News Strafverfahren: IT-Experte für das Melden einer Sicherheitslücke verklagt

Das ist ein ganz entscheidender Unterschied. Ein hart einkodiertes Passwort ermöglicht einen einfachen Datenzugriff ohne Aufwand und sollte im Sinne des Gesetzes daher weder ein wirksamer Schutz sein noch eine besondere Schwierigkeit beim Zugriff darstellen. Eine Verschlüsselung hingegen ist, selbst wenn sie ggfs. schlecht ausgeführt ist, eine ganz andere Hürde deren Überwindung daher anders zu bewerten wäre. Daher ist eine korrekte Bezeichnung der Begrifflichkeiten in juristischen Themenkomplexen äußerst wichtig.
 
Wenn ich das Passwort habe, ist es doch egal, ob ich damit etwas entschlüssele oder den Zugriff auf eine Datenbank erhalte, den Schlüssel habe ich doch schon.
 
@Incanus Für den Sachverhalt hier ist der Unterschied zwischen "Passwort" und "Schlüssel" bzw. Authentifizierung und Verschlüsselung sehr wichtig. Wenn Dir dieser Unterschied nicht ganz klar ist, solltest Du Dich in dieser Diskussion vielleicht nicht ganz so überzeugt positionieren?
 
  • Gefällt mir
Reaktionen: Madcat69 und Salamimander
Ich sehe nicht, dass das im Urteil irgendeine Rolle gespielt hat.
Aber mittlerweile gibt es dazu ja schon wieder eine neue Diskussion:
https://www.computerbase.de/forum/t...eitsluecke-zur-geldstrafe-verurteilt.2180419/
Mir geht es nur darum, dass der automatische Reflex vieler hier, dass jemand der eine Lücke meldet per se gut, ehrlich und nützlich für die Menschheit ist, nicht zwangsläufig die richtige Meinung ist, sondern man im Einzelfall schauen muss.
 
Das sehe ich nicht als Automatismus, aber als Erfahrungswert.
Natürlich werden Sicherheitslücken sowohl mit bösen wie mit guten Absichten gefunden und genutzt. Nach meiner Erfahrung erfolgt das Melden oder Veröffentlichen von Sicherheitslücken aber fast ausschließlich mit guten Absichten. Wer kriminelle Absichten hat, hat ein Interesse daran, Sicherheitslücken möglichst nicht bekannt werden zu lassen. Ausnutzung durch Ransomware ist da zur Zeit am beliebtesten.
 
Dass der IT Experte verklagt wurde, kann und werde ich nicht nachvollziehen.

Man soll doch froh sein, dass jemand einen Tipp gibt, wo man noch nachbessern kann und sollte.
 
  • Gefällt mir
Reaktionen: Unnu
Incanus schrieb:
Müssen solche persönlichen Angriffe sein?
Und hast Du nur Teile des Threads gelesen? Ob jetzt ‚entschlüsselt‘ oder ‚Passwort für den Zugriff benutzt‘ spielt am Ende meiner Meinung nach keine entscheidende Rolle.
Nein. Ich wollte Dich nicht angreifen. Nur wissen warum Du so komische Fragen stellst und merkwürdige Ansichten einnimmst.

Und leider ja, schon alleine dieser scheinbar simple Unterschied spielt eine ganz entscheidende Rolle, weil sie beide fundamental unterschiedlich sind.
Da fängt das Problem schon an.
Ergänzung ()

Generell sollte man eine Firma, die ihre Kunden derart fundamental gefährdet, direkt zumachen und die Verantwortlichen in den Knast stecken!
Immerhin, mit dem NIS2 und den anderen kommenden Regularien, wird solchen Scharlatanen dann hoffentlich schnell das Handwerk gelegt.

Schon alleine der Vertuschungsversuch des eigenen, vollkommenen Dilettantismus müsste Strafrechtlich verfolgt werden können. Schade das es sowas noch nicht gibt.
 
Zuletzt bearbeitet:
Ich weiß nicht was an meinen Fragen komisch und an meinen Ansichten merkwürdig ist.

Unnu schrieb:
Und leider ja, schon alleine dieser scheinbar simple Unterschied spielt eine ganz entscheidende Rolle, weil sie beide fundamental unterschiedlich sind.

