Also meist ist es einfach nur folgendes:tomgit schrieb:
) der Bughunter durchaus bekannt, es ging mir hier tatsächlich eher darum, wie absurd sich das wieder von der Politik vorgestellt wird.Die Formulierung "Realität der IT" entbehrt nicht einer gewissen Ironie. Gesetze sind eben keine Programmierbefehle oder gehorchen einer mathematischen Logik. Es spielt etwa aus Sicht der Justiz keine Rolle, ob man eine Sicherheitslücke gesucht oder zufällig gefunden hat. Hier gilt wie überall der Grundsatz: "Unwissenheit schützt nicht vor Strafe". Dass das Gesetz in genau diesem Punkt entschärft werden soll, ist ein großer Fortschritt, denn es schafft eine Vertrauensbasis anstatt einer Grauzone.tomgit schrieb:
Denk ich nicht, denn einfach dem Hersteller melden ist ja eindeutig mit Guter Absicht.Piktogramm schrieb:
Muss aber für die Justiz wichtig sein, wer die Sicherheitslücke gefunden und den entsprechenden Organen gemeldet hat? Nur weil man nicht als Security Researcher gilt, soll man zufällig gefundene Sicherheitslücken nicht melden dürfen?Boimler schrieb:
Das hat mit dem Thema zu tun...?Boimler schrieb:
Nein, eben nicht. Es restriktiert oder verschärft gar in weiteren, wichtigen Punkten. Als Entwickler versehentlich eine Lücke in einem KRITIS-System gefunden? Tja, sorry, bist kein Sicherheitsforscher, hier ist deine Haftstrafe. (Bewusst übertrieben formuliert)Boimler schrieb:
In der Realität kommt es zu eben jenen Anzeigen, die Neufassung ändert da an den kritischen Stellen nichts, denn um eine etwaige "Absicht" zu klären muss es bis zur gerichtlichen Verhandlung kommen, was bedeutet, dass die Staatsanwaltschaft vorher bereits eskalieren kann (und wird).jackii schrieb:
Das Gesetz entschärft da fast nichts. Die Rechtssprechung hat sich durchaus etabliert, dass finden und Aufzeigen von Lücken die Paragraphen 202 StGB nicht trifft. Das Problem ist, dass man vorher mit der Staatsanwaltschaft Probleme hat und selbst zum Anwalt rennen muss. Da geht Material, Geld und viel Zeit flöten.Boimler schrieb:
Strafbefreiung ist gar nicht so das Problem, das schaffen die aktuellen Gesetze auch schon halbwegs. Die Strafverfolgung ist das Problem und an der ändert die Neufassung nichts/wenig. Weil von Betroffenen reicht im Zweifelsfall die Behauptung, dass die Meldung eine Alibibehauptung sein soll und es zu illegalem Zugang/Datennutzung durch die meldende Person kam. Zack haste wieder ein Problem.tomgit schrieb:
Die Probleme fallen ja weg, wenn ich vorher die Bedingungen erfülle, die im Text genannt werden. Das ist vermutlich ein ähnlicher Aufwand wie die Suche nach einem Anwalt, nur dass er im Vorhinein erfolgen kann. Klingt für mich jetzt auch nicht nach einer perfekten Regelung, aber wer aktiv auf die Suche nach Sicherheitslücken gehen möchte, bekommt jetzt einen Rahmen, in dem er das straffrei tun kann.Piktogramm schrieb:
Das wäre wünschenswert, ist aber keine Angelegenheit des StGB. Das würde ja erst greifen, wenn diese Bedingungen nicht erfüllt werden.hallo7 schrieb:
Das meinte ich ja mit "Unwissenheit...". Aus Sicht der Entdecker von Sicherheitslücken ist das ein Problem. Aber wie schon gesagt, zieht das Finden solcher Lücken in vielen Fällen eben auch einen Gesetzesbruch nach sich, der unvermeidbar ist. Die Behörden müssen dann der Sache nachgehen, weil sie sich sonst selbst strafbar machen würden.tomgit schrieb:
Sowas methodisch ähnliches gibt es z.B. ja schon mit der nationalen Whistleblower-Webpage des Bundesamtes für Justiz:Boimler schrieb:
Und wie willst du Alibibehauptungen verhindern?Piktogramm schrieb:
