Sicherheitslücken in CDU-connect-App: Strafverfahren gegen Entdeckerin

[Redundanz]

es kann nicht angehen, dass es auch nur ansatzweise einen straftatbestand darstellt, wenn ich jemandem sage, dass seine haustür nicht ins schloss gefallen ist.

aber!! ich darf auch nicht einfach in fremde grundstücke mit dem "edlen vorhaben" zu schauen ob eine tür oder ein fenster offen steht, um dann den besitzer zu informieren.

hier muss ganz klar formuliert werden, was erlaubt ist und was nicht.
ich darf nicht ein sicherheitssystem knacken, um z.b. noch dahinterliegende lücken aufzudecken.

naja, schaun wir mal

 

[xxMuahdibxx]

@Redundanz naja

Vergleich mit dem Haus hinkt etwas.. kann man leider so nicht darstellen ...

denn um an die Daten zu kommen musste man sich in das Haus reinbegeben ... mit Mitteln die halt einigen anderen auch zugänglich sind...

Das dann im Haus Daten rumliegen die dort nicht sein dürften ist halt doof ... aber wie war das mit dem Typen da in Hamburg mit seinem Panzer und dem Rest ... solange keiner reinschaut weis es niemand..

Daher die doofe Frage darf jemand in mein Haus einbrechen um zu beweisen das ich etwas tue was mich Schuldfähig macht ... oder was andere nutzen könnten um wieder anderen eins auszuwischen ? ...

die ganze Sache ist nicht sooo einfach ... und zieht sicher Kreise die selbst Juristen vor ein Problem stellen.

Datensicherheit wollen wir haben ... können sie aber nicht bekommen wenn nicht andere Leute diese Datensicherheit hinterfragen und solche Systeme angreifen... sind sie damit Hacker ... oder Bugfinder... oder oder...

 

[Ranayna]

Jemandem zu sagen, dass seine Tuer nicht ins Schloss gefallen ist, ist natuerlich nicht verboten.

Dummerweise faengt der Vergleich jetzt an zu hinken, bzw eigendlich ja nach aktueller Gesetzeslage nicht:
Denn es ist nicht erlaubt an der Tuer zu ruetteln um zu schauen ob sie geschlossen ist oder nur so aussieht. Bzw. wenn du das in einer ganzen Nachbarschaft machst, hast du auch ganz schnell die Polizei an der Backe

Insgesamt ist das Thema "responsible disclosure" schwer.
Schonmal deswegen, weil man als Endecker einer Luecke, spaetestens wenn man etwas tiefer geht um zu bestaetigen das es wirklich eine Luecke ist, gegen den Hackerparagraphen verstossen hat.
Dann gibts genug Firmen die solche Meldungen schlicht ignorieren. Wenn sie denn ueberhaupt irgendwelche Kontaktinformationen anbieten wo man Sicherheitsprobleme melden kann. Es gibt ja nicht nur in Deutschland [Impressumspflicht] Luecken
Wenn dann das Ziel gross genug ist um dort eine grosse Anzahl User zu betreffen... Geht man damit publik? Tut man das, selbst wenn man keinerlei Details zur Luecke offenlegt, hat man aber zumindest einen ganzen Haufen boeser Buben darauf aufmerksam gemacht dass da was ist.
Oder behaelt man die Luecke fuer sich, mit dem Wissen im Hinterkopf dass es eine Menge anderer schlauer Leute gibt die diese Luecke finden koennten - oder es schon laengst getan haben?

Man kann eigendlich nur verlieren, wenn die Firma deren Luecke man gefunden hat, nicht mitspielen will.

 

[snaxilian]

ich darf auch nicht einfach in fremde grundstücke mit dem "edlen vorhaben" zu schauen ob eine tür oder ein fenster offen steht, um dann den besitzer zu informieren.

Dein Beispiel ist halt Murks. Die offen stehende Tür, sprich App, war nicht auf einem fremden Grundstück sondern öffentlich im Internet nutzbar.
Wer $Dinge öffentlich erreichbar betreibt muss halt damit rechnen, dass es von der Öffentlichkeit angesehen und angefasst wird.
Wenn das mit der App so eine Lappalie wäre, hätte die Berliner Landesdatenschutzbeauftragte nicht ein Verfahren eingeleitet (Quelle).

hier muss ganz klar formuliert werden, was erlaubt ist und was nicht.

Schon mal ein (CDU-gemachtes) Gesetz gesehen, wo etwas klar formuliert ist? Also ich nicht...

ich darf nicht ein sicherheitssystem knacken, um z.b. noch dahinterliegende lücken aufzudecken.

Naja hier kann man wunderbar über die Definition von "knacken" diskutieren. Aus rein juristischer Sicht ist bspw. die Umgehung wirksamer Schutzmaßnahmen illegal. Ist die Verwendung von DeCSS in Deutschlang illegal oder gilt CSS nicht mehr als wirksam?^^

Jemandem zu sagen, dass seine Tuer nicht ins Schloss gefallen ist, ist natuerlich nicht verboten.

Bezogen auf IT in DE leider schon, denn das setzt ja voraus, dass ich mir die Tür angesehen habe und bemerkt habe, dass diese offen steht.

Insgesamt ist das Thema "responsible disclosure" schwer.
[...]
Man kann eigendlich nur verlieren, wenn die Firma deren Luecke man gefunden hat, nicht mitspielen will.

