this post was submitted on 18 Aug 2023
93 points (98.9% liked)

DACH - jetzt auf feddit.org

8872 readers
1 users here now

Diese Community wird zum 01.07 auf read-only gestellt. Durch die anhäufenden IT-Probleme und der fehlende Support wechseln wir als Community auf www.feddit.org/c/dach - Ihr seid herzlich eingeladen auch dort weiter zu diskutieren!

Das Sammelbecken auf feddit für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

Eine ausführliche Sidebar findet ihr hier: Infothread: Regeln, Feedback & sonstige Infos

Auch hier gelten die Serverregeln von https://feddit.de !

Banner: SirSamuelVimes

founded 1 year ago
MODERATORS
[email protected]
[email protected]
[email protected]
[email protected]
93
Anzeige statt Dank: IT-Experte deckte Lücke auf, muss nun vor Gericht (winfuture.de)
submitted 1 year ago by [email protected] to c/[email protected]
25 comments fedilink hide all child comments
 

Wenn die Klage durchgeht wird jeder Sicherheitsexperte es sich 2 mal überlegen ob er in Deutschland irgendeinem Unternehmen mitteilt das er eine Sicherheitslücke gefunden hat

top 25 comments
sorted by: hot top controversial new old
[–] [email protected] 62 points 1 year ago* (last edited 1 year ago)

Wenn die Klage durchgeht wird jeder Sicherheitsexperte es sich 2 mal überlegen ob er in Deutschland irgendeinem Unternehmen mitteilt das er eine Sicherheitslücke gefunden hat

Du das ist schon länger so. Musst nur mal nach der CDU Connect App schauen.

Wenn man als Whitehat eine Lücke findet und dran denkt die zu melden, riskiert man direkt angezeigt zu werden. Danach werden potentiell alle deine elektronischen Geräte als potentielles Beweismittel beschlagnahmt - das inkludiert auch Arbeitsmittel wenn du Angestellter bist. Diese werden einbehalten solange das Verfahren läuft, sprich, die kannst du 6 Monate bis eher 2 Jahre vergessen, und vllt "verschwinden" die auch hinterher mysteriös. Dass du dann nicht arbeiten kannst, kein Handy mehr hast um jemanden anzurufen usw ist halt so. Good luck.

Cybersecurity ist in DE imo soweit im Arsch dass man schon wieder Licht sehen kann. Wenn man was findet, kann man vielleicht noch den Datenschutz-Aspekt nutzen, oder man riskiert nur verklagt zu werden. Ausser man ist direkt kriminell und nutzt das Ganze aus. Das ist leider unsere Realität. Und dann fang mal an nach Digitalisierung zu fragen.

[–] [email protected] 54 points 1 year ago (2 children)

Der Sicherheitsexperte entdeckte die Lücke nur zufällig, da er von einem Einzelhändler mit der Lösung eines technischen Problems beauftragt wurde

Leider wurde ohne Auftrag / Vertrag gehandelt, d.h. er hat sich laut dem sog. Hackerparagraphen strafbar gemacht. Da wird vom betroffenen Unternehmen halt gerne mal shooting the messenger gespielt weil man sich erhofft durch Vertuschung die eigene Haltung zu wahren.

Vgl. mit der CDU Connect app, bei der der CCC eine Sicherheitslücke aufgedeckt hat, bei der über eine offene (!) API sensible Daten abgegriffen wurden (Hacking ist in dem Fall also sogar ein streitbarer Begriff) und die CDU im Anschluss anstatt Danke zu sagen entspannt Anzeige erstattet hat.

[–] [email protected] 29 points 1 year ago (2 children)

in dem Fall hat die CDU nach dem öffentlichen aufschrei die anzeige aber wieder zurückgezogen. und das war lilith wittmann die die lücke aufgedeckt hat und angezeigt wurde.

[–] [email protected] 31 points 1 year ago* (last edited 1 year ago)

Ja stimmt, hatte nur den Namen der Frau nicht mehr im Kopf. Der CCC hat daraufhin nur angekündigt die CDU künftig über solche Sicherheitslücken nicht mehr zu informieren.

Zeugt auf jeden Fall von zwei Dingen die in konservativen Kreisen vorhanden sind:

  1. Eine bodenlos beschissene / nicht vorhandene Digitalkompetenz
  2. Reaktionäre und nicht hinreichende Scheißpolitik, da Prävention bedeuten würde man müsste tatsächlich seine Arbeit machen
[–] [email protected] 5 points 1 year ago (1 children)

Man kann eine Anzeige nicht wieder zurückziehen. So funktioniert das nicht.

[–] [email protected] 13 points 1 year ago (1 children)

Na und? Dann lüg halt einfach und behaupte es trotzdem. Das ist doch die bewährte Taktik der CxU bei nahezu allem.

[–] [email protected] 5 points 1 year ago

Klar, aber das muss man den lügenden Typen nicht zugute halten.

[–] [email protected] 6 points 1 year ago (2 children)

Dein Link sagt was anderes als dein Kommentar. Was jetzt nun?

Eine juristische Stellungnahme der European Expert Group for IT Security (EICAR) geht davon aus, dass gutartige Tätigkeiten (im Dienste der IT-Sicherheit) bei ausführlicher Dokumentation nach diesem Paragraphen nicht strafbar sind.[1]

[–] [email protected] 14 points 1 year ago

Darum ist der Fall ja momentan in den Tech Medien so präsent - weil es eine Anklage der Staatsanwaltschaft gibt, die viele so nicht erwartet hätten

[–] [email protected] 9 points 1 year ago (1 children)

Klingt für mich stark nach Auslegungssache. Es gab ja auch nen Haufen Kritik und sogar Verfassungsklagen als das damals eingeführt wurde. Ich dachte eigentlich auch es gäbe eine Ergänzung genau für den Fall pentesting. Wir hatten jedenfalls damals in der IT Sec Vorlesung gelernt nichts ohne Vertrag zu machen um nicht auf die Kulanz von irgendwelchen Firmen hoffen zu müssen, die bei falscher Auslegung die Scheiße aus dir raus klagen könnten.

[–] [email protected] 7 points 1 year ago (1 children)

Pentesting ist nicht das Problem. Das machst du mit Auftrag. Der Streitfall, den die Idioten jetzt versuchen als Anzeigegrund zu etablieren, ist wenn du die Lücke zufällig bei anderen Debug-Tätigkeiten findest.

[–] [email protected] 6 points 1 year ago (1 children)

Und was tut man dann wenn man zb merkt seine eigenen Daten könnten geklaut werden?

[–] [email protected] 6 points 1 year ago

Im Darknet verkaufen, wenn du dann angezeigt wirst dann wenigstens mit Recht

[–] [email protected] 36 points 1 year ago

Wenn die Klage durchgeht wird jeder Sicherheitsexperte es sich 2 mal überlegen ob er in Deutschland irgendeinem Unternehmen mitteilt das er eine Sicherheitslücke gefunden hat

Das würde ich jetzt schon. Ganz davon ab wie die Anklage am Ende ausgeht ist das einfach purer Stress. Dann lieber ins Darknet verkaufen :D

[–] [email protected] 34 points 1 year ago (1 children)

Einfach alles gnadenlos anonym leaken. Sollen die Firmen halt sehen, wie sie dann damit klarkommen. War meiner Erinnerung ja nicht der einzige Fall dieser Art, nach dem der Finder einer Sicherheitslücke anschließend vom Unternehmen belangt wurde.

[–] [email protected] 14 points 1 year ago (1 children)

im prinzip ja, aber den schaden tragen letztendlich die benutzer:innen deren zahlungsdaten und passwörter da ungeschützt rumliegen

[–] [email protected] 18 points 1 year ago (2 children)

Erstens dies und zweitens würden die weißen Hüte dann gegen schwarze Hüte getauscht werden, was die Hacker ja nicht möchten. Es muss ein Umdenken und mehr Dankbarkeit geben, bei den Firmen, Parteien etc.

[–] [email protected] 16 points 1 year ago

Viel wichtiger: es muss eine Gestz geben, dass responsible disclosure rechtlich absichert.

[–] [email protected] 12 points 1 year ago

Aktueller Vortrag zum Thema, wie schwer es ist, Firmen überhaupt über Lücken zu informieren (1. Hälfte):

https://media.ccc.de/v/camp2023-57272-disclosure_hack_and_back

[–] [email protected] 28 points 1 year ago

Also künftig statt auf den Fehler hinzuweisen direkt Anzeige erstatten, verstanden.

[–] [email protected] 10 points 1 year ago (2 children)

Frage: kann man in so einem Fall einen Anwalt beauftragen, die Nachricht zu überbringen? Oder müsste der im Zweifelsfall wie jeder andere auch seinen Klienten preisgeben?

[–] [email protected] 13 points 1 year ago

Man könnte die Sache über eine Zeitung spielen. Weiß jetzt nicht, ob Heise eine gute Wahl ist, aber man könnte es dort mal einwerfen: Heise Anonymer Briefkasten

[–] [email protected] 11 points 1 year ago

Der CCC bietet sich hier gerne an.

[–] [email protected] 10 points 1 year ago (1 children)

In Aachen stellte man sich auf die Seite der Staatsanwaltschaft Köln, wo man davon ausgeht, dass die Dekompilierung einer Binärdatei "ein tiefes Verständnis über Programmiersprachen und Softwareentwicklung" voraussetzt, da man nur dann mit dem Ergebnis umgehen kann.

Und wer denken die klaut solche Daten? Garantiert nicht Klaus von um der Ecke der den Kiosk letztens mit überfallen hat.

[–] [email protected] -3 points 1 year ago

Naja, genau darum geht es doch. Waren die Daten praktisch öffentlich zugänglichen, auch für Klaus, oder muss man sich auskennen?

Wenn letzteres der Fall ist muss sich das Gericht den Fall anschauen, da dann eine Straftat entsprechend des Gesetzes vorliegen kann.

Dass das Gesetz Schwachsinn ist, geht ja die Gerichte nix an, da muss sich die Politik mit beschäftigen.