News Hackerparagraph: Hinweisgeber von Sicherheitslücke zur Geldstrafe verurteilt

[Steini1990]

Man muss jedem raten Sicherheitslücken einfach an irgendwelche Kriminellen zu verkaufen. Da ein normales Melden des Problems einen in größere Probleme bringen kann.

 

[MoinWoll]

Eher du siehst einen Schlüssel im Vorgarten liegen, hebst ihn auf, schaust ob er zu der Haustür passt und nachdem du die Tür aufschließen konntest, meldest du es dem Hausbesitzer und zeigst wo du den Schlüssel gefunden hast.
Kein Schaden entstanden aber der Hausbesitzer verklagt dich dennoch wg. Einbruch obwohl er den Schlüssel dort verloren/vergessen hat.

Du hast vergessen vor der Rückgabe des Schlüssels noch an die Presse zu melden wie nachlässig der Hausbesitzer mit seinem Schlüssel umgeht.

 

[Termy]

Es ist immer wieder unglaublich, mit wieviel Inkompetenz viele Richter ausgestattet sind. Hoffentlich zeigt die Berufungsinstanz mehr Sachverstand - das bisherige Urteil ist an katastrophaler Facepalmigkeit kaum zu überbieten...

Und Modern Solutions wünsche ich den möglichst schnellen Bankrott...

 

[No Escape]

Der Richter ist eine absolute Nulpe und sollte seinen Job an den Nagel hängen. Wer so blind und blöd auf dem Richterstuhl agiert, ist für diesen Job ungeeignet.

Könnte seinen Grund haben, dass die Nulpe das Minimum an Strafe verhängt hat, nur geschätzt, dass nicht noch weniger ginge.
Dieses Schwarz/Weiß Gehabe ist so unerträglich, Entscheidung in Deinem Sinne, ein Genie, gegen Deinen Sinn, eine Nulpe.
Auch Richter, selbst wenn es ihnen nicht gefallen mag, müssen sich an geltendes, und hoffentlich bald überarbeitetes, Recht halten.
Schöne neue undifferenzierte Welt, erbärmlich!

 

[rwp]

Es ist wirklich befremdlich. Wie schon angesprochen gibt es in legislative und judikative eklatante Missstände. Ich bin gespannt was im industriellen Umfeld noch alles auf uns zukommt, wenn der CRA verabschiedet ist.

Ich würde allen IT Dienstleistern empfehlen entsprechende Klauseln in ihre Verträge einzupflegen. Ich kann mir einen anonymisierten Hinweis vorstellen, dass ein Problem im Hinblick auf das Gesetzt entdeckt wurde und die Dienstleistung erst fortgesetzt wird, wenn der Kunde bestätigt keine rechtlichen Ansprüche gegen den Dienstleister geltend zu machen. Auf Wunsch wird die Auffälligkeit dann natürlich erläutert….

 

[Mimir]

Man muss jedem raten Sicherheitslücken einfach an irgendwelche Kriminellen zu verkaufen. Da ein normales Melden des Problems einen in größere Probleme bringen kann.

Genau das ist der Kern des Problems.

Dass die Entscheidung gegen jeglichen Menschenverstand geht ist das eine. Die logische Konsequenz daraus, warum das so absurd ist dann eben genau die Tatsache, dass kriminelle aus dieser Gesetzeslage einen Vorteil ziehen.

Der ehrliche Bürger wird bestraft, kriminellen wird ein Vorteil verschafft.

Wo ist jetzt das Verfahren gegen die Gesetzgeber, die das so durchgewunken haben? Halte das für fahrlässig...

 

[jedi23]

Ist ja quasi wie:

"Guten Tag Herr Nachbar, sie haben ihre Haustür nicht richtig zu gezogen und diese stand auf. Ich habe diese für Sie geschlossen"

Ergebnis:" Sie werden verurteilung wegen versuchten Einbruchs"

"Ich habe mich aber einmal kurz in ihrer Wohnung umgesehen um 100% sicher zu gehen, dass ihre Tür auch offen stand. Und dann habe ich noch einem Freund davon erzählt, bevor ich es ihnen gesagt habe."

Der Part fehlte irgendwie noch...

 

[Michael-Menten]

Geht nur um die Reputation.

Das haben die sicherlich erreicht:
Niemand wird Modern Solutions mehr eine Sicherheitslücke melden. Dürfte auch einige Fachleute geben die sämmtliche Zusammenarbeit/Aufträge von der Firma ablehnen. Da gutes Personal leicht hat andersweitig Jobs zubekommen haben die gleich noch ihre Bewerbungen/Neueinstellungen kastriert.

Andererseits wenn ein hard coded Passwort hinreichender Schutz ist suchen die sicherlich keine Fachleute ....

 

[MR2007]

Du hast vergessen vor der Rückgabe des Schlüssels noch an die Presse zu melden wie nachsichtig der Hausbesitzer mit seinem Schlüssel umgeht.

