ComputerBase Menü
Aktuelles

News IT-Sicherheit: Bundesjustizminister will Hackerparagraphen lockern

So wie ein Messer bei einer OP als Lebensretter auftritt, kann es bei einem Mord auch als Tatwerkzeug dienen. Nichts destotrotz ist des Eltern Tag für Tag Tool um Schnitten für ihre Liebsten zu schmieren.
Es kommt wie immer auf den Umgang an.
 
RobZ- schrieb:
Ich halte Sicherheitsforscher für das Hauptproblem. Die haben Zugänge und Zugriff auf Software die ein Hacker von außen nicht hat. Statt Source Code müssten die sich mit kompiliertem Code rumschlagen.

Außerdem setzen die gerne mal Deadlines und veröffentlichen dann die Lücken um Unternehmen zum Handeln zu zwingen
Zum Vergrößern anklicken....
Wenn IT-Sec den Quellcode hat, dann ist es ein beauftragter Pentest und §202a StGB ff. greifen einfach überhaupt nicht. Im Auftrag stellt ja eine Berechtigung dar!
Und in der Realität, ich habe teils schon Quellcode gehabt, wo ich die Binaries in Ghidra geschmissen habe, da dass Dekombilat VIEL besser zu lesen war als der Quellcode, aus dem die Binaries erzeugt wurden. Naja und weil es mitunter Abweichungen gibt von dem was als Quellcode geliefert wird, und was die Binaries machen -.-

Und Fristen zur Veröffentlichung, beschwer dich beim BSI, die empfehlen Coordinated bzw. Responsible Disclosure:
https://www.allianz-fuer-cybersiche...CS/BSI-CS_019E.pdf?__blob=publicationFile&v=1
 
Nuklon schrieb:
Es ist nicht seine Aufgabe, meine Sicherheit zu gewährleisten.
Zum Vergrößern anklicken....

Und wenn du ein Anbieter bist und 700.000 Kundendaten ungeschützt sind? Ist ja auch schon passiert, da wurde derjenige, der ne Lücke gefunden hat, ja auch angeklagt. :rolleyes:
 
Wenn du in meinem physikalischen Firmenarchiv stöberst ob ich Kundendaten sicher verwahre, weil die Tür zum Archiv in der Firma nicht abgeschlossen war, fliegst du trotzdem hochkant raus, direkt in den Weiß blauen Partybus.

Warum gilt das online nicht auch? Wer ungefragt auf meinem Server arbeitet, hat mit Konsequenzen zu rechnen.
 
@Nuklon
Die meisten gemeldeten Schwachstellen sehen nur anders aus. Vergleiche es eher mit einem Schalter, Rezeption oder sonstwas. Also einem Punkt wo eine Firma sich öffentlich der Welt zeigt und eine Kommunikationsmöglichkeit bietet. Wenn man an so einem Punkt sich in kurzer Folge als Herr Mayer, Frau Amsel und Familie Feuerstein vorstellt und daraufhin Zugriff auf alle Daten und gegebenenfalls Guthaben bekäme. Oder schlimmer noch, dass mit einem "bitte" an der richtigen Stelle auch die Frage nach allen Daten beantwortet wird.
Das ist absolut absurd, jedem ist klar, dass sowas auffallen muss und nicht passieren darf.

Du forderst jetzt aber, dass IT-Schnittstellen derart kaputt sein dürfen, ohne dass es irgendwer testen und melden darf?
 
Warum gilt das online nicht auch? Wer ungefragt auf meinem Server arbeitet, hat mit Konsequenzen zu rechnen.
Zum Vergrößern anklicken....
Naja, wenn man so denkt, gut. Dann bin ich dafür, dass wenn bei einem Fehler, oder was auch immer, Kundendaten an fremde gelangen, der Betreiber des Servers in Vollem Umfang haftbar gemacht wird und das mit heftigen Zahlungen.

Nein?

Dann erschliesst sich mir nicht, wie du auf alles in der Welt darauf kommst, man müsste die Betreiber eines Servers in Watte packen und für Fehler nicht haftbar machen.
 
Mensch_lein schrieb:
Naja, wenn man so denkt, gut. Dann bin ich dafür, dass wenn bei einem Fehler, oder was auch immer, Kundendaten an fremde gelangen, der Betreiber des Servers in Vollem Umfang haftbar gemacht wird und das mit heftigen Zahlungen.

Nein?

Dann erschliesst sich mir nicht, wie du auf alles in der Welt darauf kommst, man müsste die Betreiber eines Servers in Watte packen und für Fehler nicht haftbar machen.
Zum Vergrößern anklicken....
Doch genau darauf zielt es ab. Ich bin verantwortlich für meinen Server. Nicht die Allgemeinheit. Und damit bin ich für die Sicherheit zuständig. Wenn jemand mich auf einen Fehler aufmerksam macht, nehme ich den auf. Wenn jemand aber gezielt nach Lücken sucht, die so nicht im Prozess vorgesehen sind, verhält er sich wie ein Einbrecher.
Es ist ein Unterschied ob du zufällig nen offenen FTP Server findest und den meldest oder ob einen Server nach offenen FTP Ports scannst und dann Laufwerke findest. Das ist ne nicht beauftragte Sicherheitsüberprüfung.

Piktogramm schrieb:
@Nuklon
Die meisten gemeldeten Schwachstellen sehen nur anders aus. Vergleiche es eher mit einem Schalter, Rezeption oder sonstwas. Also einem Punkt wo eine Firma sich öffentlich der Welt zeigt und eine Kommunikationsmöglichkeit bietet. Wenn man an so einem Punkt sich in kurzer Folge als Herr Mayer, Frau Amsel und Familie Feuerstein vorstellt und daraufhin Zugriff auf alle Daten und gegebenenfalls Guthaben bekäme. Oder schlimmer noch, dass mit einem "bitte" an der richtigen Stelle auch die Frage nach allen Daten beantwortet wird.
Das ist absolut absurd, jedem ist klar, dass sowas auffallen muss und nicht passieren darf.

Du forderst jetzt aber, dass IT-Schnittstellen derart kaputt sein dürfen, ohne dass es irgendwer testen und melden darf?
Zum Vergrößern anklicken....

Dein Beispiel ist perfekt. Wenn du hintereinander an der Rezeption versuchst dich mit verschiedenen Identitäten Zugang zu erlangen mit Social Engineering, bist du entweder Kriminell oder von der Firma beauftragt.
Machst du das als Privatspaß, bekommst du trotzdem ne Anzeige wegen Betrugsversuch. Das ist nicht deine Aufgabe.
Dann auch bitte online.
 
@Nuklon

Doch genau darauf zielt es ab. Ich bin verantwortlich für meinen Server. Nicht die Allgemeinheit. Und damit bin ich für die Sicherheit zuständig.
Zum Vergrößern anklicken....

Gut, sollten meine Kundendaten also einmal von jemandem abgegriffen werden können, der Grund dafür ist egal, dann darfst du mir dann also geschätzt 500 000 Euro überweisen, als Schadensersatz, gut so?

Deine Sichtweise ist ja einfach gehalten, der wer da guckt, was möglich ist, der soll bestraft werden. Dann bitte aber auch der Serverbetreiber.
Also, sollte herauskommen, dass sie Sicherheit bei dem Unternehmen fahrlässig war, das bedeutet bei mir, ein normaler gesunder Menschenverstand würde den Fehler nicht machen, dann darf der Verantwortliche eine Strafe bekommen, sagen wir mal, 1 Jahr ohne Bewährung. Strafzahlung dann noch obendrauf.

Bei der Denke hätten wir ein totales Chaos und absolut unsichere Systeme im Netz.

Wenn jemand mich auf einen Fehler aufmerksam macht, nehme ich den auf. Wenn jemand aber gezielt nach Lücken sucht, die so nicht im Prozess vorgesehen sind, verhält er sich wie ein Einbrecher.
Zum Vergrößern anklicken....
Nein, ein Einbrecher will etwas stehlen. Meldet dir einer einen Fehler, Schwachstelle, dann klaut er nichts. Er hilft dir also, eine Schwachstelle zu beheben. Sucht er gezielt danach, ist es noch immer keine Straftat.

Als simpelstes Beispiel. Wenn einer bei dir an die Haustüre heranguckt und sieht, da steckt dein Schlüsse, es dir dann meldet, wird er auch jetzt von der Polizei nicht verhaftet. Erst wenn er dir etwas aus der Wohnung klaut, wirds knifflig. Da wird aber auch die Frage gestellt, warum der Schlüssel hing. Wenn du das der Versicherung sagst, Diebstahl ist versichert, also bezahlt mir das, was geklaut wurde- der Schlüssel hing, dann sagen die dir, du hast die Türe nicht abgeschlossen, selbst Schuld.

Es ist ein Unterschied ob du zufällig nen offenen FTP Server findest und den meldest oder ob einen Server nach offenen FTP Ports scannst und dann Laufwerke findest. Das ist ne nicht beauftragte Sicherheitsüberprüfung.
Zum Vergrößern anklicken....
Das bedeutet, du hast deinen Job nicht gemacht, da die Sicherheit nicht gegeben ist. Also wärst du laut der Logik strafbar. Oder etwa die Schuld auf den schieben, der dir die Lücke aufzeigt???? Also dir hilft, deinen Job zu machen?

Wegen der Denke müssen wir alle froh sein, dass es noch Hacker gibt, die so eine Schwachstelle nicht direkt aufm Markt verkaufen. Wenn die Hilfe schon nicht gewollt wird.. .
 
Zuletzt bearbeitet:
Nuklon schrieb:
Dein Beispiel ist perfekt. Wenn du hintereinander an der Rezeption versuchst dich mit verschiedenen Identitäten Zugang zu erlangen mit Social Engineering, bist du entweder Kriminell oder von der Firma beauftragt.
Machst du das als Privatspaß, bekommst du trotzdem ne Anzeige wegen Betrugsversuch. Das ist nicht deine Aufgabe.
Dann auch bitte online.
Zum Vergrößern anklicken....
Dankenswerterweise ist die Rechtslage eine Andere. Für Betrug braucht es betrügerische Absicht bzw. die Absicht einen Vorteil aus der Sache zu ziehen.
Und Social Engneering ist im Regelfall etwas anderes, als am Schalter zu stehen und einmal zu behaupten Herr Müller zu sein und direkt im Anschluss Frau Fuchs und damit durchzukommen..

Vor allem ist das pauschale Verbot Lücken zu suchen sowieso sinnig. Daran halten sich dann alle, die gute Absichten haben. Jene mit kriminellen Absichten juckt es aber nicht. Denn zum einen planen die meist sowieso etwas in Richtung Computersapotage, Erpressung, Vandalismus und Diebstahl. Entsprechende Taten bzw. Vorbereitung dazu sind sowieso härter höher bewertet als § 202 a ff. StGB. Zudem versucht man als Krimineller sich durch Aufenthalt im Ausland bzw. Verschleierung sowieso einer etwa Strafverfolgung zu entziehen.
Da der Stelle Verbote zu erlassen, die überwiegend gutwillige Leute treffen, die Pfusch aufzeigen wollen ist halt maximal deppert.
 
Da der Stelle Verbote zu erlassen, die überwiegend gutwillige Leute treffen, die Pfusch aufzeigen wollen ist halt maximal deppert.
Zum Vergrößern anklicken....
Ist doch praktisch, so kann man von den eigenen Fehlern geschickt ablenken und andere an den Pranger stellen. Genau darum kam ich oben ja mit den zu geringen Strafen bei Datendiebstahl für die Betreiber des Servers.
Würden die Strafen bei einem Datenklau den Betreibern weh tun, würden die Firmen ziemlich froh sein, wenn man ihnen Lecks, Schwachstellen zeigt, ohne dafür Geld zu verlangen.

Die Presse schreibt aber immer schön für die Firmen. "XY wurde Opfer eines Datendiebstahls."

Man kann es zwar Opfer nennen, bis dann eventuell herauskommt, das simpler Pfusch dazu führte, dass überhaupt die Daten abgreifbar waren. Aber die Meldung hat dann ja nicht zur Folge, dass es Strafen gibt, für die Betreiber.
Die Kunden sind jeweils die Gelackmeierten und die Betreiber machen sich einen schlanken Fuss. Es konnte ja keiner Ahnen etc.pp.
Mein Job ist Sicherheit, aber davon hab ich keine Ahnung. Wer konnte auch wissen, dass ein PW in Klartext aufm Server ein Problem sein könnte.

https://www.activemind.de/magazin/bussgeld-gesundheitsdaten/

Die französische Datenschutz-Aufsichtsbehörde CNIL belegte das Software-Unternehmen Deadulus Biologie mit einem Bußgeld in Höhe von 1,5 Mio. Euro. Grund dafür war eine 2021 aufgetretene Sicherheitslücke, durch die Gesundheitsdaten von 500.000 Betroffenen ins Internet gelangten.
Zum Vergrößern anklicken....
Das Bussgeld beträgt somit pro Betroffenen gerade mal 3 Euro. WTF???

Das ist nur ein Beispiel, wie total Bescheuert die derzeitige Situation ist.
 
Zuletzt bearbeitet:
Mensch_lein schrieb:
@Nuklon



Gut, sollten meine Kundendaten also einmal von jemandem abgegriffen werden können, der Grund dafür ist egal, dann darfst du mir dann also geschätzt 500 000 Euro überweisen, als Schadensersatz, gut so?
Zum Vergrößern anklicken....
Der Hammer.
Es würde die Kosten Nutzen Rechnung in Führungsetagen umdrehen.
Es würde sich lohnen, Experten einzustellen und mehr Audits/Pentests/Codereviews zu machen, weil ein Breach viel teuer wäre.
Derzeit reißen wir uns den Arsch auf und argumentieren mit White Knights, weil die Investitionen in Sicherheit oft viel zu gering sind.
Quasi das was man derzeit kostenlos erbringt und mit Bein im Knast steht, dann bezahlt zu bekommen
 
@Nuklon

Also merkst du selbst, dass deine Argumentation nicht wirklich greift?

Der jetzige Zustand bedeutet, der Betreiber kassiert Geld ohne alles für Sicherheit zu tun und wenn Kundendaten abgegriffen werden, schiebt man es auf die ach so bösen Hacker.

Dabei verarscht man gerade die Guten Hacker damit, dass man für sie ein Auffinden von Sicherheitsrelevanten Schwachstellen bestrafen will.

Als Beispiel ist die CDU genannt, der CCC hat ein Sicherheitsleck gemeldet. Was tut die CDU? Sie verklagt den CCC. Also wird der CCC niemals mehr eine Sicherheitslücke der CDU melden. Sicherheitsgewinn ist somit also Null. Idiotentum aber über Tausend.
https://www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu

Will man wirklich etwas pro Sicherheit tun, muss man den Hacker fördern, der die Schwachstellen meldet. Alles andere ist schlicht dumm, da es kontraproduktiv ist. Es kann aber egal sein, solange man die Firmen in Watte packt und ihnen durchgehen lässt, dass Sicherheit vernachlässigbar ist. Eine Strafe wegen grober Fahrlässigkeit gibt es ja noch nicht. Genau das müsste man aber einführen und Zack, es würde umgedacht.

Ums mal ganz klar auf den Punkt zu bringen. Der KUNDE hat den Schaden! Der Betreiber fabuliert nur herum, dabei hätte er es in der Hand, niemand sonst.

Ok, ich korrigiere mich. Der Gesetzgeber hätte es in der Hand, denn der müsste eigentlich einsehen, dass der Kunde den echten Schaden hat.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Piktogramm
Ich sage halt, ich bin für mein Zeug verantwortlich und der Rest hat aber seine Griffel von meinem Servern zu nehmen.

Das mit den friendly Hackern klappt doch hinten und vorne nicht. Statt die Eigentümer in Haftung zu nehmen, wird weiter ausgelagert und legalisiert.
 
Wenn du dafür verantwortlich bist, müsstest du auch für einen Schaden beim Kunden Schadensersatz leisten.

Das mit den guten Hackern funktioniert bestens. Oder leugnest du den Sicherheitsgewinn durch gestopfte Sicherheitslücken?

Aber gut, dann machen wir es mal einfach so, dass der Gesetzgeber den entstandenen Schaden endlich dem Betreiber aufbürdet. Mal sehen, ob dann noch irgendwer behauptet eine Verantwortung zu tragen, die er dann nicht trägt. Denn genau das willst du doch. Sagen, ich trage die Verantwortung, aber dann nicht dafür geradestehen.
 
  • Gefällt mir
Reaktionen: Piktogramm
Nuklon schrieb:
Ich sage halt, ich bin für mein Zeug verantwortlich und der Rest hat aber seine Griffel von meinem Servern zu nehmen.
Zum Vergrößern anklicken....
Falscher Ansatz, dein Server wird sowieso begriffelt werden. Du hast sicher zu stellen, dass dabei sich alles so verhält, wie es soll. Naja und, dass dieses Soll generell dem Rechtsrahmen entspricht.

Das mit den friendly Hackern klappt doch hinten und vorne nicht. Statt die Eigentümer in Haftung zu nehmen, wird weiter ausgelagert und legalisiert.
Zum Vergrößern anklicken....
Das es Forderungen nach ernsthafter, teurer Produkthaftung bei IT-Technik für Hard- und Software gibt, kommt nicht von ungefähr. Ebenso die Forderung nach gescheiten, verpflichtenden Bounties..

Was du forderst ist halt Bockmist. Deine "Lösung" macht jedwede öffentliche Kontrollmöglichkeit illegal. Da hätten Anbieter also nichts mehr zu befürchten (noch weniger als jetzt..). Wenn Anbieter dann nur mit denen echten Kriminellen aushandeln müssen, wie sie mit einem Breach umgehen, wird die Öffentlichkeit einfach gar nichts erfahren. Dann fließen Gelder und Anbieter wie Blackhats halten die dicht, weil es im Interesse aller involvierten Parteien (nur diese Beiden) ist.
Moppelkotze!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Andy
News Hackerparagraph: Hinweisgeber von Sicherheitslücke zur Geldstrafe verurteilt
10 11 12
Antworten
230
Aufrufe
16.183
Tito_2000
Tito_2000
Andy
News Strafverfahren: IT-Experte für das Melden einer Sicherheitslücke verklagt
13 14 15
Antworten
298
Aufrufe
24.530
Mensch_lein
M
nlr
News LTPO-OLED: BOE will beim iPhone ab 2023 ganz oben mitmischen
Antworten
19
Aufrufe
4.369
Luthredon
L
Ozmog
Erstes NAS Selbstbau-Projekt mit einigen Fragen
2
Antworten
22
Aufrufe
3.035
Ozmog
Ozmog
Marvolo
  • Geschlossen
Was ist eure Meinung: Ist die Pandemie endlich vorbei? Wie geht es jetzt weiter, alles wieder back to normal oder doch eher noch vorsichtig bleiben?
53 54 55
Antworten
1.096
Aufrufe
58.023
Lipovitan
Lipovitan

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz