News IT-Sicherheit: Bundesjustizminister will Hackerparagraphen lockern
- Ersteller Andy
- Erstellt am
- Zur News: IT-Sicherheit: Bundesjustizminister will Hackerparagraphen lockern
wern001
Vice Admiral
- Registriert
- Mai 2017
- Beiträge
- 6.722
halbtuer2 schrieb:
Das nächste was kommt. Wenn man ein Feuerzeug kauft wird man als Brandstifter abgestempelt.
Als übernächstes. Wenn ich mit ein Kondom kaufe bin ich ein potenzieller Vergewaltiger den ich möchte damit ja keine Beweismittel zurück lassen.
Tzk
Captain
- Registriert
- Nov. 2016
- Beiträge
- 3.901
Wenn man einen CD/DVD/Bluray-Brenner, einen USB Stick oder eine Festplatte kauft, dann ist man ein potenzieller Raubmordkopierer. Denn man zahlt bei jedem dieser Teile indirekt eine Abgabe an die GEMA, damit das Vervielfältigen und Speichern von urheberrechtlich geschützten Werken pauschal mit dme Kauf von Massenspeichern abgegolten ist. Gilt afaik auch bei für den Empfang von Rundfunk geeigneten Geräten wie Radios, Smartphones und ähnlichem.wern001 schrieb:
In meiner Logik ist es aber korrekt wenn jemand ungebeten meine IT "testet", dann eindringt und schließlich Besuch vom Amt bekommt, um zu schauen ob da alles sauber gelaufen ist. Es ist nicht seine Aufgabe, meine Sicherheit zu gewährleisten.
Viele würden auch dämlich gucken, wenn nachts der Fensterbauer im Schlafzimmer steht und schreit: "ich habe es ihnen gesagt, die Fenster sind unsicher!"
Oder der Hausmeister, der abends nen Pentest macht ob wirklich alle Türen und Fenster zu sind.
Am Computer sehen das alle als selbstverständlich an. Weil es unpersönlich, ohne direkten kontakt nur mit der Tastatur gemacht werden kann.
Viele würden auch dämlich gucken, wenn nachts der Fensterbauer im Schlafzimmer steht und schreit: "ich habe es ihnen gesagt, die Fenster sind unsicher!"
Oder der Hausmeister, der abends nen Pentest macht ob wirklich alle Türen und Fenster zu sind.
Am Computer sehen das alle als selbstverständlich an. Weil es unpersönlich, ohne direkten kontakt nur mit der Tastatur gemacht werden kann.
wern001
Vice Admiral
- Registriert
- Mai 2017
- Beiträge
- 6.722
Tzk schrieb:Wenn man einen CD/DVD/Bluray-Brenner, einen USB Stick oder eine Festplatte kauft, dann ist man ein potenzieller Raubmordkopierer. Denn man zahlt bei jedem dieser Teile indirekt eine Abgabe an die GEMA, damit das Vervielfältigen und Speichern von urheberrechtlich geschützten Werken pauschal mit dme Kauf von Massenspeichern abgegolten ist. Gilt afaik auch bei für den Empfang von Rundfunk geeigneten Geräten wie Radios, Smartphones und ähnlichem.
Auf der anderen Seite: Man darf keinen funktionierenden Kopierschutz umgehen. Aber ein umgangener Kopierschutz ist doch kein funktionierender Kopierschutz
Tzk
Captain
- Registriert
- Nov. 2016
- Beiträge
- 3.901
@Nuklon
Sieh es mal andersrum. Du lässt versehentlich abends deine Haustür oder ein Fenster einen Spalt offen stehen. Ein zufällig vorbeigehener Nachbar bemerkt das. Er geht heim und ist so nett dich telefonisch darauf hinzuweisen, das deine Tür offen steht. Du rennst nun zur Polizei und lässt sein Haus durchsuchen und ihn verhaften, weil er möglicherweise bei dir eingebrochen ist und Sachen geklaut hat. Obwohl DU zu blöde warst die Tür zu schließen.
Klingt komisch, entspricht aber dem Hacker Paragraphen.
Sieh es mal andersrum. Du lässt versehentlich abends deine Haustür oder ein Fenster einen Spalt offen stehen. Ein zufällig vorbeigehener Nachbar bemerkt das. Er geht heim und ist so nett dich telefonisch darauf hinzuweisen, das deine Tür offen steht. Du rennst nun zur Polizei und lässt sein Haus durchsuchen und ihn verhaften, weil er möglicherweise bei dir eingebrochen ist und Sachen geklaut hat. Obwohl DU zu blöde warst die Tür zu schließen.
