News IT-Sicherheitsforschung: Bundesregierung will Hacker-Paragraf entschärfen

[Piktogramm]

Und was spricht dagegen die Lücke anonym zu melden? Wenn es den Leuten nur geht die Lücken zu finden um Profit daraus zu machen, dann gehören die halt hinter Gittern.

Wer ne Lücke geschlossen gefunden hat und die geschlossen sehen will, wird normalerweise einen Rückkanal anbieten wollen. Anonyme Rückkanäle sind recht schwierig und könnten einem vor Gericht auch negativ ausgelegt werden (Absicht zur Verschleierung).
Und von Bugbuntyprogrammen ein Einkommen bestreiten zu können wäre gesellschaftlich wünschenswert. Die geschädigten der Lücken sind ja in der Regel unbeteiligte Dritte deren Daten ausgeschleußt werden, wenn die Lücken bestand haben.

Und das Interesse derer, die legal Sicherheitslücken melden möchten, steht hier in Konkurrenz zum Datenschutz.

Das Interesse der Gesellschaft, das Lücken geschlossen werden ist weit bedeutender als das Interesse in der Freizeit unbezahlt in der Scheiße irgendwelcher Bastelbuden rumzufingern.
Das wäre dann auch das Schutzziel der bestehenden Datenschutzgesetzgebung.

Wie oft kommen solche Entdeckungen vor und wegen was wurde derjenige dann verurteilt? Wenn mir beim Entdecken der Lücke auffällt, was ich damit anrichten kann, ich das sofort melde und keine Daten dauerhaft speichere oder ausnutze, brauche ich keine Haftstrafe fürchten. Die hier so oft zitierten Logs müssten den Zufallsfund dann ja auch bestätigen.

Nochmal, es ist auch zum jetzigem Stand nicht das Problem die Gerichte urteilen. Bei ordnungsgemäßem responsible Disclosure hauen die den Beglagten den StGB 202 nicht um die Ohren. Die Strafverfolgung samt Hausdurchsuchung und Beschlagnahmung von allem was ein Computer sein könnte ist das Problem. Das Problem kompensiert die Neufassung eher nicht.

Ergänzung (27. Oktober 2024)

Zufallsfunde geschehen ja auch eher im betrieblichen Umfeld und soweit ich weiß, darf die Staatsanwaltschaft auch nur dann deine privaten Geräte beschlagnahmen, wenn der Verdacht besteht, dass darauf Daten abgeflossen sind.

Zufallsfunde sind eigentlich immer privat. Im beruflichen Umfeld ist die Zeit nicht da. Privat kommt es aber schon eher mal vor, dass man einem "das schaut komisch aus" folgt und etwas findet.

Und wenn man ein Angriffsvektor am Produktivsystem testet, um die Angreifbarkeit zu belegen, sind Daten abgeflossen. Das was du als Hürde nennst ist in solchen Fällen keine. Im Bereich Sicherheit ist es völlig üblich anzunehmen, dass wenn ein Exploit existiert der Datenabfluss als gegeben angesehen werden kann.

 

[SIR_Thomas_TMC]

Mein Sohn macht das.
Er sagt von Anfang an, dass er nie in/für D suchen wird und die sich selbst um ihre oft offensichtlichen „Scheunentore“ plus ihren Geiz kümmern sollen.

Gewinnerzielungsabsicht? Müsste er sich zusätzlich als Gewerbetreibender anmelden.

 

[GR Supra]

Solang du nicht bei einer der Schlapphutbehörden bist, solltest du kein so enges Sprechverbot haben, dass du nichts zu öffentlich verfügbaren Informationen sagen darfst. Also entweder machste dich wichtig, oder kokettierst damit bei den Schlapphüten zu sein und das wird normalerweise nicht gern gesehen.

Ich wollte nicht über Lücken reden und dem Umgang damit. Wir suchen nach Lücken, wir jede IT das macht. Wir müssen sie melden.

 

[BFF]

Gewinnerzielungsabsicht? Müsste er sich zusätzlich als Gewerbetreibender anmelden

Arbeit muss bezahlt werden.

Zum Glück braucht er das nicht weil nix Wohnsitz in D. Und für den Rest gibt es Formulare. 😉

Geiz meint, das kaum eine deutsche Branchengrösse sich für internationales Pentesting anmeldet. Und die die mal dabei sind sind knauserig ohne Ende.

