Wenn die Klage durchgeht wird jeder Sicherheitsexperte es sich 2 mal überlegen ob er in Deutschland irgendeinem Unternehmen mitteilt das er eine Sicherheitslücke gefunden hat

  • passepartout@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    53
    ·
    1 year ago

    Der Sicherheitsexperte entdeckte die Lücke nur zufällig, da er von einem Einzelhändler mit der Lösung eines technischen Problems beauftragt wurde

    Leider wurde ohne Auftrag / Vertrag gehandelt, d.h. er hat sich laut dem sog. Hackerparagraphen strafbar gemacht. Da wird vom betroffenen Unternehmen halt gerne mal shooting the messenger gespielt weil man sich erhofft durch Vertuschung die eigene Haltung zu wahren.

    Vgl. mit der CDU Connect app, bei der der CCC eine Sicherheitslücke aufgedeckt hat, bei der über eine offene (!) API sensible Daten abgegriffen wurden (Hacking ist in dem Fall also sogar ein streitbarer Begriff) und die CDU im Anschluss anstatt Danke zu sagen entspannt Anzeige erstattet hat.

    • chloektboehnchen
      link
      fedilink
      Deutsch
      arrow-up
      29
      ·
      1 year ago

      in dem Fall hat die CDU nach dem öffentlichen aufschrei die anzeige aber wieder zurückgezogen. und das war lilith wittmann die die lücke aufgedeckt hat und angezeigt wurde.

      • passepartout@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        31
        ·
        edit-2
        1 year ago

        Ja stimmt, hatte nur den Namen der Frau nicht mehr im Kopf. Der CCC hat daraufhin nur angekündigt die CDU künftig über solche Sicherheitslücken nicht mehr zu informieren.

        Zeugt auf jeden Fall von zwei Dingen die in konservativen Kreisen vorhanden sind:

        1. Eine bodenlos beschissene / nicht vorhandene Digitalkompetenz
        2. Reaktionäre und nicht hinreichende Scheißpolitik, da Prävention bedeuten würde man müsste tatsächlich seine Arbeit machen
      • Pleb@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        5
        ·
        1 year ago

        Man kann eine Anzeige nicht wieder zurückziehen. So funktioniert das nicht.

        • Ooops@kbin.social
          link
          fedilink
          arrow-up
          13
          ·
          1 year ago

          Na und? Dann lüg halt einfach und behaupte es trotzdem. Das ist doch die bewährte Taktik der CxU bei nahezu allem.

          • Pleb@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            5
            ·
            1 year ago

            Klar, aber das muss man den lügenden Typen nicht zugute halten.

    • Int_not_found@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      6
      ·
      1 year ago

      Dein Link sagt was anderes als dein Kommentar. Was jetzt nun?

      Eine juristische Stellungnahme der European Expert Group for IT Security (EICAR) geht davon aus, dass gutartige Tätigkeiten (im Dienste der IT-Sicherheit) bei ausführlicher Dokumentation nach diesem Paragraphen nicht strafbar sind.[1]

      • cron@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        14
        ·
        1 year ago

        Darum ist der Fall ja momentan in den Tech Medien so präsent - weil es eine Anklage der Staatsanwaltschaft gibt, die viele so nicht erwartet hätten

      • passepartout@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        9
        ·
        1 year ago

        Klingt für mich stark nach Auslegungssache. Es gab ja auch nen Haufen Kritik und sogar Verfassungsklagen als das damals eingeführt wurde. Ich dachte eigentlich auch es gäbe eine Ergänzung genau für den Fall pentesting. Wir hatten jedenfalls damals in der IT Sec Vorlesung gelernt nichts ohne Vertrag zu machen um nicht auf die Kulanz von irgendwelchen Firmen hoffen zu müssen, die bei falscher Auslegung die Scheiße aus dir raus klagen könnten.

        • Ooops@kbin.social
          link
          fedilink
          arrow-up
          7
          ·
          1 year ago

          Pentesting ist nicht das Problem. Das machst du mit Auftrag. Der Streitfall, den die Idioten jetzt versuchen als Anzeigegrund zu etablieren, ist wenn du die Lücke zufällig bei anderen Debug-Tätigkeiten findest.