl böswilliger Absicht die Daten nutzen können um auf Kosten der Kunden Bestellungen usw ausführen zu können.
Moral von der Geschicht: Einfach auf die Hacker heulen ist billig. Ich wünscht mir dases jeden der hier vermeintliche Hacker als das Ultimative Böse darstellt einmal erwischt wird.
Bitte einfach nur ne 200-300€ Bestellung auf ihrem Namen die nen wirklicher Verbrecher abgreift und auf die ihr dann sitzen bleibt weil Amazon, Sony und *insert Betreiber x* den Teufel tun werden um euch mitzuteilen das bei ihnen eure Daten gestohlen wurden.
Vielleicht raffen es einige dann auch das ein Betreiber in die Sicherheit seiner Software meistens weniger als 1% des gesamten Budgets investiert. Es ist mir zum Beispiel immer eine Freude wenn ich an Meetings teilnehmen muss und BWLer mir erklären das man nicht 5-10% des Budgets in Sicherheit investieren müsse (zu der auch das regelmässige Warten, Updaten und Erweitern gehört... schliesslich ändern sich immer genügend Parameter, es werden immer wieder neue gefunden... die Software is eigentlich nie fertig wenn sie "sicher" sein soll..), da würde schon nichts passieren.
Warum auch mehr? Es gibt doch maximal nen PR Schaden für ihn der relativ schnell wieder weg ist. Da gibt man dann ne kleinigkeit aus um die eine Lücke zu schliessen über die man reingekommen war und fertig. (Siehe Sony.. da verkaufte man nen revolutionäres neues Sicherheitskonzept für alle Konzernserver nach dem ersten Hack, 2 Tage später waren sie über die nächste Lücke auf dem nächsten Server wieder drin... mittlerweile sind sie bei 14 oder 15 Hacks nach dem neuen Sicherheitskonzept... das wahrscheinlich maximal nen Hotfix war von nem Informatiker der sich dachte "Wir habens euch gesagt.... " und innerlich mehr als nur zufrieden grinste)
Wer erinnert sich schon noch an die Telekomhacks usw... die Schäden die bei seinen Kunden entstehen sind dem Betreiber der Seite doch verständlicherweise scheiss egal. Es haftet ja keiner für die geklauten Kreditkarteninfos, Bestellungen auf falschen Namen usw.
Statt des Hacker§ hätte es eher erweiterete Schadensersatzansprüche für die Betroffenen geben müssen. Generelle Haftbarkeit für jeden Schaden der über gestohlene Datensätze entstand +500% des Schadens als Schmerzensgeld/Aufwandsentschädigung... DAS würde vielleicht etwas ändern...so wären vernünftige Sicherheitslösungen endlich billiger als 3-4 Monate n bisl schlechte PR...
Aber was erwartet man von Menschen die nicht ansatzweise wissen worüber sie da eigentlich Gesetze verfassen...
