Diese Community wird zum 01.07 auf read-only gestellt. Durch die anhäufenden IT-Probleme und der fehlende Support wechseln wir als Community auf www.feddit.org/c/dach - Ihr seid herzlich eingeladen auch dort weiter zu diskutieren!
Das Sammelbecken auf feddit für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.
Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:
Eine ausführliche Sidebar findet ihr hier: Infothread: Regeln, Feedback & sonstige Infos
Auch hier gelten die Serverregeln von https://feddit.de !
Banner: SirSamuelVimes
Erinnert mich an das hier: Lilith Wittmann und die CDU-App
Welche Folgen hat das? Kein Programmierer wird mehr irgendwelche Sicherheitslücken seinem Auftraggeber oder Dritten melden, weil er sonst angezeigt wird. Und dann werden sich viele iin einer falschen Sicherheit wiegen, denn alls Systeme sind ja sicher, sonst hätte man das ja gemeldet.
so, wie der Paragraf formuliert ist, fällt darunter nicht nur ethisches Hacking selbst, sondern vor allem auch der Schritt davor: Strafbar macht sich bereits, wer Computerprogramme herstellt oder sich verschafft oder diese verbreitet, die dazu geeignet sind, Daten auszuspähen oder abzufangen.
Damit mache ich mich im Berufsalltag als second level support schon täglich strafbar.
Offensichtlich gehören Texteditoren jetzt auch zu diesen Hacking-Tools. Anzeige gegen Microsoft wegen notepad ist raus?
Notepad verstößt schon seit Jahrzehnten gegen die Menschenrechtskonvention!
Fünf Jahre Haft für alle mit Word, und für LaTeX gibt's nochmal fünf dazu!
Ja LaTeX ist für die Polizei sicher sehr verdächtig hahaha
Einfach den ganzen Kram kopieren und verkaufen. Am Ende vom Tag hast du dann Geld in irgendeiner Form und keine Anzeige vom Unternehmen mit der Sicherheitslücke. Wenn das Unternehmen sich nicht ans Gentlemen's agreement von responsible disclosure halten will, dann sollte der Hacker das auch nicht.
Wäre ja akzeptabel, wenn am Schluss nur die Unternehmen mit den Sicherheitslücken darunter leiden, aber die deren Daten dabei geleakt werden leiden halt auch darunter also keine wirklich gute Option.
Wenn man sich dabei auf die Firmen beschränkt, die schon einmal gegen einen Hacker, der RD betrieben hat vorgegangen sind, dann ist es wohl das kleinere Übel. Wenn man nett sein will, dann kann man ja noch anonym einen Brief hinschicken und drüber informieren.
lieber anonymous full disclosure. Jupp.
Das Urteil ist noch nicht rechtskräftig. Beide Parteien haben eine Woche Zeit, um Berufung gegen den Strafbeschluss einzulegen. In diesem Fall würde das Verfahren dann vor einem Landgericht, höchstwahrscheinlich in Aachen, neu verhandelt werden.
Ist nur ein Amtsgericht. Das heißt nicht viel.
Es stimmt aber schon, dass genau das vorhergesagt wurde, als der Hackerparagraph damals beschlossen wurde: Responsible Disclosure kann zu Bestrafung führen.
Das heißt, wenn man mal über sowas stolpert lieber irgendwo verkaufen als dem Hersteller zu melden. Strafbar ist man ja sowieso schon und so kann man dann wenigstens die Strafe zahlen.
Außerdem muss dann erst ermittelt werden wer dafür überhaupt schuldig ist. Wenn man es meldet wissen die das immer genau.
Genau der gleiche Scheiß wurde ja im Zusammenhang mit Kinderpornographie gemacht. Wurde letztens geändert, aber nur insofern, dass es jetzt im Ermessen der Justiz liegt, Verfahren einzustellen - aber das heißt ja, dass man es nicht einklagen kann, selbst wenn 100% offensichtlich und beweisbar wäre, dass kein einschlägiges Motiv vorhanden war.
Und jetzt haben wir eine Rechtslage, bei der Querdenker dann anonym Kinderpornos an politisch aktive Menschen schicken und diese in eine arge Zwickmühle bringen:
https://sbamueller.com/2024/01/12/wenn-man-morgen-aufwacht-und-kinderpornos-auf-dem-handy-hat/
Und die SPD-Ministerin, die 2021 dafür verantwortlich war, wurde damals schon von vielen Experten genau davor gewarnt. Aber nein, Gesetztesverschärfung war der SPD mal wieder wichtiger als Gesetzesverbesserung.
Das Durchschreiten einer geöffneten Tür ist demnächst dann also auch Einbruch.
Naja, ist ja eher Schlüssel steckt, Tür ist zu, und du gehst rein.
Und das ist tatsächlich illegal.
Hausfriedensbruch ist kein Einbruchsdiebstahl. § 202a StGB steht aber dem Einbruchdiebstahl von Normsruktur und Zielrichtung weitaus näher als der gerade nicht von der Strafnorm erfasste digitale Hausfriedensbruch.
Dein Kommentar ist daher nicht nur unqualifiziert sondern auch eklatant falsch. Du vergleichst nicht vergleichbare Dinge. Nur weil du eine Meinung zu einem Thema hast, ist diese Meinung es nicht automatisch wert kommuniziert zu werden.
Ok kannst dich jetzt wieder einkriegen
Doch!
Ja, gut. Aber die Intention der Aussage sollte klar gewesen sein. Wobei mich das zu einer weitere Frage bringt (vielleicht ist ja ein Jurist anwesend), deren Antwort ähnlich absurd sein könnte...
Einbruch als Strafbestand existiert eh nicht allein, sondern nur in Verbindung mit anderen Straftaten. Also fällt das reine Betreten eher unter Hausfriedensbruch.
Aber: Zählt eine Tür, in der der Schlüssel steckt als "abgeschlosser Raum" in den man "widerrechtlich eindringt"? Oder um die Frage noch weiter zu spinnen. Die normale deutsche Außentür hat keine Klinke zum Öffnen, dazu dient der Schlüssel. Ist also ein Schlüssel der dort von außen steckt, und mit dem jeder die Tür öffnen kann, rechtlich dann anders zu behandeln als eine drückbare Türklinke (wenn vorhanden).
Bin kein Jurist, aber § 243 StGB (genau so auch § 244 Wohnungseinbruchdiebstahl):
[Wer] zur Ausführung der Tat in ein Gebäude, einen Dienst- oder Geschäftsraum oder in einen anderen umschlossenen Raum einbricht, einsteigt, mit einem falschen Schlüssel oder einem anderen nicht zur ordnungsmäßigen Öffnung bestimmten Werkzeug eindringt oder sich in dem Raum verborgen hält,
Wenn der Schlüssel steckt, ist tatsächlich anders.
Für einen Nichtjuristen siehst du das aber absolut korrekt. Genau so ist das wohl auch bei § 202a StGb.
Ich sage "wohl", weil die Strafnorm komplett missglückt ist und man - was eigentlich nie der Fall sein dürfte - in Teilen nur raten kann, was genau nach Wunsch des Gesetzgebers jetzt am Ende strafbar sein sollte.
Hut ab, dass du die Parallele in der Wertung aber richtig erfasst. Das schafft ganz offensichtlich nicht jeder.
und es wurde nicht versucht, die Angaben des Angeklagten zu überprüfen.
Egal in welchem Zusammenhang; das ist unfassbar.
Deutsche Amtsrichter urteilen: Lack ist das beste Getränk!
Dies erinnert mich immer wieder daran dass es mehr als einen Vorfall gab bei dem jemand an sensible Daten gekommen ist indem er F12 gedrückt hat, die Sicherheitslücke dann gemeldet hat und daraufhin eine Strafanzeige ins Haus bekommen hat. Meistens waren die Kläger Verwaltungs/Regierungsorgane...
Immer diese Kacknoobs die über Dinge entscheiden, von denen sie 0,0 Ahnung haben... Aber naja, die nächst höhere Instanz ist dann meist n bisschen kompetenter.
Als jemand der bei einer größeren Behörde arbeitet: ich habe heute von unserer „IT“ ein Erklärhandbuch zu Excel geschickt bekommen. Da wird dann erklärt wie man auf das Icon drückt und Zellen ausfüllt.
Dass die nächste Instanz kompetenter ist ist reine Glückssache. Ich würde da nicht drauf wetten bei dem technologischen Stand den manche meiner Kollegen haben….
Hier muss das Gesetz angepasst werden, wenn dieses Urteil aufrecht gehalten wird von höheren Instanzen.
Ok finde jetzt die Strafe schon sehr milde gewählt. Vlt ein halbes Monatsgehalt. Und wahrscheinlich bezahlt ihm das noch die Firma die ihn beauftragt hat. Denke mal der Richter hat hier wirklich keine Möglichkeit gesehen das Gesetz anders zu deuten und ich denke er hat nicht Unrecht. Das Gesetz selber ist natürlich Müll und die Folgen alles andere als milde. War das Linus vom CCC der mal gesagt hat in Deutschland versuchen wir gerne technische inkompetenz mit juristischen Maßnahmen zu fixen? Natürlich ist es prinzipiell schon nicht schlecht so einen paragraphen in irgendeiner Form zu haben. Man will ja schon juristisch was gegen hacker in der Hand haben... Aber bringt nicht viel weil die sich ja nicht erwischen lassen, bzw gar nicht in Deutschland sind. Ist halt doppelt ärgerlich weil wenn der Programmierer nix gesagt hätte wäre auch nichts passiert. Glaubt doch keiner dass die Firma, die ihre Datenbank mit klartext passwort im Programmcode "sichert", einen unbekannten Zugriff bemerkt.
Was mich aber richtig aufregt ist dieser compilat-fetischismus... Wtf das ist ne Reihe von Zahlen von denen manche halt Buchstaben sind und der Rest ist halt was das Programm macht. Wieso immer gleich durchdrehen wenn man das ein bisschen verarbeitet... Ist ja schlimm
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Dass, das Passwort nicht verschlüsselt war, ist kein Argument. Man könnte Zweifel am Vorsatz haben, so wie es dargestellt wurde. Allerdings wäre er auch nicht unbedingt befugt gewesen, wenn es tatsächlich nur die Daten seines Kunden betroffen hätte. Der hatte ihm das PW ja nicht gegeben.
Das eigentliche Problem ist der Paragraf selber, dem es nicht auf die Absicht zum Datenspähen ankommt. Diebstahl, zum Vergleich, ist nur solcher, wenn man die Sache tatsächlich illegal behalten will. Hier reicht schon der Zugang, also das "Hacken".
Doch, es ist ein Argument. Sogar ein sehr gutes. § 202a StGb setzt nämlich das Überwinden einer Sicherung voraus. Das steht so sogar unmissverständlich im von dir zitierten Normtext.
Wenn ich ein Passwort im Klartext abspeichere, dann lässt sich sehr wohl und sehr gut argumentieren, dass es inherent keine Sicherungsfunktion erfüllen kann.
Der Schutz durch Passwörter ist zwar unzweifelhaft ein Sicherungsmechanismus, der mit § 202a StGb vor Überwindung geschützt werden soll. Das betrifft aber ganz klar Fälle, in denen man sein sicherndes Passwort nicht direkt an die Eingangstür schreibt.
Es kann für eine Strafbarkeit nach § 202a StGb schlichtweg nicht genügen, dass man ein Passwort hat, egal von welcher Qualität. "Passwort" oder "12345" als Passwort, selbst wenn es nicht irgendwo im Klartext ausgelesen werden könnte, halte ich schon für untauglich, weil dem Sicherungsmechanismus eine gewisse Sicherungsqualität innewohnen muss. Sonst fehlt es nämlich am vorausgesetzten "Überwinden". Ein Überwinden erfordert eine gewisse und nicht unerhebliche Energie, die man als Täter aufwenden müsste, um einen Schutz zu umgehen.
§ 202a StGb ist eine komplett verunglückte Strafnorm, aber einer von vornherein ungeeigneten Form der Sicherung irgendeine Sicherungsqualität beimessen zu wollen, das liefe absolut fehl. Erst Recht kann dann ein im Klartext auslesbares Passwort nicht genügen. Aber weil die Norm so ein Murks ist, darf am Ende wieder die höchstrichterliche Rechtsprechung Hilfsgesetzgeber spielen, sobald Fälle wie der jetzige in die höheren Instanzen gehen.
Ich stimme dir im Übrigen aber zu, dass die Norm in einer idealen Welt mehr subjektive Tatbestandsmerkmale erfordern sollte. Dass der reine Vorsatz genügt und keine "Ausspähabsicht" erforderlich ist, ist ohne Frage der Griff eines geriatrischen Gesetzgebers ins Klo.
Ist das die herrschende Meinung? Das überzeugt mich nicht so wirklich.
Sagen wir mal, man nimmt so eine Liste von Passwörtern, die nicht ausreichen, um besonderen Schutz zu gewährleisten. Dann benutzt man ein Programm, dass Brute Force Nutzernamen durchgeht und jeweils diese Passwörter ausprobiert. Da ist dann natürlich schon eine ziemliche Energie dahinter, aber man hat ja nur die Konten geknackt, die, per Definition, nicht besonders gesichert waren.
Oder, man geht irgendwo vorbei und erspäht den Login auf dem Klebezettel am Display. Sollte man das einfach mal ausprobieren dürfen, egal mit welcher Absicht?