26
Sicherheitslücke gemeldet - nun Strafverfahren gegen Softwareentwickler
Ein Softwareentwickler, der im Juni 2021 eine Sicherheitslücke in einem IT-System des Gladbecker Dienstleisters Modern Solution entdeckt und gemeldet hat (nachdem die Lücke geschlossen wurde), muss sich nun einem Strafverfahren stellen.
Die Begründungen lassen mir ein wenig die Haare zu Berge stehen. Denn „mit dem Passwortschutz (das Passwort war in Klartext hinterlegt) habe eine Sicherheitsbarriere vorgelegen, die der Entwickler bewusst passiert habe.“
Außerdem sei für die Dekompilierung ja eine Software erforderlich gewesen sei, was schließlich "ein tiefes Verständnis über Programmiersprachen und Softwareentwicklung" voraussetze.
Folglich sei der Zugriff "nur für einen eingeschränkten Personenkreis, der über das erforderliche Fachwissen verfügt" möglich gewesen.
Na dann sind wir mal froh, dass es nur für einen eingeschränkten Personenkreis möglich war, nicht? Und das wir doch ein kleiner Haufen sind - die drei / vier Leute die sowas könnten, würden das auch nicht machen. (Achtung Ironie - sicher ist sicher).
Wenn der Beitrag nicht ernst gemeint wäre, wüsste ich nicht ob ich Lachen oder Weinen sollte - oder evtl. beides zu gleich. Aber so kann man auch erreichen, dass weniger Sicherheitslücken gemeldet werden.
Quelle:
https://www.golem.de/news/sicherheitsluecke-gemeldet-modern-solution-bri ...
Die Begründungen lassen mir ein wenig die Haare zu Berge stehen. Denn „mit dem Passwortschutz (das Passwort war in Klartext hinterlegt) habe eine Sicherheitsbarriere vorgelegen, die der Entwickler bewusst passiert habe.“
Außerdem sei für die Dekompilierung ja eine Software erforderlich gewesen sei, was schließlich "ein tiefes Verständnis über Programmiersprachen und Softwareentwicklung" voraussetze.
Folglich sei der Zugriff "nur für einen eingeschränkten Personenkreis, der über das erforderliche Fachwissen verfügt" möglich gewesen.
Na dann sind wir mal froh, dass es nur für einen eingeschränkten Personenkreis möglich war, nicht? Und das wir doch ein kleiner Haufen sind - die drei / vier Leute die sowas könnten, würden das auch nicht machen. (Achtung Ironie - sicher ist sicher).
Wenn der Beitrag nicht ernst gemeint wäre, wüsste ich nicht ob ich Lachen oder Weinen sollte - oder evtl. beides zu gleich. Aber so kann man auch erreichen, dass weniger Sicherheitslücken gemeldet werden.
Quelle:
https://www.golem.de/news/sicherheitsluecke-gemeldet-modern-solution-bri ...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8177668473
Url: https://administrator.de/contentid/8177668473
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
26 Kommentare
Neuester Kommentar
Da bleibt mir echt die Spucke weg. Das ist wie in den 80ern/90ern. "Die bösen Hacker" mal wieder, statt sich um das eigentliche Problem zu kümmern. Die Denkweise mancher Menschen ist mir absolut unverständlich.
Man sollte das Unternehmen belangen, immerhin versuchen sie so ja auch ihre "Fehler" zu vertuschen...
Ein kleiner Trost ist, dass die Rezensionen von Modern Solution immerhin nun komplett im Keller sind.
Ein kleiner Trost ist, dass die Rezensionen von Modern Solution immerhin nun komplett im Keller sind.
Zitat von @ludaku:
Ein kleiner Trost ist, dass die Rezensionen von Modern Solution immerhin nun komplett im Keller sind.
Ein kleiner Trost ist, dass die Rezensionen von Modern Solution immerhin nun komplett im Keller sind.
Ob das wirklich ein Trost ist?
Das Thema mit den Rezensionen ist ja auch wieder ein eigenes. Gerade Touristiker kämpfen hier extrem, da diese zum Teil mit negativen Rezensionen „erpresst“ werden.
Aber Back2Topic - so ein Urteil kann bzw. wird natürlich weisend für die Zukunft sein - darum bin ich jetzt schon ziemlich auf den Ausgang gespannt.
Moin,
man muss den Vorfall ja mit zwei "Systemen" bewerten:
Die juristische Seite wird hier vermutlich (nach aktueller Lage/ meinem nicht tiefgründig recherchierten Wissen) wird es sicherlich eine Straftat gewesen sein: Er hat die Software (der vermutlich rechtlich geschützt ist) dekompiliert, anschließend das hart programmierte Passwort "ausgelesen" (so ging es auf der Sekundärliteratur - heise-online - hervor) und sich dann Zugang verschafft. Zwei Hindernisse, die er überwunden hat - ob die Hindernisse jetzt ausreichend waren, gilt es zu klären. Laut Heise-Online war es des Weiteren ein leicht zu erratendes Kennwort.
