Mensch_lein
Lieutenant
- Registriert
- Nov. 2021
- Beiträge
- 953
Das Gesetz schütz eben nur Firmen, keine normalen Menschen.
-
Es gelten die Sonderregeln des Forums Politik und Gesellschaft.
News Hackerparagraph: Hinweisgeber von Sicherheitslücke zur Geldstrafe verurteilt
- Ersteller Andy
- Erstellt am
- Zur News: Hackerparagraph: Hinweisgeber von Sicherheitslücke zur Geldstrafe verurteilt
- Registriert
- Mai 2021
- Beiträge
- 2.148
Ob und bis sich da was ändert, habe ich kein Mitleid mit solchen Firmen.
Eine gute Bekannte arbeitet in einer Buchhaltung seit inzwischen über 3 Monaten offline.
Bekommt alles in Papierform, weil fast jede Software Onlinezwang hat oder gar Cloudbasiert arbeitet auch vieles händisch.
Die muss alle Kontenbewegungen, etc. per Hand durchgehen und prüfen. Dauert alles ewig lange und die Mitarbeiter unterhalten sich natürlich auch darüber und die rechnen schon mit einem gut 6 Stelligen Beitrag bei den Niederschlagungen.
Die haben auf frühere Meldungen ähnlich wie bei der Wahlkampf-App reagiert. Von daher selbst schuld.
Eine gute Bekannte arbeitet in einer Buchhaltung seit inzwischen über 3 Monaten offline.
Bekommt alles in Papierform, weil fast jede Software Onlinezwang hat oder gar Cloudbasiert arbeitet auch vieles händisch.
Die muss alle Kontenbewegungen, etc. per Hand durchgehen und prüfen. Dauert alles ewig lange und die Mitarbeiter unterhalten sich natürlich auch darüber und die rechnen schon mit einem gut 6 Stelligen Beitrag bei den Niederschlagungen.
Die haben auf frühere Meldungen ähnlich wie bei der Wahlkampf-App reagiert. Von daher selbst schuld.
Moritz Velten
Lt. Commander
- Registriert
- März 2020
- Beiträge
- 1.676
Mensch_lein schrieb:
Leider, ja.
Die Firmen sollten doch froh sein, dass es Leute gibt, denen Fehler auffallen und dass die Firmen dann in Zukunft nachbessern können.
Aber das ist scheinbar nicht gewollt
Whitehorse1979
Lieutenant
- Registriert
- Feb. 2023
- Beiträge
- 850
Für mich klingt die Sache mit dem Passwort sehr gewollt. Vielleicht wollte man diese Hintertür für Behörden etc. offenhalten und war nun einfach genervt davon, dass es jemand herausgefunden hat und man es somit beseitigen muss. Wäre gängige Praxis.
- Registriert
- Jan. 2018
- Beiträge
- 684
Also so wie ich das lese, hat er das zuerst veröffentlicht, und danach erst dem Unternhemen bescheid gegeben?
Falls ja, kann ich die Anklage an sich verstehen (und würde mich wundern, dass das im Artikel nicht weiter thematisiert wird). Andererseits scheint es in der Anklage aber nicht um Veröffentlichungsfristen zu gehen?
(Die Begründung der Verurteilung, dass die Passwörter im Klartext nicht einfach auszulesen seien, ist so oder so Käse)
Ich bin verwirrt.
Mensch_lein
Lieutenant
- Registriert
- Nov. 2021
- Beiträge
- 953
Eigentlich steht alles in den Berichten dazu.
1. Kontaktaufnahme mit dem Journalisten, als Rücksprache.
2. Meldung an MS.
3. Abwarten, bis die Frist, die er MS gesetz hat abgelaufen ist.
4. Veröffentlichung, nachdem die Lücke geschlossen worden ist.
5. Anklage durch MS.
6. Hausdurchsuchung.
1. Kontaktaufnahme mit dem Journalisten, als Rücksprache.
2. Meldung an MS.
3. Abwarten, bis die Frist, die er MS gesetz hat abgelaufen ist.
4. Veröffentlichung, nachdem die Lücke geschlossen worden ist.
5. Anklage durch MS.
6. Hausdurchsuchung.
Accutrauma
Lt. Junior Grade
- Registriert
- Apr. 2021
- Beiträge
- 477
Du meinst wie beim "Patriot Act" in den USA.Whitehorse1979 schrieb:
Whitehorse1979
Lieutenant
- Registriert
- Feb. 2023
- Beiträge
- 850
Genau.
Angiesan
Ensign
- Registriert
- Mai 2005
- Beiträge
- 216
Naja, nicht so toll, aber vielleicht auch nicht ganz unfair.
