News Strafverfahren: IT-Experte für das Melden einer Sicherheitslücke verklagt

[Piktogramm]

@Incanus
Du wiederholst dich, und du scheinst schlicht nicht zu lesen was geschrieben wird.
Die Datenbank war nicht verschlüsselt. Ohne Verschlüsselung kann es keine Entschlüsselung gegeben haben!

Es wurde Zugriff auf die Datenbank des Auftragebers gesucht, die Datenbank selbst wurde jedoch von MS bereitgestellt. Entwickler suchte also nach Credentials des Auftraggebers, fand jedoch etwas Anderes.
Entsprechende Konstellationen sind üblich. Gerade bei so Business Software, wo Schnittstellen und Datenzugang schlecht bis gar nicht dokumentiert ist.

 

[Incanus]

Ich weiß nicht, wo Du das her nimmst, daher lies noch einmal, was ich hier zitiert habe. Auftraggeber war doch nicht Modern Solutions.

 

[Piktogramm]

@Incanus
Hatte ich schon erwähnt, dass du dich wiederholst und nicht zu lesen scheinst, was dir geantwortet wurde. Hier nochmals die Beschreibung der Konstellation:

Es gibt den Entwickler, seinen Auftraggeber und MS. Auftraggeber hat Entwickler beauftragt Zussatzmodul für Software zu entwickeln. Entwickler braucht dazu Zugang zur Datenbank, die MS im Auftrag des Auftraggebers bereitstellt. Entwickler sucht in bestehender Software nach Datenbankcredentials bzw. Schnittstellendefinition zur Datenbank. Unter der Annahme, dass MS keinen Scheiß gebaut hat, sollten Credentials Nur für die Datenbank des Auftraggebers in der Software liegen. [...]

Es gibt DREI Akteure. Gesuchter Datenbankzugriff war für Datenbank des Auftraggebers.

 

[Kuristina]

Also ich wuerde mich auch erstmal vergewissern ob es das ist was ich vermute.

Wenn du vor einer fremden Haustür stehst und da liegt unten ein Schlüssel auf der Fußmatte, dann schließt du auf und gehst rein? 😊

 

[Piktogramm]

@Kuristina
Wenn der Mieter einer Immobilie mich beauftragt den Schlüssel zur Mietsache (hier der Datenbank bzw. dessen Hosting) zu suchen. Dann suche ich den Schlüssel und probiere.

Das ganze hinkt nur etwas, weil "Türen" in der IT magisch sind. Je nach Schlüssel öffnet mitunter die selbe Tür den Zugang zu unterschiedlichen Gebäuden. MS hat Schlüssel zu ihrem Gebäude recht frei in der Welt verteilt, entsprechend wurde auch deren Schlüssel gefunden und die Tür öffnete sich.

 

[Incanus]

Hatte ich schon erwähnt, dass du dich wiederholst und nicht zu lesen scheinst, was dir geantwortet wurde.

Dito, Du lenkst auch immer vom Thema und dem Urteil ab und erfindest Szenarien, die dort nicht erwähnt werden.

 

[Piktogramm]

@Incanus
Der Sachverhalt muss im Urteil nicht komplett wiederholt werden. Was aber nichts daran ändert, dass ich den realen Sachverhalt so wiedergebe, wie er sich zugetragen hat.

 

[Salamimander]

Beruflicher Alltag eines Entwicklers ist es fremde Datenbanken zu entschlüsseln?

Du hast null (!) Durchblick und behauptest permanent irgendwas. Nichts wurde entschlüsselt. Garnichts. Credentials wurden getestet, der Auftraggeber informiert und der Überbringer der Nachricht wird kriminalisiert. Dabei ist der Kriminelle der, der die Credentials da hingespuckt hat. Anstiftung zur Straftat nennt man das…

Eine wirklich kriminelle Handlung des Finders wäre es, Daten zu entwenden oder die Info Gewinnbringend zu verkaufen. Gerade letzteres ist jetzt das was in DE häufiger passieren wird, auf Grund geballter IT-Kenntnisse der immer selben Gerichte…

 

[Kuristina]

Wenn der Mieter einer Immobilie mich beauftragt den Schlüssel zur Mietsache (hier der Datenbank bzw. dessen Hosting) zu suchen. Dann suche ich den Schlüssel und probiere.

Und wenn du dabei unerlaubt in die Wohnung des Vermieters eindringst, musst du mit einer Anklage wegen Hausfriedensbruch rechnen. Ganz normal.

 

[Salamimander]

Und hat er die Wohnung denn betreten? Oder hat er nur den Schlüssel gesteckt und gedreht? Na? Leute, wenn ihr von IT abseits von GPU in PCIe Slot stecken keine Ahnung habt, hört sich auf irgendwas daher zu reden, das führt echt zu körperlichen Schmerzen…

 

[Incanus]

Du hast null (!) Durchblick und behauptest permanent irgendwas.

Bleibe bitte sachlich. Ich behaupte nicht, sondern zitiere. Behauptungen kommen eher von Euch, solange Ihr dafür keine Quellen darlegt.

 

[Salamimander]

Dann bitte eine Quelle für die Entschlüsselung der Datenbank. Denn den hast ja für alles Quellen.

 

[Kuristina]

Oder hat er nur den Schlüssel gesteckt und gedreht? Na?

Deswegen gab es ja die Hausdurchsuchung. Um genau das festzustellen.

 

[Salamimander]

Das ist halt Null Verhältnismäßig. Um deinem fragwürdigen Vergleich weiter zu spinnen:
Du findest einen Schlüssel. Du testest ihn an der Haustür und stellst fest, er gehört zur Tür. Du schreibst dem Anwohner einen Brief mit dem Hinweis, du hast seinen Schlüssel gefunden. —> Zack Hausdurchsuchung. Und im Anschluss verurteilt. Dein Hackerwerkzeug war in diesem Fall deine Hand.

Jeder der auch nur Minimal irgendwas positivem an diesem Urteil findet, hat von der Materie so viel Ahnung wie der Richter selbst.

 

[Mensch_lein]

Ein Programmierer, der im Auftrag eines Modern-Solution-Kunden arbeitete, hatte 2021 eine Sicherheitslücke entdeckt, die bis zu 700.000 Kundendaten hätte gefährden können. Details zum Sicherheitsleck hat der Journalist Mark Steier bereits 2021 im einem Blog-Beitrag veröffentlicht. Er wurde als einer der ersten von dem Programmierer kontaktiert.


Dieser meldete die Sicherheitslücke an Modern Solution und veröffentlichte seinen Fund, nachdem die Sicherheitslücke geschlossen wurde.

Die Richter des Landgerichts kommen somit zu der Auffassung, der Programmierer habe nur durch ein „Ausspähen von Daten“ im Sinne des Hackerparagraphen einen Zugang erhalten. Wie Heise Online analysiert, ist für IT-Sicherheitsexperten aber nur schwer nachvollziehbar, wie es sich bei einem fest in der Software verankerten – und damit bei jeder Installation gleichem – sowie leicht zu erratenen Passwort um einen sicheren Schutzmechanismus handeln soll.

Symptomatisch für dieses Vorgehen ist die existierende Unsicherheit, selbst wenn sich IT-Experten korrekt verhalten. Die Gefahr ist, dass verantwortungsvoll agierende Forscher abgehalten werden, Sicherheitslücken zu melden, die womöglich viele Tausend Menschen betreffen können. Dementsprechend wird mit besonderem Interesse nun das Verfahren in Jülich verfolgt.

Da steht eigentlich alles wesentliche zu dem Fall.

@Kuristina

Man würde den Haustürschlüssel in den Briefkasten werfen, oder den Hausbesitzer versuchen zu erreichen. Genau das ist geschehen, nur dass man zuerst feststellen musste, ob der Schlüssel passt. Da man das nur durch ausprobieren herausfinden kann. Also, ums kurz zu machen, er musste auch in Deinem Beispiel den Schlüssel drehen, damit er weiss, ob er passt.

 

[Piktogramm]

Und wenn du dabei unerlaubt in die Wohnung des Vermieters eindringst, musst du mit einer Anklage wegen Hausfriedensbruch rechnen. Ganz normal.

In der Realen Welt gibt es keine Zaubertüren, die je nach Schlüssel wo anders hinführen. Das schränkt die Übertragbarkeit deutlich ein..
Und bei realen Umständen, wenn man sich in der Tür irrt und eine fremde Wohnung betritt und nach Erkennen des Misstandes diese Verlässt, reicht das normalerweise nicht für ne Verurteilung zum Hausfriedensbruch. Es fehlt da schlicht die Absicht und das öffentliche Interesse einer Strafverfolgung.

@Incanus
Deine Ignoranz gegenüber dem Sachverhalt ist jedoch beeindrucken. Wundere dich nicht, wenn das auf wenig Gegenliebe stößt.
Der Hergang und die Situation der drei Akteure wird u.a. hier beschrieben: https://www.heise.de/news/Warum-ein...Modern-Solution-verurteilt-wurde-9601392.html

@Mensch_lein
Spoiler: Egal wie dick, fett, häufig der Sachverhalt erklärt wird. Es wird nicht zum Verständnis beitragen

 

[Kuristina]

Du findest einen Schlüssel. Du testest ihn an der Haustür

Da hörts schon auf. Warum sollte ich ihn an der Haustür testen? Auf den Gedanken käme ich nicht mal. Ich würde auch nicht wollen, dass das jemand an meiner Haustür mal eben so testet. Wtf. ^^ Ich klingel und geb ihn ab oder werf ihn in den Briefkasten.

 

[Mensch_lein]

@Piktogramm

Ich vermute das leider auch.

 

[Salamimander]

Da hörts schon auf. Warum sollte ich ihn an der Haustür testen? Auf den Gedanken käme ich nicht mal. Ich würde auch nicht wollen, dass das jemand an meiner Haustür mal eben so testet. Wtf. ^^ Ich klingel und geb ihn ab oder werf ihn in den Briefkasten.

In welchen Briefkasten? Du weißt du garnicht wem der gehört ? Im übrigen hättest du, parallel zu dem Fall hier, den Schlüssel Quasy auch selbst an die Haustür geklebt.

 

[Kuristina]

Normalerweise steht der Name an der Klingel.