Zudem ist er nicht vom Hersteller beauftragt worden.
Die zweite Sicht ist die moralische.
Der Beklagte hat das ja erst publik gemacht, nachdem der Hersteller das Problem gemeldet bekommen und behoben hat. Der Beklagte hat somit nicht angestrebt, die Lücke für kriminelle Zwecke auszunutzen.
Zudem hat er "... zum Wohle der Allgemeinheit..." agiert. Dass man ihm daraus einen Strick drehen will, ist dreist/ frech/ was auch immer. Und sicherlich werden, je nach Urteilssprechung, entdeckte Lücken nicht mehr so schnell gemeldet werden - zumindest nicht, wenn es keine Meldestellen gibt, an die man sich anonym wenden kann.
Ob das Thema im übrigen meldepflichtig (im Sinner der DSGVO) war, wäre auch mal spannend. denn so völlig frei verfügbar waren die 700.000 Kundendaten ja nicht. Zumindest ist dies (noch) nicht bekannt.
man muss den Vorfall ja mit zwei "Systemen" bewerten:
Die juristische Seite wird hier vermutlich (nach aktueller Lage/ meinem nicht tiefgründig recherchierten Wissen) wird es sicherlich eine Straftat gewesen sein: Er hat die Software (der vermutlich rechtlich geschützt ist) dekompiliert, anschließend das hart programmierte Passwort "ausgelesen" (so ging es auf der Sekundärliteratur - heise-online - hervor) und sich dann Zugang verschafft. Zwei Hindernisse, die er überwunden hat - ob die Hindernisse jetzt ausreichend waren, gilt es zu klären. Laut Heise-Online war es des Weiteren ein leicht zu erratendes Kennwort.
Zudem ist er nicht vom Hersteller beauftragt worden.
Die zweite Sicht ist die moralische.
Der Beklagte hat das ja erst publik gemacht, nachdem der Hersteller das Problem gemeldet bekommen und behoben hat. Der Beklagte hat somit nicht angestrebt, die Lücke für kriminelle Zwecke auszunutzen.
Zudem hat er "... zum Wohle der Allgemeinheit..." agiert. Dass man ihm daraus einen Strick drehen will, ist dreist/ frech/ was auch immer. Und sicherlich werden, je nach Urteilssprechung, entdeckte Lücken nicht mehr so schnell gemeldet werden - zumindest nicht, wenn es keine Meldestellen gibt, an die man sich anonym wenden kann.
Ob das Thema im übrigen meldepflichtig (im Sinner der DSGVO) war, wäre auch mal spannend. denn so völlig frei verfügbar waren die 700.000 Kundendaten ja nicht. Zumindest ist dies (noch) nicht bekannt.
Moin @em-pie,
Bzgl. Der Juristischen Seite würde ich sagen Jein - aber ich bin auch kein Rechtsexperte. Aber laut dem Heise Bericht war der Programmierer zu dieser Zeit freiberuflich für einen Modern-Solution-Kunden auf Fehlersuche und meldete die Sicherheitslücke bei Modern Solution und machte sie anschließend öffentlich, nachdem die Firma die Lücke behoben hatte.
Wie du gesagt hast, handelt es sich im vorliegenden Fall um ein extrem leicht zu erratendes Passwort, das fest in die betroffene Software eingetragen und damit für alle Installationen gleich war.
Es konnte entweder an Punkten im internen Netz des Kunden mitgeschnitten werden, an denen die Transportverschlüsselung nicht greift, oder eben durch Dekompilieren der Binärdateien des Programms gefunden werden. Und mit diesem Passwort wurde eine SQL-Verbindung durchs Internet auf die Server von Modern Solution geöffnet.
Wie gesagt - ich bin kein Rechtsexperte oder ähnliches, aber wenn das hier wirklich so war, kann man imho nicht von einer Straftat oder einer „gewollten Aktion“ ausgehen - aber ich denke, dass wir auf jeden Fall das Ergebnis hören / sehen / lesen werden.
Bzgl. Der Juristischen Seite würde ich sagen Jein - aber ich bin auch kein Rechtsexperte. Aber laut dem Heise Bericht war der Programmierer zu dieser Zeit freiberuflich für einen Modern-Solution-Kunden auf Fehlersuche und meldete die Sicherheitslücke bei Modern Solution und machte sie anschließend öffentlich, nachdem die Firma die Lücke behoben hatte.
Wie du gesagt hast, handelt es sich im vorliegenden Fall um ein extrem leicht zu erratendes Passwort, das fest in die betroffene Software eingetragen und damit für alle Installationen gleich war.
Es konnte entweder an Punkten im internen Netz des Kunden mitgeschnitten werden, an denen die Transportverschlüsselung nicht greift, oder eben durch Dekompilieren der Binärdateien des Programms gefunden werden. Und mit diesem Passwort wurde eine SQL-Verbindung durchs Internet auf die Server von Modern Solution geöffnet.
Wie gesagt - ich bin kein Rechtsexperte oder ähnliches, aber wenn das hier wirklich so war, kann man imho nicht von einer Straftat oder einer „gewollten Aktion“ ausgehen - aber ich denke, dass wir auf jeden Fall das Ergebnis hören / sehen / lesen werden.
