ComputerBase Menü
Aktuelles

News Hackerparagraph: Hinweisgeber von Sicherheitslücke zur Geldstrafe verurteilt

Yuuri schrieb:
Der CCC wurde angeschrieben und er wurde ignoriert. Linus hat ihm erst geschrieben, als die Kacke bereits am Dampfen war.
Zum Vergrößern anklicken....
Habe ich bisher in keiner Quelle gelesen. Hast du einen Link?
 
Klage gegen Modern Solutions einreichen, da die ihrer Sorgfaltspflicht nicht nachgekommen sind. Fertig. :D
 
  • Gefällt mir
Reaktionen: katzenhai2
Mensch_lein schrieb:
Beweise dafür? Oder reichen heutzutage einfache Behauptungen?
Zum Vergrößern anklicken....
Wenn dich das interessierst musst du den dazu verlinkten Artikel anklicken und dort nachfragen, das Zitat stammt nicht von mir.
 
Es ist offensichtlich in unserem Land unglaublich schwierig einen "Hacker", der eine Meldung abgibt zur Beseitigung der Sicherheitslücke, von einem Hacker, der mit seiner kriminellen Energie lediglich Geld mit der Sicherheitslücke verdienen will, zu unterscheiden.

Immerhin schaffen wir aktuell noch den Käufer eines Hammers nicht mit einem Mörder gleichzusetzen.
 
@Helge01

Dies hatte Modern Solution bei der Anzeige bei der Polizei ebenfalls zu Protokoll gegeben. Freilich ist ein weit geschäftsschädigenderer Umgang mit dem Wissen über eine solche Sicherheitslücke denkbar, als diese beim Hersteller zu melden und dann nach Absicherung der Lücke über die Presse an die Öffentlichkeit zu gehen. Man stelle sich vor, was passiert wäre, wenn professionelle Hacker der Firma hätten schaden wollen. Diese hätten wohl deren Server gekapert und die Versorgungskette der Modern-Solution-Software angegriffen. Dass solche Angriffe weitaus größeren Schaden angerichtet hätten, steht wohl außer Frage.
Zum Vergrößern anklicken....
Da stehts!

Ok, ich übersetze es mal. Hätte der It-Spez wirklich MS schaden wollen, hätte er die Sicherheitslücke nicht gemeldet. Aus die Maus. Alles andere ist Blabla und Vertuschungstaktik.
 
  • Gefällt mir
Reaktionen: xXDariusXx
... ein (Anmerkung: Klartext)Passwort für sich genommen bereits ausreichend ist, um die Vorgaben aus dem Hackerparagraphen greifen zu lassen. Für den Richter ist das laut dem Berichtet von Heise Online der Fall. Bei einem Datenbankzugriff sei das ein Schutzmechanismus, der „nicht für jedermann“ leicht zu umgehen seien und somit ausreichend ist, um den Straftatbestand zu erfüllen.
Zum Vergrößern anklicken....
Das ist exakt genau so ein juristischer Unsinn, wie die Umgehung des "wirksamen Kopierschutzes" bei der Erzeugung einer Privatkopie von DVDs und BluRays. Wie kann er wirksam sein, wenn er umgangen werden kann, und wie kann ein Klartextpasswort ein "nicht für jedermann leicht zu umgehender Schutzmechanismus" sein, wenn es mit einem Texteditor direkt sichtbar ist?!
 
  • Gefällt mir
Reaktionen: dev/random
Tja wie immer in der Informatik, der Schaden entsteht fasst immer dann wenn absolut ahnungslose über IT Dinge entscheiden.
 
Wenn ich der Firma die Sicherheitslücke melde, diese mich im Anschluss abweist, aber ich kurz danach feststelle, dass die Probleme wenig später geschlossen sind, dann ist die Meldung an die Öffentlichkeit einfach unnötig und dessen Beweggründe zu hinterfragen. Gleicht an Rufschädigung.

Zumal ein hardcodiertes Passwort nicht automatisch darauf schließen lässt, dass die Daten kompromittiert sind, oder ein echtes Problem besteht. Es birgt jedoch ein gewisses Risiko.

Er hätte das zuvor direkt mit der Firma klären müssen, mit schroffen Antworten sollte man in solchen Szenarien fast rechnen.
 
@QXARE

MS hat die Lücke geleugnet. Das Schliessen der Lücke dann, zeigte auf, dass die Firma lieber herumlügt, statt einfach nur Danke zu sagen.
Der Gang an die Öffentlichkeit ist notwendig und Richtig gewesen, da ein immenses Öffentliches Interesse besteht. Daran gibts nix zu rütteln.
 
  • Gefällt mir
Reaktionen: Termy
Für den Richter ist das laut dem Berichtet von Heise Online der Fall. Bei einem Datenbankzugriff sei das ein Schutzmechanismus, der „nicht für jedermann“ leicht zu umgehen seien und somit ausreichend ist, um den Straftatbestand zu erfüllen.
Zum Vergrößern anklicken....
Falls das stimmen sollte, was für eine absurde Begründung, also ist es in Ordnung wenn Experten die Schutzmechanismen umgehen können?

Und wer wird denn bei so einer Aussage dann in Zukunft überhaupt noch Sicherheitslücken in Deutschland melden?

Wie gesagt, vorausgesetzt das dieser Bericht von Heise Online auch wirklich stimmt, weil es klingt so verrückt dass man eigentlich wirklich zuerst den Wahrheitsgehalt hinterfragen muss.^^
 
Der CCC hat gezeigt, wie man darauf passend reagiert.

