this post was submitted on 18 Jan 2024
122 points (99.2% liked)

DACH - jetzt auf feddit.org

8715 readers
1 users here now

Diese Community wird zum 01.07 auf read-only gestellt. Durch die anhäufenden IT-Probleme und der fehlende Support wechseln wir als Community auf www.feddit.org/c/dach - Ihr seid herzlich eingeladen auch dort weiter zu diskutieren!

Das Sammelbecken auf feddit für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

Eine ausführliche Sidebar findet ihr hier: Infothread: Regeln, Feedback & sonstige Infos

Auch hier gelten die Serverregeln von https://feddit.de !

Banner: SirSamuelVimes

founded 1 year ago
MODERATORS
all 41 comments
sorted by: hot top controversial new old
[–] [email protected] 71 points 9 months ago (3 children)

Erinnert mich an das hier: Lilith Wittmann und die CDU-App

Welche Folgen hat das? Kein Programmierer wird mehr irgendwelche Sicherheitslücken seinem Auftraggeber oder Dritten melden, weil er sonst angezeigt wird. Und dann werden sich viele iin einer falschen Sicherheit wiegen, denn alls Systeme sind ja sicher, sonst hätte man das ja gemeldet.

[–] [email protected] 52 points 9 months ago (2 children)

so, wie der Paragraf formuliert ist, fällt darunter nicht nur ethisches Hacking selbst, sondern vor allem auch der Schritt davor: Strafbar macht sich bereits, wer Computerprogramme herstellt oder sich verschafft oder diese verbreitet, die dazu geeignet sind, Daten auszuspähen oder abzufangen.

Damit mache ich mich im Berufsalltag als second level support schon täglich strafbar.

[–] [email protected] 32 points 9 months ago (2 children)

Offensichtlich gehören Texteditoren jetzt auch zu diesen Hacking-Tools. Anzeige gegen Microsoft wegen notepad ist raus?

[–] [email protected] 11 points 9 months ago

Notepad verstößt schon seit Jahrzehnten gegen die Menschenrechtskonvention!

[–] [email protected] 11 points 9 months ago (1 children)

Fünf Jahre Haft für alle mit Word, und für LaTeX gibt's nochmal fünf dazu!

[–] [email protected] 3 points 9 months ago

Ja LaTeX ist für die Polizei sicher sehr verdächtig hahaha

[–] [email protected] 7 points 9 months ago* (last edited 9 months ago)

Wenn man dem Wortlaut folgt ist doch die mau gesicherte Software selbst das strafbare Programm, das geeignet ist Daten auszuspähen. Das Passwort zum Zugriff auf Daten anderer Kunden hatte die auftraggebende Firma ja offenbar bereits vom Hersteller, und der 'schurkische' Programmierer hat verifiziert, dass das PW auch plain in der executable lebt. facepalm

[–] [email protected] 14 points 9 months ago (1 children)

Einfach den ganzen Kram kopieren und verkaufen. Am Ende vom Tag hast du dann Geld in irgendeiner Form und keine Anzeige vom Unternehmen mit der Sicherheitslücke. Wenn das Unternehmen sich nicht ans Gentlemen's agreement von responsible disclosure halten will, dann sollte der Hacker das auch nicht.

[–] [email protected] 9 points 9 months ago (1 children)

Wäre ja akzeptabel, wenn am Schluss nur die Unternehmen mit den Sicherheitslücken darunter leiden, aber die deren Daten dabei geleakt werden leiden halt auch darunter also keine wirklich gute Option.

[–] [email protected] 6 points 9 months ago

Wenn man sich dabei auf die Firmen beschränkt, die schon einmal gegen einen Hacker, der RD betrieben hat vorgegangen sind, dann ist es wohl das kleinere Übel. Wenn man nett sein will, dann kann man ja noch anonym einen Brief hinschicken und drüber informieren.

[–] [email protected] 12 points 9 months ago

lieber anonymous full disclosure. Jupp.

[–] [email protected] 58 points 9 months ago (2 children)

Das Urteil ist noch nicht rechtskräftig. Beide Parteien haben eine Woche Zeit, um Berufung gegen den Strafbeschluss einzulegen. In diesem Fall würde das Verfahren dann vor einem Landgericht, höchstwahrscheinlich in Aachen, neu verhandelt werden.