Zitat von @kontext:
Wie du gesagt hast, handelt es sich im vorliegenden Fall um ein extrem leicht zu erratendes Passwort, das fest in die betroffene Software eingetragen und damit für alle Installationen gleich war.
Und da verstößt doch der Hersteller schon mal gegen EU Recht, wenn ich mich nicht täusche?Wie du gesagt hast, handelt es sich im vorliegenden Fall um ein extrem leicht zu erratendes Passwort, das fest in die betroffene Software eingetragen und damit für alle Installationen gleich war.
Hallo,
der Vorwurf lautet, "er habe sich selber im Rahmen der Aufdeckung unrechtmäßig Zugang zu den Kundendaten verschafft".
Hätte er den Hersteller nicht auf das Passwort hinweisen können und/oder die diesen Umstand öffentlich diskutieren können, ohne es selbst zu nutzen?
Ich halte die rechtliche Barriere, die er damit überschritten hat, als solche für leicht erkennbar; darauf zielen letztlich die Argumente des Landgerichts ab - man stolperte nicht unversehens über die Kundendaten.
Grüße
Richard
der Vorwurf lautet, "er habe sich selber im Rahmen der Aufdeckung unrechtmäßig Zugang zu den Kundendaten verschafft".
Hätte er den Hersteller nicht auf das Passwort hinweisen können und/oder die diesen Umstand öffentlich diskutieren können, ohne es selbst zu nutzen?
Ich halte die rechtliche Barriere, die er damit überschritten hat, als solche für leicht erkennbar; darauf zielen letztlich die Argumente des Landgerichts ab - man stolperte nicht unversehens über die Kundendaten.
Grüße
Richard
Zitat von @wiesi200:
Zitat von @kontext:
Wie du gesagt hast, handelt es sich im vorliegenden Fall um ein extrem leicht zu erratendes Passwort, das fest in die betroffene Software eingetragen und damit für alle Installationen gleich war.
Und da verstößt doch der Hersteller schon mal gegen EU Recht, wenn ich mich nicht täusche?Wie du gesagt hast, handelt es sich im vorliegenden Fall um ein extrem leicht zu erratendes Passwort, das fest in die betroffene Software eingetragen und damit für alle Installationen gleich war.
Fest hinterlegtes Passwort... Alter Schwede! Sowas kam mir zuletzt in den 90er-Jahren unter.
Und da hatten wir auch gleich alle Produkte beinhart entfernt wo der Hersteller sich gewunden hat das zu korrigieren oder auch noch Geld verlangen wollte dafür.
Gesetzeskonform oder nicht. Höchst fragwürdig auf jeden Fall.
Moin @kontext,
Wann und wo ist die Verhandlung?
Ich würde gerne bei diesem Schwachsinn mit anwesend sein.
😯 ... bitte was ... 😱
Oh je, da es ein Strafverfahren ist, geht die Anklage von der Staatsanwaltschaft aus. 🙈
Na ja, hier hat sich definitiv ein(e) Staatsanwalt(in), der von IT und vor allem deren Security überhaupt keine Ahnung hat, wohl auch zu wichtig genommen. 😔
Der Softwareentwickler sollte sich einen guten Anwalt nehmen, der sowohl der entsprechenden Staatsanwaltschaft, aber vor allem der "Modern Solution" mal ordentlich zeigt wo es in der IT lang geht. 🤪
Der Gute sollte gelobt und nicht an den Prager gestellt werden!
Beste Grüsse aus BaWü
Alex
Ein Softwareentwickler, der im Juni 2021 eine Sicherheitslücke in einem IT-System des Gladbecker Dienstleisters Modern Solution entdeckt und gemeldet hat (nachdem die Lücke geschlossen wurde), muss sich nun einem Strafverfahren stellen.
Wann und wo ist die Verhandlung?
Ich würde gerne bei diesem Schwachsinn mit anwesend sein.
Die Begründungen lassen mir ein wenig die Haare zu Berge stehen. Denn „mit dem Passwortschutz (das Passwort war in Klartext hinterlegt) habe eine Sicherheitsbarriere vorgelegen, die der Entwickler bewusst passiert habe.“
Außerdem sei für die Dekompilierung ja eine Software erforderlich gewesen sei, was schließlich "ein tiefes Verständnis über Programmiersprachen und Softwareentwicklung" voraussetze.
Folglich sei der Zugriff "nur für einen eingeschränkten Personenkreis, der über das erforderliche Fachwissen verfügt" möglich gewesen.
Außerdem sei für die Dekompilierung ja eine Software erforderlich gewesen sei, was schließlich "ein tiefes Verständnis über Programmiersprachen und Softwareentwicklung" voraussetze.
Folglich sei der Zugriff "nur für einen eingeschränkten Personenkreis, der über das erforderliche Fachwissen verfügt" möglich gewesen.
😯 ... bitte was ... 😱
Oh je, da es ein Strafverfahren ist, geht die Anklage von der Staatsanwaltschaft aus. 🙈
Na ja, hier hat sich definitiv ein(e) Staatsanwalt(in), der von IT und vor allem deren Security überhaupt keine Ahnung hat, wohl auch zu wichtig genommen. 😔
Der Softwareentwickler sollte sich einen guten Anwalt nehmen, der sowohl der entsprechenden Staatsanwaltschaft, aber vor allem der "Modern Solution" mal ordentlich zeigt wo es in der IT lang geht. 🤪
Der Gute sollte gelobt und nicht an den Prager gestellt werden!
Beste Grüsse aus BaWü
Alex
Zitat von @kontext:
Ein Softwareentwickler, der im Juni 2021 eine Sicherheitslücke in einem IT-System des Gladbecker Dienstleisters Modern Solution entdeckt und gemeldet hat (nachdem die Lücke geschlossen wurde), muss sich nun einem Strafverfahren stellen.
Ein Softwareentwickler, der im Juni 2021 eine Sicherheitslücke in einem IT-System des Gladbecker Dienstleisters Modern Solution entdeckt und gemeldet hat (nachdem die Lücke geschlossen wurde), muss sich nun einem Strafverfahren stellen.
Willkommen im besten Deutschland aller Zeiten! Anstatt einzugestehen "Ja, auch wir machen mal Mist, sind aber dankbar, wenn es jemand herausfindet." nee, nur großes MIMIMI. Das spricht wohl für die neue deutsche Qualität.
Die Begründungen lassen mir ein wenig die Haare zu Berge stehen. Denn „mit dem Passwortschutz (das Passwort war in Klartext hinterlegt) habe eine Sicherheitsbarriere vorgelegen, die der Entwickler bewusst passiert habe.“
Nun ja. Ein Caprio gilt auch als abgeschlossen, wenn die Türen wirklich abgeschlossen sind, selbst wenn das Verdeck dann offen steht.
Außerdem sei für die Dekompilierung ja eine Software erforderlich gewesen sei, was schließlich "ein tiefes Verständnis über Programmiersprachen und Softwareentwicklung" voraussetze.
Wow. Wer noch Assembler beherrscht, kann jede Software in einen Code übersetzen, der alle seine Geheimnisse offenbart. (Schade, dass ich da raus bin.)
Folglich sei der Zugriff "nur für einen eingeschränkten Personenkreis, der über das erforderliche Fachwissen verfügt" möglich gewesen.
Programmierer und Entwickler eben.
Grüße
bdmvg
Moin @beidermachtvongreyscull,
diese Ansicht ist selbst unter den Rechtsverdrehern sehr strittig. 🤪
Absolut nicht zulässig hingegen ist, wenn man bei dem Cabrio nur die Türen und Fenster schliesst und dann durch das offenen Verdeck den Fahrzeugschlüssel wieder auf den Fahrersitzt legt.
Den dass ist grob fahrlässig und genau das ...
... ist in diesem Fall meiner Ansicht nach auch geschehen. 😉
Gruss Alex
Nun ja. Ein Caprio gilt auch als abgeschlossen, wenn die Türen wirklich abgeschlossen sind, selbst wenn das Verdeck dann offen steht.
diese Ansicht ist selbst unter den Rechtsverdrehern sehr strittig. 🤪
Absolut nicht zulässig hingegen ist, wenn man bei dem Cabrio nur die Türen und Fenster schliesst und dann durch das offenen Verdeck den Fahrzeugschlüssel wieder auf den Fahrersitzt legt.
Den dass ist grob fahrlässig und genau das ...
"das Passwort war in Klartext hinterlegt"
... ist in diesem Fall meiner Ansicht nach auch geschehen. 😉
Gruss Alex
2Zitat von @beidermachtvongreyscull:
Wow. Wer noch Assembler beherrscht, kann jede Software in einen Code übersetzen, der alle seine Geheimnisse offenbart. (Schade, dass ich da raus bin.)
Es geht noch viel einfacher. Wenn das Progrämchen in C# geschrieben wurde und das macht heutzutage ja schon fast jeder, dann ist nur eines wichtig:Wow. Wer noch Assembler beherrscht, kann jede Software in einen Code übersetzen, der alle seine Geheimnisse offenbart. (Schade, dass ich da raus bin.)
Die Namen der Tools zu kennen die das Reingeneering für einen übernehmen. Viele davon kosten nicht mal was.
Also von wegen ...besonderes Fachwissen...
2
Mal als Anmerkung: nur weil etwas techn. Möglich ist (Reverse Engineering) heißt es nicht automatisch, dass es legal ist.
Beispiel Cabrio: Ist das Fahrzeug komplett abgeschlossen, aber das VErdeck offen, bleibt der Diebstahl der Handtasche vom Beifahrersitz weiterhin eine Straftat. Der Halter/ Fahrer wird dennoch mit herangezogen, da es ein sicherlich fahrlässiges VErhalten gewesen ist.
Hacker Entwickler beauftrage, bei TeamViewer mal nach Lücken zu suchen und dabei die Software "auseinander zunehmen" (im Sinne von Barrieren zu überwinden), ist es sicherlich eine Straftat. Würde TeamViewer dieselbe Person selbst beauftragen, sähe die Sache anders aus...
Und nur der Vollständigkeit halber:
Bin kein Jurist. Versuche die Sache aber auch mal sachlich zu betrachten.
Dass jemand seitens der Staatsanwaltschaft angeklagt wird, weil er etwas Gutes im Sinn hatte, halte ich ebenfalls für mehr als nur fragwürdig. Aber das Rechtssystem funktioniert (zum Glück) auf Fakten (in den allermeisten Fällen jedenfalls) und nicht auf Basis eines Nasenfaktors.
=> Ethisch/ Moralisch bleibt der hier vorliegende Fall aber zweifelsfrei spannend.
Beispiel Cabrio: Ist das Fahrzeug komplett abgeschlossen, aber das VErdeck offen, bleibt der Diebstahl der Handtasche vom Beifahrersitz weiterhin eine Straftat. Der Halter/ Fahrer wird dennoch mit herangezogen, da es ein sicherlich fahrlässiges VErhalten gewesen ist.
Zitat von @kontext
Bzgl. Der Juristischen Seite würde ich sagen Jein - aber ich bin auch kein Rechtsexperte. Aber laut dem Heise Bericht war der Programmierer zu dieser Zeit freiberuflich für einen Modern-Solution-Kunden auf Fehlersuche und meldete die Sicherheitslücke bei Modern Solution und machte sie anschließend öffentlich, nachdem die Firma die Lücke behoben hatte.
Ja genau. Der Entwickler/ Finder der Lücke war im Auftrag eines anderen auf der Suche, nicht aber im Auftrag des Herstellers selbst. Wenn ich einen Bzgl. Der Juristischen Seite würde ich sagen Jein - aber ich bin auch kein Rechtsexperte. Aber laut dem Heise Bericht war der Programmierer zu dieser Zeit freiberuflich für einen Modern-Solution-Kunden auf Fehlersuche und meldete die Sicherheitslücke bei Modern Solution und machte sie anschließend öffentlich, nachdem die Firma die Lücke behoben hatte.
Und nur der Vollständigkeit halber:
Bin kein Jurist. Versuche die Sache aber auch mal sachlich zu betrachten.
Dass jemand seitens der Staatsanwaltschaft angeklagt wird, weil er etwas Gutes im Sinn hatte, halte ich ebenfalls für mehr als nur fragwürdig. Aber das Rechtssystem funktioniert (zum Glück) auf Fakten (in den allermeisten Fällen jedenfalls) und nicht auf Basis eines Nasenfaktors.
=> Ethisch/ Moralisch bleibt der hier vorliegende Fall aber zweifelsfrei spannend.
Zitat von @em-pie:
Mal als Anmerkung: nur weil etwas techn. Möglich ist (Reverse Engineering) heißt es nicht automatisch, dass es legal ist.
Beispiel Cabrio: Ist das Fahrzeug komplett abgeschlossen, aber das VErdeck offen, bleibt der Diebstahl der Handtasche vom Beifahrersitz weiterhin eine Straftat. Der Halter/ Fahrer wird dennoch mit herangezogen, da es ein sicherlich fahrlässiges VErhalten gewesen ist.
Mal als Anmerkung: nur weil etwas techn. Möglich ist (Reverse Engineering) heißt es nicht automatisch, dass es legal ist.
Beispiel Cabrio: Ist das Fahrzeug komplett abgeschlossen, aber das VErdeck offen, bleibt der Diebstahl der Handtasche vom Beifahrersitz weiterhin eine Straftat. Der Halter/ Fahrer wird dennoch mit herangezogen, da es ein sicherlich fahrlässiges VErhalten gewesen ist.
Da bin ich bei Dir. Es gibt allerdings Sprachen, da ist eine Dekompilierung anscheinend sogar per Design nicht mal ausgeschlossen. Ich hatte den Fall, dass ich ein Kompilat (dll-Datei) im Quellcode brauchte. Rückübersetzung nach C# lief fehlerfrei. Ich war selbst erstaunt.
=> Ethisch/ Moralisch bleibt der hier vorliegende Fall aber zweifelsfrei spannend.
Ich wäre einfach nur dankbar gewesen, wenn mich jemand auf meine Fehler hinweist, sodass ich schlimmeres verhindern kann. Hätte der Betreiber Storm-0558 zu Besuch gehabt, würden die wohl jetzt niemandem zum juristischen Hauklotz führen, sondern selbst drunter liegen, wenn die Lücke rausgekommen wäre.
Zitat von @em-pie:
Ja genau. Der Entwickler/ Finder der Lücke war im Auftrag eines anderen auf der Suche, nicht aber im Auftrag des Herstellers selbst. Wenn ich einenHacker Entwickler beauftrage, bei TeamViewer mal nach Lücken zu suchen und dabei die Software "auseinander zunehmen" (im Sinne von Barrieren zu überwinden), ist es sicherlich eine Straftat. Würde TeamViewer dieselbe Person selbst beauftragen, sähe die Sache anders aus...
Ja genau. Der Entwickler/ Finder der Lücke war im Auftrag eines anderen auf der Suche, nicht aber im Auftrag des Herstellers selbst. Wenn ich einen
Also ich bin ja auch kein Experte, aber wenn mich eine Firma beauftragt Schwachstellen in Netzwerk und Apps zu finden, dann gehört es ja wohl auch zu den Aufgaben bestimmte Techniken einzusetzen die auch geeignet sind einen Fehler zu finden.
Ein Wireshark, LanGuard und wie sie alle heißen um das Netzwerk zu analysieren, sind da durchaus üblich. Käme dann MS daher und würde ein Anzeige machen, weil man im Protokoll XYZ einen Fehler aufgedeckt hat mit Mitteln die 08/15 halt nicht kennt, würde sich selbst ein unbedarfter Staatsanwalt die Stirn halten.
Und genauso ist es bei Applicationen. Wenn man eine DLL oder eine EXE mit einem Freeware-Tool total aufdröseln kann (nur eine Vermutung), darin aber sensible Daten enthalten sind, noch dazu, wie es heißt, im Klartext und nicht "salted" dann ist das das doch fahrlässig oder? Hatte der Auftragnehmer nicht sogar die Pflicht das aufzudecken? Zumindest in Österreich ist man aufgrund vieler Gesetze verpflichtet auf Datensicherheit zu achten. Was mich zu der Frage führt ob nicht eher dieses Unternehmen das die Software entwickelt hat hinterfragt werden sollte...
Just saying!!
Und nur der Vollständigkeit halber:
Bin kein Jurist. Versuche die Sache aber auch mal sachlich zu betrachten.
Dass jemand seitens der Staatsanwaltschaft angeklagt wird, weil er etwas Gutes im Sinn hatte, halte ich ebenfalls für mehr als nur fragwürdig. Aber das Rechtssystem funktioniert (zum Glück) auf Fakten (in den allermeisten Fällen jedenfalls) und nicht auf Basis eines Nasenfaktors.
Bin kein Jurist. Versuche die Sache aber auch mal sachlich zu betrachten.
Dass jemand seitens der Staatsanwaltschaft angeklagt wird, weil er etwas Gutes im Sinn hatte, halte ich ebenfalls für mehr als nur fragwürdig. Aber das Rechtssystem funktioniert (zum Glück) auf Fakten (in den allermeisten Fällen jedenfalls) und nicht auf Basis eines Nasenfaktors.
Recht ist eben nicht immer = Richtig. Traurig und wie ich, ebenso wie du, schon geschrieben habe ethisch und moralisch zumindest zweifelhaft.
Moin @mayho33,
aber genau das, nämlich ethisch und moralisch zweifelhaft zu sein, darf das Recht eigentlich schon alleine aufgrund des Grundgesetzes, überhaupt nicht sein!
GG Art 1
1. Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.
Und wenn etwas ethisch und oder moralisch nicht in Ornung ist, kann es ja wohl kaum Menschenwürdig sein.
Aber ja, ich weiss, Theorie und Praxis. 😔
Gruss Alex
Recht ist eben nicht immer = Richtig. Traurig und wie ich, ebenso wie du, schon geschrieben habe ethisch und moralisch zumindest zweifelhaft.
aber genau das, nämlich ethisch und moralisch zweifelhaft zu sein, darf das Recht eigentlich schon alleine aufgrund des Grundgesetzes, überhaupt nicht sein!
GG Art 1
1. Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.
Und wenn etwas ethisch und oder moralisch nicht in Ornung ist, kann es ja wohl kaum Menschenwürdig sein.
Aber ja, ich weiss, Theorie und Praxis. 😔
Gruss Alex
Zitat von @MysticFoxDE:
Moin @mayho33,
aber genau das, nämlich ethisch und moralisch zweifelhaft zu sein, darf das Recht eigentlich schon alleine aufgrund des Grundgesetzes, überhaupt nicht sein!
GG Art 1
1. Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.
Und wenn etwas ethisch und oder moralisch nicht in Ornung ist, kann es ja wohl kaum Menschenwürdig sein.
Aber ja, ich weiss, Theorie und Praxis. 😔
Gruss Alex
Moin @mayho33,
Recht ist eben nicht immer = Richtig. Traurig und wie ich, ebenso wie du, schon geschrieben habe ethisch und moralisch zumindest zweifelhaft.
aber genau das, nämlich ethisch und moralisch zweifelhaft zu sein, darf das Recht eigentlich schon alleine aufgrund des Grundgesetzes, überhaupt nicht sein!
GG Art 1
1. Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt.
Und wenn etwas ethisch und oder moralisch nicht in Ornung ist, kann es ja wohl kaum Menschenwürdig sein.
Aber ja, ich weiss, Theorie und Praxis. 😔
Gruss Alex
Ein Beispiel aus dem Leben:
Jeder Mensch hat das Recht Cookies abzulehnen. Gleichzeitig hat jedes Unternehmen das Recht Cookies einzusetzen um etwas über das Surf-Verhalten der Menschen herauszufinden.
Damit nicht jeder Mensch gleich alle Cookies ablehnt, wird eigentlich immer verhindert, dass ein abgelehntes Cookie dauerhaft gesperichert wird. Man muss es also unter Umständen immer wieder ablehnen.
Eine andere Variante, dass es User leid werden Cookies abzulehnen ist, jeden einzelnen Punkt separat ablehnen zu lassen. Vielleicht sogar in Sub-Menüs verschschtelt
Oder man hebt die Ablehnung bedingt mit "berechtigtem Interesse" auf.
Das alles ist vor dem Gesetz Recht. Ob es richtig ist Leute auszuspionieren oder ethisch? Das ist die Frage.
Ich hab mir den Golem Text mal durchgelesen.
Dort steht das der Zuständige Richter den Strafantrag abgelehnt hat.
Das Landgericht Aachen hat aber nach Berufung der Staatsanwaltschaft entschieden das verhandelt werden muss.
Ich sag mal, nur weil irgendwas verhandelt wird ist die Schuld ja noch nicht festgelegt. Vielleicht soll es ja mal zu einem Referenzurteil kommen damit "ruhe" ist und Festgestellt wird das der Programmierer in so nem Fall eben nicht Schuldhaft ist.
Dort steht das der Zuständige Richter den Strafantrag abgelehnt hat.
Das Landgericht Aachen hat aber nach Berufung der Staatsanwaltschaft entschieden das verhandelt werden muss.
Ich sag mal, nur weil irgendwas verhandelt wird ist die Schuld ja noch nicht festgelegt. Vielleicht soll es ja mal zu einem Referenzurteil kommen damit "ruhe" ist und Festgestellt wird das der Programmierer in so nem Fall eben nicht Schuldhaft ist.
Dort steht das der Zuständige Richter den Strafantrag abgelehnt hat.
👍👍👍 Lob an diesen Richter, der definitiv "Hirn" bewiesen hat.
Das Landgericht Aachen hat aber nach Berufung der Staatsanwaltschaft entschieden das verhandelt werden muss.
👎👎👎
Sag ich doch, von IT und vor allem deren Sicherheit nichts verstehende Staatsanwaltschaft die sich gerne zu wichtig machen möchte. 🤢🤮
Zitat von @em-pie:
Das ist imho eine der Kernfragen bzw. wie es hier abgelaufen ist. Ich zum Beispiel verstehe das so: Der Modern Solution Kunde X hat ein Problem und hat selber ein Entwickler bzw. „kennt da jemand“ der ihm das macht. Derjenige geht auf Fehlersuche und stoßt dann auf das Problem bzw. Sicherheitslücke.
Er findet also den Autoschlüssel und statt gleich diesen dem Fundbüro zu bringen, schaut er zu welchem Auto es gehört und meldet sich dann beim KFZ-Inhaber.
Dieser Schritt ist halt das Dilemma. Auf der einen Seite erwartet mann ja nicht, dass nachdem man das Passwort knapp 700.000 Kundendaten präsentiert bekommt bzw. Zugriff hat. Auf der anderen Seite muss man im Zuge einer Fehleranalye schauen warum das Problem XY existiert und ob es in dem „privaten Bereich“ eine mögliche Fehlerursache gibt. Aber wie gesagt - ist meine persönliche Meinung bzw. So wie ich es Verstanden habe.
Bin ich bei dir - es wird auf jeden Fall ein Präzedenzfall werden bzw. Ich bin mal gespannt. Ich bin auch dafür das ganze sachlich zu sehen und bin kein Fan von Emotionen (egal um welches Thema es geht) - aber leider kann sowas in diese Richtung sehr schnell passieren und auch den meisten von uns im Falle von Troubleshooting…
Gruß
@kontext
Ja genau. Der Entwickler/ Finder der Lücke war im Auftrag eines anderen auf der Suche, nicht aber im Auftrag des Herstellers selbst. Wenn ich einen Hacker Entwickler beauftrage, bei TeamViewer mal nach Lücken zu suchen und dabei die Software "auseinander zunehmen" (im Sinne von Barrieren zu überwinden), ist es sicherlich eine Straftat. Würde TeamViewer dieselbe Person selbst beauftragen, sähe die Sache anders aus...
Das ist imho eine der Kernfragen bzw. wie es hier abgelaufen ist. Ich zum Beispiel verstehe das so: Der Modern Solution Kunde X hat ein Problem und hat selber ein Entwickler bzw. „kennt da jemand“ der ihm das macht. Derjenige geht auf Fehlersuche und stoßt dann auf das Problem bzw. Sicherheitslücke.
Er findet also den Autoschlüssel und statt gleich diesen dem Fundbüro zu bringen, schaut er zu welchem Auto es gehört und meldet sich dann beim KFZ-Inhaber.
Dieser Schritt ist halt das Dilemma. Auf der einen Seite erwartet mann ja nicht, dass nachdem man das Passwort knapp 700.000 Kundendaten präsentiert bekommt bzw. Zugriff hat. Auf der anderen Seite muss man im Zuge einer Fehleranalye schauen warum das Problem XY existiert und ob es in dem „privaten Bereich“ eine mögliche Fehlerursache gibt. Aber wie gesagt - ist meine persönliche Meinung bzw. So wie ich es Verstanden habe.
Zitat von @wiesi200:
Ich sag mal, nur weil irgendwas verhandelt wird ist die Schuld ja noch nicht festgelegt. Vielleicht soll es ja mal zu einem Referenzurteil kommen damit "ruhe" ist und Festgestellt wird das der Programmierer in so nem Fall eben nicht Schuldhaft ist.
Ich sag mal, nur weil irgendwas verhandelt wird ist die Schuld ja noch nicht festgelegt. Vielleicht soll es ja mal zu einem Referenzurteil kommen damit "ruhe" ist und Festgestellt wird das der Programmierer in so nem Fall eben nicht Schuldhaft ist.
Bin ich bei dir - es wird auf jeden Fall ein Präzedenzfall werden bzw. Ich bin mal gespannt. Ich bin auch dafür das ganze sachlich zu sehen und bin kein Fan von Emotionen (egal um welches Thema es geht) - aber leider kann sowas in diese Richtung sehr schnell passieren und auch den meisten von uns im Falle von Troubleshooting…
Gruß
@kontext
Was hier nicht steht:
Der Entdecker hat vorher bei der Firma gearbeitet.. das dürfte da wohl mit reinspielen:
https://www.borncity.com/blog/2023/06/13/anzeige-von-modern-solution-geg ...
Der Entdecker hat vorher bei der Firma gearbeitet.. das dürfte da wohl mit reinspielen:
https://www.borncity.com/blog/2023/06/13/anzeige-von-modern-solution-geg ...
Zitat von @Hr-Schmidt:
Was hier nicht steht:
Der Entdecker hat vorher bei der Firma gearbeitet.. das dürfte da wohl mit reinspielen
Was hier nicht steht:
Der Entdecker hat vorher bei der Firma gearbeitet.. das dürfte da wohl mit reinspielen
Nicht ganz richtig. Der Entwickler / Angeklagte war nicht bei Modern Solution angestellt sondern bei JTL.
Und JTL ist der Hersteller der Warenwirtschafts-Systeme, mit denen die Software von Modern Solution auf Seite des Einzelhändlers verbunden wird.
Der Entwickler hat diesen Arbeitgeber wohl "nach Konflikten" verlassen, was dieser laut heise auch nicht bestreitet.
Edit: Aber reicht sowas bzw. bietet das genügend Nährboden um den Stein so ins Rollen zu bringen? Wäre es ebenfalls so passiert, wenn es sich um einen „fremden“ Entwickler gehandelt hätte?
Grüße
@kontext
Meldete die Sicherheitslücke bei Modern Solution und machte sie anschließend öffentlich, nachdem die Firma die Lücke behoben hatte.
Das ist der Knackpunkt. Warum macht man das Üffentlich? Er ist als Dienstleiter Vetrauensperson, da sollte mla mit Veröffentlichungen Vorsichtig sein. Eine Meldung an die Firma aleine, wäre sicher kein Problem gewesen. Mit einer Öffentlichen Meldung hat er er Justizia auf den Plan gerufen.
Mal andersherum, man entdeckt im Rahmen einer Dienstleistung solches Problem, meldet es den Kunden, der veröffentlicht --> Juriistisch kein Problem.
Das ist der Knackpunkt. Warum macht man das Üffentlich? Er ist als Dienstleiter Vetrauensperson, da sollte mla mit Veröffentlichungen Vorsichtig sein. Eine Meldung an die Firma aleine, wäre sicher kein Problem gewesen. Mit einer Öffentlichen Meldung hat er er Justizia auf den Plan gerufen.
Mal andersherum, man entdeckt im Rahmen einer Dienstleistung solches Problem, meldet es den Kunden, der veröffentlicht --> Juriistisch kein Problem.
Und was ist wenn der Dienstleister es behebt und verheimlicht. Ich als Kunde muss wissen welche Problem es mit meinem System gegeben hat.
Schrieb ja, den KUNDEN mitteilen. nicht an die Presse. Was der Kunden damit macht ist sein Problem. Normal ist sowas Meldepflichtig mit Meldung an die Datenschutzbehörde.
Wenn ich als Firma einen Dienstleister habe, der an Presse geht, der WAR mal. Vertrauen ist das A&O. Das er nun Anzeige an Backe hat, heisst ja nicht das er bestraft wird.
Wenn ich als Firma einen Dienstleister habe, der an Presse geht, der WAR mal. Vertrauen ist das A&O. Das er nun Anzeige an Backe hat, heisst ja nicht das er bestraft wird.
Und der Entdecker kennt alle Kunden und kann die auch Kontaktieren?
Das währe ein Verstoß gegen den Datenschutz.
Das währe ein Verstoß gegen den Datenschutz.
