News IT-Sicherheitsforschung: Bundesregierung will Hacker-Paragraf entschärfen

[Zornica]

Es ist eigentlich krank, dass Aufdecker bestraft werden, und ggf fahrlässige Plattformbetreiber denen Sicherheit quasi egal ist auch noch Schadensersatz Ansprüche hätten.
Das ist als würde man Journalisten belangen wenn sie über Kriegsverbrechen berichten und... oh... ok, habe nichts gesagt

 

[Tzk]

Schön das sich was tut, aber schade was die sich nun denken. Ich wünsche mir generell Straffreiheit, wenn jemand Bugs korrekt meldet (Responsible Disclosure an Hersteller und/oder BSI). Aber dann bitte auch inklusive Frist bis wann der Hersteller reagiert haben muss.

Mal abwarten wie es am Ende ausschaut, wenn der Entwurf in ein Gesetz gegoßen ist.

So wie es jetzt ist, ist es jedenfalls inakzeptabel und dafür dürfen wir uns bei den digitale Natives der CDU bedanken /s.

 

[Miuwa]

Nein, eben nicht. Es restriktiert oder verschärft gar in weiteren, wichtigen Punkten. Als Entwickler versehentlich eine Lücke in einem KRITIS-System gefunden? Tja, sorry, bist kein Sicherheitsforscher, hier ist deine Haftstrafe. (Bewusst übertrieben formuliert)

Wo steht denn, man müsse ein Sicherheitsforschern sein?

 

[Armadill0]

Und wie willst du Alibibehauptungen verhindern?
Wenn das erst gar nicht verfolgt werden darf, ist das schon fast ein Freifahrtschein.

Die Leute die beim Verkauf erwischt werden, sind Straftäter, Andere nicht. Unschuldsvermutung und so. Ist doch nicht so schwer?

 

[Boimler]

@Armadill0 Und wie soll man das ohne Strafverfolgung nachweisen? Die Unschuldsvermutung ist Teil eines solchen Verfahrens. Hier geht es doch genau darum, einen straffreien Raum zu definieren, in dem ich einerseits straffrei handeln darf, andererseits kein Missbrauch durch Kriminelle stattfindet.

 

[flaphoschi]

Was es braucht ist endlich gescheite Haftung/Strafen für IT-Pfusch!

Bin bei Dir.

Ich sehe den zitierten Punkt differenziert. Kommerzielle Softwareunternehmen reden sich immer mit der EULA heraus:

Wir versprechen nichts. Pech gehabt wenn Ihr unsere vorinstallierte Software nicht entfernt.

Und das darf nicht bei kommerzielle Software sein. Bei kostenfrei überlassener Software schon.
Wer Software vermietet oder verkauft (ich merkt schon, ich will die mit den Abos auch dran kriegen) haben die dafür zu haften. Fahrradhersteller haften für Ihr Gewerk, genau so wie die Lufthansa für erheblich selbst verschuldete Verspätungen, Autohersteller sehen es noch nicht ganz ein.


Was wir jetzt nicht brauchen ist, dass die Softwareklitschen einen gutwilligen Programmierer dafür haften lassen. Das werden sich als erstes versuchen, der Angestellte soll haften. Also ich will das jedenfalls nicht. Haften tut immer das Unternehmen, dass den Gewinn macht. Und was wir auch nicht brauchen ist die Erfindung neuer und sinnloser Zertifizierungen, die bedrucken dann mehr Papier und erstellen sich den Persilschein.

Wir haben Java eingesetzt. Mit der kommerziellen Lizenz von Oracle. Also sind wir an nichts schuld. Hier die Checkliste…

Mein Vorschlag. Hackerparagraph der Einfachheit halber rückabwickeln. Der ist und war nie nötig.
Die Haftung der Unternehmen dann separat regeln. Da besteht nämlich wohl eine Lücke?

Stellt euch vor die Unternehmen müssen haften für den Schaden, den ein vorinstalliertes Windows angerichtet hat. Und die Hersteller für Bloatware. Und wenn wir dann das auf die Cloud anwenden, wir das unangenehm. Das gilt dann für Microsoft mit Windows wie für Red Hat mit RHEL. Auch die Computerhersteller haften mit bei Vorinstallation. Wer seinen Code in nicht kommerzieller Absicht vertreibt (etwa Arch, Debian, Apache, FSF, Linux, NetBSD, freie Projekte jeglicher Art) muss nicht haften, die nehmen kein Geld. Das heißt Fedora wäre keine Nachteil für Red Hat, im Gegenteil.

Dann endet die Phase in der mit das Produkt schnellstmöglich auf Markt muss und die Monopolstellungen aufzubauen? Und der endlosen Zustimmungsdialoge?


Der Anwender darf sich dann wahrscheinlich öfters selbst entscheiden welche Software verwendet wird. Kein schlechter Seiteneffekt.

 

[Land_Kind]

Es ist sicher nicht leicht, ein einigermassen "anständiges" Gesetz auf den Weg zu bringen, dass möglichst nur gegen böse Hacker gerichtet ist.
Das Dumme daran ist jedoch, dass ein schwammig formuliertes Gesetz womöglich mehr Schaden anrichtet, als es Gutes bewirkt.

Man schaue nur mal nach Länder wie Russland, China und Co., welche ganz bewusst viele Gesetze so formulieren, dass sie je nach Standpunkt oder Sichtweise im Sinne des Staates und gegen seine aufmüpfigen Bürger ausgelegt werden können.
Dies führt dann dazu, dass der Bürger im Zweifelsfalle lieber nichts macht, da er sich nicht sicher sein kann, ob seine - im Grunde eigentlich gar nicht ungesetzliche - Handlung nun doch strafbar ist oder eben nicht.
Auf diese Weise züchtet sich der Staat einen braven Staatsbürger heran, der schlussendlich lieber den Mund hält, ständig weg schaut und null Zivilcourage hat.

Deshalb ist meine Meinung, dass es manchmal besser ist, etwas nicht zu regeln, was schwierig zu regeln ist, oder anders gesagt, das Gesetz lieber gleich in die Mülltonne zu werfen.

 

[Jack2]

Kurz gesagt kann das Melden einer Sicherheitslücke in Deutschland dazu führen, dass man selbst ins Visier der Strafverfolgung gerät – mit möglichen Strafen von bis zu fünf Jahren. Um seine Unschuld zu beweisen, müsste man durch ein aufwändiges Verfahren gehen, das unter Umständen sogar eine Hausdurchsuchung mit sich bringen könnte.

Das vermittelt mir den Eindruck, dass das Melden von Sicherheitslücken in Deutschland nicht gewünscht ist. Früher ging man ähnlich vor – so wie Boten in der Vergangenheit bestraft wurden, wenn sie schlechte Nachrichten überbrachten. Die Redewendung „Don’t shoot the messenger“ („Töte nicht den Überbringer der Nachricht“) stammt genau aus dieser Idee, den Boten nicht für den Inhalt verantwortlich zu machen.

Ein Beispiel aus der Geschichte zeigt, wie drastisch das sein konnte: Der Kaiser Wu von Han soll im zweiten Jahrhundert v. Chr. einen Boten hinrichten lassen haben, der ihm die Nachricht einer verlorenen Schlacht überbrachte.

 

[Tzk]

Stellt euch vor die Unternehmen müssen haften für den Schaden, den ein vorinstalliertes Windows angerichtet hat.

Wird nicht passieren. Stattdessen wird fleißig Lobbyarbeit betrieben, um eine Versicherung geben Hackerangriffe zu schaffen und diese Versicherungen am Besten noch mit einem staatlichen Fonds als Sicherheit zu hinterlegen.

In meinen Augen der komplett falsche Weg, weil man so die Ursache (schlechter Code) nicht behebt.

Es ist der Wahnsinn wie viele Lücke und hartcodierte Zugangsdaten (Cisco ick hör dir trapsen…) noch immer in diverser Software auftauchen. Dabei sollte man meinen das die Hersteller das endlich mal lernen oder man muss annehmen das es Absicht ist.

Ein Beispiel aus der Geschichte zeigt, wie drastisch das sein konnte: Der Kaiser Wu von Han soll im zweiten Jahrhundert v. Chr. einen Boten hinrichten lassen haben, der ihm die Nachricht einer verlorenen Schlacht überbrachte.

Einer muss ja Schuld sein. Ist doch allgemein bekannt, dass das wichtigste im Lösungsprozess das Finden eines Schuldigen ist…

 

[Coeckchen]

Wenn ich mir vorstelle: ich habe eine Spritzmaschine und finde z.b. eine Schwachstelle die im Fehlerfall dazu führt dass die Düse explodiert weil die Heizung nicht abschaltet, dafür auch noch verklagt werde ist blanker hohn.

Zum Glück bin ich kein Informatiker 😂
Naja wir wissen ja alle wie rückwärtsgewandt dieses Land ist wenns ums Internet geht. Da war Lobbyarbeit immer wichtiger als fortschritt und das wird bis nach dem nächsten krieg auch so bleiben.

 

[SIR_Thomas_TMC]

Ich finde der Vorschlag ist ziemlich konkret

Die Hacker-Tätigkeiten müssen mit der Absicht erfolgen, eine Sicherheitslücke aufzudecken. Die Software-Hersteller oder die IT-Sicherheitsbehörde BSI müssen informiert werden. Und das Vorgehen muss auf Maßnahmen beschränkt sein, die erforderlich sind, um die Sicherheitslücke zu identifizieren.

Was schlagen denn der Chaos Computer Club (CCC) oder Lilith Wittmann als bessere praktische Maßnahme vor (ohne dabei sämtliche Hackeraktivitäten freizugeben)? Ich bin mir ziemlich sicher, dass ein illegaler Hacker sich und seine Tätigkeit in Bezug auf Webseite / Software XYZ nur äußerst ungern bei der Softwarefirma oder beim BSI anmeldet.

 

[the_ButcheR]

Nennt mich naiv, aber wer eine Sicherheitslücke meldet sollte auf gar keinen Fall rechtliche Konsequenzen in irgend einer Form befürchten müssen und wohl eher eine Belohnung bekommen.

 

[SIR_Thomas_TMC]

Das finde ich gute Vorschläge

Das Gesetz sollte lieber regeln wie lange ein Hersteller Zeit hat die Lücke zu schließen.

Sowas wie ein Rückruf bei anderen Produkten. Ja, wieso nicht.

Ich würde mir da eine EU weite Meldestelle vorstellen, an die Lücken gemeldet werden können und die dann überprüft das die Lücken auch geschlossen werden. Dann mit Strafandrohung gegen die Hersteller.

Das kann man ja zusätzlich zu den jetzt angeregten Änderungen machen, das widerspricht sich aus meiner Sicht gar nicht.

Ergänzung (27. Oktober 2024)

aber wer eine Sicherheitslücke meldet sollte auf gar keinen Fall rechtliche Konsequenzen in irgend einer Form befürchten müssen

Außer er meldet sie und verkauft sie vorher/nachher trotzdem oder will diese Lücke in sonst einer anderen Art und Weise (z.B. zur Erpressung einer Handlung oder Zahlung) ausnutzen. Aber ansonsten stimme ich dir zu.

Ergänzung (27. Oktober 2024)

Die Leute die beim Verkauf erwischt werden, sind Straftäter, Andere nicht. Unschuldsvermutung und so. Ist doch nicht so schwer?

Hacken einer IT-Umgebung ist per se schon eine strafrechtlich relevante Handlung, also nein, sind schon "schuldig". Die Ausnahme ergibt sich dann, wenn blabla was im Gesetz steht/stehen wird. Insofern ist dein Argument mit der Unschuldsvermutung in diesem Falle nicht korrekt.

 

[tomgit]

Wo steht denn, man müsse ein Sicherheitsforschern sein?

Keine Ahnung, vielleicht mitten in der Meldung?

Das Aufspüren von Sicherheitslücken in IT-Systemen soll daher nicht mehr strafbar sein, wenn es im Rahmen der IT-Sicherheitsforschung geschieht.

Aber wie schon gesagt, zieht das Finden solcher Lücken in vielen Fällen eben auch einen Gesetzesbruch nach sich, der unvermeidbar ist. Die Behörden müssen dann der Sache nachgehen, weil sie sich sonst selbst strafbar machen würden.

Weil von Betroffenen reicht im Zweifelsfall die Behauptung, dass die Meldung eine Alibibehauptung sein soll und es zu illegalem Zugang/Datennutzung durch die meldende Person kam. Zack haste wieder ein Problem.

Es gibt bereits geläufige Mapnahmen, wie ordentliches Bughunting und entsprechendes Reporting abzulaufen hätte: Schritte müssen dokumentiert sein, das Verhalten muss replizierbar sein, und ich bin mir sicher, dass die meisten Bughunting-Programme auch untersagen, dass die Informationen veröffentlicht oder verkauft werden dürfen, da sonst potenzielle Strafen drohen.
Dass so ein System natürlich ausnutzbar ist, dürfte klar sein. Und die Unschuldsvermutung ist auch spätestens dann obsolet, wenn weitgreifenderer als notwendiger Zugriff auf Datensätze erfolge (was man bestenfalls per Logs nachvollziehen kann).
Hausdurchsuchungen wären nach so einem Verfahren erst notwendig, wenn klar wird, dass etwaige Schritte nicht eingehalten wurden. Zu untersuchen wäre nämlich erst die Dokumentation und die betroffene Umgebung, bevor man sich an den Bugreporter setzt.

Ist das System perfekt? Nein. Aber der Gesetzesvorschlag der Ampel ist absurd.

 

[mae]

Als Entwickler versehentlich eine Lücke in einem KRITIS-System gefunden? Tja, sorry, bist kein Sicherheitsforscher, hier ist deine Haftstrafe.

Nicht nur das: Als professioneller Pentester eine Sicherheitsluecke entdeckt? Aha, bist ein gewerblicher Hacker, hier ist Deine Haftstrafe.

Gibt's ueberhaupt einen Fall, den der Gesetzesentwurf entschaerft?

 

[GR Supra]

Ich arbeite für eine Bundesbehörde in der IT. Wir haben viel mit dem BSI zu tun.

Leider darf ich nicht wirklich was erzählen.

 

[SIR_Thomas_TMC]

Leider darf ich nicht wirklich was erzählen.

Schade. Das kann jetzt halt alles bedeuten.

Ergänzung (27. Oktober 2024)

@tomgit und @mae
Wie konkret würdet ihr das denn ausgestaltet sehen wollen?

Weil, ich bin schon dafür, das Hacken grundsätzlich illegal ist, eben mit bestimmten Ausnahmen.

Daher würde mich wirklich interessieren, wie ihr euch das konkret vorstellt, was ist einem Hacker unter welchen Voraussetzungen erlaubt, was nicht, wie genau hat er sich zu verhalten...

 

[bensen]

Die Leute die beim Verkauf erwischt werden, sind Straftäter, Andere nicht. Unschuldsvermutung und so. Ist doch nicht so schwer?

Anscheinend schon schwer, denn du verstehst es nicht. Natürlich gilt die Unschuldsvermutung. Eine Ermittlung bestätigt oder widerlegt die Unschuld. Wenn diese nicht stattfinden darf, ist das ein Freifahrtschein.

Ergänzung (27. Oktober 2024)

Wenn ich mir vorstelle: ich habe eine Spritzmaschine und finde z.b. eine Schwachstelle die im Fehlerfall dazu führt dass die Düse explodiert weil die Heizung nicht abschaltet, dafür auch noch verklagt werde ist blanker hohn.

Völlig falsche Ideologie. Die richtige ist, du gehst in eine fremde Werkhalle und schaust nach ob dort eine Schwachstelle ist und informierst den Besitzer.

 

[GR Supra]

Schade. Das kann jetzt halt alles bedeuten.

Ergänzung (27. Oktober 2024)

Ich darf in der U-Bahn nicht telefonieren, wenn mir jemand akustisch zuhören kann. Meine Notebook ist mit einer Folie beklebt usw...
Da wäre Posten im Forum nicht gewollt.
Und was geheim ist und in welchen Grad ist ja vorher oft nicht klar und kann auch jederzeit geändert werden.

 

[pseudopseudonym]

Weil, ich bin schon dafür, das Hacken grundsätzlich illegal ist, eben mit bestimmten Ausnahmen.

Bei ner schlecht gesicherten API gehst du kurz auf ner Webseite in die Webkonsole, guckst dir ein paar Requests an, modizifierst vielleicht mal einen und hast dann schon "gehackt". Kann doch nicht sein, dass du damit schon mit einem Bein im Knast stehst (analog das gleiche bei irgendwelchen Libs).
Erst recht nicht, wenn das Software ist, die du einkaufst, mietest, oder gar B2B nutzt, um sie indirekt an Endkunden zu geben.