Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsIT-Sicherheitsforschung: Bundesregierung will Hacker-Paragraf entschärfen
Die Frage ist ja weniger in welchem Kontext das Hacking geschieht, sondern was das Resultat darauß ist. Wenn beim Herumstochern in Umgebungen auffällt, dass man über einfache Mittel eine Rechteeskalation verursachen kann, sollte das längst keine Straftat sein.
Wenn man das allerdings ausnutzt, um auf andere Systeme zuzugreifen, und dort Dateien zu exfiltrieren oder manipulieren, ist das etwas komplett anderes.
Wie bereits erwähnt, wichtig ist, ob es
a.) dokumentiert
b.) gemeldet
wird.
SIR_Thomas_TMC schrieb:
Weil, ich bin schon dafür, das Hacken grundsätzlich illegal ist, eben mit bestimmten Ausnahmen.
Das ist reine Frage der Philosophie. Wo will man Grenzen setzen, wann Hacking legal sein soll und wann nicht?
Reverse Engineering kann ebenso als Hacking bezeichnet werden, hat aber oftmals positive Nebeneffekte. Asahi Linux wäre so gesehen ohne Hacking gar nicht erst möglich, ermöglicht aber Linux und somit ein erweiterter Post-Consumer-Lifecycle. Viele proprietären, nicht mehr vom Hersteller maintained Geräte können nur durch Hacking und Reverse Engineering weiterhin verwendet werden.
Auch hier entsteht ein potenzieller wirtschaftlicher Schaden beim Hersteller - weil Konsumenten eben nicht dazu gezwungen werden können, die nächste Iteration zu kaufen - sollte es demnach illegal sein?
SIR_Thomas_TMC schrieb:
Daher würde mich wirklich interessieren, wie ihr euch das konkret vorstellt, was ist einem Hacker unter welchen Voraussetzungen erlaubt, was nicht, wie genau hat er sich zu verhalten...
Es gibt ja bereits viele Arten des Hackings, welche bereits legal sind. Pentests oder Social Engineering Tests werden von externen Firmen angeboten - natürlich in Rücksprache mit dem Kunden.
Wichtig ist eben der Kontext, worind as geschieht. Wird gehackt, um Zugriff auf Konten zu erlangen, oder versucht ein Entwickler nur die Sicherheit des Systems auszutesten? Werden die Schritte dokumentiert? Wird das Resultat gemeldet? Wird auf Daten zugegriffen oder diese gar exfiltriert?
Fragen, die eben bei der Abwägung, ob es sich hierbei um ein illegales Hacking gehandelt haben soll, eben berücksichtigt werden müssen.
Bei ner schlecht gesicherten API gehst du kurz auf ner Webseite in die Webkonsole, guckst dir ein paar Requests an, modizifierst vielleicht mal einen und hast dann schon "gehackt".
Ich mach das nicht, schon weil ich die meisten Begriffe die du verwendet hast, nicht kenne.
Aber auch hier, wie willst du das denn konkret ausgestalten? Was dir nicht passt, hab ich (grob) verstanden, aber was ist dein Vorschlag?
Ergänzung ()
tomgit schrieb:
Es gibt ja bereits viele Arten des Hackings, welche bereits legal sind. Pentests oder Social Engineering Tests werden von externen Firmen angeboten - natürlich in Rücksprache mit dem Kunden.
Wichtig ist eben der Kontext, worind as geschieht. Wird gehackt, um Zugriff auf Konten zu erlangen, oder versucht ein Entwickler nur die Sicherheit des Systems auszutesten? Werden die Schritte dokumentiert? Wird das Resultat gemeldet? Wird auf Daten zugegriffen oder diese gar exfiltriert?