 

[SIR_Thomas_TMC]

Hm, mir ist nicht wohl bei der Idee, dass jeder einfach so auf Sicherheitslücke prüfen darf. Wie wenn jeder schauen darf, ob er nicht ein offenes Fenster oder ne Tür mit schlechtem Schloss an Gewerbeimmobilien oder Privatwohnungen findet. Da wird auch der Rucksack und die Taschenlampe und die Mütze beschlagnahmt, wenn man dabei erwischt wird. Kriege ich dann auch nach Ende der Ermittlungen oder des Prozesses wieder. Und wenn ich dafür mein Fahrzeug und meine Kamera und das Handy benutzt habe, auch die...

@dev/random
Als Meldestellen die Datenschutzbehörden zusätzlich ist sicher nicht verkehrt, als eine Vorsatzstraftat würde auch Sinn machen...
Danke für den Link. Der Datenschutzaspekt ist mir zwar etwas überbewertet (DSVGO gerne erst ab 100 Mitarbeiter oder 1 Mio Umsatz, ist halt nicht so), aber das ist mitunter Geschmackssache. Wenn jemand wirklich mit anhört, dass ich wegen nem Herzinfarkt ein Rettungswagen brauche, ist mir wichtiger, dass der schnell da ist.

 

[tomgit]

Das kann ich weder aus dem bestehenden 'Hackerparagraph' noch aus dem Gesetzentwurf herauslesen. Dort ist es nur als 'Wer unbefugt sich oder einem anderen ...' und 'Die Handlung ist nicht unbefugt ...' formuliert.
Die Bezeichnung Sicherheitsforscher findet sich nur in den Pressemeldungen

Und selbst die non-triviale Formulierung macht es nicht besser

1. Dem § 202a werden die folgenden Absätze 3 und 4 angefügt:
   

   „(3) Die Handlung ist nicht unbefugt im Sinne des Absatzes 1, wenn
   
   

   1. sie in der Absicht erfolgt, eine Schwachstelle oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems (Sicherheitslücke) festzustellen und die für das informationstechnische System Verantwortlichen, den betreibenden Dienstleister des jeweiligen Systems, den Hersteller der betroffenen IT-Anwendung oder das Bundesamt für Sicherheit in der Informationstechnik über die festgestellte Sicherheitslücke zu unterrichten und
   2. sie zur Feststellung der Sicherheitslücke erforderlich ist.

Auch die Formulierung suggeriert, dass man bewusst nach Lücken suchen möchte. Fallen sie zufällig auf, kann trotzdem das ganze Gezetere durchgezogen werden.

Hm, mir ist nicht wohl bei der Idee, dass jeder einfach so auf Sicherheitslücke prüfen darf. Wie wenn jeder schauen darf, ob er nicht ein offenes Fenster oder ne Tür mit schlechtem Schloss an Gewerbeimmobilien oder Privatwohnungen findet.

Du brauchst ja das Konzept auch nicht verstehen. Zumal die Analogie nicht passt.
Wäre eher so, als würdest du wegen versuchten Einbruchs angezeigt werden, weil du deinem Nachbarn gesagt hast, das Fenster ist offen.

 

[SIR_Thomas_TMC]

Nur wenn du es auch ausprobiert hast, nicht weil du es gesehen hast, oder?

 

[dev/random]

Und was spricht dagegen die Lücke anonym zu melden? Wenn es den Leuten nur geht die Lücken zu finden um Profit daraus zu machen, dann gehören die halt hinter Gittern.

Die meisten Unternehmen und Organisationen bieten gar keine Möglichkeit, Sicherheitsprobleme anonym zu melden. Auch beim BSI ist eine anonyme Meldung nur mit Einschränkungen möglich (keine Quellcode Zitate, Meldung mit Kontaktangabe wird empfohlen).

 

[Restart001]

Ich kann mir einfach nicht helfen, entschärfen!?, klingt für mich absolut absurd. Meine Meinung.

 

[dev/random]

Nur wenn du es auch ausprobiert hast, nicht weil du es gesehen hast, oder?

Im Falle von Funkverbindungen gibt es da rechtlich keinen Unterschied.