Ist nur ein Amtsgericht. Das heißt nicht viel.

Es stimmt aber schon, dass genau das vorhergesagt wurde, als der Hackerparagraph damals beschlossen wurde: Responsible Disclosure kann zu Bestrafung führen.

[–] [email protected] 41 points 9 months ago (1 children)

Das heißt, wenn man mal über sowas stolpert lieber irgendwo verkaufen als dem Hersteller zu melden. Strafbar ist man ja sowieso schon und so kann man dann wenigstens die Strafe zahlen.

[–] [email protected] 29 points 9 months ago

Außerdem muss dann erst ermittelt werden wer dafür überhaupt schuldig ist. Wenn man es meldet wissen die das immer genau.

[–] [email protected] 11 points 9 months ago* (last edited 9 months ago) (1 children)

Genau der gleiche Scheiß wurde ja im Zusammenhang mit Kinderpornographie gemacht. Wurde letztens geändert, aber nur insofern, dass es jetzt im Ermessen der Justiz liegt, Verfahren einzustellen - aber das heißt ja, dass man es nicht einklagen kann, selbst wenn 100% offensichtlich und beweisbar wäre, dass kein einschlägiges Motiv vorhanden war.

[–] [email protected] 11 points 9 months ago (1 children)

Und jetzt haben wir eine Rechtslage, bei der Querdenker dann anonym Kinderpornos an politisch aktive Menschen schicken und diese in eine arge Zwickmühle bringen:

https://sbamueller.com/2024/01/12/wenn-man-morgen-aufwacht-und-kinderpornos-auf-dem-handy-hat/

[–] [email protected] 6 points 9 months ago

Und die SPD-Ministerin, die 2021 dafür verantwortlich war, wurde damals schon von vielen Experten genau davor gewarnt. Aber nein, Gesetztesverschärfung war der SPD mal wieder wichtiger als Gesetzesverbesserung.

[–] [email protected] 44 points 9 months ago (1 children)

Das Durchschreiten einer geöffneten Tür ist demnächst dann also auch Einbruch.

[–] [email protected] 14 points 9 months ago (2 children)

Naja, ist ja eher Schlüssel steckt, Tür ist zu, und du gehst rein.

[–] [email protected] 7 points 9 months ago (1 children)

Und das ist tatsächlich illegal.

[–] [email protected] 14 points 9 months ago (3 children)

Hausfriedensbruch ist kein Einbruchsdiebstahl. § 202a StGB steht aber dem Einbruchdiebstahl von Normsruktur und Zielrichtung weitaus näher als der gerade nicht von der Strafnorm erfasste digitale Hausfriedensbruch.

Dein Kommentar ist daher nicht nur unqualifiziert sondern auch eklatant falsch. Du vergleichst nicht vergleichbare Dinge. Nur weil du eine Meinung zu einem Thema hast, ist diese Meinung es nicht automatisch wert kommuniziert zu werden.

[–] [email protected] 7 points 9 months ago

Ok kannst dich jetzt wieder einkriegen

[–] [email protected] -3 points 9 months ago
[–] [email protected] 5 points 9 months ago* (last edited 9 months ago) (1 children)

Ja, gut. Aber die Intention der Aussage sollte klar gewesen sein. Wobei mich das zu einer weitere Frage bringt (vielleicht ist ja ein Jurist anwesend), deren Antwort ähnlich absurd sein könnte...

Einbruch als Strafbestand existiert eh nicht allein, sondern nur in Verbindung mit anderen Straftaten. Also fällt das reine Betreten eher unter Hausfriedensbruch.

Aber: Zählt eine Tür, in der der Schlüssel steckt als "abgeschlosser Raum" in den man "widerrechtlich eindringt"? Oder um die Frage noch weiter zu spinnen. Die normale deutsche Außentür hat keine Klinke zum Öffnen, dazu dient der Schlüssel. Ist also ein Schlüssel der dort von außen steckt, und mit dem jeder die Tür öffnen kann, rechtlich dann anders zu behandeln als eine drückbare Türklinke (wenn vorhanden).

[–] [email protected] 6 points 9 months ago (1 children)

Bin kein Jurist, aber § 243 StGB (genau so auch § 244 Wohnungseinbruchdiebstahl):

[Wer] zur Ausführung der Tat in ein Gebäude, einen Dienst- oder Geschäftsraum oder in einen anderen umschlossenen Raum einbricht, einsteigt, mit einem falschen Schlüssel oder einem anderen nicht zur ordnungsmäßigen Öffnung bestimmten Werkzeug eindringt oder sich in dem Raum verborgen hält,

Wenn der Schlüssel steckt, ist tatsächlich anders.

[–] [email protected] 6 points 9 months ago

Für einen Nichtjuristen siehst du das aber absolut korrekt. Genau so ist das wohl auch bei § 202a StGb.

Ich sage "wohl", weil die Strafnorm komplett missglückt ist und man - was eigentlich nie der Fall sein dürfte - in Teilen nur raten kann, was genau nach Wunsch des Gesetzgebers jetzt am Ende strafbar sein sollte.

Hut ab, dass du die Parallele in der Wertung aber richtig erfasst. Das schafft ganz offensichtlich nicht jeder.

[–] [email protected] 43 points 9 months ago* (last edited 9 months ago) (2 children)

Die Internetausdrucker der deutschen Justiz haben mal wieder zugeschlagen.

Ich würde sagen der Richter, ist zu größerem geeignet. Wie wäre es zum Beispiel mit dem Landgericht Hamburg?

[–] [email protected] 10 points 9 months ago

Der Verband der deutschen Lack- und Druckfarbenindustrie hat auch angefragt, die suchen einen erfahrenen Produkttester zur Bewertung des Geschmacks ihrer Erzeugnisse.

[–] [email protected] 5 points 9 months ago

Köln soll auch schön sein hab ich gehört

[–] [email protected] 40 points 9 months ago

und es wurde nicht versucht, die Angaben des Angeklagten zu überprüfen.

Egal in welchem Zusammenhang; das ist unfassbar.

[–] [email protected] 32 points 9 months ago

Deutsche Amtsrichter urteilen: Lack ist das beste Getränk!

[–] [email protected] 30 points 9 months ago* (last edited 9 months ago)

Dies erinnert mich immer wieder daran dass es mehr als einen Vorfall gab bei dem jemand an sensible Daten gekommen ist indem er F12 gedrückt hat, die Sicherheitslücke dann gemeldet hat und daraufhin eine Strafanzeige ins Haus bekommen hat. Meistens waren die Kläger Verwaltungs/Regierungsorgane...

[–] [email protected] 28 points 9 months ago (1 children)

Immer diese Kacknoobs die über Dinge entscheiden, von denen sie 0,0 Ahnung haben... Aber naja, die nächst höhere Instanz ist dann meist n bisschen kompetenter.

[–] [email protected] 14 points 9 months ago

Als jemand der bei einer größeren Behörde arbeitet: ich habe heute von unserer „IT“ ein Erklärhandbuch zu Excel geschickt bekommen. Da wird dann erklärt wie man auf das Icon drückt und Zellen ausfüllt.

Dass die nächste Instanz kompetenter ist ist reine Glückssache. Ich würde da nicht drauf wetten bei dem technologischen Stand den manche meiner Kollegen haben….

[–] [email protected] 6 points 9 months ago
[–] [email protected] 6 points 9 months ago

Hier muss das Gesetz angepasst werden, wenn dieses Urteil aufrecht gehalten wird von höheren Instanzen.

[–] [email protected] 4 points 9 months ago

Ok finde jetzt die Strafe schon sehr milde gewählt. Vlt ein halbes Monatsgehalt. Und wahrscheinlich bezahlt ihm das noch die Firma die ihn beauftragt hat. Denke mal der Richter hat hier wirklich keine Möglichkeit gesehen das Gesetz anders zu deuten und ich denke er hat nicht Unrecht. Das Gesetz selber ist natürlich Müll und die Folgen alles andere als milde. War das Linus vom CCC der mal gesagt hat in Deutschland versuchen wir gerne technische inkompetenz mit juristischen Maßnahmen zu fixen? Natürlich ist es prinzipiell schon nicht schlecht so einen paragraphen in irgendeiner Form zu haben. Man will ja schon juristisch was gegen hacker in der Hand haben... Aber bringt nicht viel weil die sich ja nicht erwischen lassen, bzw gar nicht in Deutschland sind. Ist halt doppelt ärgerlich weil wenn der Programmierer nix gesagt hätte wäre auch nichts passiert. Glaubt doch keiner dass die Firma, die ihre Datenbank mit klartext passwort im Programmcode "sichert", einen unbekannten Zugriff bemerkt.

Was mich aber richtig aufregt ist dieser compilat-fetischismus... Wtf das ist ne Reihe von Zahlen von denen manche halt Buchstaben sind und der Rest ist halt was das Programm macht. Wieso immer gleich durchdrehen wenn man das ein bisschen verarbeitet... Ist ja schlimm

[–] [email protected] 0 points 9 months ago (1 children)

§ 202a Ausspähen von Daten

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Dass, das Passwort nicht verschlüsselt war, ist kein Argument. Man könnte Zweifel am Vorsatz haben, so wie es dargestellt wurde. Allerdings wäre er auch nicht unbedingt befugt gewesen, wenn es tatsächlich nur die Daten seines Kunden betroffen hätte. Der hatte ihm das PW ja nicht gegeben.

Das eigentliche Problem ist der Paragraf selber, dem es nicht auf die Absicht zum Datenspähen ankommt. Diebstahl, zum Vergleich, ist nur solcher, wenn man die Sache tatsächlich illegal behalten will. Hier reicht schon der Zugang, also das "Hacken".

[–] [email protected] 18 points 9 months ago* (last edited 9 months ago) (1 children)

Doch, es ist ein Argument. Sogar ein sehr gutes. § 202a StGb setzt nämlich das Überwinden einer Sicherung voraus. Das steht so sogar unmissverständlich im von dir zitierten Normtext.

Wenn ich ein Passwort im Klartext abspeichere, dann lässt sich sehr wohl und sehr gut argumentieren, dass es inherent keine Sicherungsfunktion erfüllen kann.

Der Schutz durch Passwörter ist zwar unzweifelhaft ein Sicherungsmechanismus, der mit § 202a StGb vor Überwindung geschützt werden soll. Das betrifft aber ganz klar Fälle, in denen man sein sicherndes Passwort nicht direkt an die Eingangstür schreibt.

Es kann für eine Strafbarkeit nach § 202a StGb schlichtweg nicht genügen, dass man ein Passwort hat, egal von welcher Qualität. "Passwort" oder "12345" als Passwort, selbst wenn es nicht irgendwo im Klartext ausgelesen werden könnte, halte ich schon für untauglich, weil dem Sicherungsmechanismus eine gewisse Sicherungsqualität innewohnen muss. Sonst fehlt es nämlich am vorausgesetzten "Überwinden". Ein Überwinden erfordert eine gewisse und nicht unerhebliche Energie, die man als Täter aufwenden müsste, um einen Schutz zu umgehen.

§ 202a StGb ist eine komplett verunglückte Strafnorm, aber einer von vornherein ungeeigneten Form der Sicherung irgendeine Sicherungsqualität beimessen zu wollen, das liefe absolut fehl. Erst Recht kann dann ein im Klartext auslesbares Passwort nicht genügen. Aber weil die Norm so ein Murks ist, darf am Ende wieder die höchstrichterliche Rechtsprechung Hilfsgesetzgeber spielen, sobald Fälle wie der jetzige in die höheren Instanzen gehen.

Ich stimme dir im Übrigen aber zu, dass die Norm in einer idealen Welt mehr subjektive Tatbestandsmerkmale erfordern sollte. Dass der reine Vorsatz genügt und keine "Ausspähabsicht" erforderlich ist, ist ohne Frage der Griff eines geriatrischen Gesetzgebers ins Klo.

[–] [email protected] 1 points 9 months ago

Ist das die herrschende Meinung? Das überzeugt mich nicht so wirklich.

Sagen wir mal, man nimmt so eine Liste von Passwörtern, die nicht ausreichen, um besonderen Schutz zu gewährleisten. Dann benutzt man ein Programm, dass Brute Force Nutzernamen durchgeht und jeweils diese Passwörter ausprobiert. Da ist dann natürlich schon eine ziemliche Energie dahinter, aber man hat ja nur die Konten geknackt, die, per Definition, nicht besonders gesichert waren.

Oder, man geht irgendwo vorbei und erspäht den Login auf dem Klebezettel am Display. Sollte man das einfach mal ausprobieren dürfen, egal mit welcher Absicht?