Der Finder der Sicherheitslücke war wohl auch recht forsch und die Zeit die er für das fixen der stümperhaften Implementierung zur Verfügung stellte bis er es melden wollte war schon ambitioniert.
Faktisch, auch gem. Golem, meldete er die Sicherheitslücke noch am gleichen Tag der "missglückten" Kommunikation mit dem Softwareunternehmen dem Blogger Mark Steier, der hatte dann nichts besseres zu tun wie das direkt zu posten mit dem Hinweis in kürze mehr, mehr Druck kann man nicht aufbauen und natürlich lesen das nur "ehrliche Menschen" die müssen ja sofort informiert werden ;-) https://wortfilter.de/warnung-datenleck-beim-jtl-partner-modern-solution-gmbh-co-kg/
Insofern kann man, auch wenn man die Vorgeschichte sich reingezogen hat, schon von einer latenten Erpressung reden. Dies wurde meiner Meinung nach auch mit dem Urteil zum Ausdruck gebracht.
Der Finder der Sicherheitslücke war wohl auch recht forsch und die Zeit die er für das fixen der stümperhaften Implementierung zur Verfügung stellte bis er es melden wollte war schon ambitioniert.
Faktisch, auch gem. Golem, meldete er die Sicherheitslücke noch am gleichen Tag der "missglückten" Kommunikation mit dem Softwareunternehmen dem Blogger Mark Steier, der hatte dann nichts besseres zu tun wie das direkt zu posten mit dem Hinweis in kürze mehr, mehr Druck kann man nicht aufbauen und natürlich lesen das nur "ehrliche Menschen" die müssen ja sofort informiert werden ;-) https://wortfilter.de/warnung-datenleck-beim-jtl-partner-modern-solution-gmbh-co-kg/
Insofern kann man, auch wenn man die Vorgeschichte sich reingezogen hat, schon von einer latenten Erpressung reden. Dies wurde meiner Meinung nach auch mit dem Urteil zum Ausdruck gebracht.
Es ist zum heulen. Das Gesetz, das Urteil und zum Teil auch die Reaktionen hier… 🤦🏻♂️
Er hatte von seinem Kunden den Auftrag, die Sicherheit dessen Haustür zu prüfen und hat dabei einen Schlüssel gefunden, den der Hersteller unter der Fußmatte „versteckt“ hatte. Er hat den Schlüssel an der Haustür ausprobiert und konnte aufschließen, danach hat er aus rein technischer Neugier („Die Deppen werden doch nicht überall den selben Schlüssel benutzt haben…“) den Schlüssel am Nachbarhaus ausprobiert, aber nicht reingeschaut. 🤷🏻♂️
Blöd nur dass das Gesetz seit 2007 in Kraft ist, also nix mit „die Ampel macht alles falsch!!!“.Mimir schrieb:
Das ist ein dämlicher Vergleich. Ich versuche es anders, kann aber nicht garantieren ob es besser wird. 😉Nuklon schrieb:
Er hatte von seinem Kunden den Auftrag, die Sicherheit dessen Haustür zu prüfen und hat dabei einen Schlüssel gefunden, den der Hersteller unter der Fußmatte „versteckt“ hatte. Er hat den Schlüssel an der Haustür ausprobiert und konnte aufschließen, danach hat er aus rein technischer Neugier („Die Deppen werden doch nicht überall den selben Schlüssel benutzt haben…“) den Schlüssel am Nachbarhaus ausprobiert, aber nicht reingeschaut. 🤷🏻♂️
Der Richter muss sich aber an das Gesetz halten und kann es nicht einfach deuten wie es ihm beliebt. Vielleicht deshalb auch die geringere Strafe als gefordert?!der Unzensierte schrieb:
h00bi
Fleet Admiral
- Registriert
- Aug. 2006
- Beiträge
- 21.753
Ähm nein, er ging mit dem Schlüssel rein und hat sich umgeschaut und dabei festgestellt dass da Dinge sind, die da gar nicht sein dürften - und das dann veröffentlicht - NACHDEM er versucht hat den Schlüssel nachzumachen und weitere Details zum Schloss auszuloten (Software dekomplilieren)Andy_K schrieb:
Ergänzung ()
Das ist eben nicht die ganze Wahrheit.-=:Cpt.Nemo:=- schrieb:Er hat die Software, eine exe datei, mit dem Texteditor geöffnet.
Quelle: https://www.heise.de/news/Warum-ein...Modern-Solution-verurteilt-wurde-9601392.html
und dann ein Standardtool benutzt um auf die Datenbank zu zugreifen, omg voll der ProHäcker Ey
Lies doch mal deine eigene Quelle vollständig.
Mensch_lein
Lieutenant
- Registriert
- Nov. 2021
- Beiträge
- 953
Nach der Argumentationskette :
Ich habe ein Produkt das besser ist als die der Konkurrenz. Damit versuche ich der Konkurrenz zu schaden, indem ich Kunden abwerbe. Echt schwer Kriminell, das Ganze.
Übrigens, der Fehler liegt bei MS, nicht beim Finder der Lücke.
Ich habe ein Produkt das besser ist als die der Konkurrenz. Damit versuche ich der Konkurrenz zu schaden, indem ich Kunden abwerbe. Echt schwer Kriminell, das Ganze.
Übrigens, der Fehler liegt bei MS, nicht beim Finder der Lücke.
Alpha.Male
Lt. Commander
- Registriert
- Mai 2011
- Beiträge
- 1.082
Da es hierzulande passiert ist, setzt bei mir keinerlei Erstaunen mehr ein.
Hoffe, er wird Wege finden, wie er mit seiner ehrbaren Absicht aus dieser Nummer irgendwie rauskommt.
Daumen sind gedrückt.
Hoffe, er wird Wege finden, wie er mit seiner ehrbaren Absicht aus dieser Nummer irgendwie rauskommt.
Daumen sind gedrückt.
Der Nachbar
Vice Admiral
- Registriert
- Aug. 2007
- Beiträge
- 7.069
Auf die unfähige Urteilsbegründung bezogen hat der Informatiker doch nur von seinem Auftraggeber die Software im einfachen und unverschlossenen Papierumschlag erhalten, denn er aufmachen konnte und noch der fertige Schlüssel nutzbar vorlag.
Also nicht mal ein Schlüsselnegativ, encrypted oder ein verschlossener Umschlag, der mit Wasserdampf (Achtung, sehr böse Anleitung zur möglichen Straftat) geöffnet werden kann oder einfach gegen das Sonnenlicht (böse Sonne) gehalten im Klartext ablesbar wäre. Oder ein sicherer Umschlag aus durchgängig gewebten Kevlar, wo man nur mit Spezialschere an den Inhalt kommt.
@h00bi
Wenn andere Bestandteile der Software zu dekompilieren sind und Dekompilierer Entwicklungswerkzeuge sind, müsste man auch gängige Schraubendreher verbieten um in eine durch Schrauben gesicherte Steuerungsanlage zu gelangen. Das könnten wir sogar auf andere Werkzeuge des Alltages beziehen, weil man mit einer Abrissbirne oder einem Schlagborhammer auch ein Haus dekompilieren kann.
Wer halt den Schlüssel nicht direkt vor dem Haus findet und auch finden soll, weil es dem Eigentümer egal ist, wer sein Haus betreten soll oder er es sich selbst sehr einfach machen wollte. Dann hätte er auch gleich eine Superuser_1234.lol erstellen sollen.
-
Übrigens wird sogar intel eine AMD CPU als zu bekämpfenden Wettbewerber im eigenen Labor komplett zerlegen und genau prüfen können. Was der8auer mit passenden Equipment kann, können Chip Hersteller schon lange mit eigenem Labor. Dann müsste man sogar das Prüfequipment für die Herstellung und Qualitätssicherung, selbst Rasterelektronenmikroskope aufgrund möglichen Missbrauchs zur Spionage und Kopie verbieten.
Im Autobereich nörgelten ja schon die westlichen Autobauer auf der Automesse, wenn die Chinesen mit dem Fotoapparat die Autos bis in die kleinste Ecke fotografierten und Dinge kopierten.
Ich war gestern übrigens überrascht bei den ganzen Microsoft Sicherheitslücken bei der Microsoft 2FA Anfrage zwecks Sicherheitscode nochmal meine Nummer sicherheiltshalber teilweise zu vervollständigen, bevor die SMS an mich raus ging. Das hat Microsoft durchaus gut gelöst.
Da sich ja auch die Sicherheitstechnik in der Haussicherung weiter entwickelt, ist das was mal als sicher galt, heute unsicher. Oder wenn man Wohnungseingangstüren mit Briefschlitz hat, wo man sich selbst ausgesperrt mit Bügeldraht Zugang verschaffen kann, weil auf der Gegenseite keine ausreichende Sicherung mit einer zweiten Briefklappe und Schlitzverlängerung vorhanden ist um die Bügeldrahtmethode auszuschleißen.
Das freut die Hausratversicherung.
Da es aber heute Kleinstflugdrohnen gibt, flexible Endoskope mit Greifern, was auch optische Spionage ermöglicht, ist der eingebaute Briefeinwurf über die Wohnungstür völlig fahrlässig, wenn er nicht als sicherer Einwurftresor ausgeführt ist und höchstens von der Gegenseite mit einem Schlüssel zu öffnen. Die Schließmechanik natürlich voll versiegelt. Am Besten nur ein von außen montierter Briefkasten auf einer massiven Verbundstofftür.
Also nicht mal ein Schlüsselnegativ, encrypted oder ein verschlossener Umschlag, der mit Wasserdampf (Achtung, sehr böse Anleitung zur möglichen Straftat) geöffnet werden kann oder einfach gegen das Sonnenlicht (böse Sonne) gehalten im Klartext ablesbar wäre. Oder ein sicherer Umschlag aus durchgängig gewebten Kevlar, wo man nur mit Spezialschere an den Inhalt kommt.
@h00bi
Wenn andere Bestandteile der Software zu dekompilieren sind und Dekompilierer Entwicklungswerkzeuge sind, müsste man auch gängige Schraubendreher verbieten um in eine durch Schrauben gesicherte Steuerungsanlage zu gelangen. Das könnten wir sogar auf andere Werkzeuge des Alltages beziehen, weil man mit einer Abrissbirne oder einem Schlagborhammer auch ein Haus dekompilieren kann.
Wer halt den Schlüssel nicht direkt vor dem Haus findet und auch finden soll, weil es dem Eigentümer egal ist, wer sein Haus betreten soll oder er es sich selbst sehr einfach machen wollte. Dann hätte er auch gleich eine Superuser_1234.lol erstellen sollen.
-
Übrigens wird sogar intel eine AMD CPU als zu bekämpfenden Wettbewerber im eigenen Labor komplett zerlegen und genau prüfen können. Was der8auer mit passenden Equipment kann, können Chip Hersteller schon lange mit eigenem Labor. Dann müsste man sogar das Prüfequipment für die Herstellung und Qualitätssicherung, selbst Rasterelektronenmikroskope aufgrund möglichen Missbrauchs zur Spionage und Kopie verbieten.
Im Autobereich nörgelten ja schon die westlichen Autobauer auf der Automesse, wenn die Chinesen mit dem Fotoapparat die Autos bis in die kleinste Ecke fotografierten und Dinge kopierten.
Ich war gestern übrigens überrascht bei den ganzen Microsoft Sicherheitslücken bei der Microsoft 2FA Anfrage zwecks Sicherheitscode nochmal meine Nummer sicherheiltshalber teilweise zu vervollständigen, bevor die SMS an mich raus ging. Das hat Microsoft durchaus gut gelöst.
Da sich ja auch die Sicherheitstechnik in der Haussicherung weiter entwickelt, ist das was mal als sicher galt, heute unsicher. Oder wenn man Wohnungseingangstüren mit Briefschlitz hat, wo man sich selbst ausgesperrt mit Bügeldraht Zugang verschaffen kann, weil auf der Gegenseite keine ausreichende Sicherung mit einer zweiten Briefklappe und Schlitzverlängerung vorhanden ist um die Bügeldrahtmethode auszuschleißen.
Das freut die Hausratversicherung.
Da es aber heute Kleinstflugdrohnen gibt, flexible Endoskope mit Greifern, was auch optische Spionage ermöglicht, ist der eingebaute Briefeinwurf über die Wohnungstür völlig fahrlässig, wenn er nicht als sicherer Einwurftresor ausgeführt ist und höchstens von der Gegenseite mit einem Schlüssel zu öffnen. Die Schließmechanik natürlich voll versiegelt. Am Besten nur ein von außen montierter Briefkasten auf einer massiven Verbundstofftür.
Zuletzt bearbeitet:
- Registriert
- Okt. 2020
- Beiträge
- 427
Nein. Die Strafbarkeit von "Hackertools" ergibt sich aus §202b und §202c. Aber unabhängig von Tools stellt §202a schon den reinen Daten-Zugang unter Strafe. Und darauf basiert auch dieses Urteil.Neodar schrieb:
Verdeutlicht aber nur warum diese Paragraphen so problematisch sind.
Wenn Du ein Sicherheitsproblem findest, dass hunderttausende andere Kunden genauso betrifft und der Hersteller abstreitet, dass es sich um eine Sicherheitslücke handelt, würdest Du dann davon ausgehen, dass der Herstelle alle anderen Kunden darüber informiert?QXARE schrieb:
Und wie würdest du andere Kunde auf dieses Risiko aufmerksam machen?
Auch wenn das Passwort im Klartext zu finden war, das dekomplieren der Software war einfach strafbar.
Das kommt darauf an, mit welchem Wisssen der Zugriff erfolgte. Wenn der Entwickler annehmen konnte nur auf Daten seines Kunden zuzugreifen, finde ich das Vorgehen zur Problemhebung durchaus nachvollziehbar.h00bi schrieb:
