Ethisches Hacken: BSI-Chefin fordert Änderungen an Hackerparagrafen

[HWL News Bot]

Das Bundesamt für Sicherheit in der Informationstechnik setzt sich aktuell für eine gesetzliche Änderung am sogenannten Hackerparagrafen ein, damit ethische Hacker zukünftig besser geschützt werden können. Nach Ansicht der Behördenpräsidentin Claudia Plattner sollten Personen, die Sicherheitslücken in IT-Systemen aufdecken und verantwortungsvoll melden, künftig nicht mehr strafrechtlich verfolgt werden. Entscheidend sei dabei die Absicht der handelnden Personen. Wer Schwachstellen offenlegt, um die Sicherheit eines Unternehmens zu verbessern und Schaden zu verhindern, solle rechtlich abgesichert werden.
... weiterlesen

 

[Lachgasschaufler]

Keine gute tat bleibt ungestraft.

 

[Bimer]

Entscheidend sei dabei die Absicht der handelnden Personen. Wer Schwachstellen offenlegt, um die Sicherheit eines Unternehmens zu verbessern und Schaden zu verhindern, solle rechtlich abgesichert werden.

Ist alles eine Auslegungssache. Ich gehe in einen Laden, klaue etwas, werde dabei erwischt und behaupte dann, ich wollte nur euer Sicherheitssystem testen. Und sobald an der Sache auch nur ein Hauch der Politik käme, wird jede Erklärung, dass man doch nichts Böses wollte, einfach abgeschmettert. Inzwischen ist es doch normal geworden, dass jede Behauptung ohne Erklärung kommt. Gilt sowohl für die Politiker, als auch für das Rechtssystem insgesamt.

 

[Schmufix]

Was wohl Assange dazu sagen würde.

 

[Morrich]

Die Frage, die sich mir dabei stellt, wer entscheidet denn, was "ethisch korrekt" ist? Pfizer-Verträge leaken? Mitgliedslisten von Parteien leaken? Hört sich für mich erstmal nach dem nächsten Gummi-Paragraphen an.

Es geht doch darum, dass Leute nicht strafrechtlich belangt werden sollen, wenn sie Sicherheitslücken finden und an die Betreffenden kommunizieren.
Um irgendwelche Leaks geht es gar nicht.

 

[Techlogi]

Ist alles eine Auslegungssache. Ich gehe in einen Laden, klaue etwas, werde dabei erwischt und behaupte dann, ich wollte nur euer Sicherheitssystem testen.

Das ist so aber nicht passiert, sondern eher:
Ich gehe in einen Laden, verlasse den Laden ohne etwas zu bezahlen und gehe dann auf den Laden zu, um ihn sein Problem aufzuzeigen.

Im Fall Modern Solution hat sich der Hacker an Modern Solution gewendet und deren Schwachstelle aufgezeigt, ohne daraus Profit zu schlagen.

 

[Lunat1cx]

Die Frage, die sich mir dabei stellt, wer entscheidet denn, was "ethisch korrekt" ist? Pfizer-Verträge leaken? Mitgliedslisten von Parteien leaken? Hört sich für mich erstmal nach dem nächsten Gummi-Paragraphen an.

Was hat leaken damit zu tun? Achja ... genau ... nichts
Das wäre bei Whistlerblower-Schutz richtig verortet.

 

[DragonTear]

Die Frage, die sich mir dabei stellt, wer entscheidet denn, was "ethisch korrekt" ist? Pfizer-Verträge leaken? Mitgliedslisten von Parteien leaken? Hört sich für mich erstmal nach dem nächsten Gummi-Paragraphen an.

Wer tatsächlich Daten leakt handelt nicht ethisch. Das hat mit der Absicht dieses Gesetzes garnichts zutun.

Edit: Luna war ne Minute schneller

 

[Lunat1cx]

Im Fall Modern Solution hat sich der Hacker an Modern Solution gewendet und deren Schwachstelle aufgezeigt, ohne daraus Profit zu schlagen.

bzw wurde ihm unterstellt, er hätte ja was klauen können. Und es wäre ja nicht safe das er dies nicht getan hat.

 

[Bimer]

Sich selbst nach einer Straftat zu stellen, ganz gleich wie die Erklärung lauten soll, befreit nicht vor Strafe. Und wie ich schon schrieb, ist alles eine Auslegungssache. In Polen hat ein Gericht terroristische Angriffe legitimiert, wenn es dem Land dienlich ist. Oder die Begriffe wie Vorwärtsverteidigung oder Frieden durch Krieg.

 

[FirstAid]

Der Gladbecker IT-Dienstleisters Modern Solution hatte möglicherweise die Befürchtung, dass ihr sogenannter guter Ruf auf dem Spiel stand.

Eine Sicherheitslücke bei einem IT-Dienstleister ist nicht gerade IMAGE-Fördern. Es könnte der Grund sein, weshalb die dann so reagiert haben,

um möglicherweise Nachahmer davon abzuhalten, weiter ihr System auf Sicherheitslücken zu überprüfen. Es droht euch Konsequenzen.

Es ist überall so! So wird immer versucht alle Missstände unter den Teppich zu kehren, weil der sogenannte, gute Ruf auf dem Spiel steht.

Beispiel aus einem anderen Bereich des Lebens:

Bei einem Gymnasium in Erfurt, da wurde eine Schülerin 84-mal missbraucht, sie wandte sich an den Schulleiter und ist abgeblitzt,

unter seiner Leitung gibt es kein Missbraucht, der gute Ruf der Schule steht schließlich auf dem Spiel, dann wird alles unter den Teppich gekehrt (Oktober 2025).


Es ist so eine typische Kultur, wo Missstände da sind, wird meistens versucht, es unter den Teppich zu kehren, besonders Führungskräfte machen es sehr gerne,

weil die in Wirklichkeit ihren eigenen Ruf in Gefahr sehen, nicht unbedingt den Ruf der Firma, Uni, Schule oder eine andere Institution.

Das ist einer der Gründe, die viele Führungskräfte nicht sehen bzw. nicht sehen wollen, erhebliche Defizite im sozialen Verhalten.

 

[Techlogi]

Sich selbst nach einer Straftat zu stellen, ganz gleich wie die Erklärung lauten soll, befreit nicht vor Strafe. Und wie ich schon schrieb, ist alles eine Auslegungssache. In Polen hat ein Gericht terroristische Angriffe legitimiert, wenn es dem Land dienlich ist. Oder die Begriffe wie Vorwärtsverteidigung oder Frieden durch Krieg.

Meine Güte, beschäftige dich doch mal mit dem Thema, bevor du irgendeinen Nonsense schreibst.
Der Hacker hat für einen seiner Kunden, der wiederum die Software von Mondern Solution einsetzt, dran gearbeitet und ist zufällig darauf gestoßen, dass die Daten aller Kunden in einer DB liegen und jeder auf alles zugreifen kann. Darauf hat er Modern Solution hingewiesen und daraufhin wurde er verklagt.

Datenleck bei Modern Solution: Sicherheitslücke betrifft rund 700.000 Käufer

Ein Dienstleister mit Zugang zu Otto, Kaufland, Check24 und Weiteren ging sehr lasch mit den Daten der Endkunden um.

www.heise.de

Der Gladbecker IT-Dienstleisters Modern Solution hatte möglicherweise die Befürchtung, dass ihr sogenannter guter Ruf auf dem Spiel stand.

Dafür haben die selber ausreichend gesorgt.

 

[Alles klar?]

Es wird allerhöchste Eisenbahn das withe hacks straffrei gestellt werden. Das kann man, wenn man sich eine sichere IT-Umgebung wünscht, eigentlich gar nicht anders sehen. Da müssen klare Regeln her, wer in welcher Reihenfolge zu benachrichtigen ist und fertig. Jeder der hier auf dem Forum unterwegs ist weiß ganz genau um was es geht. Da erwarte ich automatisch eine gewisse Sach- und Fachkenntnis. Von daher kann ich einige der posts selbst mit viel gutem Willen nur unter "populistisches Geschwätz" abtun.

 

[RcTomcat]

Ist alles eine Auslegungssache.

Wieso soll das Auslegungssache sein?
Du bemerkst eine Schwachstelle in der Forensoftware des HWLuxx und meldest diese via der im Impressum genannten Mail oder direkt per PN an einen Admin.
Stand heute könntest du für Hacking verurteilt werden. Ohne deine Meldung hätte es aber nie jemand bemerkt und du wärst straffrei.
Der Fall von Modern Solution ist ein Paradebeispiel in welcher der eigentlich Gute plötzlich zum bösen Hacker wurde nur weil er zufällig beim Debugging auf das Klartextpasswort gestoßen ist.
Eigentlich müsste Modern Solution auf jedlichen Besitz verklagt werden, die Art und Weise wie hier Daten gespeichert wurden hat nichts mit modernen Sicherheitsmethoden zu tun und ist mindestens grob fahrlässig! Statt sich zu bedanken, die Kunden zu informieren und das Problem zu lösen ging das Unternehmen in die Offensive und verklagte den Melder welcher verurteilt wurde...
Es zahlt sich also eher "Klappe halten" aus wodurch Systeme angreifbar bleiben.

Wenn du dabei erwischt wirst wie du versuchst die DB eines Krankenhauses zu knacken hilft dir auch die angedachte Reform nicht.
Die Grundidee der Reform ist es den Melder einer Lücke nicht in Haftung zu nehmen, das erlaubt aber nicht automatisch Cyberattacken. Solltest du jedoch bemerken, dass das DB System in irgendeiner Weise angreifbar ist könntest du dies dann straffrei melden.

 

[Rudi Ratlos]

Wer tatsächlich Daten leakt handelt nicht ethisch. Das hat mit der Absicht dieses Gesetzes garnichts zutun.

Edit: Luna war ne Minute schneller

Wenn die Daten Fehlverhalten von Behörden Politikern, Militär oder Firmen aufdecken bzw. sogar Verbrechen, ist das sogar mehr als nur ethisch!

 

[Bimer]

Alleine der Versuch dies zu tun ist strafbar. So was gabs schon immer, nur ganz legal, indem Banken und Unternehmen in Absprache und auf Vertragsbasis, dies getan haben. Der Hack jeder Verschlüsselung ist strafbar, sogar bei sowas banalen wie Softwareverschlüsselung. Die Absichten des Täters sind nur dem Täter bekannt.

 

[RcTomcat]

Da deine Absicht niemand kennen kann wird diese auch niemals Grundlage eines Gesetzes sein können. Gemäß aktuellem Stand machst du dich mit der Meldung einer Lücke aber schon zur Zielscheibe.
Und genau hier muss angesetzt werden. Wer eine Lücke an den Betreiber, das BSI oder irgendeine passende Organisation meldet darf nicht mit Verfolgung rechnen müssen. Er hätte die Information auch für sich behalten, verkaufen oder ausnutzen können.

Der Hack jeder Verschlüsselung ist strafbar, sogar bei sowas banalen wie Softwareverschlüsselung.

Im Falle von Modern Solution wurde ja keine Verschlüsselung umgangen. Es wurde das im Klartext gespeicherte Kennwort gefunden wodurch ein Zugriff auf ALLE Kunden möglich war.
Hacking? Irgendwelche besonderen Fähigkeiten oder das Umgehen eines technischen Schutzes waren nicht von Nöten.
Da das Kennwort aber nicht für den Hacker gedacht war hat er sich durch die simple Nutzung strafbar gemacht.
Die Software samt Kennwortdatei konntest du via Google herunterladen!
Nun wird also der Melder dieser Lücke bestraft statt dem Unternehmen welches derart sorglos mit den Daten von 700k Menschen umgegangen ist. Da war ja alles einsehbar von Namen, Adresse über Kontodaten.
Sind wir mal ehrlich: Wer von uns hätte nicht die Zugangsdaten geprüft? Ich würde im Traum nicht darauf kommen, dass hier ein einzelner, fest hinterlegter, User für ALLE 700k+ Kunden verwendet wird.
Das hätte ich auch erst NACH dem Login gemerkt.
Ups....