News Strafverfahren: IT-Experte für das Melden einer Sicherheitslücke verklagt

[micha`]

Das absurde an der Geschichte ist doch, dass die beiden Geschäftsführer einen IT Hintergrund haben, welchen man zumindest bei einem der beiden hier auf Xing nachlesen kann. Wenn CEO Gertrud aus Panik ne Anzeige aufgibt ist es das eine - hier aber pinkeln Fachleute dem Kollegen ans Bein, der ihnen im Zweifel den Arsch gerettet hat. Kannste dir nicht ausdenken.

 

[GERmaximus]

Ich wünsche denen eine Sicherheitslücke oder Systemlücke die von jemand gefunden wird, der richtig Kosten und Zeit verursacht.

es müsste einen shit Storm geben gegen diese Firma und ihr Vorgehen

 

[Simanova]

Jedes zwischengespeicherte Passwort wird gehasht und optional gesaltet. Wenn die Richter das nicht erkennen, sollten Sie ihre eigene IT Abteilung mal fragen.

 

[forstman94]

Die Richter vom Amtsgericht Jülich bezweifelten das, während man beim Landgericht Aachen nun die Ansicht vertritt, der „Zugangs mittels Passwort reicht als Zugangssicherung aus“. Um an das fest verankerte Passwort zu gelangen, wäre eine Dekompilierung der Software nötig, was aber ein „tiefes Verständnis über Programmiersprachen und Softwareentwicklung“ erfordere – daher könnten die Lücken nur wenige Experten ausnutzen.

Geil, ich bin jetzt richterlich als Experte benannt worden.

 

[ro///M3o]

Willkommen in Deutschland wo Wohwollen und "Menschlichkeit" bestraft wird und für "Andere" es keine nennenswerten Konsequenzen gibt. Unantastbarkeit usw...
Digitale Steinzeit vom Feinsten.

 

[DJMadMax]

@NameHere
Reiß das Zitat bitte nicht aus dem Kontext - hier der komplette Teiltext von Andy:

Ein Programmierer, der im Auftrag eines Modern-Solution-Kunden arbeitete, hatte 2021 eine Sicherheitslücke entdeckt, die bis zu 700.000 Kundendaten hätte gefährden können. Details zum Sicherheitsleck hat der Journalist Mark Steier bereits 2021 im einem Blog-Beitrag veröffentlicht. Er wurde als einer der ersten von dem Programmierer kontaktiert.

Dieser meldete die Sicherheitslücke an Modern Solution und veröffentlichte seinen Fund, nachdem die Sicherheitslücke geschlossen wurde.

Dort steht, dass ein Programmierer (Name unbekannt!) die Sicherheitslücke entdeckt hat und wiederum ein Journalist namens Mark Steier diese Lücke in einem Blog-Beitrag veröffentlicht hat.

Meine Frage bleibt also weiterhin genau so bestehen:
Hat der Programmierer ordnugnsgemäß die Firma oder zu erst dritte über das Problem informiert? In letztem Fall ist die Klage leider durchaus nachvollziehbar.

 

[Salamimander]

Ich hoffe, dass die Kundendaten dieser Firma demnächst im Darknet stehen. Dann ist das Thema für die Hansel schon mal weg. Unsere Gesetzgebung hat gefühlt nur ein Ziel: Ewig gestrig bleiben

 

[SaschaHa]

Solch ein Rotz kann aber auch echt nur in einem Land passieren, bei dem Internet noch als "Neuland" bezeichnet wird und dessen Behörden noch mit Fax-Geräten kommunizieren. Ist halt einfacher, den Überbringer schlechter Nachrichten zu bestrafen und nicht die Verantwortlichen.

 

[NameHere]

@DJMadMax habs mal in diesem Beitrag näher erläutert

 

[Ack der III]

Das mit der Dekompilierung hat sich der Richter / die Staatsanwaltschaft aus den Fingern gesaugt, damit die Anklage Substanz hat.

Ohne weitere (Schutz)maßnahmen lassen sich Texte aus Anwendungen ganz einfach im Klartext auslesen.
Ich habe hier eine selbstgeschriebene Anwendung, welche eine OpenCL-Beispielanwendung darstellt, einfach mal im Windows-Editor geöffnet:

 

[Nepenthes]

Mal schauen, was das Gericht da entscheidet, wenn die Anklage aber bestätigt wird, so muss man schon sagen, dass Deutschland (auf jeden Fall die Ämter und Politik noch nicht reif ist für den PC!

 

[wildfly]

Der Überbringer einer schlechten Botschaft zu sein, ist von jeher kein angenehmer Job. In der griechischen Antike ließ Aztekenherrscher Montezuma den Boten, der die herannahenden Spanier ankündigte, kurzerhand hinrichten.

 

[DieRenteEnte]

In Deutschland fahren die ITler also besser wenn sie ihr Wissen über Sicherheitsprobleme an Kriminelle verkaufen als es zu melden. Ganz großes Kino. Wer denkt sich solche Gesetze aus?

Dieselben, welche ebenfalls bekannte Lücken nicht melden, um sie selbst auszunutzen.

 

[Sombatezib]

Meine Frage bleibt also weiterhin genau so bestehen:
Hat der Programmierer ordnugnsgemäß die Firma oder zu erst dritte über das Problem informiert? In letztem Fall ist die Klage leider durchaus nachvollziehbar.

aus der alten Meldung von heise.de (siehe oben)

Der in der E-Commerce-Community bekannten Blogger Mark Steier riet dem Programmierer, seinen Fund zunächst dem Unternehmen zu melden. Am folgenden Morgen meldete der Experte die Lücke an Modern Solution mit einer Frist zur Behebung der Sicherheitsprobleme innerhalb von drei Tagen. Dabei sei er recht schroff abgewiesen worden, erzählt der Programmierer im Gespräch mit heise Security: Modern Solution habe abgestritten, dass es eine Lücke gebe.

 

[SaschaHa]

Ohne weitere (Schutz)maßnahmen lassen sich Texte aus Anwendungen ganz einfach im Klartext auslesen.
Ich habe hier eine selbstgeschriebene Anwendung, welche eine OpenCL-Beispielanwendung darstellt, einfach mal im Windows-Editor geöffnet:

Ganz so einfach ist es dann auch wieder nicht. In deinem Beispiel verwendest du die printf-Funktion. Diese kannst du auslesen, da sie ja genau dafür gemacht ist. Bei sicherheitsrelevanten Dingen wäre es aber schon arg fahrlässig, solche Funktionen zu verwenden. Wenn es sich so herausstellen sollte, wäre das natürlich ein Bummer.

 

[bunghole]

Ich erhoffe mir von dem Verfahren ein echtes Grundsatzurteil auf welches man sich in Zukunft berufen kann - egal durch wie viele Instanzen es noch gehen mag.
Sollte es wider Erwarten doch anders kommen, dann wird das ein sehr schwarzer Tag sein für alle denen Datensicherheit, Datenschutz und der Schutz geistigen Eigentums wichtig sind.

Ohne Hacker gibt es nun Mal keine verlässliche IT.

 

[konkretor]

Merke in Zukunft die Information verkaufen.

 

[Ack der III]

Ganz so einfach ist es dann auch wieder nicht. In deinem Beispiel verwendest du die printf-Funktion.

Es geht nicht um die printf-Funktion, sondern das aller Text (zwischen ""; auch string genannt) im Klartext in der EXE landen, ganz egal wofür diese verwendet werden.

 

[HaRdWar§FreSseR]

Liest sich folgendermaßen:

Ein Einbrecher bricht bei meinem Nachbarn ein und ich rufe ihn an und der zeig mich dann an, weil ich ihn angerufen habe und ihm berichtet habe, dass gerade jemand versucht, bei ihm einzubrechen.

Die Welt geht echt vor die Hunde, ich habe mein Glauben an die Menschheit wieder ein Stück verloren.

 

[Sebbi]

Um an das fest verankerte Passwort zu gelangen, wäre eine Dekompilierung der Software nötig, was aber ein „tiefes Verständnis über Programmiersprachen und Softwareentwicklung“ erfordere – daher könnten die Lücken nur wenige Experten ausnutzen.

und das haben die richtigen illegalen Cracker, Virenschreiber etc nicht? die selbst in Regierungssysteme eindringen? HALLO? ERDE an Richter? Habt ihr den Schuß etwa noch nicht gehört?

Ehy bei so einer gequirlten Kompetenz einer Rechtsprechenendn Instanz fehlen mir dir Worte !

eigentlich sollte man Modern Solution wegen Fahrlässigkeit verklagen!