 

[pseudopseudonym]

Hm, mir ist nicht wohl bei der Idee, dass jeder einfach so auf Sicherheitslücke prüfen darf. Wie wenn jeder schauen darf, ob er nicht ein offenes Fenster oder ne Tür mit schlechtem Schloss an Gewerbeimmobilien oder Privatwohnungen findet.

Das Problem hier ist, dass du die getestete Software in der Regel mitnutzt und ihr deine Daten oder gar Daten deiner Kunden anvertraust. Natürlich willst du in der Situation sicherstellen, dass der Kram sicher ist.

Die pösen Purschen gucken sowieso und die findest du auch fast nie. Wenn du nicht richtig dumm bist, wirst du eigentlich nur erwischt, wenn du ehrlich sein willst.

Dann kommt noch das Problem mit den Hackertools: Wie willst du zum Beispiel Lehre betreiben, wenn diese Tools verboten sind?

 

[Piktogramm]

Danke für den Link. Der Datenschutzaspekt ist mir zwar etwas überbewertet (DSVGO gerne erst ab 100 Mitarbeiter oder 1 Mio Umsatz, ist halt nicht so), aber das ist mitunter Geschmackssache. Wenn jemand wirklich mit anhört, dass ich wegen nem Herzinfarkt ein Rettungswagen brauche, ist mir wichtiger, dass der schnell da ist.

Arztpraxen/Therapeuten haben ab der ersten Person sofort mit empfindlichen Daten zutun und Zugriff auf die elektronische Patientenakte. Frage dich selbst, ob es sinnvoll wäre, wenn deine Gesundheitsdaten mehr oder weniger frei verfügbar werden, weil kleine Buden nicht zum Datenschutz gezwungen werden.

Und das Gebrabbel über den Herzinfarkt deutet nur aus massive Unkenntnis hin. Der Schutzabsicht der Datenschutzgesetze steht immer hinter leiblichem Wohl, bedingt Sachschäden etc. zurück.

[...] mir ist nicht wohl bei der Idee, dass jeder einfach so auf Sicherheitslücke prüfen darf. Wie wenn jeder schauen darf, ob er nicht ein offenes Fenster oder ne Tür mit schlechtem Schloss an Gewerbeimmobilien oder Privatwohnungen findet.

Die Übertragung zum echten Leben ist immer schlecht.
Zum einen bist du durchaus berechtigt Fenster/Türen Dritter anzusehen und diese daraufhin zu weisen, wenn da irgendwas Faul ist. Auch der Hinweis auf ein bekannt schlechtes Schließsystem ist zulässig.
Und bei Computersystemen ist es sowieso meist anders. Das ist eher so in der Richtung, dass du ein Zettel mit Anweisungen in den Briefkasten legst und dir das Haus dann die Wertgegenstände von allein zuwirft. Würde das real funktionieren, würden alle groß gackern über den "magischen" Briefkasten. In der IT findeste magische Briefkästen und hast mitunter Probleme an der Backe -.-

 

[SIR_Thomas_TMC]

Das fand ich sehr nachvollziehbar, das Haus, das mir Wertgegenstände zuwirft.

Das mit dem Herzinfarkt ist mir übrigens ernst. Ist mir persönlich scheißegal, wer das noch mitbekommt, Hauptsache mir oder meinen Lieben wird rechtzeitig geholfen. Kannst du gerne Gebabbel nennen, ist meine Meinung. Grund habe ich dir genannt. Es gibt halt auch Dinge, wo es wichtiger ist, das es funktioniert und nur zweitrangig, wie. Da darfst du gerne anderer Meinung sein, freundlich bleiben aber auch. Ansonsten sind Gesundheitsdaten selbstverständlich mit die schützenswertenden Daten. Meine Ergotherapieanmeldung bläht es trotzdem um 2 Seiten auf.

Ja, ich sag ja, DSVGO kann man unterschiedliche Meinungen zu haben, so wie es jetzt ist, finde ich es extrem lästig, selbst als Kunde. Alles Mögliche blabla auf 2-4 Seiten dazu... Mittlerweile überfliege ich das nur noch, dabei hab ich früher alles so Zeug versucht zu lesen und zu verstehen. Wer das mal mit AGBs oder Lizenzen durchexerziert hat, weiß was ich meine. Übrigens, bei sowas hilft mir die KI, die wesentlichen Punkte zu identifizieren. Kann sie besser als ich, bestimmt schlechter als ein Anwalt. Wäre mir aber zu teuer.

 

[Piktogramm]

Das mit dem Herzinfarkt ist mir übrigens ernst. Ist mir persönlich scheißegal, wer das noch mitbekommt, Hauptsache mir oder meinen Lieben wird rechtzeitig geholfen. Kannst du gerne Gebabbel nennen[...]

Gebrabbel ist es, weil das was du mit der DSGVO zu verbinden versuchst überhaupt nicht Stand der Dinge ist. War es auch vor der DSGVO nicht, wo Ärzte Ausnahme in der Schweigepflicht hatten, wenn es um das Abwenden von ernsten Schäden ging. Das hat sich mit der DSGVO auch nicht geändert.

Es sind halt so Horrorgeschichten, dass irgendwas mit der DSGVO nicht/schlechter ginge. Was im Regelfall aber einfach ausgemachter Unsinn ist wie bei dir gerade.

Ja, ich sag ja, DSVGO kann man unterschiedliche Meinungen zu haben, so wie es jetzt ist, finde ich es extrem lästig, selbst als Kunde. Alles Mögliche blabla auf 2-4 Seiten dazu...[...]

Die DSGVO macht es da eigentlich recht leicht. An Datenerhebung, -speicherung und -verarbeitung muss informiert werden, wenn es zur Auftragserfüllung oder Erfüllung von Gesetzen notwendig ist. Dazu braucht es eigentlich keine Einwilligung, Einwilligung braucht es erst für Datenschindluder darüber hinaus und da sollte widersprochen werden.

 

[Boimler]

Das Interesse der Gesellschaft, das Lücken geschlossen werden ist weit bedeutender als das Interesse in der Freizeit unbezahlt in der Scheiße irgendwelcher Bastelbuden rumzufingern.
Das wäre dann auch das Schutzziel der bestehenden Datenschutzgesetzgebung.

Wenn das Problem die Hausdurchsuchungen sind, ist das aus Sicht der Behörden das kleinere Übel gegenüber dem Schutz der Allgemeinheit. Wenn am Ende sowieso keine Strafverfolgung stattfindet, wie du sagst, ist es natürlich überflüssig. Mich würden mal konkrete Zahlen interessieren. Wie viele Fälle gibt es und in wie vielen wird überhaupt gegen den Meldenden ermittelt?

 

[SIR_Thomas_TMC]

@Piktogramm Also, ich hab mich da auf das Thema Funk und Abhören in einem Link hier im Thread bezogen.
https://ag.kritis.info/2024/10/24/nachbesserungsbedarf-beim-reformvorschlag-zum-hackerparagraph/

An der Stelle ist mir der Datenschutz (streiche DSVGO, setze Datenschutz) weiterhin egal, das Ergebnis zählt. Da finde ich es übertrieben und megakleinlich, was dazu in dem Link geschrieben wurde. Trotzdem kann man das natürlich auch verbessern, aber Hauptsache ist mir, dass der Rettungswagen schnell da ist und helfen kann. Ob da wer den Funk mithören kann, ja bitte.

Deutlich Datenschutz wird in dem Lknk die Datenschutzbehörde angeführt, und da ist mir direkt das Bürokratiemonster DSGVO eingefallen, das es in meinen Augen ist und mich nervt. Was meinst du denn, wie viele Menschen sich wirklich mit dem Blabla auseinandersetzen? 5%? Weniger?

Gezielt hat es auf Google, Amazon und Microsoft, getroffen hat es zusätzlich den Fotografen, die Fahrschule und sonst wen, der irgendwie deine Daten mitunter online verarbeitet. Sicher weniger als 0,1% von den jetzt betroffenen Firmen in der Größenordnung <1 Mio Umsatz hatte vorher irgendwelche Geschäfte mit deinen Daten, muss dir jetzt aber alles dazu erklären. Ich find es lästig und ätzend. Du wertvoll und wichtig.

Hab tatsächlich ab und an das ganze blabla an ChatGPT verfüttert, der es mir auf 3 Sätze zusammenfassen soll. Kommt für mich nix wichtiges bei rum, hätte ich so nicht gebraucht. Ist aber nun jetzt so, muss ich deswegen trotzdem nicht gut finden.

Wo hab ich eigentlich eine Horrorgeschichte erzählt, wie du behauptest? Bleib mal ruhig und sachlich bitte.

 

[tomgit]

Die DSVGO ist ein Bürokratiemonster in meinen Augen und nervt mich. Was meinst du denn, wie viele Menschen sich wirklich mit dem Blabla auseinandersetzen? 5%? Weniger?

Und wie viele Menschen in der Bevölkerung werden ermordet? 0,8 Fällen pro 100.000 Einwohner? Sollte man deswegen den Straftatbestand abschaffen?

Gezielt hat es auf Google, Amazon und Microsoft, getroffen hat es zusätzlich den Fotografen, die Fahrschule und sonst wen, der irgendwie deine Daten mitunter online verarbeitet.

Nein, gezielt hat es auf alle, die unsachlich Daten verarbeiten. Wenn Fotografen und Fahrschulen nicht mit den Daten ihrer Kunden sachlich und vorsichtig umgehen wollen, dann sollte das deren Problem sein. Ist aber Off-Topic.

Wo hab ich eigentlich eine Horrorgeschichte erzählt, wie du behauptest? Bleib mal ruhig und sachlich bitte.

Gezielt hat es auf Google, Amazon und Microsoft, getroffen hat es zusätzlich den Fotografen, die Fahrschule und sonst wen, der irgendwie deine Daten mitunter online verarbeitet. Sicher weniger als 0,1% von den jetzt betroffenen Firmen in der Größenordnung <1 Mio Umsatz hatte vorher irgendwelche Geschäfte mit deinen Daten, muss dir jetzt aber alles dazu erklären. Ich find es lästig und ätzend. Du wertvoll und wichtig.

Was darf Satire?

 

[SIR_Thomas_TMC]

Satire darf alles, was nicht vor Gericht verboten wird.

Wusste nicht, dass ich was unterschreiben muss, wenn ich ein Messer im Laden kaufe, dass ich damit keinen Mord begehe oder wo ich mich beim Ladenbesitzer beschweren kann, wenn jemand damit einen Mord begeht. Wer führt jetzt grad eigentlich Horrorgeschichten ein? Mord und DSVGO?

 

[Piktogramm]

@Boimler
Wie groß das Übel für Behörden ist, sollte keine Grundlage für Gesetze und Rechtsprechung sein. Der oberste Sinn von Gesetzen ist die Schutz von Bürgern, Menschen und dem Staatsgebilde an sich.

Und es reichen wenig Fälle um demotivierend zu wirken Lücken zu melden:
Lilith Wittmann ist drumherumgekommen, da wurde das Verfahren eingestellt.
Edit: Wobei das auch etwas anrüchig war, dass das Verfahren eingestellt wurde. Bei Dingen die das StGB betreffen sollte der Anzeigende gar keine Möglichkeit haben das Verfahren einstellen zu lassen. Das war an der Stelle auch ein komisches Ding..
https://www.heise.de/news/Verfahren...eil-CDU-connect-ungeschuetzt-war-6194222.html

Der verworrene Fall rund um Modern Solutions mit Hausdurchsuchung
https://www.golem.de/news/nach-datenleck-hausdurchsuchung-statt-dankeschoen-2110-160269.html

@SIR_Thomas_TMC
Ja gut, du wirfst Dinge ein, beschwerst dich dann über Kritik an diesen Einwürfen und bist mit dem letztem Post einfach komplett gegen die Wand gelaufen.


Dennoch, eher für alle Anderen:

getroffen hat es zusätzlich den Fotografen, die Fahrschule und sonst wen, der irgendwie deine Daten mitunter online verarbeitet.

Die ganzen Buden, die ihre Daten irgendwo speichern und keinerlei brauchbaren Zugriffsschutz etabliert haben waren Ziel der DSGVO. So grundlegende Prozesskontrolle zur Datenverarbeitung ist der Urschleim von IT-Security. Insofern begründet sich da ja auch die Forderung der AG-Kritis die Datenschutzbehören als Meldestelle zu etablieren.

 

[SIR_Thomas_TMC]

Den Bezug Mord und DSVGO hab nicht ich hergestellt. Und gegen die Datenschutzbehörden als Meldestellen hatte ich übrigens nix und hab das befürwortet, oder? Jetzt also nicht unfair werden.