Wenn die Klage durchgeht wird jeder Sicherheitsexperte es sich 2 mal überlegen ob er in Deutschland irgendeinem Unternehmen mitteilt das er eine Sicherheitslücke gefunden hat
Der Sicherheitsexperte entdeckte die Lücke nur zufällig, da er von einem Einzelhändler mit der Lösung eines technischen Problems beauftragt wurde
Leider wurde ohne Auftrag / Vertrag gehandelt, d.h. er hat sich laut dem sog. Hackerparagraphen strafbar gemacht. Da wird vom betroffenen Unternehmen halt gerne mal shooting the messenger gespielt weil man sich erhofft durch Vertuschung die eigene Haltung zu wahren.
Vgl. mit der CDU Connect app, bei der der CCC eine Sicherheitslücke aufgedeckt hat, bei der über eine offene (!) API sensible Daten abgegriffen wurden (Hacking ist in dem Fall also sogar ein streitbarer Begriff) und die CDU im Anschluss anstatt Danke zu sagen entspannt Anzeige erstattet hat.
in dem Fall hat die CDU nach dem öffentlichen aufschrei die anzeige aber wieder zurückgezogen. und das war lilith wittmann die die lücke aufgedeckt hat und angezeigt wurde.
Ja stimmt, hatte nur den Namen der Frau nicht mehr im Kopf. Der CCC hat daraufhin nur angekündigt die CDU künftig über solche Sicherheitslücken nicht mehr zu informieren.
Zeugt auf jeden Fall von zwei Dingen die in konservativen Kreisen vorhanden sind:
- Eine bodenlos beschissene / nicht vorhandene Digitalkompetenz
- Reaktionäre und nicht hinreichende Scheißpolitik, da Prävention bedeuten würde man müsste tatsächlich seine Arbeit machen
Dein Link sagt was anderes als dein Kommentar. Was jetzt nun?
Eine juristische Stellungnahme der European Expert Group for IT Security (EICAR) geht davon aus, dass gutartige Tätigkeiten (im Dienste der IT-Sicherheit) bei ausführlicher Dokumentation nach diesem Paragraphen nicht strafbar sind.[1]
Klingt für mich stark nach Auslegungssache. Es gab ja auch nen Haufen Kritik und sogar Verfassungsklagen als das damals eingeführt wurde. Ich dachte eigentlich auch es gäbe eine Ergänzung genau für den Fall pentesting. Wir hatten jedenfalls damals in der IT Sec Vorlesung gelernt nichts ohne Vertrag zu machen um nicht auf die Kulanz von irgendwelchen Firmen hoffen zu müssen, die bei falscher Auslegung die Scheiße aus dir raus klagen könnten.
Einfach alles gnadenlos anonym leaken. Sollen die Firmen halt sehen, wie sie dann damit klarkommen. War meiner Erinnerung ja nicht der einzige Fall dieser Art, nach dem der Finder einer Sicherheitslücke anschließend vom Unternehmen belangt wurde.
im prinzip ja, aber den schaden tragen letztendlich die benutzer:innen deren zahlungsdaten und passwörter da ungeschützt rumliegen
Erstens dies und zweitens würden die weißen Hüte dann gegen schwarze Hüte getauscht werden, was die Hacker ja nicht möchten. Es muss ein Umdenken und mehr Dankbarkeit geben, bei den Firmen, Parteien etc.
Aktueller Vortrag zum Thema, wie schwer es ist, Firmen überhaupt über Lücken zu informieren (1. Hälfte):
https://media.ccc.de/v/camp2023-57272-disclosure_hack_and_back
Also künftig statt auf den Fehler hinzuweisen direkt Anzeige erstatten, verstanden.
Wenn die Klage durchgeht wird jeder Sicherheitsexperte es sich 2 mal überlegen ob er in Deutschland irgendeinem Unternehmen mitteilt das er eine Sicherheitslücke gefunden hat
Das würde ich jetzt schon. Ganz davon ab wie die Anklage am Ende ausgeht ist das einfach purer Stress. Dann lieber ins Darknet verkaufen :D
Frage: kann man in so einem Fall einen Anwalt beauftragen, die Nachricht zu überbringen? Oder müsste der im Zweifelsfall wie jeder andere auch seinen Klienten preisgeben?
Man könnte die Sache über eine Zeitung spielen. Weiß jetzt nicht, ob Heise eine gute Wahl ist, aber man könnte es dort mal einwerfen: Heise Anonymer Briefkasten