Wenn Millionen an Kundendaten absolut dilletantisch verwaltet werden auch völlig richtig so.

Zumal die auch selbst verpflichtet gewesen wären, den Behörden und Kunden den Vorfall zu melden.

 

[the_ButcheR]

1. Hoffe ich, dass die Berufung im Sinne des Angeklagten ausgeht.
2. Hoffe ich, dass jemand den Ankläger wirklich hackt.
3. Hoffe ich, dass dieser schwachsinnige Paragraph baldmöglichst geändert wird.

 

[LorD-AcE]

Deswegen besser nie selbst melden, wenn man sich nicht ganz genau auskennt. Der CCC bietet da einen besseren Service an, der dich aus der Schusslinie nehmen kann: https://www.ccc.de/disclosure

Wir prüfen die Meldungen und leiten sie weiter, wenn wir die Sicherheitslücke nachvollziehen können. Dabei versuchen wir auf Wunsch, eure Identität zu schützen. Bei eventuellen rechtlichen Schritten seitens der Empfänger*innen der Nachricht taucht dann zunächst der CCC als Absenderin der Meldung auf. Zusätzlich schadet es selten, auf gute OpSec zu achten.

Vllt. könnte man so ein Angebot als Hinweis mit in den Artikel aufnehmen.

 

[Zarlak]

Willkommen in Analogistan!

 

[SirBerserk]

Der Richter hat hier keine Wahl.

Das Gesetz ist in seiner aktuellen Form einfach Müll.

Wer sich die Mühe macht die öffentlich zugänglichen Infos zu studieren, stellt schnell fest, warum dem Gericht kein Vorwurf zu machen ist. Die Entscheidung ist an sich korrekt.

Das Gestz betrachtet nunmal jegliches Passwort, egal wie unsicher und schlecht geschützt als adäquaten Schutz, den man nicht umgehen darf, selbst wenn die erforderlichen Dokumente mit einem Texteditor lesbar sind.

Und genau da müsste man dringend mal anpacken, denn adäquat kann ein klartext-passwort nicht sein.

schwierig, sonst wärst du ja konkret geworden. sollte es wirklich legal sein, computersysteme auf schwachstellen prüfen zu können? damit erlaubt man hackern alles zu hacken und erst durch entstandenen schaden wären sie verurteilbar.

ich würde das gesetz so lassen, aber die strafuntergrenze abschaffen.

so könnte eine firma, das hacken seiner systeme zwar verbieten, aber je nach schaden der entstanden ist, die strafe von richtern frei wählen können.

hier in diesem fall, könnte man dann den hacker mit einer verwarnung davon kommen lassen.

 

[umask007]

Da kann man nur den Kopf schütteln. Ein fest hinterlegtes Passwort als ausreichender Schutz?
Solche Passwörter zu finden ist eine Anfängeraufgabe bei CTF Challenges , geht mit dem Terminal Befehl "strings". Ist auch problemlos für Laien zu bewerkstelligen. Mache ich mich als Linux Benutzer jetzt strafbar,
weil ich Hacker Tools verwende?

 

[sedot]

Hacker Tool = Text Editor. Alles klar, danke für die Klärung.

 

[Creeping.Death]

Was ich nicht ganz verstehe, ist warum er sich als erstes an einen Journalisten und erst danach an die entsprechende Firma wendet.

Genau das ist der springende Punkt.
Ich glaube nicht, dass die Firma ein Problem damit gehabt hätte, wenn man Ihr eine Sicherheitslücke meldet. Aber erst mal das Ganze Öffentlichkeitswirksam platzieren und dann erst informieren ist halt auch ein wenig schäbig.

Dass die Absicherung mit einem in Klartext gespeicherten Password katastrophal ist, muss man nicht diskutieren.

Ein Richter muss sich an Gesetze halten. Das ist nicht wie im Mittelalter, wo der Richter nach Gutdünken entscheiden konnte. Viele Gesetze sind einfach nicht an die moderne Zeit angepasst.

 

[LuckyMagnum]

Gefühlt ist es so:
In Überwachung und Steuern sind wir im Spitzenfeld, in Logik und Gerechtigkeit das Schlusslicht.

 

[SirBerserk]

Hat irgendjemand eigentlich eine Idee, was sich Modern Solutions von der Klage erhofft?

abschreckung. "bitte hört auf unsere systeme zu pentesten, schwachstellen fixen ist uns zu teuer".

 

[der Unzensierte]

Das Gesetz ist Müll, ein in der Sache kundiger Richter mit Rückgrat würde das nie so auslegen.
Und hier klatschen auch noch welche Beifall.🤦

Genau das hier:

ignorieren und weiter gehen

wird durch diese Urteil (wenn es Bestand hat) leider gefördert.

 

[ragan62]

Dabei versuchen wir auf Wunsch, eure Identität zu schützen

Versuch würde mir nicht reichen.

-Meldung ausdrucken.
-Copy-Shop.
-Fax schicken.

Modern Solutions hat FAX, also nix mit Modern...