News Strafverfahren: IT-Experte für das Melden einer Sicherheitslücke verklagt

[Tom_111]

Ja, Apple macht auch einige Sachen gut, Hide my Email, Werbetracker Geschichten usw, sind aber weit davon entfernt als Ikone der IT Security angesehen zu werden.

Auf jeden Fall mehr als Microsoft.

 

[murchad]

Verstehe das Problem nicht, der beschriebene Ablauf ist doch offensichtlich unfraglich. Es wurden 3 Stunden Zeit eingeräumt. Lächerlich wenig.

Im übrigen ist es doch nichts neues, dass ein "Ich habe hier eine Sicherheitslücke und werde die gleich mal veröffentlichen... besser ihr schließt die bis dahin" eine schlechte Idee ist. Ein verantwortungsvoller Umgang funktioniert anders und das müsste der Typ eigentlich wissen.

Das sehe ich aehnlich. Responsible disclosure ist meiner meinung nach etwas anderes: man wartet bis die Betroffenen die vulnerability beseitigt haben und auch im umlauf befindliche software weitgehend gepatched ist. Sonst bewirkt man durch die veröffentlichung nämlich das gegenteil von dem, was der sinn und zweck ist und man gefährdet unbeteiligte dritte erst recht. Aber es gilt die unschuldsvermutung und ich kenne die details nicht (die postings auf heise können ja auch gefaked sein) und überlasse das dem gericht.

Jedenfalls hat man in 3 stunden nicht mal die verantwortlichen entwickler zusammengetrommelt, falls die ueberhaupt noch im unternehmen arbeiten und sich nicht laengst in die pension oder sonstwohin verabschiedet haben. Oft sind die gravierendsten schwachstellen in legacy code zu finden, den seit jahren keiner mehr angeruehrt hat und dessen aenderung schon mal wochen dauern kann, weil erst jemand ausgegraben werden muss der den code ueberhaupt lesen und aendern kann ohne schlimmeren schaden anzurichten.
Dann muss noch die im umlauf befindliche, betroffene software gepatched werden... das kann monate oder sogar jahre dauern, weil das dann oft im ermessen der kunden liegt wann sie updaten.

 

[cruscz]

Aber auf die Codes der Anwendungen von anderen privaten Unternehmen hat der Gesetzgeber keinen Einfluss zu haben.

Etwas aus dem Kontext gerissen…
Mein Zitat bezog sich auf einen vorherigen Kommentar, der es für einen schlechten Scherz hielt Software per Gesetz für sicher zu erklären. Mein Kommentar verwies darauf, dass es eben kein Scherz, sondern traurige Realität ist.

Leider kenne ich den Wortlaut der Verträge weder bei der DE-Mail, noch bei z.B. anderen Softwareentwicklungen die staatlich beauftragt wurden. Sofern diese nicht eine Übergabe des Klartextcodes vorsehen, hat der Staat natürlich niemals die volle Verfügungsgewalt über die Software. Wenn es zusätzliche Dienstleistungen vorsieht, wie bei der DE-Mail, die nur eine feste Zahl an Dienstleistern anbieten kann ebenfalls nur bedingt.
Es obliegt aber dem Staat gesetzlich einen Übertragungsstandard für zulässig zu erklären, sei es DE-Mail, Fax oder ein berittener Bote solange das Schriftstück mit zulässigem Siegelwachs verschlossen und das Siegel ungebrochen ist. Im Fall der DE-Mail ist der Übertragungsweg aber auch für sicher erklärt worden durch die gewählte Formulierung, so unsinnig dass vielleicht sein mag.

Wenn es in diesem Fall (des Artikels) einen entsprechenden Urteilsspruch eines Richters gibt, ist dieser zwar nicht allgemeingültig, wird aber danach bei Bedarf als Präzedenzfall angeführt werden was oftmals dazu führt, dass sich andere Richter bei ähnlichen Fällen der Rechtsauffassung ihres Kollegen anschließen.
Wenn der entsprechende Paragraf von Gesetzgeber präzisiert wird, hat dies auch nur für Fälle nach der Änderung Gültigkeit und derartige Änderungen brauchen oft mehrere Monate. Modern Solutions hat damit halt die Büchse der Pandora geöffnet indem sie eventuell einen gutartigen IT-Sicherheitsspezialisten für die Meldung einer Lücke an sie vor den Pranger gestellt haben (so wie die CDU vor ihnen).
Im Endeffekt ist dem Mann zu verdanken, dass außer ihm und dem Verursacher niemandem Schaden zugestoßen ist. Den Schaden an sich selbst und dem freundlichen „Hacker“ hätten sie selbst abwenden können. So peinlich der Fauxpas selbst für sie war, durch die Anzeige kam es zum Streisand-Effekt, und jene, die es ohne diesen erfahren hätten, hätten vielleicht noch die schnelle Reaktion nach Bekanntwerden der Sicherheitslücke positiv bewertet.

 

[MaverickM]

Die Richter vom Amtsgericht Jülich bezweifelten das, während man beim Landgericht Aachen nun die Ansicht vertritt, der „Zugang mittels Passwort reicht als Zugangssicherung aus“. Um an das fest verankerte Passwort zu gelangen, wäre eine Dekompilierung der Software nötig, was aber ein „tiefes Verständnis über Programmiersprachen und Softwareentwicklung“ erfordere – daher könnten die Lücken nur wenige Experten ausnutzen.


Die Richter des Landgerichts kommen somit zu der Auffassung, der Programmierer habe nur durch ein „Ausspähen von Daten“ im Sinne des Hackerparagraphen einen Zugang erhalten.

Mir stellt sich eher die Frage, warum solche offensichtlich inkompetenten und themenfremden Richter solch einen Fall verhandeln dürfen.

Dass unsere Gesetzgebung mal in diesem Fall (hinsichtlich des Hackerparagraphen) der Technik um Jahrzehnte hinterher hinkt, kommt noch erschwerend hinzu.

Als Kunde kann man zudem nur von dieser Firma abraten, die scheinbar auch nichts besseres zu tun haben, als zu klagen, statt ihre Software aufzuräumen.

 

[lynx007]

Einem IT-Sicherheitsexperten, der 2021 eine schwerwiegende Sicherheitslücke bei dem Software-Dienstleister Modern Solution entdeckte, muss sich nun einem Strafverfahren vor dem Amtsgericht Jülich stellen. Das hat ein Berufungsverfahren vor dem Landgericht Aachen ergeben, berichtet Heise Online.

Zur News: Strafverfahren: IT-Experte für das Melden einer Sicherheitslücke verklagt

Wie sind die Ihm den drauf gegekommen? Ihr schreibt von einem Jornalisten, aber für die gillt ja für gewöhnlich der Quellenschutz.

Wenn ich ein "Sicherheitsexperte" bin, dann sollte ich doch auch meine eigene Identität geheim halten können. Außer der Angriffsvektor selbst gibt Aufschlüsse über die Identität des Nutzers. Oder Personenkreis dem ich mich offenbare...

Würde mich in diesem Fall einfach intressieren. Hat hier der Sicherheitsberater geschlampt, oder viel mehr die journalistische Seite?

 

[vander]

Blätter mal 1-2 Seiten zurück, da wurden die Abläufe ellenlang durchgekaut, inklusive externer Links zu den Abläufen 2021.

 

[BeBur]

Mir stellt sich eher die Frage, warum solche offensichtlich inkompetenten und themenfremden Richter solch einen Fall verhandeln dürfen.

Für mich hat sich die folgende Daumenregel bewährt: Wenn etwas total bescheuert klingt, dann ist es häufig nicht wahr. (Siehe unten im Beitrag).

Wenn es in diesem Fall (des Artikels) einen entsprechenden Urteilsspruch eines Richters gibt, ist dieser zwar nicht allgemeingültig, wird aber danach bei Bedarf als Präzedenzfall angeführt werden was oftmals dazu führt, dass sich andere Richter bei ähnlichen Fällen der Rechtsauffassung ihres Kollegen anschließen.

Nur zur Klarstellung was hier entschieden wurde und was nicht: Es ging um die Frage, ob die Umgehung des Passwortschutzes in diesem konkreten Fall so trivial war, dass der Hackerparagraf nicht greift bzw. kein Strafbestand erfüllt wurde. Wenn ich z.B. etwas mit einem Passwort absichere, aber direkt darüber das korrekte Passwort benenne, dann ist das kein wirksamer Schutz und daher hat dann ein Unbefugter wenn er das Passwort verwendet um sich einzuloggen keine Straftat begangen. Die Frage mit der man sich beschäftigt hat war, ob das auch für die Einbettung des Passwortes im Quelltext gilt.

Im übrigen ist das hier eine Shitshow eines Narzisten und einer Firma die miese Software baut und nicht weiß, wie sie jetzt damit umgehen soll. Der Typ hat offenbar Freunde bei Heise die da jetzt ne Riesen show draus machen damit sich alle schön das Maul zerreißen über die Firma.
Bei der Firma anzurufen und 3 Stunden Zeit zur Behebung zu geben ist eine Frechheit, klingt für mich nach Nötigung und hat rein gar nichts mit einem verantwortungsvollen Umgang zu tun und mich würde gar nicht wundern, wenn noch mehr gelaufen ist das zu der Klage geführt hat.

 

[MaverickM]

damit sich alle schön das Maul zerreißen über die Firma.

Und das zurecht. Einheitliche Passwörter bei allen Installationen ist nicht mal mehr als "Bad Practice" zu bezeichnen, sondern fahrlässig. Den Rotz sollte man denen solange um die Ohren hauen, bis sie es endlich verstehen.

Im Artikel stand jetzt nichts weiter dazu, wie sich der Finder der Lücke verhalten hat, also nehme ich jetzt mal deine Aussage einfach so hin. Aber ganz egal wie das abgelaufen ist, die richtige Handlungsweise der Firma wäre gewesen, die Lücke zu schließen und fertig. Anstelle den gravierenden Fehler einzusehen, sucht man den Angriff nach Vorne, frei nach dem Motto, man habe nichts falsches gemacht.

Wie wäre es, wenn man einfach mal Fehler zugibt, anstatt den Fehler bei anderen zu suchen? Eine grassierende Unart der heutigen Gesellschaft.

 

[thrawnx]

Auf jeden Fall mehr als Microsoft.

Das sollte kein Apple vs. MS Ding werden.

Du glaubst also der Google Playstore würde genauso aussehen, ebenso das kaputte Berechtigungssystem in Android, die berüchtigten GoogleServices, wenn Google nicht die Interessen der Werbekunden priorisieren würde, wer ist jetzt blauäugig?

Auch kein Apple vs. Android

Mir gehts nur darum dass dieser "Apple ist so super sicher" Quatsch aufhört, denn es ist schlichtweg falsch und es gab und gibt mehr als genug Probleme. Sie werden nur nicht so hart abused bisher.

Und ja, ich bin mir der Problematik bei MS und Google durchaus bewusst.

 

[mannefix]

Apple Geräte nie so viele Probleme hatten

genau, du hast es verstanden :-)

 

[thrawnx]

Selektives Lesen ahoi!

 

[wuselsurfer]

Also müssen wir die aufwachsende Jugend nur blöd genug halten das die den Paragraphen nicht gefährden...

Machen wir doch seit 60 Jahren.
Das Mittel heißt Bildungsministerium.

 

[xxMuahdibxx]

Vorsicht die haben Computer und Tablets kennen gelernt seit Corona..

 

[micha`]

@Andy
Ihr könnt ja mal ein Update zu dem Artikel geben, denn der Kollege wurde tatsächlich vom Amtsgericht Jülich für schuldig befunden und zu 50 Tagessätzen verdonnert. Er hat jedoch bereits angekündigt in Revision gehen zu wollen.

Das ganze ist so absurd...

 

[konkretor]

Viel heiler ist phpmyadmin ist nen Hacker Tool

 

[micha`]

phpmyadmin ist nen Hacker Tool

Kannst du das etwa bedienen? Pass auf, dass du dich hier nicht als Hacker outest

 

[Salamimander]

Ohje. Manche Richter sollten echt Ihres Amtes enthoben werden. Geballte Inkompetenz und vermutlich auch Bestechlichkeit… 🤮

 

[Incanus]

Weil einem das Urteil nicht in den Kram passt sind Richter inkompetent und bestechlich? Eine eher gewagte These. Sie müssen sich an geltende Gesetze halte und wenn der Hackerparagraph das eben im Augenblick so vorsieht, dann ist das wohl rechtens. Die Linie zwischen ‚guten‘ und ‚bösen‘ Hackern ist wohl schwer zu ziehen.

 

[Salamimander]

Wo sieht denn der Paragraph das so vor? Das ist eine inkompetente Interpretation eines Ahnungslosen. Der richtige Weg wäre, sich kompetent beraten zu lassen und nicht nach eigener und völlig falscher Interpretation zu entscheiden…

Das wäre in etwa so, als wenn ich als Richter über Sozialrecht urteilen würde. Einfach so spontan..

 

[wern001]

Weil einem das Urteil nicht in den Kram passt sind Richter inkompetent und bestechlich? Eine eher gewagte These. Sie müssen sich an geltende Gesetze halte und wenn der Hackerparagraph das eben im Augenblick so vorsieht, dann ist das wohl rechtens. Die Linie zwischen ‚guten‘ und ‚bösen‘ Hackern ist wohl schwer zu ziehen.

Der Hackerparagraph ist so schwammig geschrieben da kann man einem schon das kaufen eines USB-Sticks als vorbereiten eines Hackerangriffs vorwerfen.
Die Gesetzte sind mehr oder weniger auslegefähig wie man will und von einem kompetenten Anwalt abhängig.
Deswegen heißt es auch "Vor dem Gesetz sind alle gleich, nach dem Gesetz nicht mehr"