ComputerBase Menü
Aktuelles

News Strafverfahren: IT-Experte für das Melden einer Sicherheitslücke verklagt

Wie und wo kann man diesen Mann unterstützen, der den Fehler fand?
 
  • Gefällt mir
Reaktionen: mental.dIseASe, dister1, aid0nex und 7 andere
Nun ja, man muss auch mal sehen, von wem dieses Gesetz auf den Weg gebracht wurde. Das waren die gleichen, die einige Jahre später Lilith Wittmann wegen des Aufdeckens einer schwerwiegenden Sucherheitslücke in ihrer Wahlkampf-App angezeigt hatten. In diesem Fall muss man halt sagen, dass das Unheil auch schon beim Gesetzgeber angefangen hat.

Zumal dieser Hackerparagraph eben auch sehr vage gehalten wurde.

https://www.sueddeutsche.de/politik/cdu-connect-anzeige-wittmann-1.5373488
 
  • Gefällt mir
Reaktionen: dister1, aid0nex, Engaged und 5 andere
Also müssen wir die aufwachsende Jugend nur blöd genug halten das die den Paragraphen nicht gefährden...

Tiefes Verständnis von programmieren haben so einige mit 14 schon ...

Vielleicht stöbern mal so einige bei denen Rum ob sie nicht noch andere kleine Probleme haben mit ihrer Website...

Würde mich auch mal interessieren wie der Hacker Paragraph gegenüber der DSVGO abschneidet .. was ist aktuell ein zumutbarer Stand der Technik um Kundendaten zu schützen...
 
  • Gefällt mir
Reaktionen: Hellyeah, Engaged, SteeL1942 und eine weitere Person
@Andy
Aus deiner Newsmeldung geht leider nicht genau hervor, wie der Tathergang des Programmierers verlaufen ist.

Hat der Programmierer die gefundene Sicherheitslücke zuerst an das beauftragte Unternehmen gemeldet oder zuerstan den Blogger?

Falls zweites zutrifft, halte ich die Klage leider für gerechtfertigt.

Denniss schrieb:
Vielleicht sollt mal jemand nachforschen ob die Firma die Sicherheitslücke, und damit die mögliche Gefährdung von Kundendaten, auch ordnungsgemäß an den Datenschutzbeauftragten des zuständigen Landes gemeldet hat.
Zum Vergrößern anklicken....
Dir und allen anderen sei an dieser Stelle gesagt, dass der hier beschriebene Fall NICHT dazu verpflichtet, an den Datenschutzbeauftragten des jeweiligen Landes zu melden. Selbstverständlich sollte man die eigene bzw. bauftragte IT sowie den dort zuständigen Datenschutzbeauftragten über den Fund in Kenntnis setzen, die DSGVO greift jedoch ERST, wenn ein tatsächliches Datenleck auch aufgetreten (und bekanntgeworden) ist.

Im Zweifel schadet es aber dennoch nicht, den Vorfall zumindest schriftlich und rein informativ an den jeweiligen Landesdatenschutzbeauftragten weiterzuleiten, getreu dem Motto: wer schreibt, bleibt.
 
  • Gefällt mir
Reaktionen: Kuristina und FR3DI
Meiner Meinung nach ist das eine weitere der zahllosen Hirnrissigkeiten der deutschen Gesetzgebung. Allein die Tatsache das das überhaupt möglich ist, ist schon ein Armutszeugnis :(
Man kann nur hoffen, dass das glimpflich endet und vielleicht sogar eine Gesetzesänderung dabei rausspringt
 
  • Gefällt mir
Reaktionen: Engaged
  • Gefällt mir
Reaktionen: menace_one und Tanzmusikus
Dr. McCoy schrieb:
Okay, dann bleiben also im Zweifel schwerwiegende Sicherheitslücken offen, und Schäden können angerichtet werden.
Zum Vergrößern anklicken....
Im Zweifel is gut. Melden und ne Anzeige kassieren oder nicht melden und auf dem Schwarzmarkt verkaufen.

Die Wahl sollte eher leicht ausfallen. ^^
 
  • Gefällt mir
Reaktionen: dister1, aid0nex, Mracpad und 15 andere
was ist da denn los? Da geht einer gewissenhaft mit so einer Lücke um und was ist der Dank…eine Klage!?
 
  • Gefällt mir
Reaktionen: Qyxes, Smartbomb und Dr. McCoy
Also was mich hier ja mal interessieren würde, warum hat er überhaupt dekompiliert? Mal abgesehen davon, dass das Dekompilieren so gut funktioniert hat, dass das Passwort herauspurzelte, muss ja ein Grund bestanden haben. Dekompilierung ist anscheinend auch nur unter bestimmten Bedingungen erlaubt (sagt Wikipedia).
Sollte er nur Dekompiliert haben "um mal ein wenig zu gucken", dann kann wird die Klage ja schon fast ein wenig verständlicher.
 
Boa-P schrieb:
Da geht einer gewissenhaft mit so einer Lücke um
Zum Vergrößern anklicken....

Absolut, aus meiner Sicht war, nach allem, was man den im Web zur Verfügung stehenden Berichten entnehmen kann, das Verhalten des Entwicklers, der den Fehler entdeckte und meldete, sehr vorbildlich.

Mit so einer Klage schreckt man natürlich zukünftig Menschen ab, solche Fehler zu melden, dann bleiben sie offen, und werden von den wirklichen Kriminellen ausgenutzt.
 
  • Gefällt mir
Reaktionen: Flaschensammler, dister1, Ishtmi und 4 andere
@FR3DI

Ein Programmierer, der im Auftrag eines Modern-Solution-Kunden arbeitete, hatte 2021 eine Sicherheitslücke entdeckt, die bis zu 700.000 Kundendaten hätte gefährden können. Details zum Sicherheitsleck hat der Journalist Mark Steier bereits 2021 im einem Blog-Beitrag veröffentlicht. Er wurde als einer der ersten von dem Programmierer kontaktiert.
Zum Vergrößern anklicken....
Ohne genaues Datum kannst du dir aussuchen was zuerst geschehen ist. Nach den in letzten Tagen journalistisch qualitativen Beiträgen hier auf CB, müssen wir das selbst ordentlich recherchieren.
Sind wohl nur Copycat Beiträge von anderen Newsseiten...
 
  • Gefällt mir
Reaktionen: Beero84, compi204, cruscz und 2 andere
Wirklich wichtig ist doch nur:
Dieser meldete die Sicherheitslücke an Modern Solution und veröffentlichte seinen Fund, nachdem die Sicherheitslücke geschlossen wurde.
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: Smartbomb, dister1, SteeL1942 und 4 andere
Der Hackerparagraph ist so schwammig geschrieben das man schon das kaufen eines USB-Sticks dafür auslegen kann einen Hackerangriff vorzubereiten
 
  • Gefällt mir
Reaktionen: Termy
DJMadMax schrieb:
Aus deiner Newsmeldung geht leider nicht genau hervor, wie der Tathergang des Programmierers verlaufen ist.

Hat der Programmierer die gefundene Sicherheitslücke zuerst an das beauftragte Unternehmen gemeldet oder zuerstan den Blogger?
Zum Vergrößern anklicken....
In anderen Artikeln stand, die Lücke wurde zuerst an die Firma gemeldet und erst als der Bug gefixt war dann veröffentlich und daraufhin erfolgte die Klage.
Als Unternehmen wäre die Folge aus meiner Sicht nun nur noch Software von Unternehmen zu kaufen, die Bugbounty Programme unterhalten wleche anschließende Kommunikation darüber erlauben und den Rest zu meiden, denn oidesere Rest hat eine problematische Fehlerkultur, was immer ein schlechtes Zeichen ist, solche Vertragspartner sollte man meiden.

Bl4cke4gle schrieb:
Also was mich hier ja mal interessieren würde, warum hat er überhaupt dekompiliert?
Zum Vergrößern anklicken....
Er hatte den Auftrag dazu vom UNternehmen selber, denen hat aber wohl nicht gefallen, daß er nachdem sie die Lücke gefixt hatten diese erkenntnisse dann veröffentlicht hat, so wie es eigentlich üblich ist. Das Unternehmen hat wohl Angst vor der schlechten Publicity wenn bekannt wird das die Lücke mal existiert hat und ist sich des Streisand Effekts nicht bewußt. Das geht jetzt hoffentlich schön nach hinten los.
 
  • Gefällt mir
Reaktionen: Smartbomb, dister1, Col. Jessep und 12 andere
Kann man diese Firma auf eine schwarze Liste setzen und deren Kunden aktiv vermeiden?

Deutschlands IT Verständnis mal wieder in a nutshell.
 
  • Gefällt mir
Reaktionen: Smartbomb, zupipo, Silencium und 4 andere
Das ist einfach nur noch Dumm und Dämlich. Da Meldet man eine Sicherheitslücke bevor die Ausgenutzt wird und bedankt wird für die gute Tat. Nö. Erstmal Verklagen. Wie Dumm sind die Menschen die das ganze bitte Entscheiden? Denken die überhaupt noch nach?

Es ist einfach nur so Traurig mittlerweile.
 
  • Gefällt mir
Reaktionen: Fallout667 und Zeitzeuge
In Deutschland fahren die ITler also besser wenn sie ihr Wissen über Sicherheitsprobleme an Kriminelle verkaufen als es zu melden. Ganz großes Kino. Wer denkt sich solche Gesetze aus?
 
  • Gefällt mir
Reaktionen: Flaschensammler, Smartbomb, zupipo und 8 andere
So neu ist diese Sache ja nicht (bis auf das nun eingeleitete Strafverfahren), davon war schon vor Monden auf heise.de zu lesen - und der Sachverhalt ist vor allem für Deutschland peinlich.

https://www.heise.de/news/Datenleck...ausdurchsuchung-statt-Bug-Bounty-6222165.html

Am 15. September steht ein Durchsuchungskommando des Kriminalkommissariats 22 der Polizei Aachen vor der Tür. Die Beamten gaben sich nach Schilderung des Programmierers als Paketboten aus, verschafften sich Zugang zur Wohnung und drückten ihn an die Wand. Die Polizei beschlagnahmte einen PC, fünf Laptops, ein Mobiltelefon und fünf externe Speichermedien – das gesamte Arbeitsgerät des Programmierers.
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: Col. Jessep, Mracpad, Newbie_9000 und eine weitere Person
Einfach nur peinlich für Deutschland. So wird keiner mehr dieser Firma irgendwelche Sicherheitslücken melden.

Die Begründung der Richter ist auch mehr als fragwürdig. Die Leute die Sicherheitslücken ausnutzen können, haben sicher auch von IT ein bißchen Ahnung und dann reicht eben kein 123 Passwort mehr.
 
  • Gefällt mir
Reaktionen: Tanzmusikus, roaddog1337, nazgul77 und eine weitere Person
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz