Mensch_lein
Lieutenant
- Registriert
- Nov. 2021
- Beiträge
- 894
Aber NICHT auf dem Hausschlüssel. Seufz
-
Es gelten die Sonderregeln des Forums Politik und Gesellschaft.
News Strafverfahren: IT-Experte für das Melden einer Sicherheitslücke verklagt
- Ersteller Andy
- Erstellt am
- Zur News: Strafverfahren: IT-Experte für das Melden einer Sicherheitslücke verklagt
Kuristina
Captain
- Registriert
- Juli 2022
- Beiträge
- 3.851
Das ist ja egal. Er liegt vor dieser Haustür, ergo wird er wohl dazu gehören oder zumindest von einem Besucher dort verloren worden sein. Wie soll er sonst dahin kommen? ^^ Es ist auch nicht meine Aufgabe festzustellen, zu welcher Tür der unerwartet gefundenene Schlüssel gehört.
Salamimander
Commodore
- Registriert
- Okt. 2019
- Beiträge
- 4.247
das ist eben nicht egal. Was du forderst, ist das was jetzt künftig passiert:
A) Es wird ignoriert
B) Der Schlüssel wird mitgenommen und verkauft. Samt Adresse usw
Denn jede andere Variante wird dir von irgendeinem Wald und Wiesenrichter als Straftat ausgelegt..
Danke dafür 👌
A) Es wird ignoriert
B) Der Schlüssel wird mitgenommen und verkauft. Samt Adresse usw
Denn jede andere Variante wird dir von irgendeinem Wald und Wiesenrichter als Straftat ausgelegt..
Danke dafür 👌
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 9.254
@Kuristina
Verabschiede dich von der Idee der Haustür. Es ist IT, bei uns gibt es Zaubertüren. Je nach Schlüssel öffnen die wo ganz anders hin. Der Auftrag war einen Schlüssel zu suchen, es wurde der flasche Schlüssel gefunden, was erst feststellbar war, nachdem man den Schlüssel an der Zaubertür getestet hat. Fehler erkannt, Fehler gemeldet, vom gar nicht so zauberhaftem Gericht dafür verknackt worden.
Verabschiede dich von der Idee der Haustür. Es ist IT, bei uns gibt es Zaubertüren. Je nach Schlüssel öffnen die wo ganz anders hin. Der Auftrag war einen Schlüssel zu suchen, es wurde der flasche Schlüssel gefunden, was erst feststellbar war, nachdem man den Schlüssel an der Zaubertür getestet hat. Fehler erkannt, Fehler gemeldet, vom gar nicht so zauberhaftem Gericht dafür verknackt worden.
Incanus
Fleet Admiral
- Registriert
- Jan. 2022
- Beiträge
- 14.797
Habe ich doch schon zwei Mal drauf hingewiesen.Salamimander schrieb:
Sachverhalt? Bisher beziehe ich mich auf Quellen -die durchaus falsch sein könnten- und Du nennst nur allgemeine Beispiele, was ein Entwickler mit einem Datenbanktool machen könnte. Wenn Du tieferen Einblick in den Sachverhalt hast, dann erläutere es uns.Piktogramm schrieb:
Salamimander
Commodore
- Registriert
- Okt. 2019
- Beiträge
- 4.247
Nein, keine Quelle. Die hast du bisher nicht gezeigt. Los los
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 9.254
Incanus
Fleet Admiral
- Registriert
- Jan. 2022
- Beiträge
- 14.797
Jetzt geht es langsam ins Trolling.Salamimander schrieb:
Dann nenne es halt 'Öffnen', wenn ich ein gefundenes Passwort irgendwo eingebe um Zugriff zu erhalten, was ich ohne dieses nicht könnte.Piktogramm schrieb:
Was aber nichts am eigentlichen Sachverhalt ändert. Daher sehe ich hier weiter nur Nebelkerzen,
Salamimander
Commodore
- Registriert
- Okt. 2019
- Beiträge
- 4.247
Die Nebelkerze kommt von dir. Du interpretierst irgendwas fachlich falsches da rein. Jetzt hat man dich erwischt und alle anderen sind die Trolle… Überall Geisterfahrer, was?
Mensch_lein
Lieutenant
- Registriert
- Nov. 2021
- Beiträge
- 894
Naja, die Frage wäre also, was machst du auf der Matte dieser Haustüre @Kuristina
Hast du die Berechtigung, dich dort aufzuhalten? Belege diese... .
Welche Beweggründe hattest du, den Schlüssel aufzunehmen? Kannst du diese Beweisen?
Hast du die Berechtigung, dich dort aufzuhalten? Belege diese... .
Welche Beweggründe hattest du, den Schlüssel aufzunehmen? Kannst du diese Beweisen?
.
Kuristina
Captain
- Registriert
- Juli 2022
- Beiträge
- 3.851
War der Auftrag nicht, ein technisches Problem zu lösen? Für mich ist das mit dem Schlüssel suchen eigentlich schon einen Schritt zu weit. Wenn es von Modern Solution vorgesehen gewesen wäre, dass der Auftraggeber Zugang zur Datenbank haben soll, dann hätte man den Schlüssel nicht suchen müssen. Er wäre übergeben oder selbst erstellt worden. Ergo, war es nicht erwünscht. Oder?Piktogramm schrieb:
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 9.254
@Kuristina
Auftraggeber wollte zusätzliche Software oder Funktionserweiterung (keine Ahnung, soweit ist der Auftrag nicht publik geworden im Rahmen der Berichterstattung). Das Ganze spielt sich rund um das JTL ERP bzw. Warenwirtschaftsystem System ab. MS ist ein Dienstleister für JTL und übernimmt u.a. das Hosting. Jenachdem welche neue Funktionen vom Auftraggeber gewünscht waren, reichen die APIs von JTL nicht, sondern man braucht Daten direkt von der Datenbank. Wie der Vertrag zwischen Auftraggeber und MS ausschaut weiß ich auch nicht.
Normalerweise wäre bei solchen konstellationen der MS zwar der Hoster von Service/Datenbank, der Auftraggeber jedoch der Urheber des Datenbankwerks und auch im Sinne der DSGVO dafür verantwortlich. Der Zugriff des Auftraggebers aus seine Datenbank müsste daher gegeben sein, die Beauftragung zur Arbeit an der Datenbank durch den Auftraggeber wäre völlig in Ordnung. Inwieweit MS jedoch wirklich Zugang zu Datenbanken über etablierte Schnittstellen anbietet ist mir nicht bekannt.
Es ist aber für mich (andere Branche, andere Anbieter) durchaus üblich, dass fehlende API Dokumentation, Dienstleister die Zugriff auf die Daten ihrer Kunden verweigern, Hardwaredongles, ... dazu führen, dass Methoden für APIs und Credentials aus bestehendem Code gekratzt wird. Bei den üblen Schlampern findet man dann auch mal mehr als nur die notwendigen Credentials der Kunden.
Auftraggeber wollte zusätzliche Software oder Funktionserweiterung (keine Ahnung, soweit ist der Auftrag nicht publik geworden im Rahmen der Berichterstattung). Das Ganze spielt sich rund um das JTL ERP bzw. Warenwirtschaftsystem System ab. MS ist ein Dienstleister für JTL und übernimmt u.a. das Hosting. Jenachdem welche neue Funktionen vom Auftraggeber gewünscht waren, reichen die APIs von JTL nicht, sondern man braucht Daten direkt von der Datenbank. Wie der Vertrag zwischen Auftraggeber und MS ausschaut weiß ich auch nicht.
Normalerweise wäre bei solchen konstellationen der MS zwar der Hoster von Service/Datenbank, der Auftraggeber jedoch der Urheber des Datenbankwerks und auch im Sinne der DSGVO dafür verantwortlich. Der Zugriff des Auftraggebers aus seine Datenbank müsste daher gegeben sein, die Beauftragung zur Arbeit an der Datenbank durch den Auftraggeber wäre völlig in Ordnung. Inwieweit MS jedoch wirklich Zugang zu Datenbanken über etablierte Schnittstellen anbietet ist mir nicht bekannt.
Es ist aber für mich (andere Branche, andere Anbieter) durchaus üblich, dass fehlende API Dokumentation, Dienstleister die Zugriff auf die Daten ihrer Kunden verweigern, Hardwaredongles, ... dazu führen, dass Methoden für APIs und Credentials aus bestehendem Code gekratzt wird. Bei den üblen Schlampern findet man dann auch mal mehr als nur die notwendigen Credentials der Kunden.
pseudopseudonym
Admiral
- Registriert
- Mai 2017
- Beiträge
- 9.656
Beschämend, wie hier geurteilt wurde. Also sollen solche Lücken nicht mehr gemeldet werden und gewartet werden, bis jemand mit bösen Intentionen drauf trifft?
Das zu provozieren ist ein Problem für jeden Computernutzers und gefährdet somit potenziel die Sicherheit eines jeden hier im Thread.
Das zu provozieren ist ein Problem für jeden Computernutzers und gefährdet somit potenziel die Sicherheit eines jeden hier im Thread.
- Registriert
- Okt. 2020
- Beiträge
- 410
Die Schlüssel-Analogie hinkt zu sehr, um sinnvoll zu sein. Da ist es hilfreicher, den Fall nochmal etwas objectiver zu beschreiben (basierend auf Informationen im Heise-Artikel):
1. Es geht um eine Verurteilung nach StGB §202a (nicht b oder c). Also geht es nicht um die verwendeten Tools oder die Absicht einer Straftat sondern nur um die Frage, ob der Zugang zu Daten "unbefugt" war und die Daten "gegen unberechtigten Zugang besonders gesichert sind".
2. Kunde K kauft von der Firma MS eine Software, die Daten von K auf Servern von MS speichert.
3. Dienstleister A wird von K beauftragt, Probleme mit der beim Kunden installierten Software von MS zu lösen.
4. Im Rahmen dieses Auftrags stellt A fest, dass er bzw. K Zugriff auf Daten anderer Kunden von MS hat.
5. Für diesen Zugriff wurden Zugangsdaten verwendet, die MS in der bei K installierten Software hinterlegt hat.
Der rechtliche Aspekt dreht sich also primär um Punkt 4 (ist der Zugriff auf Daten anderer Kunden unbefugt) und 5 (sind die Zugangsdaten gegen Nutzung durch K bzw. A besonders gesichert).
Meiner Meinung nach ist das feste Einkodieren von Zugangsdaten in Software keine technisch wirksame Sicherheitsmaßnahme sondern verstößt gegen grundlegende Sicherheitsprinzipien. Deshalb kann ich das Urteil überhaupt nicht nachvollziehen.
Und das Verteilen von generischer Zugangsdaten zu Mehrbenutzersystemen an Kunden sehe ich auch als Verstoß gegen Sorgfaltspflichten für die Geheimhaltung bzw. Isolation der Kundendaten von einander (u.a. im Sinne der DSGVO).
Ich finde aber dass die bestehende Rechtslage noch einen anderen Aspekt völlig ignoriert und somit die Rechtsunsicherheit verschärft.
Woher sollen Kunden bzw. Dienstleister denn wissen, wann befugt auf eigene Daten zugegriffen wird und wann unbefugt auf fremde Daten?
In der Regel hat Software heute Abhängigkeiten von Netzwerkdiensten und eine reine lokale Datenhaltung ist die Ausnahme. Aber die Architekturentscheidungen, welche Daten wo gehalten werden sind meist nicht transparent und Benutzern bzw. Kunden nicht bekannt. Es macht rechtlich aber einen großen Unterschied, ob Kundendaten in dedizierten Servern pro Kunde, einer privaten Cloud oder einen öffentlichen Cloud gespeichert werden. Wie soll man also den Schutz eigener Daten sicherstellen (was zum Beispiel bei kritischer Infrastruktur ebenfalls rechtlich gefordert wird), wenn die Identifikation einer Sicherheitslücke in der Supply Chain bereits eine Straftat ist?
1. Es geht um eine Verurteilung nach StGB §202a (nicht b oder c). Also geht es nicht um die verwendeten Tools oder die Absicht einer Straftat sondern nur um die Frage, ob der Zugang zu Daten "unbefugt" war und die Daten "gegen unberechtigten Zugang besonders gesichert sind".
2. Kunde K kauft von der Firma MS eine Software, die Daten von K auf Servern von MS speichert.
3. Dienstleister A wird von K beauftragt, Probleme mit der beim Kunden installierten Software von MS zu lösen.
4. Im Rahmen dieses Auftrags stellt A fest, dass er bzw. K Zugriff auf Daten anderer Kunden von MS hat.
5. Für diesen Zugriff wurden Zugangsdaten verwendet, die MS in der bei K installierten Software hinterlegt hat.
Der rechtliche Aspekt dreht sich also primär um Punkt 4 (ist der Zugriff auf Daten anderer Kunden unbefugt) und 5 (sind die Zugangsdaten gegen Nutzung durch K bzw. A besonders gesichert).
Meiner Meinung nach ist das feste Einkodieren von Zugangsdaten in Software keine technisch wirksame Sicherheitsmaßnahme sondern verstößt gegen grundlegende Sicherheitsprinzipien. Deshalb kann ich das Urteil überhaupt nicht nachvollziehen.
Und das Verteilen von generischer Zugangsdaten zu Mehrbenutzersystemen an Kunden sehe ich auch als Verstoß gegen Sorgfaltspflichten für die Geheimhaltung bzw. Isolation der Kundendaten von einander (u.a. im Sinne der DSGVO).
Ich finde aber dass die bestehende Rechtslage noch einen anderen Aspekt völlig ignoriert und somit die Rechtsunsicherheit verschärft.
Woher sollen Kunden bzw. Dienstleister denn wissen, wann befugt auf eigene Daten zugegriffen wird und wann unbefugt auf fremde Daten?
In der Regel hat Software heute Abhängigkeiten von Netzwerkdiensten und eine reine lokale Datenhaltung ist die Ausnahme. Aber die Architekturentscheidungen, welche Daten wo gehalten werden sind meist nicht transparent und Benutzern bzw. Kunden nicht bekannt. Es macht rechtlich aber einen großen Unterschied, ob Kundendaten in dedizierten Servern pro Kunde, einer privaten Cloud oder einen öffentlichen Cloud gespeichert werden. Wie soll man also den Schutz eigener Daten sicherstellen (was zum Beispiel bei kritischer Infrastruktur ebenfalls rechtlich gefordert wird), wenn die Identifikation einer Sicherheitslücke in der Supply Chain bereits eine Straftat ist?
wuselsurfer
Admiral
- Registriert
- Juni 2019
- Beiträge
- 7.827
Genau so sehe ich das auch, aber gleich kommen die Geier ... .dev/random schrieb:
Ich weiß nicht was du mit geier meinst, ich glaube eher dass hier eine fehlinterpretation des urteils vorliegt.
Es wurde nicht über die wirksamkeit des passwort schutzes geurteilt, sondern über die befugnis des entwicklers das gefundene passwort nutzen zu dürfen.
So wie ich das urteil verstehe, wurde die nutzung und nicht das finden des passworts zu seinem verhängnis.
Wenn ich mit einem "gefundenen" schlüssel einen raum/besitz aufschließe/betrete in dem ich nichts zu suchen habe. Spielt es dann eine rolle wie schlecht der schlüssel gegen das 'finden' gesichert war?
Es wurde nicht über die wirksamkeit des passwort schutzes geurteilt, sondern über die befugnis des entwicklers das gefundene passwort nutzen zu dürfen.
So wie ich das urteil verstehe, wurde die nutzung und nicht das finden des passworts zu seinem verhängnis.
Wenn ich mit einem "gefundenen" schlüssel einen raum/besitz aufschließe/betrete in dem ich nichts zu suchen habe. Spielt es dann eine rolle wie schlecht der schlüssel gegen das 'finden' gesichert war?
Salamimander
Commodore
- Registriert
- Okt. 2019
- Beiträge
- 4.247
Die Analogie ist zwar falsch, aber ja! Das ist dann Anstiftung zur Straftat..
wuselsurfer
Admiral
- Registriert
- Juni 2019
- Beiträge
- 7.827
Frag mal Deine Versicherung, was sie zahlt, wenn der Schlüssel unter der Fußmatte liegt und der Ganove freie Bahn hat.vander schrieb:
