DACH - jetzt auf feddit.org

8713 readers

1 users here now

Diese Community wird zum 01.07 auf read-only gestellt. Durch die anhäufenden IT-Probleme und der fehlende Support wechseln wir als Community auf www.feddit.org/c/dach - Ihr seid herzlich eingeladen auch dort weiter zu diskutieren!

Das Sammelbecken auf feddit für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

Eine ausführliche Sidebar findet ihr hier: Infothread: Regeln, Feedback & sonstige Infos

Auch hier gelten die Serverregeln von https://feddit.de !

Banner: SirSamuelVimes

founded 2 years ago

MODERATORS

Anzeige statt Dank: IT-Experte deckte Lücke auf, muss nun vor Gericht (winfuture.de)

submitted 2 years ago by MasterofInkompetenz@feddit.de to c/dach@feddit.de

25 comments fedilink hide all child comments

Wenn die Klage durchgeht wird jeder Sicherheitsexperte es sich 2 mal überlegen ob er in Deutschland irgendeinem Unternehmen mitteilt das er eine Sicherheitslücke gefunden hat

you are viewing a single comment's thread
view the rest of the comments

[–] passepartout@feddit.de 53 points 2 years ago (11 children)

Der Sicherheitsexperte entdeckte die Lücke nur zufällig, da er von einem Einzelhändler mit der Lösung eines technischen Problems beauftragt wurde

Leider wurde ohne Auftrag / Vertrag gehandelt, d.h. er hat sich laut dem sog. Hackerparagraphen strafbar gemacht. Da wird vom betroffenen Unternehmen halt gerne mal shooting the messenger gespielt weil man sich erhofft durch Vertuschung die eigene Haltung zu wahren.

Vgl. mit der CDU Connect app, bei der der CCC eine Sicherheitslücke aufgedeckt hat, bei der über eine offene (!) API sensible Daten abgegriffen wurden (Hacking ist in dem Fall also sogar ein streitbarer Begriff) und die CDU im Anschluss anstatt Danke zu sagen entspannt Anzeige erstattet hat.

[–] Int_not_found@feddit.de 6 points 2 years ago (5 children)

Dein Link sagt was anderes als dein Kommentar. Was jetzt nun?

Eine juristische Stellungnahme der European Expert Group for IT Security (EICAR) geht davon aus, dass gutartige Tätigkeiten (im Dienste der IT-Sicherheit) bei ausführlicher Dokumentation nach diesem Paragraphen nicht strafbar sind.[1]

[–] passepartout@feddit.de 9 points 2 years ago (3 children)

Klingt für mich stark nach Auslegungssache. Es gab ja auch nen Haufen Kritik und sogar Verfassungsklagen als das damals eingeführt wurde. Ich dachte eigentlich auch es gäbe eine Ergänzung genau für den Fall pentesting. Wir hatten jedenfalls damals in der IT Sec Vorlesung gelernt nichts ohne Vertrag zu machen um nicht auf die Kulanz von irgendwelchen Firmen hoffen zu müssen, die bei falscher Auslegung die Scheiße aus dir raus klagen könnten.

[–] Ooops@kbin.social 7 points 2 years ago (1 children)

Pentesting ist nicht das Problem. Das machst du mit Auftrag. Der Streitfall, den die Idioten jetzt versuchen als Anzeigegrund zu etablieren, ist wenn du die Lücke zufällig bei anderen Debug-Tätigkeiten findest.

[–] TheWheelMustGoOn@feddit.de 6 points 2 years ago (1 children)

Und was tut man dann wenn man zb merkt seine eigenen Daten könnten geklaut werden?

[–] amki@feddit.de 5 points 2 years ago

Im Darknet verkaufen, wenn du dann angezeigt wirst dann wenigstens mit Recht

load more comments (1 replies)

load more comments (2 replies)

load more comments (7 replies)