Klingt komisch, entspricht aber dem Hacker Paragraphen.
Wenn Du Pech hast werden aber vorher noch Deine Geraete konfisziert und Du bleibst auf den Anwaltskosten sitzen. Dazu noch der ganze Stress. Selbst wenn die Anzeige nichtig ist kann es trotzdem existenzbedrohend sein.Piecemaker schrieb:
Ergänzung ()
Um beim Fall der CDU/Wittmann zu bleiben. Wenn Dir jemand mitteilt dass Personalakten Deiner Firma am schwarzen Brett haengen dann zeigst Du diese Person an weil sie das schwarze Brett liest? Wahrscheinlich passiert Dir dann das gleiche wie der CDU die vom CCC keine Hinweise mehr auf Sicherheitsluecken kriegt. Bei IT kompetenzfernen Organisationen wie der CDU verspricht sowas nichts gutes fuer die Datensicherheit in der Zukunft.Nuklon schrieb:
Zuletzt bearbeitet:
Das sind aber keine zufällige vorbeigehende Nachbarn, sondern Profihandwerker mit entsprechender Ausstattung und Absicht das genau zu testen, die versuchen dein Schloss aufzubohren und sich dann freuen, wenn es nicht geht. Oder im Schlimmsten Fall reinkommen, weil es mal wieder nen günstiges war.Tzk schrieb:
Wenn mein Server so weit offen ist, das jeder Dödel es sieht, dann habe ich es verdient entlassen zu werden.
schneup schrieb:
Es ist ein Unterschied jemand drauf hinzuweisen, das er ungepatchte Systeme hat oder gezielt zu versuchen, eine Sicherheitslücke zu finden.
Das es auf der anderen Seite Leute gibt, die nicht patchen oder gar nicht wissen, dass es Lücken gibt macht die Sache halt schwieriger.
Um das klarzustellen: ich würde selber keinen anzeigen, der mich auf eine Sicherheitslücke hinweist, aber er hat sich halt ungefragt an meiner IT zu schaffen gemacht. That's it.
Wenn aber einer kommt, er hätte sich drei Lücken gekauft und die in Kombination gegen uns eingesetzt um zu beweisen, dass man es doch schafft, dann bin ich mir nicht mehr sicher ob ich dann nicht doch überlegen würde ne Anzeige auszufüllen. Das war dann halt purer Vorsatz, statt uns einfach anzurufen: Hier guck mal CVE XY Prio 7.8 und das ist ein Problem bei dir weil da noch CVE ZY und WX sind.
Termy
Commodore
- Registriert
- Mai 2007
- Beiträge
- 4.586
Genau das war aber der Fall bei den prominenten Beispielen um Modern Solutions und die CDU.Nuklon schrieb:
Hat diese trotzdem nicht davon abgehalten, Anzeige zu erstatten. Und hat die Polizei trotzdem nicht davon abgehalten, Hausdurchsuchungen durchzuführen und alle elektronischen Geräte mitzunehmen. Inkl all dem Stress, Kosten, Psychoterror und der verlorenen Zeit, die den WhiteHats keiner ersetzt.
Was im Umkehrschluss dafür sorgt, dass gefundene Sicherheitslücken jetzt eher im Darknet verkauft als gemeldet werden. Da hilft dann auch deine Argumentation von wegen "mimimi, der hat sich an meiner IT zu schaffen gemacht" nichts.
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 8.867
Was du hier schreibst ist grundlegend einfach falsch.wern001 schrieb:
Grundlegend, Gesetze drücken die Absicht des Gesetzgeber aus, und sind nur bedingt wörtlich auszulegen. Für die Absicht des Gesetzgebers sollte die Gesetzesbegründung ebenfalls berücksichtigt werden. Zusammen mit dem Gesetzestext und der darauffolgenden Rechtsprechung ist der Sachverhalt recht klar. Die Paragraphen sollen nur greifen, wenn jemand unerlaubterweise Hacks vorbereitet, ausführt oder ausgeführt hat. Wobei in die Bewertung in der Praxis einfließt, ob entsprechende Vorgänge mit schadhafter Absicht geschah oder weil es der Person darum ging Probleme zu verifizieren und in Konsequenz beim Abstellen dieser zu helfen.
Wäre es auch nur annähernd wie du es beschreibst, hätten die meisten Unis/Hochschulen, Hackspaces, der CCC und die ganzen IT-Sec Buden ernsthafte Probleme. Real macht sich da aber gegenüber einer Verurteilung keiner einen Kopf.
Problematisch ist und bleibt die Staatsanwaltschaft und ihre Maßnahmen zur Beweismittelsicherung.
halbtuer2 schrieb:
So wie ihr beide Rechtspraxis ignoriert und daraufhin irgendwelche, hypothetischen Fälle spinnt ordne ich jetzt zur Fraktion der Verschwörungstheoretiker ein.wern001 schrieb:
Nunja, wenn du in der Öffentlichkeit irgend ein kaputtes, unsicheres Auto siehst kannst und solltest du die Polizei rufen. Wenn irgend ein Depp die Feuerwehrzufahrt zuparkt das Ordnungsamt. Das ist bei materiellen Dingen mit Schadpotential einfach total üblich, vom Gesetzgeber so gewollt. Wieso sollte es bei IT anders sein?Nuklon schrieb:
Und wenn man auf Lücken stößt, dann ist es übrigens eine schlechte Idee damit kommerzielle Absichten zu verbinden. Ein Fensterbauer der ungefragt Fenster "abklopft" ist da genauso problematischer die Pentester die (systematisch) Fremdsysteme abklopfen um Kundenakquise zu betreiben.
Ganz schlechter Vergleich. Die Sicherheitslücken die gemeldet werden, sind in der Regel auf ganz anderem, niedrigerem Niveau. Wenn es so wäre, dass man dafür regelmäßig das große Besteck brauchte, wären viele in der Branche sehr froh. In der Realität ändert sich seit Ewigkeiten an den OWASP Top10 wenig und es reicht in der Regel Grundlagenkenntnisse. SQL-Injection, bissen Requestforgery (in der JS-Console vom Browser oder als CURL-Einzeiler).Nuklon schrieb:
Naja und viel zu oft reicht der Lachtest beim Lesen von Dokumentationen.
Es geht aber in der Regel nicht um die Arbeitsstelle irgendwelchen IT-Personals, sondern das zu schützende Gut sind Daten von natürlichen Personen, Geschäftsgeheimnisse oder gar Werttransaktionen als solche.
Allein für ungepatchte Systeme hat man schnell mal die Devtools vom Browser offen, schaut sich HTTP-Header an und schreibt selber fix einen modifizierten Request. Dieses Hacking ist sehr oft, sehr wenig glamourös..
Lücken kaufen und einsetzen ist auch sofort im §202a und §202c enthalten und strafbar.
Und für alle die Lücken finden: Anrufen ist immer doof, ihr wollte ein Papertrail zu euren Meldungen und kein "He said, she said".
Ergänzung ()
Wenn ich mich recht entsinne, haben sie Lilith Wittmann die Bude nicht auf links gedreht.Termy schrieb:Genau das war aber der Fall bei den prominenten Beispielen um Modern Solutions und die CDU.
Hat diese trotzdem nicht davon abgehalten, Anzeige zu erstatten. Und hat die Polizei trotzdem nicht davon abgehalten, Hausdurchsuchungen durchzuführen und alle elektronischen Geräte mitzunehmen. Inkl all dem Stress, Kosten, Psychoterror und der verlorenen Zeit, die den WhiteHats keiner ersetzt.
Was im Umkehrschluss dafür sorgt, dass gefundene Sicherheitslücken jetzt eher im Darknet verkauft als gemeldet werden. Da hilft dann auch deine Argumentation von wegen "mimimi, der hat sich an meiner IT zu schaffen gemacht" nichts.
Gab aber andere Fälle: https://www.fr.de/panorama/datenlec...entlichung-polizei-durchsuchung-91059887.html
Wobei man da auch sagen muss, dass Vorgehen war an der Stelle kein sauberes responsible Disclosure.
Und die (deutschsprachigen) WhiteHats neigen dann nicht unbedingt sofort zum Graumarkt um Lücken zu vergolden. Es gibt jedoch ein paar Firmen, bei denen der/die ein oder andere Häckse geneigt sind Lücken anonym auf "Full Disclosure" zu veröffentlichen und bei guter Laune noch das BSI in CC zu setzen.
Zuletzt bearbeitet:
Termy
Commodore
- Registriert
- Mai 2007
- Beiträge
- 4.586
Was aber nach der ersten Reaktion von Modern Solutions auch verständlich war.Piktogramm schrieb:
Da dazu akute Gefahr bestand und es unschön gewesen wäre, all die Kunden Monatelang im Dunkeln zu lassen fand ich das Verhalten in dem Fall durchaus valide.
Die "Sicherheitsforscher" laufen aber nicht zufällig auf deinem Server rum, weil sie was aus deinem Onlineshop wollen, sondern suchen in der Regel konzentriert nach Lücken und klappern gezielt Systeme ab. Manchmal auch gezielt um das Image der Gegenpartei runterzuziehen.Piktogramm schrieb:
Termy
Commodore
- Registriert
- Mai 2007
- Beiträge
- 4.586
Das ist doch die absolute Ausnahme.Nuklon schrieb:
Der Rest deines "gezielten Abklapperns" basiert oft auf Banalitäten wie Portscans o.ä.
Und selbst wenn es gezielter stattfindet ist das vollkommen OK. Es wird ja nicht eingedrungen, um Schaden anzurichten. Meist ist es ja reine Neugierde und Forscherdrang.
Aber natürlich kann man auch Leute anzeigen, die sich anschauen, welchen Schließmechanismus man an seinem Gartentürchen verbaut hat...
Mensch_lein
Lt. Junior Grade
- Registriert
- Nov. 2021
- Beiträge
- 318
Aus meiner Sicht, ist die Sache ziemlich einfach.
Wenn jemand mein System hackt und es dann ZUERST mir sagt, um mich auf die Gefahr hinzuweisen - und damit meine ich Aktives Hacken mit Vorsatz, dann sage ich dem netten Hacker DANKE und überlege mir, ob ich etwas Geld überhabe, damit dieser für die Zeit entschädigt wird von mir, die er investiert hat. (gilt auch für weibliche Hacker, versteht sich)
Da ein augenutztes Leck(eben von jemandem, ders Missbraucht), bei meinem System weitaus mehr Schaden verursachen würde, als bei einem, der es mir meldet.
Man sollte langsam verstehen, dass Hacker GUT sind. Unterschied Hacker und Cracker googlen bei Bedarf. Damit meine ich natürlich die, welche eine Schwachstelle dem gehackten melden.
Mich stört es viel mehr, dass man von dem Koalitionsvertrag spricht, dabei ist es keinerlei Vertrag. Es scheint immer mehr Gang und Gäbe zu sein, Dinge falsch zu benennen. Ich sehe das als Täuschungsversuch.
Wenn jemand mein System hackt und es dann ZUERST mir sagt, um mich auf die Gefahr hinzuweisen - und damit meine ich Aktives Hacken mit Vorsatz, dann sage ich dem netten Hacker DANKE und überlege mir, ob ich etwas Geld überhabe, damit dieser für die Zeit entschädigt wird von mir, die er investiert hat. (gilt auch für weibliche Hacker, versteht sich)
Da ein augenutztes Leck(eben von jemandem, ders Missbraucht), bei meinem System weitaus mehr Schaden verursachen würde, als bei einem, der es mir meldet.
Man sollte langsam verstehen, dass Hacker GUT sind. Unterschied Hacker und Cracker googlen bei Bedarf. Damit meine ich natürlich die, welche eine Schwachstelle dem gehackten melden.
Mich stört es viel mehr, dass man von dem Koalitionsvertrag spricht, dabei ist es keinerlei Vertrag. Es scheint immer mehr Gang und Gäbe zu sein, Dinge falsch zu benennen. Ich sehe das als Täuschungsversuch.
gustlegga
Captain
- Registriert
- Nov. 2010
- Beiträge
- 3.420
lorpel schrieb:
Hmm, den Download von Magisk oder SuperSu schon als straftatrelevantes "Hacktool besorgen" würde ich jetzt vllt schon für fragwürdig halten. Auch wenn natürlich beim rooten eine Lücke im Android System genutzt wird.Piecemaker schrieb:
Aber hey, einfach Wissenschaftler werden oder eine Firma gründen dann darf man auch so böse Sachen wie Kali Linux oder BlackArch besitzen.
Weil zB die TU Graz eng mit den Sicherheitsforschern von Googles Project Zero zuammenarbeitet.Zornica schrieb:
Ich gestehe hiermit mir in den 90ern bei 2-3 guten Freunden auch mal einen Spaß mit SMS Bombern oder per ICQ versendetem als Flashanimation getarnten Remotetrojaner und SubSeven/BackOrifice gemacht zu haben.
An deren IP kam man ja mit einem Plugin für ICQ.
Natürlich ohne desktruktive Aktionen und hab sie dann auch aufgeklärt welche Datei sie wieder löschen müssen. Aber war schon lustig wenn dir ein Freund eine Nachricht schickt ob ich mir seinen Rechner nicht mal ansehen könne, da sich die CD-Laufwerkschublade von selbst mehrfach öffnet/schliesst, plötzlich 10 Taschenrechner Fenster aufpoppen oder sich der Rechner von allein in den Standby versetzt.
Zuletzt bearbeitet:
Piktogramm
Admiral
- Registriert
- Okt. 2008
- Beiträge
- 8.867
Nuklon schrieb:
Du hast ein sehr naives Bild. Die aller meisten Dinge die gefunden werden sind produktive Zusammenkünfte aus Vater Pfusch und Mutter Zufall. Meine ersten beiden "Findings" waren ein FTP Server mit Interna, den mir Google zeigte und das zweite CodeInjection in einem Supportchat einer Bank. Letzteres viel auf, weil das Ding spitze Klammern als HTML interpretierte und folgerichtig ein <script>alert("codeinjection")</script> sowohl auf meiner Seite als beim Mitarbeiter funktionierte.
"Gezielt" war da gar nichts und ist es in der Regel nicht.
Das geht auch fröhlich so weiter, wie oft IT-Produkte den Lachtest beim Lesen der Dokumentation nicht bestehen. Da ließt man mit etwas Ahnung die Passwortrichtlinie oder irgendwas über das Sessionmanagement und riecht, dass es kaputt ist. Ein entsprechender Test ist dann auch nicht mehr sonderlich aufwendig.
Und selbst wenn man mal die DevTools der Browser bemühen muss um etwas kaputt zu spielen. Die Anforderungen wirksame Werbeblocker für uBlock zu erstellen ist meist größer als so ein bisschen Requestforgery um mal zu schauen ob irgendwelche Informationen/URIs damit zugänglich werden.
Jene die es gezielt machen. Auf der weißgrauen Seite haben wir da Shodan, wenn der eigene Kram von denen Gelistet wird, hat man grundlegend verkackt. Die dunkelgrauen und schlimmeren Gesellen werden dir Lücken so oder so nicht melden.
Ergänzung ()
Wenn mal alle aufhören würden diesen Bockmist zu verbreiten.gustlegga schrieb:
Die Paragraphen §202a (1) besagen eindeutig, dass
Wenn du legal über Hard- und Software verfügst, kannst du diesen Paragraphen und die darauf aufbauenden 202b und 202c nicht berühren. Mit Kali oder sonstwas rumzuspielen ist im eigenem Netz auch überhaupt kein Ding.
Der Hackerparagraph ist schlecht, aber nicht ansatzweise so beschissen wie ihn hier Einige darstellen.
Zuletzt bearbeitet:
MasterMaso
Lt. Commander
- Registriert
- Apr. 2018
- Beiträge
- 1.833
Sehe ich nicht so. Die Konservativen sind da einfach noch nicht so weit. Das braucht noch seine 60 Jahre. Hat man ja beispielsweise schon an deren App gemerkt.Piecemaker schrieb:
Ich halte Sicherheitsforscher für das Hauptproblem. Die haben Zugänge und Zugriff auf Software die ein Hacker von außen nicht hat. Statt Source Code müssten die sich mit kompiliertem Code rumschlagen.
Außerdem setzen die gerne mal Deadlines und veröffentlichen dann die Lücken um Unternehmen zum Handeln zu zwingen
Außerdem setzen die gerne mal Deadlines und veröffentlichen dann die Lücken um Unternehmen zum Handeln zu zwingen
Köstlich dieses Gesabbel von Dilletanten, man sollte Sie mal fragen was ist in ihren Augen ein "Hackertool" ?, und vor allem werden mit diesen pösen "Hackertools" die unter anderem, nichts anderes als Werkzeuge eines Linux-Admin oder Pentester sind und Tag für Tag eingesetzt werden.
Ähnliche Themen