Aber was stört dich dann, wenn es diese legalen Möglichkeiten alle schon gibt? Mir fehlt es sich auch an der konkreten Vorstellung, was da genau gemacht wird, mit Programmieren über Basic oder vba hinaus hab ich nix am Hut. Trotzdem würde ich auch nicht wollen, daß Hinz und Kunz sich auf meine Webseite oder mein NAS reinhacken dürfen, nur weil da eine Sicherheitslücke besteht.
Also, mit Anmelden und Doku finde ich schon ok. Aber genau das ändert man ja jetzt, so wie ich das verstehe.
Zum Beispiel von weiter oben, dann erst die "Requests" ändern, wenn man sich beim BSI diesbezüglich gemeldet hat.
Ist ja nicht Sinn und Zweck der Webseite, dass du da deine IT Kenntnisse ausprobierst. Dürftest du dann natürlich, mit der entsprechenden Anmeldung. Ich find das schon einen Fortschritt.
Ganz ehrlich, das Ding komplett zu streichen und auf den Stand von davor zurückzukehren, wäre noch immer der geringere Schaden. Über irgendwelche Hacks Daten zu stehlen und gar zu verkaufen, müsste davor schon verboten gewesen sein. Mutwillig Systeme zu zerstören, ebenfalls.
Ich sag mal so, da vertraue ich dann lieber der Gesetzgebung, als der Aussage von dir, wenn du sie mir nicht ein wenig näher erläutern magst.
Ich kann auch über einen niedrigen Zaun steigen, begehe aber trotzdem Hausfriedensbruch damit.
Ich vermute, die allermeisten IT Spezialisten haben die geschilderten Probleme mit dem Gesetz wohl eher nicht, allzuviele Verfahren dazu scheint es doch eher nicht gegeben zu haben. Jedenfalls hört man da nur sehr selten was von. Ich schätze, das wird sich auch zukünftig nicht wirklich ändern.
Aber danke, dass du klar gesagt hast, was du willst (Gesetzgebung unverändert). Sorry hatte ich nicht erwähnt.
Ja, kann mitunter sein. Wobei ich in den Behörden auf der Sachebene schon auch Fachwissen unterstelle. Auf Ministerebene ist auch eher politisches Geschick denn Detailwissen gefragt. In Unternehmen ist der CEO halt auch selten Mechaniker.
Ich bin da jetzt nicht so groß drin, da ich gerade so noch mit Kommandozeile umgehen kann aber das wars auch, aber von dem was ich so gehört habe sollte spätestens die Modern Solution-Geschichte ein Weckruf gewesen sein: https://www.heise.de/meinung/Kommen...-Hackerparagraf-muss-endlich-weg-9602664.html
Der betroffene ist auf einem Imageboard wo ihm auch nach der Hausdurchsuchung geholfen wurde, Spenden gesammelt usw. aber er wurde eben trotzdem so richtig gef...
Bei solch einer Shoot the messenger-Mentalität braucht man sich auch nicht zu wundern dass andere es eben nicht melden und lieber Kapital daraus schlagen.
Aber jetzt ändern sie das doch, da müsste derjenige eben ans BSI melden, was er vorhat zu machen. Und fertig, solange er sich in den gesetzlichen Grenzen bewegt.
In dem Link ist leider nur Meinung, kein Wort, wie er illegales Hacken unterbinden will und von für die Allgemeinheit nützlichem unterscheiden möchte. Einfach nur ganz weg damit. Das halte ich für problematisch, weil es auch der Verfolgung von Kriminellen damit die strafrechtliche Grundlage nimmt.
Aber was stört dich dann, wenn es diese legalen Möglichkeiten alle schon gibt? Mir fehlt es sich auch an der konkreten Vorstellung, was da genau gemacht wird, mit Programmieren über Basic oder vba hinaus hab ich nix am Hut. Trotzdem würde ich auch nicht wollen, daß Hinz und Kunz sich auf meine Webseite oder mein NAS reinhacken dürfen, nur weil da eine Sicherheitslücke besteht.
Aber das ist ja genau der Punkt. Wenn darauf beschränkt wird, dass nur Sicherheitsforscher solche Lücken melden dürfen, erhöht es nur die Wahrscheinlichkeit, dass mehr Lücken unterwegs sind, weil es einen Großteil an potenziellen Reportern ausschließt.
Ich würde sogar vermuten, dass die Mehrheit der Lücken, welche in Hard- und Software gefunden werden, nicht von Security Researchern, sondern von Entwicklern entdeckt werden.
Gerade bei einem Otto-Normal-NAS ist es ja durchaus so, dass Entwickler und Hobbyisten damit rumspielen - einfach um zu schauen, was mit der Hardware möglich ist, was man vielleicht darauf installieren kann, etc. Und bei sowas kann es durchaus so sein, dass Lücken entdeckt werden, welche Zugriff auf APIs oder sonstwas ermöglichen, was eigentlich nicht im Sinne der Entwickler der Plattform war.
Und hier würde der Gesetzesvorstoß eben ein Bein stellen und sagen "Ne du, du darfst den Bug nicht melden, weil du kein Sicherheitsforscher bist" und mit Haftstrafe drohen.
Ich kann dir da leider nicht folgen. Mit deinem NAS darfst du anstellen, was du willst. Fällt dir da eine Sicherheitslücke auf, hast du als Kunde sogar ein Recht auf Gewährleistung, sofern du noch in der entsprechenden Frist unterwegs bist.
Und, so verstehe ich die Änderungen, musst du kein staatlich anerkannter Sicherheitsforscher sein, den es so ja sowieso nicht gibt, sondern sich nur entsprechend der genannten Regelungen verhalten, also dein Tun anmelden und innerhalb bestimmter Grenzen handeln.
Oder nicht?
Einfach formuliert: Selbst wenn dir die gravierendste Sicherheitslücke auffällt, könnte dir beim Melden dieser Lücke eine Anzeige mit entsprechender Haftstrafe drohen, wenn du diese meldest - nur, weil du kein Sicherheitsforscher bist.
Das ist das Problem.
Leider nicht. Laut Gesetzentwurf muss die Handlung nicht nur mit der Absicht erfolgen, eine Sicherheitslücke zu finden UND dem Hersteller zu melden, sondern die Handlung muss dafür auch notwendig sein.
Damit sind viele in der Praxis vorkommende Abläufe nach wie vor strafbar und müssen vor Gericht nachträglich als 'nicht unbefugt' bewertet werden.
SIR_Thomas_TMC schrieb:
Was schlagen denn der Chaos Computer Club (CCC) oder Lilith Wittmann als bessere praktische Maßnahme vor (ohne dabei sämtliche Hackeraktivitäten freizugeben)?
Einfach formuliert: Selbst wenn dir die gravierendste Sicherheitslücke auffällt, könnte dir beim Melden dieser Lücke eine Anzeige mit entsprechender Haftstrafe drohen, wenn du diese meldest - nur, weil du kein Sicherheitsforscher bist.
Das ist das Problem.
Das kann ich weder aus dem bestehenden 'Hackerparagraph' noch aus dem Gesetzentwurf herauslesen. Dort ist es nur als 'Wer unbefugt sich oder einem anderen ...' und 'Die Handlung ist nicht unbefugt ...' formuliert.
Die Bezeichnung Sicherheitsforscher findet sich nur in den Pressemeldungen
Mein Sohn macht das.
Er sagt von Anfang an, dass er nie in/für D suchen wird und die sich selbst um ihre oft offensichtlichen „Scheunentore“ plus ihren Geiz kümmern sollen.
GR Supra schrieb:
Ich arbeite für eine Bundesbehörde in der IT. Wir haben viel mit dem BSI zu tun.
Die Probleme fallen ja weg, wenn ich vorher die Bedingungen erfülle, die im Text genannt werden. Das ist vermutlich ein ähnlicher Aufwand wie die Suche nach einem Anwalt, nur dass er im Vorhinein erfolgen kann. Klingt für mich jetzt auch nicht nach einer perfekten Regelung, aber wer aktiv auf die Suche nach Sicherheitslücken gehen möchte, bekommt jetzt einen Rahmen, in dem er das straffrei tun kann.
Nein, nochmal. Das Problem war und ist eher nicht, dass ein Gericht verknackt wenn man Lücken findet und meldet. Das kam auch bisher nicht vor. Das Problem ist die Strafermittlung samt Hausdurchsuchung und Beschlagnahmung. Die Neufassung des Gesetzes ändert da wenig bis nichts dran.
Was etwas bringen würde, wäre ein Gesetz, welches minimal höhere Anforderungen an die Staatsanwaltschaft und die Eskalation ihrer Mittel stellen würde.
Und das Hacking an sich wird damit nicht besser, die Absicht zur Meldung wird erst mit der Meldung einer Lücke offensichtlich. Davor ist White bis BlackHat Hacking für die "Empfänger" des Hacks nicht unterscheidbar. Es könnte einem also immernoch während eines Tests direkt eine Anzeige drohen.
bensen schrieb:
Und wie willst du Alibibehauptungen verhindern?
Dass ein derartiges Gesetz auch missbraucht werden kann, ist ja nicht von der Hand zu weisen. Wenn das erst gar nicht verfolgt werden darf, ist das schon fast ein Freifahrtschein.
Die Sache ist nicht so leicht wie manche es sich vorstellen.
Ich schrieb davon, dass der betroffene IT-Pfuscher behaupten kann, dass der/die Hacker·in nur eine Alibibehauptung hervorbringt. Was zur Eskalation der Strafermittlung gegen die hackende Person führt.
Die eskalierende Strafermittlung gehört Imho eingeschränkt, dazu braucht es nur mininimale Anforderungen, dass die Staatsanwaltschaft einen härteren Verdacht benötigt in solchen Fällen.
SIR_Thomas_TMC schrieb:
Was schlagen denn der Chaos Computer Club (CCC) oder Lilith Wittmann als bessere praktische Maßnahme vor (ohne dabei sämtliche Hackeraktivitäten freizugeben)?
Die Buden mit Bughuntingprogramm sind selten das Problem. Da schiebste ne verschlüsselte Email hin und man kann sich recht sicher sein, dass da keine Strafanzeige zurück kommt. Ausgeschlossen ist das aber mit dem Vorhandensein eines Bughuntingprogramms nicht.
Das Problem sind die ganzen Pfuscher, die böse impört sind, wenn man ihr eitriges Geschwür als übel riechend entlarvt. Statt Rückmeldung von Entwicklern ist da die Antwort meist vom Anwalt :/
mae schrieb:
Nicht nur das: Als professioneller Pentester eine Sicherheitsluecke entdeckt? Aha, bist ein gewerblicher Hacker, hier ist Deine Haftstrafe.
Als Gewerblicher hat man einen Vertrag, der einem klar als berechtigte Person auszeichnet, damit ist man beim StGB 202 sowieso raus, da geht es ja um unberechtigten Zugriff.
GR Supra schrieb:
Ich arbeite für eine Bundesbehörde in der IT. Wir haben viel mit dem BSI zu tun.
Solang du nicht bei einer der Schlapphutbehörden bist, solltest du kein so enges Sprechverbot haben, dass du nichts zu öffentlich verfügbaren Informationen sagen darfst. Also entweder machste dich wichtig, oder kokettierst damit bei den Schlapphüten zu sein und das wird normalerweise nicht gern gesehen.
bensen schrieb:
Völlig falsche Ideologie. Die richtige ist, du gehst in eine fremde Werkhalle und schaust nach ob dort eine Schwachstelle ist und informierst den Besitzer.
Übertragungen zwischen Informatik und realer Welt funktionieren selten. Zudem funktioniert der meiste Kram in der IT ja so, dass man lieb fragt und Antworten bekommt. Die Analogie wäre also, dass wenn ich mich mit einem Blaumann und rosa Helm vor die Halle stelle und frage ob die mir ihre Entwicklungen rausgeben, sie das dann auch tun.
Klingt total absurd, ist aber der typische Fall.
SIR_Thomas_TMC schrieb:
Ich kann dir da leider nicht folgen. Mit deinem NAS darfst du anstellen, was du willst.
Jetzt lass das NAS irgendwelches Cloud-Zeug machen, dir kommt es komisch vor, du schaust dir an, was die Kiste mit der Cloud austauschst und findest dabei Schwachstellen bei der Schnittstelle der des Clouddienstes. An der Stelle hast du derzeit (und bedingt zukünftig) die Paragraphen im StGB gerissen.
Leider nicht. Laut Gesetzentwurf muss die Handlung nicht nur mit der Absicht erfolgen, eine Sicherheitslücke zu finden UND dem Hersteller zu melden, sondern die Handlung muss dafür auch notwendig sein.
Damit sind viele in der Praxis vorkommende Abläufe nach wie vor strafbar und müssen vor Gericht nachträglich als 'nicht unbefugt' bewertet werden.
Und was spricht dagegen die Lücke anonym zu melden? Wenn es den Leuten nur geht die Lücken zu finden um Profit daraus zu machen, dann gehören die halt hinter Gittern.
Naja so ganz stimmt die Aussage nicht, denn sonst würde der Paragraph jetzt wohl nicht geändert. Es ist auch nicht Aufgabe des Staates sich auszukennen, sondern die Interessen auszugleichen. Und das Interesse derer, die legal Sicherheitslücken melden möchten, steht hier in Konkurrenz zum Datenschutz. Wenn ich jedem Melder von Sicherheitslücken Straffreiheit bescheinige, ist das quasi eine Einladung zum Ausstellen von Persilscheinen. Da kann sich jeder Hacker austoben und nach einiger Zeit die Lücke melden. Rechtlich gäbe es dann keine Handhabe mehr. Es mag sein, dass das auf die meisten Leute nicht zutrifft. Aber die wenigen schwarzen Schafe können enormen Schaden anrichten je nach Umfang der Lücke.
tomgit schrieb:
Einfach formuliert: Selbst wenn dir die gravierendste Sicherheitslücke auffällt, könnte dir beim Melden dieser Lücke eine Anzeige mit entsprechender Haftstrafe drohen, wenn du diese meldest - nur, weil du kein Sicherheitsforscher bist.
Das ist das Problem.
Da wäre meine Frage: Wie oft kommen solche Entdeckungen vor und wegen was wurde derjenige dann verurteilt? Wenn mir beim Entdecken der Lücke auffällt, was ich damit anrichten kann, ich das sofort melde und keine Daten dauerhaft speichere oder ausnutze, brauche ich keine Haftstrafe fürchten. Die hier so oft zitierten Logs müssten den Zufallsfund dann ja auch bestätigen.
Ergänzung ()
Piktogramm schrieb:
Was etwas bringen würde, wäre ein Gesetz, welches minimal höhere Anforderungen an die Staatsanwaltschaft und die Eskalation ihrer Mittel stellen würde.
Ok, das würde ich auch so sehen. Allerdings könnte man nach der Neufassung des Gesetzes als Sicherheitsforscher ja direkt so vorgehen, dass die privaten Räume nicht durchsucht werden müssten und/oder man direkt mit den Behörden an der Sache arbeitet. Zufallsfunde geschehen ja auch eher im betrieblichen Umfeld und soweit ich weiß, darf die Staatsanwaltschaft auch nur dann deine privaten Geräte beschlagnahmen, wenn der Verdacht besteht, dass darauf Daten abgeflossen sind.
