News Hackerparagraph: Hinweisgeber von Sicherheitslücke zur Geldstrafe verurteilt

[Neodar]

Ihr habt doch alle keine Ahnung, er wurde verurteilt, weil es eben die Gesetze dazu gibt, die er gebrochen hat.

Nein, hat er eben nicht!
Wenn ein Passwort im Klartext in der Software vorliegt, dann hat er sich mitnichten durch irgendwelche Tools oder ähnliches Zugang verschafft. Aber genau das hätte er tun müssen um im Sinne des "Hackerparagaphen" eine Straftat zu begehen.
Dieses Urteil zeigt, dass der Richter keine Ahnung hat und das Gesetz totaler Müll ist.

 

[Helge01]

dass die Berufung im Sinne des Angeklagten ausgeht.

Da wird sich nichts Grundlegendes ändern, da die Gesetzeslage nichts anderes her gibt. An bestehende Gesetze muss sich auch der Richter halten. Eventuell gibt es eine Strafmilderung.

 

[Tomsenq]

Wenn man das im Auftrag eines Kunden macht, warum wendet man sich erst an einen Journalisten und dann an den Softwareanbieter? Wäre die umgekehrte Reihenfolge nicht die richtige gewesen?

 

[Celticon]

Was ich nicht ganz verstehe, ist warum er sich als erstes an einen Journalisten und erst danach an die entsprechende Firma wendet. Finde ich jetzt auch kein sonderlich korrektes Vorgehen und schreit nahezu danach angezeigt zu werden. Oder habe ich hier irgendwas falsch verstanden? Wenn man es meldet und das Unternehmen die Lücke dann ignoriert, dann wäre der Weg zur Presse doch die nächste Option, aber nicht umgekehrt.

Ich verstehe es schon. Hätte er es direkt an die Firma gemeldet hätte nie jemand davon erfahren, da er ja dann schweigen hätte müssen.
Man wollte sich wohl als tollen Programmieren hinstellen, seht her was ich kann/entdeckt habe.

Ob der Richter jetzt '' 'ne Nulpe" war "die keine Ahnung hat" wie jemand geschrieben hat oder nicht, trotzdem sein Fehler: er hätte es erst der Firma melden müssen!

 

[maxik]

Wenn ein Gesetz so offensichtlich nicht verwendbar ist dann sollte das Gericht den Fall für nichtig erklären und eine Anpassung des fordern.

Jemand anderes hätte das ganze stillschweigend ausgenutzt und einen reellen Schaden angerichtet

 

[Nureinnickname!]

Das Gesetz ist Müll, ein in der Sache kundiger Richter mit Rückgrat würde das nie so auslegen.

ist genau das was dieses Urteil (wenn es Bestand hat) fördert.

Und hier klatschen auch noch welche Beifall.🤦

Dann hast du meine aussage leider nicht verstanden.

 

[Tzk]

ISt schon der Hammer, das jemand wegen Nutzung der Hacking-Tools (höhö) notepad.exe und phpmyadmin verknackt wird. Der Hacker-Paragraph gehört DRINGEND überholt, damit responsible disclosure endlich nicht mehr verklagbar ist.

Das die Nutzung der genannten Tools eine "unüberwindbare technische Hürde" und "Sachverstand" erfordert und nicht der letzte Dulli von der Straße damit umgehen kann reicht aktuell wohl als Hürde.

Der größte Witz an der Sache ist, das einerseits Firmen so agieren und andererseits eine Cyberversicherung kommen soll, die im Zweifelsfall (auch) die Allgemeinheit übernehmen soll. Das passt halt null zusammen.,

 

[Helge01]

warum wendet man sich erst an einen Journalisten und dann an den Softwareanbieter?

So wie ich das in einem anderen Artikel gelesen habe hat der Hinweisgeber auch für die Konkurrenz gearbeitet und wollte Modern Solutions damit schlecht dastehen lassen. Hätte er sich gleich an Modern Solutions gewandt wäre vermutlich nichts passiert.

 

[Termy]

Wäre die umgekehrte Reihenfolge nicht die richtige gewesen?

Nicht unbedingt - bei einer solche katastrophalen Stümperleistung wie von Modern Solutions müssen imho auch alle anderen Kunden gewarnt werden. Und das geht eben am besten über die Medien.

 

[der Unzensierte]

Dann hast du meine aussage leider nicht verstanden.

Der letzte Satz bezog sich nicht auf deinen post, sorry, das war wohl missverständlich. Ich dachte das wäre mit dem Absatz klar. Werde ich ändern/klarstellen.
Besser so?

Bitte alle Modern Solutions mit einer Anfrage nach Art 15 DSGVO fluten.

Die Idee hat Charme. https://www.modernsolution.net/Impressum
Und hier der passende Musterwortlaut: https://www.baden-wuerttemberg.date...uskunftsanspruch-nach-Art.-15-DS-GVO_0621.pdf

 

[DFFVB]

Bitte alle Modern Solutions mit einer Anfrage nach Art 15 DSGVO fluten.

 

[Not.Me]

Der Bote wird halt gehängt, ist doch nichts Neues.

 

[Raptor85]

so könnte eine firma, das hacken seiner systeme zwar verbieten, aber je nach schaden der entstanden ist, die strafe von richtern frei wählen können.

hier in diesem fall, könnte man dann den hacker mit einer verwarnung davon kommen lassen.

Eine Möglichkeit.
Manche Richter sind durchaus ziemliche Nulpen (wenn es denn hier auch so war). In der nächsten Instanz kann sich das durchaus ändern. Gott sei Dank gibt es die entsprechende Möglichkeit bei uns, einen Fall durch die Instanzen "durchzuschleifen".
Und gerade aufgrund des Ignorierens der technischen Details ist das gefundenes Fressen für einen findigen Rechtsanwalt, hier über andere Wege zu argumentieren und zu belegen.
Und ja, auch aufgrund des nicht entstandenen Schadens für die Firma, gibt es hier mit Sicherheit noch Möglichkeiten, andere Gesetze, Fälle etc. pp. heranzuziehen.

Es bleibt spannend.

In jeden Fall sollte das als den Druck erhöhen, den "Hackerparagraphen" zeitnah zu reformieren. Ggf. gibt der Fall hier als Präzedenzfall direkt eine "Anleitung" mit, wie man den Praragraphen neu verfassen könnte.

Aber erst mal das Ganze Öffentlichkeitswirksam platzieren und dann erst informieren ist halt auch ein wenig schäbig.

Das ist allerdings schon ziemlich unbedacht gewesen und fährt der Verteidigung in nächster Instanz wahrscheinlich ein wenig in die Parade.
Am Ende sind es dann solche Dinge, die das Strafmaß höher werden lassen, als von der Verteidigung gefordert. Kann aber auch am Ende keine große Relevanz mehr haben. Kommt auch auf den Menschen (auf dem Richterstuhl) und die Umstände an.

 

[Mensch_lein]

Die Lücke wurde gemeldet.
Die Veröffentlichung durch den Journalist passierte, als die Lücke verschlossen war.

Ein PW im klartext ist unterste Kanone.


Wiki:

https://de.wikipedia.org/wiki/Vorbereiten_des_Ausspähens_und_Abfangens_von_Daten

Aufgrund dieser Unklarheiten haben drei Personen – eine aus der IT-Branche, eine aus dem akademischen Bereich und der Berliner Rechtsanwalt und Strafverteidiger Ulrich Kerner[17] – jeweils eine Verfassungsbeschwerde gegen den sogenannten Hackerparagraphen (genauer: gegen § 202c Absatz 1 Nr. 2 StGB) eingereicht.[18] Die drei Beschwerden wurden mit Beschluss vom 18. Mai 2009 durch das Bundesverfassungsgericht (BVerfG) als unzulässig abgelehnt.[18][19] Das BVerfG begründete die Ablehnung damit, dass die Beschwerdeführer durch § 202c StGB nicht „selbst, gegenwärtig und unmittelbar“ in ihren Grundrechten betroffen seien. Denn ein Risiko strafrechtlicher Verfolgung sei bei einer verfassungskonformen Auslegung des Gesetzestextes für die von ihnen genannten Tätigkeiten im Umgang mit derartigen Programmen nicht gegeben. Zum einen könne man (insbesondere bei sogenannten „dual use tools“) nicht davon ausgehen, dass die Programme als „Zweck die Begehung einer Straftat“ hätten.[20] Bei den Beschwerdeführern fehle jedenfalls das „subjektiv[e] Merkmal der Vorbereitung einer Computerstraftat“.[21]

Also, was genau hat das Verfassungsgericht da gesagt? Was genau passiert nun in der Praxis?

Einmal mit Profis arbeiten, schöne Sache das!

 

[Yuuri]

Deswegen besser nie selbst melden, wenn man sich nicht ganz genau auskennt. Der CCC bietet da einen besseren Service an, der dich aus der Schusslinie nehmen kann: https://www.ccc.de/disclosure

Der CCC wurde angeschrieben und er wurde ignoriert. Linus hat ihm erst geschrieben, als die Kacke bereits am Dampfen war.

So wie ich das in einem anderen Artikel gelesen habe hat der Hinweisgeber auch für die Konkurrenz gearbeitet und wollte Modern Solutions damit schlecht dastehen lassen.

Dann lies den Artikel bitte nochmal und hör auf solchen Stuss zu schreiben.

Die Behauptung kam von MoSo und wurde von der Staatsanwaltschaft einfach nur wiederholt.

Er hatte einen Kundenauftrag, welcher auch Connect nutzte und er die Ursache für das Zumüllen der DB lösen sollte. Er ist selbstständig und hat selbst keine derlei Anwendung in Petto.

Ich glaube nicht, dass die Firma ein Problem damit gehabt hätte, wenn man Ihr eine Sicherheitslücke meldet.

https://www.heise.de/forum/heise-on...-hier-dargestellt-wird/posting-39813967/show/

(bzw. eben der gesamte Thread)

 

[CDLABSRadonP...]

@CDLABSRadonP...

Geht nur um die Reputation. Es soll so erscheinen als hätte er sich mit größter Mühe unbefugt Zugriff darauf verschafft hat und nicht dass jegliche Daten lausig geschützt zugänglich waren.

Wie soll das gelingen? Es sorgt doch dafür, dass sie mehr in Nachrichten erscheinen und der Wortlaut im Klartext gespeichert häufiger erscheint und insbesondere dann die öffentlich-rechtlichen Medien das sogar vermutlich noch einer breiten Masse erklären werden...

abschreckung. "bitte hört auf unsere systeme zu pentesten, schwachstellen fixen ist uns zu teuer".

Das klingt schon nachvollziehbarer. Aber auch dort fällt mir nicht ein, wie das die negative Publicity aufwiegen könnte.

 

[Helge01]

@Yuuri Wieso muss man denn immer gleich rumpöbeln? Ich schrieb das ich es in einem anderen Artikel gelesen habe.

Die Staatsanwaltschaft sah es als erwiesen an, dass der Angeklagte – der damals als selbstständiger Programmierer Dienstleistungen angeboten hatte, die in Konkurrenz zu den Dienstleistungen der Modern Solution GmbH standen – versucht habe, der Gladbecker Firma zu schaden.

Quelle

 

[AGB-Leser]

Also wird der Richter jetzt wegen Einbruch ins Gericht verklagt und verurteilt? Denn schließlich hat er ja die Türklinke (phpmyadmin) benutzt, statt zu warten, bis die von alleine aufgeht

 

[Mensch_lein]

Zitat Heise:

Der in der E-Commerce-Community bekannten Blogger Mark Steier riet dem Programmierer, seinen Fund zunächst dem Unternehmen zu melden. Am folgenden Morgen meldete der Experte die Lücke an Modern Solution mit einer Frist zur Behebung der Sicherheitsprobleme innerhalb von drei Tagen.

Etwas kurze Frist, aber ich weiss nicht, was da üblich ist.

Dabei sei er recht schroff abgewiesen worden, erzählt der Programmierer im Gespräch mit heise Security: Modern Solution habe abgestritten, dass es eine Lücke gebe.

Also direkt Leugnen, damit keiner auf die Idee kommt, die Firma im Rampenlicht zu sehen, wo sie Fahrlässig handelten.

Nachdem der Dienstleister im Anschluss allerdings die verwundbaren Systeme vom Netz genommen hatte, habe er sich entschlossen, den Vorfall öffentlich zu machen und wandte sich erneut an Steier. Auch ihm gegenüber habe Modern Solution bestritten, dass es eine Sicherheitslücke in den eigenen Systemen gebe. Beide berichten allerdings, dass das Unternehmen offenbar den betroffenen Server vom Netz genommen hatte.

Immerhin haben die reagiert, aber das Leugnen ist echt eine Frechheit.

Da die Sicherheitslücke nun beseitigt war, entschlossen sich Programmierer und Blogger, die Öffentlichkeit schnell zu informieren. Steier fragte noch einmal bei Modern Solution nach einer Stellungnahme, wurde abgewiesen, und veröffentlichte dann einen ausführlichen Blog-Eintrag. Dieser Artikel ging am 23. Juni online, demselben Tag, an dem der Programmierer Modern Solution und Steier informiert hatte.

Korrekt aus meiner Sicht, die Frist ist etwas kurz, erneut.

So ungeschickt das Timing der beiden wirken mag, rein technisch haben sie die Grundregel der Responsible Disclosure eingehalten: Die Lücke war zu dem Zeitpunkt, an dem sie die Öffentlichkeit informiert haben, offenbar schon geschlossen. Und bei über 700.000 betroffenen Endkunden bleibt auch kein Zweifel daran, dass ein öffentliches Interesse an dem Fall angenommen werden konnte. In einer Stellungnahme gegenüber Steier bezeichnet Modern Solution den Programmierer als "ethischen Hacker" – in Anführungszeichen.

@ Helge01

die in Konkurrenz zu den Dienstleistungen der Modern Solution GmbH standen – versucht habe, der Gladbecker Firma zu schaden.

Beweise dafür? Oder reichen heutzutage einfache Behauptungen?

 

[Zornica]

Solche Firmen scheinen ja geradezu darum zu betteln mit Ransomware beglückt zu werden