Ich sehe wie gesagt nicht, dass das im Urteil eine Rolle gespielt hat. Es geht da um den unberechtigten Zugriff auf die Datenbank, ob jetzt verschlüsselt oder mit Passwort verriegelt ist da meiner Meinung nach irrelevant, der Zugriff war nicht ohne weiteres möglich, wie es z.B. bei einer geleakten Liste gewesen wäre.

Mir geht halt die automatische Schwarz-Weiß-Denke vieler hier auf den Senkel. Der 'gute Hacker' darf natürlich nicht behelligt werden, die 'böse Firma' soll pleite gehen. Und das teilweise ohne auch ansatzweise die Artikel zu lesen. Dazu immer die gleichen Sprüche wie 'Bananenrepublik', 'Digitalisierung verpasst' oder der beliebte Hinweis auf die Merkelsche Aussage vom Neuland.

Ich möchte mal sehen wie die Urteile lauten, wenn die vielen hier vorhandenen, Sympathie bekundenden Entwickler einen Fehler machen, der dafür sorgt, dass ihre Software angreifbar ist. Ob dann die Rufe nach 'in den Knast stecken', 'täglich auf Glassplittern laufen', 'verklagen bis zum Bankrott' etc. genauso laut durch die Threads hallen.

Und um die Firma Modern Solution ging es in dem Urteil ja auch gar nicht, welche Folgen die Versäumnisse strafrechtlich oder zivilrechtlich haben, ist von diesem Urteil unbeeinflusst.

Man sollte sich darauf beschränken zu beurteilen, ob das Vorgehen des Beklagten komplett in Ordnung war. Ob er an der einen Stelle zu weit gegangen ist oder nicht, ob er an der anderen ausreichend Zeit hat vergehen lassen, bist zu seinem nächsten Schritt oder nicht, was seine Motive waren etc. Dabei kann dann aber auch persönliche Sympathie keine Rolle spielen, sondern eben nur der Buchstabe des Gesetzes, ob das richtig oder zeitgemäß ist, sei mal dahingestellt.
 
Incanus schrieb:
Ich möchte mal sehen wie die Urteile lauten, wenn die vielen hier vorhandenen, Sympathie bekundenden Entwickler einen Fehler machen, der dafür sorgt, dass ihre Software angreifbar ist. Ob dann die Rufe nach 'in den Knast stecken', 'täglich auf Glassplittern laufen', 'verklagen bis zum Bankrott' etc. genauso laut durch die Threads hallen.
Das was MS verbockt hat, ist Teil der Owasp Top10 (also den Top10 der Securityfehler): https://owasp.org/Top10/A07_2021-Identification_and_Authentication_Failures/
Das was MS verbockt hat, führt im Studium dazu, dass man Belege für Webentwicklung, Softwarengneering etc. nicht besteht.

Das man das auf kommerzieller Ebener verhauen kann, ohne dass Regressforderungen oder Strafen ins Haus stehen ist halt a bisserl komisch.
 
Incanus schrieb:
Ich sehe wie gesagt nicht, dass das im Urteil eine Rolle gespielt hat. Es geht da um den unberechtigten Zugriff auf die Datenbank, ob jetzt verschlüsselt oder mit Passwort verriegelt ist da meiner Meinung nach irrelevant, der Zugriff war nicht ohne weiteres möglich, wie es z.B. bei einer geleakten Liste gewesen wäre.
Darfst du so sehen, klar. Ist aber eben dieselbe Schwarz-Weiss-Denke, die du anprangerst.
Incanus schrieb:
Mir geht halt die automatische Schwarz-Weiß-Denke vieler hier auf den Senkel. Der 'gute Hacker' darf natürlich nicht behelligt werden, die 'böse Firma' soll pleite gehen. Und das teilweise ohne auch ansatzweise die Artikel zu lesen. Dazu immer die gleichen Sprüche wie 'Bananenrepublik', 'Digitalisierung verpasst' oder der beliebte Hinweis auf die Merkelsche Aussage vom Neuland.
Nun, du wurstelst da ein paar Sachen zusammen, die nicht zusammen gehören.

1. Merkels Aussage war an Peinlichkeit nicht zu überbieten. Ausser der Umstand, dass sie klar wusste, wie sehr sie lügt in dem Augenblick.
2. Der gute Hacker ist der Grund, warum es sicherheit im dem Sinne gibt!
3. Hacker haben die Idiotischen Firmen dazu gebracht, Daten als Gut zu betrachten und ergaben durch die Geschichte, dass man Daten sichern muss. Das hätten Firmen von sich aus NIE gemacht, wenn es um den Kunden geht.
4. Die Firma geht nicht pleite, sondern sie hat einen Sicherheitsgewinn, den sie nicht bezahlt. Da der "Hacker" ja nicht von der Firma bezahlt wurde, sondern von einem Kunden. Ergo, deine Sichtweise zeigt nur, dass du nichtmal im Ansatz die Tragweite der Sache verstehen willst.
Incanus schrieb:
Ich möchte mal sehen wie die Urteile lauten, wenn die vielen hier vorhandenen, Sympathie bekundenden Entwickler einen Fehler machen, der dafür sorgt, dass ihre Software angreifbar ist. Ob dann die Rufe nach 'in den Knast stecken', 'täglich auf Glassplittern laufen', 'verklagen bis zum Bankrott' etc. genauso laut durch die Threads hallen.
Das Gesetz ist für den Popo und bedient schlicht nur die Firmen. Das mein lieber, ist ein Kritikpunkt der durch das Urteil aufgezeigt wird. Weitsicht - Fehlanzeige. Sicherheitsgewinn für Kunden - Fehlanzeige.
Incanus schrieb:
Und um die Firma Modern Solution ging es in dem Urteil ja auch gar nicht, welche Folgen die Versäumnisse strafrechtlich oder zivilrechtlich haben, ist von diesem Urteil unbeeinflusst.
Ach, nun geht es um die Firma plötzlich nicht mehr? Wer hat denn die Anzeige gemacht? Lass mich raten, der heilige St.Nimmerverdruss etwa?
Firma Modern Solution(der name wird Programm sein*sfg ala moderne Lösungen aus dem Mittelalter vielleicht) hat die Anzeige gemacht.
Incanus schrieb:
Man sollte sich darauf beschränken zu beurteilen, ob das Vorgehen des Beklagten komplett in Ordnung war. Ob er an der einen Stelle zu weit gegangen ist oder nicht, ob er an der anderen ausreichend Zeit hat vergehen lassen, bist zu seinem nächsten Schritt oder nicht, was seine Motive waren etc. Dabei kann dann aber auch persönliche Sympathie keine Rolle spielen, sondern eben nur der Buchstabe des Gesetzes, ob das richtig oder zeitgemäß ist, sei mal dahingestellt.
Ums kurz zu machen, ich wäre genau in dem Falle dafür, dass man die Firma schlicht wegen Inkompetenz unter Kontrolle hält, die Kunden entschädigt und weitere Rechtliche Schritte gegen die Verantwortlichen ergreift. Was nicht passieren wird, da es eine Firma ist und somit sozusagen Narrenfreiheit hat.

Das Urteil hat schlicht aufgezeigt, dass diese Gesetzgebung reiner Unfug ist.

Überspitzt gesagt, der gute wird zum Täter hochstilisiert, was dazu führt, dass in Zukunft weniger Sicherheitslecks gefunden werden und direkt an die Firmen gegeben werden. Eigentlich einfach, wenn man mal nachdenkt und eben Sachlich überlegt.
 
  • Gefällt mir
Reaktionen: Salamimander
Mensch_lein schrieb:
1. Merkels Aussage war an Peinlichkeit nicht zu überbieten. Ausser der Umstand, dass sie klar wusste, wie sehr sie lügt in dem Augenblick.
Sie war absolut korrekt, denn dass wir da immer noch im Neuland leben und unsere bisherigen Regeln, Gesetze und Gewohnheiten täglich aufs neue überprüfen und eventuell ändern müssen ist doch offensichtlich.
Mensch_lein schrieb:
Ach, nun geht es um die Firma plötzlich nicht mehr?
Um die Firma ging es in dem Verfahren doch nie, angeklagt war der Programmierer. In diesem Verfahren konnte also keine Strafe für die Firma Modern Solutions erwartet werden.
Mensch_lein schrieb:
Überspitzt gesagt, der gute wird zum Täter hochstilisiert, was dazu führt, dass in Zukunft weniger Sicherheitslecks gefunden werden und direkt an die Firmen gegeben werden. Eigentlich einfach, wenn man mal nachdenkt und eben Sachlich überlegt.
Es gibt Regeln, an die sich eben auch ein weißer Hacker halten muss, dass ist doch wohl Konsens. Und ob er die im Sinne des bzw. der Hacker-Paragraphen überschritten hat war Thema der Verhandlung nichts anderes. Aber weil er eine Lücke aufdeckt hat ist er für viele hier automatisch der Held, ob er dazu Regeln brechen musste oder bewusst gebrochen hat spielt in der Denke derer keinerlei Rolle und das ist eben meiner Meinung nach falsch. Der Zweck heiligt nicht alle Mittel.
 