Legal und ohne eigene Repressalien zu befürchten gibt es genau zwei mir bekannte Optionen für Responsible Disclosure in DE.
1. Meldung über eine Wegwerfmailadresse, Nutzung per TOR, usw. also eigentlich 100%iger Umsetzung korrekter OpSec und Anonymität ggü. den betroffenen Firmen/Behörden.
2. Man berichtet nicht direkt an die Betroffenen sondern über entsprechend geschützte Instanzen. Das kann ein Anwalt sein oder die Presse, z.B. über den anonymen Briefkasten vom Heise-Verlag oder anderen.

 

[Thorque]

Insgesamt ist das Thema "responsible disclosure" schwer.
Schonmal deswegen, weil man als Endecker einer Luecke, spaetestens wenn man etwas tiefer geht um zu bestaetigen das es wirklich eine Luecke ist, gegen den Hackerparagraphen verstossen hat.

genau das Problem wurde bei Gesetzesentwurf angesprochen und natürlich wie so oft bei anderen Gesetzen wurden die Warnungen und Bedenken von IT-lern, Juristen usw ignoriert und das Gesetz vom Bundestag (Neuland) durchgewunken.
siehe
https://www.heise.de/security/meldung/Scharfe-Kritik-am-neuen-Hackerparagraphen-132852.html

Scharfe Kritik am neuen Hackerparagraphen


Der Chaos Computer Club (CCC) und Stimmen aus der Internetwirtschaft haben erhebliche Einwände und Sicherheitsbedenken gegen die heute vom Bundestag verabschiedete Änderung des Strafgesetzbuches (StGB) zur Bekämpfung der Computerkriminalität vorgebracht. "Das Verbot des Besitzes von Computersicherheitswerkzeugen öffnet auch dem Einsatz des Bundestrojaners Tür und Tor", warnt CCC-Sprecher Andy Müller-Maguhn. Industrie und Bürgern werde systematisch die Möglichkeit genommen, ihre Systeme adäquat auf Sicherheit zu überprüfen. Dieses Verbot gefährde "die Sicherheit des IT-Standorts Deutschland". Sicherheitsforschung könne nur noch in einer "unannehmbaren rechtlichen Grauzone stattfinden". Das Gesetz erwecke den Anschein, dass unabhängige Sicherheitstester nach Belieben selektiv kriminalisiert werden sollten.

Ins gleiche Horn stößt der Verband der deutschen Internetwirtschaft eco. Die Lobbyvereinigung der Provider beklagt, dass das Gesetz die Sicherheitsbemühungen der Unternehmen ausbremst, anstatt Computerkriminalität wirksam zu bekämpfen. Es sei nicht ausgeschlossen, dass Computerprogramme, die zu einem legitimen Zweck wie der Sicherheitsprüfung von IT-Systemen verwendet werden, vom Anwendungsbereich des Gesetzes erfasst würden. Aus Sicht der Unternehmen sei der Vorstoß schlicht kontraproduktiv.

http://2014.kes.info/archiv/heft/abonnent/07-6/07-6-006.htm

Trotz aller Vorbehalte und Warnungen von Security-Fachleuten und Juristen (vgl. [1]) haben der Deutsche Bundestag und Bundesrat das 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität unverändert beschlossen – es wurde am 10. August 2007 verkündet [2] und trat am Tag darauf in Kraft. Seither sehen etliche Sicherheits-Berater und -Administratoren ein Damoklesschwert über ihren Köpfen hängen. Vor allem die Einführung eines neuen Paragraphen erscheint heikel, der "Vorbereitungstatbestände" zur Computerkriminalität definiert (§ 202c StGB, siehe Kasten).

Ergänzung (6. August 2021)

Lücken in der CDU-connect-App: Datenschutzbeauftragte leitet Prüfverfahren ein​

Verstöße gegen die DSGVO, schlampiger Umgang mit personenbezogenen Daten - das sind die Ansatzpunkte der Berliner Datenschutzbeauftragten.


https://www.heise.de/news/Luecken-i...tragte-leitet-Pruefverfahren-ein-6157570.html

 

[Dr. McCoy]

Es gibt inzwischen Neues. Das Ermittlungsverfahren seitens der StA wurde eingestellt:
-> https://netzpolitik.org/2021/cdu-co...rheitsforscherin-lilith-wittmann-eingestellt/

Nun bestätigt die StA, was durch Lilith Wittmann bereits festgestellt worden war und überhaupt erst zur Anzeige durch die CDU führte, wie paradox: Die Daten der App waren "aus technischer Sicht öffentlich abrufbar". Einer gewissen Ironie entbehrt in diesem Zusammenhang nicht, dass die Strafanzeige gegen Lilith Wittmann von der Datenschutzbeauftragten der CDU gestellt worden war. Da wird in die völlig falsche Richtung geschossen, anstatt erstmal die eigene Technik auf die Reihe zu bekommen.

Jetzt geht es endlich in die richtige Richtung, in die es von vornherein hätte gehen müssen:
-> https://www.heise.de/news/Luecken-i...tragte-leitet-Pruefverfahren-ein-6157570.html

Ein Prüfverfahren u.a. wegen Verstoßes gegen die DSGVO. Zum ganzen Vorgang möchte die CDU keine aktuelle Stellung beziehen, wie man heise.de entnehmen kann:

Die CDU reagierte auf mehrere Anfragen von heise online innerhalb der letzten zwei Tage bisher nur mit einem Verweis auf einen Twitter-Thread des Bundesgeschäftsführers Stefan Hennewig, der sich aber nur mit der Anzeige gegen Wittmann beschäftigt und eine Entschuldigung enthält - aber das Prüfverfahren nicht einmal erwähnt.