DACH - Deutschsprachige Community für Deutschland, Österreich, Schweiz @feddit.org CyberEgg @discuss.tchncs.de 2mo ago

Unerwünschte Zivilcourage bei Hackern?

www.tagesschau.de Unerwünschte Zivilcourage bei Hackern?

In einer digitalen Welt ist die IT-Sicherheit zentral. Trotzdem droht Strafe, wenn Hacker solche Lücken ehrenamtlich finden und melden. Von Philip Raillon.

In einer digitalen Welt ist die IT-Sicherheit zentral. Trotzdem droht Strafe, wenn Hacker solche Lücken ehrenamtlich finden und meldet.

Germany @europe.pub tfm @europe.pub 2mo ago

Unerwünschte Zivilcourage bei Hackern?

www.tagesschau.de /inland/innenpolitik/it-sicherheit-hacker-strafverfolgung-100.html

tagesschau.de @metawire.eu News Bot @metawire.eu

BOT

2mo ago

Unerwünschte Zivilcourage bei Hackern?

www.tagesschau.de /inland/innenpolitik/it-sicherheit-hacker-strafverfolgung-100.html

21 comments

Kleinere Unternehmen hätten oftmals keine Finanzmittel, um zeitnah eine IT-Lücke vorsorglich zu schließen. Dass das ehrenamtliche Hacken unter Strafe stehen kann, hat aus Sicht seines Verbandes daher auch was Gutes.

Tja dann muss deine schrottige Software halt offline genommen werden...
- v.a. genau so könnte man ja z.B. auch beim TÜV argumentieren, was nur die Absurdität verstärken würde
  
  Kleinere Unternehmen hätten oftmals keine Finanzmittel, um zeitnah neue Querlenker an ihren runtergerockten Sprintern zu verbauen, nur damit die wieder zuverlässig geradeaus fahren.
- Der Begriff "vorsorglich" ist schon komplett deplatziert. Niemand weiß, wieviel Schaden durch die Lücke bereits entstanden ist. Es ist auch gegen über ihren Kunden übel, die mit Kenntnis über die Sicherheitslücke vlt. Gegenmaßnahmen außerhalb der Software ergreifen könnten.
- "vorsorglich" lol
  
  Wenn es einer findet muss man davon ausgehen dass es ausländische Geheimdienste und Betrüger bereits kennen.
- Wie ein Kleinkind "Was ich nicht sehe ist nicht da und der ders mir zeigt hat Schuld, dass es da ist".
- Die Frage ist nur: von wem. Von dir, mit motzen von den Kunden, oder von uns, mit Klagen von Kunden.
  
  Vom Gericht. Wenn ne Lücke gemeldet wird und die nicht innerhalb von nem gewissen Zeitraum geschlossen ist, wird dein service einfach offline genommen. Genau wie das bei unsicheren Gebäuden, Fahrzeugen, Lebensmitteln, etc ist.
"Nicht jeder Computerbegeisterte kann sich selbst zum Sicherheitsforscher ernennen und damit einen Freibrief zum Hacking bekommen", so CDU-Politiker Günter Krings auf Anfrage der ARD-Rechtsredaktion.

Ich möchte kotzen. Herr Krings hat nichts verstanden. Es geht doch nicht darum, wer mit welcher Expertise Sicherheitslücken findet. Es geht darum, damit verantwortungsvoll umzugehen und Responsible Disclosure zu betreiben, damit die Lücke geschlossen werden kann und Schäden für eine Vielzahl von Menschen und ggf. das Unternehmen abgewendet werden können...
- Wie in einem anderen Post geschrieben wirkt das doch nur in zwei Richtungen, die beide fatal sind, wenn sich keiner trauen kann den Hersteller zu informieren. Und: nicht jede Lücke muss man bewusst suchen. Ich hab auch mal beim Scripten eine mögliche SQL-Injection gefunden, da ich versehentlich die falsche Variable in einen URL-Parameter gebaut hatte und die Anfrage zu einer sehr offensichtlichen Datenbankfehlermeldung geführt hat aufgrund des Parameterinhalts...
  
  Lücke finden, ignorieren, nicht melden und sich wundern wie viele diese wohl schon gefunden und ausgenutzt haben ohne es zu melden
  
  Anonyme Public Full Disclosure
  
  Kenne mich nicht extrem gut aus, aber gibt es nicht noch folgende Möglichkeit:
  
  Lücke finden, anonym der Organisation melden und anonyme public full disclosure ankündigen, und erst zur dabei angekündigten Zeit tatächlich veröffentlichen?
Ja gut, wenn Responsible Disclosure in dieser Form unerwünscht ist dann kann man die Sicherheitslücke auch gleich an den höchstbietenden verkaufen. Die Chance dass dann die Polizei vor der Tür ist dann auch geringer.
Man weiß, das jetzt die Partei an der Macht ist, die auch Lillith Witman angezeigt hat. Gibt also keinen Grund, mehr als absolut nötig für IT auszugeben.
Es ist ein Skandal dass dieses Gesetz immer noch noch angepasst wurde.

Es ist absurd dass dies insbesondere auch mit den gestiegenen Bedrohungen nicht als grundlegendes und breites Sicherheitsrisiko für uns alle auch in der Politik wahrgenommen wird.
Das ganze führt letzenendlich dazu, dass Sicherheitslücken (wenn überhaupt) nur noch als anonymer Tipp an die großen Verlagshäuser (Heise, etc.) gemeldet werden und die dann Berichtserstattung mit bissigen Überschriften machen. Wem dann geholfen ist, weiß ich auch nicht.

Das lächerliche ist ja, dass es diesen ganzen Fall nur gibt weil sich modern-solution dachte, sie könnten einen Rechtsstreit gegen eine einzelne Person gewinnen. Bei Responsible Disclosure ausgehend von (ausreichend großen) Unternehmen passiert nie etwas dergleichen.
Einen weiteren Fund würde er wohl nicht mehr melden, so der 27-Jährige. Die Sorge vor der Justiz sitzt tief.

Toll gemacht, liebe Justiz -.-
Was folgt daraus? Straftaten dürfen nur noch von Polizisten gemeldet werden? Steuerbetrug nur noch vom Finanzbeamten angezeigt werden?

Die Agenda erschließt sich mir nicht... Früher oder später kommen die Lücken doch so oder so heraus. Nur ist der Schaden dann weitaus größer. Man verschiebt das Problem nur.
- Man verschiebt das Problem nur.
  
  Deutsche Politik in der Nussschale

21 comments