Mensch_lein schrieb:
Das Gesetz ist für den Popo und bedient schlicht nur die Firmen. Das mein lieber, ist ein Kritikpunkt der durch das Urteil aufgezeigt wird. Weitsicht - Fehlanzeige. Sicherheitsgewinn für Kunden - Fehlanzeige.
Wobei der Hackerparagraf gar nicht sooo scheiße ist. Wie im Laufe der ewigen Wiederholung hier schonmal gezeigt. Es gibt ne Begründung zum Gesetz, und da die Judikative angehalten ist den Wille des Gesetzgebers umzusetzen und nicht zwingend den Wortlaut von Gesetzen, wäre der Hackerparagraf an der Stelle nichtmal problematisch. Selbst das BSI beschreibt im Rahmen von Cordinated Disclosure ja in etwa diese Auffassung, dass da §202 StGB ff. nicht all zu problematisch sind.

Incanus schrieb:
Akzeptiere einfach, dass es auch andere Meinungen gibt.
Dir wurde schon mit Links auf Quellen dargelegt, dass selbst das BSI grundlegedn anderer Meinung ist, was Cordinated Disclosure angeht.
 
  • Gefällt mir
Reaktionen: Salamimander
Piktogramm schrieb:
Wobei der Hackerparagraf gar nicht sooo scheiße ist. Wie im Laufe der ewigen Wiederholung hier schonmal gezeigt. Es gibt ne Begründung zum Gesetz, und da die Judikative angehalten ist den Wille des Gesetzgebers umzusetzen und nicht zwingend den Wortlaut von Gesetzen, wäre der Hackerparagraf an der Stelle nichtmal problematisch. Selbst das BSI beschreibt im Rahmen von Cordinated Disclosure ja in etwa diese Auffassung, dass da §202 StGB ff. nicht all zu problematisch sind.
Ich bin zu wenig Jurist, um das beurteilen zu können, glaube dir das aber sofort.

Ich sehe aber dieses Urteil und mir stellen sich die Nackenhaare auf. Hoffen wir darauf, dass es keinen Bestand haben wird.
 
  • Gefällt mir
Reaktionen: Salamimander und Piktogramm
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Mensch_lein
Piktogramm schrieb:
Dir wurde schon mit Links auf Quellen dargelegt, dass selbst das BSI grundlegend anderer Meinung ist, was Coordinated Disclosure angeht.
Wüsste jetzt nicht wo, aber deswegen dürfte ich keine andere Meinung dazu haben?

Aber es hat wirklich keinen Sinn, ich habe nur versucht, einen etwas offeneren Blick auf das Thema zu haben, dafür wird man gleich an den Pranger gestellt.
 
@Incanus
An den Pranger stellen würde bedingen, dass wir dich an eine erweitere Öffentlichkeit über diesen Thread hinaus stellen. Das tut halt wirklich Niemand.
Und Andere Meinung darfst du haben, darfst du äußern, es darf aber ebenso von Anderen geäußert werden, dass deine Sicht nochmal eine Ecke weiter weg von der bisherigen Rechtspraxis ist.

Und ja, das @ ging an Kuristina und nicht an dich. Daher: https://www.computerbase.de/forum/t...herheitsluecke-verklagt.2156360/post-29043080
In Deutschland, EU und USA sind zuständige Behörden sich recht einig wie die Prozesse sind und straffrei zu gestalten sind.
 
Quergedanken/

Es muss an dem Extremen Wissensdurst liegen, dass Dein hochgezüchteter Intellekt die so profane Wahrheit hinter den Links und Quellen einfach nicht erfassen kann/will und somit Deinen Drang eines erweiterten Horizontes beeinträchtigt. Anders kann ich es mir kaum erklären, wieso die Argumente an Dir abprallen, wie eine überreife Frucht auf dem Nährboden eigener Verwirrungen, genannt eigener Meinung. Wie dem auch sei, es ziemet sich nicht, derlei Fundiertes Fachwissen in Frage zu stellen und auch nur an der hart erarbeiteten Meinung zu rütteln, auf dass sie sich in Tausenden von Jahren vielleicht der Realität des jetzt zu nähern mag.
 
Zurück
Oben