News Hackerparagraph: Hinweisgeber von Sicherheitslücke zur Geldstrafe verurteilt

[Goatman]

Also mich lassen diese Themen schon ewig lange nicht mehr in Ruhe, um ehrlich zu sein, habe ich oft das Gefühl, dass die Lücken garnicht vermeiden wollen. Vielleicht ist das manchmal auch so gewollt. will da keine wilde Diskussion mit auslösen, aber manchmal habe ich das Gefühl, die nutzen die Lücken, um jeden Tag Daten zu sammeln, fragt sich immer nur, wer mit "DIE" gemeint ist - siehe nur als Beispiel die Zoo-Hypothese

Zum Thema Urteil: kann mich nur anschließen, Deutschland ist und bleibt ein digitales Entwicklungsland. Meiner meinung nach sollte er freigesprochen werden, wie auch im anderen Fall um diese "Lillith", die ja frei gesprochen wurde. Wenn der Paragraph angepasst wird, müsste dann noch gekklärt werden, was bekommt man denn dafür, wenn man eine soclhe Lücke gefunden hat ?

Manchmal sage ich mir dann schade, dass ich kein Informatiker / Programmierer geworden bin

 

[MichiSauer]

schwierig, sonst wärst du ja konkret geworden. sollte es wirklich legal sein, computersysteme auf schwachstellen prüfen zu können? damit erlaubt man hackern alles zu hacken und erst durch entstandenen schaden wären sie verurteilbar.

ich würde das gesetz so lassen, aber die strafuntergrenze abschaffen.

Genau da liegt aber das Problem:
Firma A beauftragt einen Sicherheitsexperten nach Lücken in ihren Systemen zu suchen. Er findet in einer gekauften Software von Firma B eine Lücke. Die will aber gar keine Prüfung haben und verklagt dann den Sicherheitsexperten (wohlwissend, dass ihr Produkt unsicher war).

Genau das sollte nicht passieren.
Hier muss dem ganzen ein Riegel vorgeschoben werden. Wird jemand von A beauftragt nach Lücken zu suchen, muss es möglich sein, dass eine zufällig gefundene Lücke in Software B nicht belangt werden kann.

Die Sicherheit eines Systems bemisst sich nämlich immer an ihrem unsichersten Zugang.

Dein Vorschlag würde das aushebeln und bliebe somit klar ein Problem.

Die unabhängige Suche von Hackern nach Lücken zur Nutzung gilt es dagegen immer kritisch zu beurteilen.

 

[Accutrauma]

Was genau erhoffst du dir zu finden, wenn du eine .exe Datei mit einem Texteditor öffnest? Lesbaren Source Code, den du gleich dort bearbeiten kannst?

machen sie die notepad.exe mit einem Texteditor auf. Da koennen sie dann den Urheber lesen. Kann eventuell hilfreich sein bei Problemen.

 

[cbtestarossa]

Was genau erhoffst du dir zu finden, wenn du eine .exe Datei mit einem Texteditor öffnest? Lesbaren Source Code, den du gleich dort bearbeiten kannst?

Strings im Klartext? Wobei gibt ja auch noch HEX Anzeige bei TXT Editoren.

 

[M4ttX]

Aber seit wann ist Idealo ein Online-Shop?

Hab mal gehört, dass man auch direkt darüber was bestellen kann. Soll manchmal zu speziellen Preisen führen. Weiß aber nicht mehr.

 

[Whitehorse1979]

Also mich lassen diese Themen schon ewig lange nicht mehr in Ruhe, um ehrlich zu sein, habe ich oft das Gefühl, dass die Lücken garnicht vermeiden wollen.

Das ist auch richtig. Der Hackerparagraph ist quasi auch ein Schutz für den Staat der hacken darf. Eine Einzelperson hingegen in der Regel nicht. Und na klar gibt es auch gewollte Sicherheitslücken. Stille Abkommen zwischen Staaten und Unternehmen.

 

[Eisbrecher99]

Lauter Dilettanten in der Legislative und Judikative dieser Südfrüchterepublik, es ist einfach beschämend.

Das ist ja nur das Urteil eines Richters eines Amtsgerichts. Ergo reine Einzelfallentscheidung, ohne jegliche orientierende Wirkung, wie es bei einer obergerichtlichen Entscheidung wäre.

Der dort zuständige Richtiger ist halt offensichtlich technisch so einfach bewandert, dass er den Unterschied der Art der Speicherung des Passworts nicht verstehen konnte oder wollte.

 

[Goatman]

Das ist auch richtig. Der Hackerparagraph ist quasi auch ein Schutz für den Staat der hacken darf. Eine Einzelperson hingegen in der Regel nicht. Und na klar gibt es auch gewollte Sicherheitslücken. Stille Abkommen zwischen Staaten und Unternehmen.

danke, für deine Bestätigung. Also liege ich doch garnicht so falsch

 

[TierParkToni]

Tja, ne offene Haustür und das nachschauen ob was wertvolles drinsteht, ist immer noch Hausfriedensbruch.

Ne offene / nicht abgesperrte Autotür und ein steckender Zündschlüssel kostet dem Eigentümer jedoch 25 € :
" Das Fahrzeug muss gegen widerrechtliche Verwendung Dritter gesichert werden " - soviel dazu ...

 

[newHeilandV2.4]

Damit ein Passwort einen adäquaten Schutz darstellt muss es vor dritten geheim gehalten werden. Es im Klartext (wenn auch versteckt) an dritte Parteien zu schicken ist mindestens fahrlässig.

 

[Skysurfa]

Ich bin kein Jurist, wie wahrscheinlich die wenigsten hier. Der Richter hat aufgrund der aktuellen Gesetzeslage entschieden. Auch wenn dieses unter den gegebenen Umständen für jeden neutralen Betrachter absoluter Blödsinn ist.

Was für mich absolut unverständlich an der ganzen Geschichte ist, ist die Tatsache das ein Unternehmen, das auf eine Sicherheitslücke in der eigenen Software aufmerksam gemacht wird, eine Anzeige erstattet. Die mediale Aufmerksamkeit, die das Unternehmen jetzt erfährt, kann doch in IT Kreisen nur negative Auswirkungen für deren Reputation haben.

Ich denke hier wäre es sinnvoller gewesen dem Hinweisgeber eine Prämie zu zahlen und das Sicherheitsloch zu flicken. Zukünftig werden sich andere "Entdecker" zurückhalten ein Sicherheitsproblem zu melden. Das kann nicht im Interesse der Verbraucher oder auch der Softwareentwickler sein.

Kopfschüttel...

 

[Nixdorf]

Der Hacker-Paragraph gehört DRINGEND überholt

Der Paragraph gehört nicht überholt, sondern gestrichen. Die Nutzung von Hacker-Tools muss nicht unter Strafe gestellt werden, da im Fall krimineller Energie der resultierende Schaden bereits separat strafbar ist. Das Gesetz ist so, als ob man die Nutzung von Presslufthammern unter Strafe stellt, um gegen Einbrecher vorzugehen.

 

[D0m1n4t0r]

Was wird wohl demnächst passieren?
A. - Sicherheitslücken werden gemeldet im Bewusstsein, dass dann vielleicht paar tausend Euro Strafe warten.
B. - Sicherheitslücken werden nur dem gemeldet der einen beauftragt hat danach zu suchen.
C. - Sicherheitslücken werden aus Angst vor Strafe gar nicht gemeldet
D. - Sicherheitslücken werden im DarkNet verkauft.

Wenn ich Sicherheitsexperte wäre, ich wäre so angepisst wenn mir sowas passieren würde, ich würde den Unternehmen, deren Software untersucht wurde, sagen: "Eure IT Sicherheitsarchitektur entspricht den gesetzlichen Standards, somit ist alles ok."
Und die ganzen gefundenen Lücken würde ich schön im DarkNet verkaufen.

Und falls sich dann wer beschwert dass die Software ja doch Lücken hat die nicht entdeckt wurden, würde ich kontern mit: "Ich habe die Software so genau untersucht wie es möglich war ohne mich dabei strafbar zu machen. Bestimmte Softwaretools konnte ich aufgrund der Gesetzeslage einfach nicht nutzen da der Gesetzgeber diese als Hackertools eingestuft hat und diese somit illegal sind. Bitte beschweren sie sich beim Gesetzgeber."

 

[Nixdorf]

E. - Der Finder nutzt die Sicherheitslücke einfach aus und leakt die Daten anonym.

Die Firma oder Behörde bekommt den Schaden statt der Warnung, und die resultierende Berichterstattung erzwingt dann den Fix.

Zu den anderen Punkten: A passiert halt künftig nicht mehr. B passiert bei sicherheitsbewussten Firmen schon jetzt, die öffentlichkeitswirksamen Funde sind ja genau bei den Firmen, die so etwas eben nicht machen. C passiert bei vielen ebenfalls schon, wir reden über gerade die, die es weiterhin tun wollen. Und D passiert ja auch schon, wir reden über diejenigen, die kriminellen Schaden möglichst minimieren wollen. Das alles ist natürlich bezogen auf den hier betroffenen Programmierer.

 

[Coeckchen]

Deutschland ist und bleibt ein digitales Entwicklungsland…

Was jetzt auch nix neues ist und bei dem altersschnitt (45) auch nicht verwunderlich. Die jugend treibt die innovation vorran und davon hat deutschland im verhältnis zum rest nix. Kannst du dich an 16 jahre stillstand erinnern? “Internet ist für uns alle Neuland“ ja was haben wir nicht gelacht weil es für fast alle unter dem Altersdurchschnitt schon über nen Jahrzehnt zum Lebensalltag gehört hat.

Je weiter sich die Alterspyramide nach oben verschiebt desto langsamer wird die Anpassungsfähigkeit an neue Umstände.

 

[-=:Cpt.Nemo:=-]

Das ist eben nicht die ganze Wahrheit.
Lies doch mal deine eigene Quelle vollständig.

ich habe meine Quelle vollständig gelesen und da steht auch das sie keine Beweise fürs dekompilieren gefunden haben. Du hast diesen Satz hier nochmal zitiert aber komischerweise nicht in FETT markiert.
Der Rest sind Annahmen der Staatsanwalt, die ihn verklagt haben. Ohne diese Annahmen hätten sie ihn nicht verklagen können.

Edit: Indizien sind keine Beweise.

 

[h00bi]

Genau da liegt aber das Problem:
Firma A beauftragt einen Sicherheitsexperten nach Lücken in ihren Systemen zu suchen. Er findet in einer gekauften Software von Firma B eine Lücke. Die will aber gar keine Prüfung haben und verklagt dann den Sicherheitsexperten (wohlwissend, dass ihr Produkt unsicher war).

Wäre das der komplette Sachverhalt und er hätte das so gemeldet, wäre er vermutlich nicht verurteilt worden.
Das Problem ist eben nicht nur, dass der Entwickler rein geschaut und eine Sicherheitslücke in Form eines Klartextpassworts gefunden hat.
Das Problem ist, dass:
1. er sich mit diesem Passwort Zugang zur Cloud Datenbank verschafft hat.
2. er angefangen hat die exe weiter zu dekomplilieren
3. er in direkter Konkurrenz steht und dem Unternehmen mit der Veröffentlichung zum eigenen Vorteil geschadet hat, was den "white hat" eben unglaubwürdig bei der Verteidigung macht.

E. - Der Finder nutzt die Sicherheitslücke einfach aus und leakt die Daten anonym.

Ich denke auch es Bedarf einer art Broker-Plattform für Sicherheitslücken. Vorzugsweise irgendwo auf den Phillippinen oder so.
Du meldest die Lücke anonym und erhältst ein claim token, falls eine Bug Bounty gezahlt wird.
Mit dem claim token kannst du den Status abrufen. Wenn eine Bounty bezahlt wurde, kannst du eine Wallet angeben, auf die die Bounty ausgezahlt wird (abzüglich eines minimalen Betrags zur Kostendeckung der non-profit Plattform).
Verlierst du das Claim Token, hast du Pech weil anonym.

 

[airon]

Au Backe. Modern Solutions könnte hier ein sehr grosses Eigentor geschossen haben. Die schlechte Gesetzeslage ist die eine Sache. Das Verhalten des Unternehmens das andere.

 

[h00bi]

ich habe meine Quelle vollständig gelesen und da steht auch das sie keine Beweise fürs dekompilieren gefunden haben. Du hast diesen Satz hier nochmal zitiert aber komischerweise nicht in FETT markiert.

Die Ermittler der Polizei konnten [zwar] Indizien für das Dekompilieren der Modern-Solution-Software auf den Rechnern des Angeklagten sicherstellen

Noch eindeutiger gehts nicht.

 

[-=:Cpt.Nemo:=-]

Noch eindeutiger gehts nicht.

oh mann, sry aber ich diskutier mit dir darüber nicht mehr weiter. vielleicht finden wir anderswo wieder ein thema wo wir uns einiger sind

Indizien sind nicht gleich Beweise!

Edit : aber unsere Diskussion zeigt wie schwierig das Thema ist und wie notwendig eine Reform des Gesetzes ist.

/Edit 2:
Auch aus meiner Quelle:
Im Gegensatz dazu hatte heise online schon im frühen Stadium unserer Berichterstattung zu dem Thema, im November 2021, selbst verifizieren können, dass die Faktenlage die Aussage des Angeklagten stützte. Auch wir fanden bei einer Untersuchung entsprechender, frei im Internet zugänglicher Binärdateien der Firma Modern Solution, Passwörter im Klartext. Ohne dafür die Software dekompilieren zu müssen.