Man meldet in Zukunft keine Lücken mehr, ein klarer Verlust an Sicherheit ist das also.
 
Mensch_lein schrieb:
@QXARE

MS hat die Lücke geleugnet. Das Schliessen der Lücke dann, zeigte auf, dass die Firma lieber herumlügt, statt einfach nur Danke zu sagen.
Der Gang an die Öffentlichkeit ist notwendig und Richtig gewesen, da ein immenses Öffentliches Interesse besteht. Daran gibts nix zu rütteln.
Zum Vergrößern anklicken....
Doch, gibt es sehrwohl. Nur weil die Firma hier negativ reagiert muss ich sie nicht gleich an den Pranger stellen. Das widerspricht dem Ehrenkodex.

Wenn ich einen höheren Geldbetrag finde, den Besitzer kenne, und dieser beim Zurückgeben keine Wertschätzung zeigt, gehst du dann auch zur Polizei?
 
Also was lernen wir daraus? Lücke für sich behalten und im Darknet verkaufen…
 
  • Gefällt mir
Reaktionen: fandre, konkretor, Accutrauma und eine weitere Person
Zanza schrieb:
Ihr habt doch alle keine Ahnung, er wurde verurteilt, weil es eben die Gesetze dazu gibt, die er gebrochen hat.
Zum Vergrößern anklicken....
In, so wie es sich liest, verantwortungsvoller Ausübung seines Jobs.
Das ist so ein bisschen die inverse Variante von "ich habe nur Befehle befolgt".
 
Sumatrabarbe schrieb:
Also was lernen wir daraus? Lücke für sich behalten und im Darknet verkaufen…
Zum Vergrößern anklicken....
Zumindest bei Unternehmen, die kein Responsible Disclosure öffentlich anbieten. Bei Google&Co gibts sowas ganz selbstverständlich und man bekommt auch Geld dafür. Wenn ein Unternehmen sowas nicht anbietet, ist es im Grunde selbst schuld, wenn Schaden entsteht. Dafür muss man auch gar nichts an Gesetzen ändern.
 
@QXARE

Was du da behauptest, wurde nicht gemacht. Die Lücke wurde der Firma gemeldet.
Die Veröffentlichung geschah im Öffentlichen Interesse, also total Gesetzeskonform.

Auf dein Beispiel gehe ich nun nicht ein, da es - aus meiner Sicht - keinen Sinn ergibt, es gibt da keine Öffentliches Interesse.

@DaBzzz

Nein, er hat Gesetzeskonform gehandelt, indem er die Firma informiert hat und erst danach Veröffentlicht hat, als die Lücke geschlossen war. Da gibts herzlich wenig daran zu rütteln.
 
  • Gefällt mir
Reaktionen: Rawday
Mensch_lein schrieb:
@QXARE

Was du da behauptest, wurde nicht gemacht. Die Lücke wurde der Firma gemeldet.
Die Veröffentlichung geschah im Öffentlichen Interesse, also total Gesetzeskonform.

Auf dein Beispiel gehe ich nun nicht ein, da es - aus meiner Sicht - keinen Sinn ergibt, es gibt da keine Öffentliches Interesse.
Zum Vergrößern anklicken....
Worin besteht das öffentliche Interesse, nachdem alles behoben wurde? Nicht jeder hat auf diese Dateien Zugriff, geschweige denn auf den Server selbst.

Wenn nichts geändert worden wäre, würde ich diesen Schritt einsehen, aber wenn es nichts mehr zu berichten gibt, dann ist dieses Vorgehen einfach etwas fraglich.
 
  • Gefällt mir
Reaktionen: Helge01
No Escape schrieb:
Könnte seinen Grund haben, dass die Nulpe das Minimum an Strafe verhängt hat, nur geschätzt, dass nicht noch weniger ginge.
Dieses Schwarz/Weiß Gehabe ist so unerträglich, Entscheidung in Deinem Sinne, ein Genie, gegen Deinen Sinn, eine Nulpe.
Auch Richter, selbst wenn es ihnen nicht gefallen mag, müssen sich an geltendes, und hoffentlich bald überarbeitetes, Recht halten.
Schöne neue undifferenzierte Welt, erbärmlich!
Zum Vergrößern anklicken....
"Wenn Sie glauben sie kriegen Gerechtigkeit, sind Sie hier falsch. Im Gerichtssaal kriegt man keine Gerechtigkeit, sondern nur ein Urteil."
- Ralf Höcker (Anwalt) -

"Recht ist nicht dasselbe wie Gerechtigkeit. Es kann auch ungerechtes Recht geben – und doch bleibt es Recht."
- Reinhard Merkel (Anwalt) -

"Vor Gericht erstreite man sich nicht Gerechtigkeit, sondern ein Urteil"
- Klaus Schlüter (Präsident des Amtsgerichts) -

„Das Gericht kann nur einem Recht geben, hier ist ein Interessensausgleich gefragt. Das Gericht könne nicht Gerechtigkeit schaffen, aber Ordnung.“
- Matthias Grewe (Richter) -
 
  • Gefällt mir
Reaktionen: Xiaolong, Fusionator, xXDariusXx und eine weitere Person
Programmierer arbeitet bei IT Firma und unterstützt den Kunden. Bei diesen Arbeiten stolpert er über eine Sicherheitslücke, diese er seinem Arbeitgeber und einem Journalisten meldet.

Aus meiner Sicht machte er doch alles richtig, wie es sein sollte und dafür wird man hier in D schuldig gesprochen?!?

Geil! You made my day! 🤣
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz