Realer Fall aus der IT-Presse

19. Oktober 2021 Thema abonnieren
 Von 
nefrage234
Status:
Schüler
(182 Beiträge, 37x hilfreich)
Realer Fall aus der IT-Presse

Es dreht sich hier um einen relen Fall, der zur Zeit durch die IT-Presse geht:
https://www.heise.de/news/Datenleck-bei-Modern-Solution-Hausdurchsuchung-statt-Bug-Bounty-6222165.html

Ein "IT-Experte" hat eine (viele Endkunden betreffende) Sicherheitslücke einem Betreiber von Online-Läden gemeldet und dann kurz darauf (Stunden) an die Öffentlichkeit gebracht. O.g. Artikel (Autor und Beschuldigter stehen offenbar in Kontakt) beruft sich auf das Verfahren der "Responsible Disclosure" was knapp formuliert besagt, daß eine Lücke erst öffentlich gemacht wird nachdem die andere Partei genug Zeit hatte, die Lücke zu beheben.

Soweit so gut. Nun widerspricht eine Person, die sich offenbar als der Beschuldigte ausgibt, dieser Darstellung: "Wenige Tage später war die Datenbank wieder am Netz mit selbigen Fehlerbild."

Besagter Beitrag: https://www.heise.de/forum/heise-online/Kommentare/Datenleck-bei-Modern-Solution-Hausdurchsuchung-statt-Bug-Bounty/Re-Dieser-IT-Experte-nagt-am-Hungertuch/posting-39810375/show/

Ganze Diskussion: https://www.heise.de/forum/heise-online/Kommentare/Datenleck-bei-Modern-Solution-Hausdurchsuchung-statt-Bug-Bounty/forum-483185/

(Eine Stellungnahme der Firma existiert anscheinend nicht, und was genau angezeigt wurde, ist unbekannt.)

--

Aus latentem Interesse an solchen Fällen in meiner Branche wäre ich an Überlegungen zum Sachverhalt, insbesondere in Bezug auf richtigem oder falschem Verhalten des Beschuldigten interessiert. Mehr Informationen als die Presse kann ich nicht liefern.

Notfall oder generelle Fragen?

Notfall oder generelle Fragen?

Ein erfahrener Anwalt gibt Ihnen eine vertrauliche kostenlose Einschätzung!
Ein erfahrener Anwalt gibt Ihnen eine vertrauliche kostenlose Einschätzung!
Kostenlose Einschätzung starten Kostenlose Einschätzung starten



50 Antworten
Sortierung:
#1
 Von 
Harry van Sell
Status:
Unbeschreiblich
(118552 Beiträge, 39586x hilfreich)

Die versammelten Inkompetenz-Muster der CDU haben es doch vorgemacht, war ja nur eine Frage der Zeit, bis andere Idioten das nachmachen.



Was lernt man daraus?
Alle Bewiese sichern, direkt das Unternehmen informieren und zeitgleich das Problem mit den Beweisen veröffentlichen (idealerweise auch in den passenden Medien) in den und den Behörden zur Anzeige bringen. Und auch darüber die Firma informieren und warum man das nun so macht.
Am besten auch noch alles anonym.

Wenn dann die ersten Firmen über die Klinge springen, wird der Rest begreifen, was Sache ist.
Die Vergangenheit hat gezeigt, das die Unternehmen in solchen Fällen nur durch Schmerz und Schrecken lernen.


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

1x Hilfreiche Antwort

#2
 Von 
nefrage234
Status:
Schüler
(182 Beiträge, 37x hilfreich)

Ja, gut, sehe ich im Prinzip genauso. Aber hat sich der Beschuldigte nicht selbst angreifbar gemacht, als er der Firma fast keine Zeit ließ zur Behebung der Lücke? Es ist zumindest üblich, eine Frist von ein oder zwei Wochen verstreichen zu lassen, bevor man veröffentlicht. Muß sich der Beschuldigte nicht zu Recht vorwerfen lassen, Schäden bei der Firma, Firmen, für die sie die Online-Läden betreibt und letztlich auch beim Endkunden zumindest in Kauf genommen oder sogar provoziert zu haben?

0x Hilfreiche Antwort

#3
 Von 
Harry van Sell
Status:
Unbeschreiblich
(118552 Beiträge, 39586x hilfreich)

Zitat (von nefrage234):
Schäden bei der Firma, Firmen, für die sie die Online-Läden betreibt und letztlich auch beim Endkunden zumindest in Kauf genommen oder sogar provoziert zu haben?

Wieso, hat er den Server / das Programm so inkompetent konfiguriert? Nein. Das war Modern Solution.
Har er vorsätzlich, im vollen Bewusstsein der Problematik alles wieder online gesetzt? Nein. Das war Modern Solution.
Insofern sehe ich da keinen Ansatzpunkt.



Die sollten sich mal ihre eigenen Marketing Phrasen durchlesen ..
Modern Solution GmbH & Co. KG
"Ihre E-Commerce Agentur mit Weitblick."

Die aktuellen Handlungen sind von absoluter Kurzsichtigkeit geprägt.

Aber immerhin hat man es mal geschafft den FB-Account zu schließen, irgendwann kommt dann auch mal die Lücken dran ...



Die Gefährdung für sich, die Kunden und Andere geht hier samt und sonders von der Firma Modern Solution aus.
Das sind ja so absolute Basics die da missachtet wurden, dafür müsste man Modern Solution eigentlich den Geschäftsbetrieb in dem Bereich für die nächsten 10 Jahre untersagen ...
Wobei sich das wohl durch Insolvenz etc. erledigen dürfte, da jetzt nicht nur staatlichen Datenschutzbeauftragten aktiv werden, sondern auch die Opfer der Inkompetenz von Modern Solution und JTL machen gerade mobil. Sie Opfer stecken nämlich auch tief in der *******.

Auch JTL muss hier genannt werden, bei denen mangelt es ganz offenbar an einem ordentlichen Zertifizierungs- und Überwachungsprozess für die Aufnahme in das Dienstleisterverzeichnis. Da stehen wohl eher die finanzielle Aspekte der Zertifizierung im Vordergrund.

Da kann die Welle des ****storm gar nicht hoch genug werden, eventuell hilft das schon das andere Firmen so einen Miat nicht mehr verzapfen



Zitat (von nefrage234):
als er der Firma fast keine Zeit ließ zur Behebung der Lücke?

Man hatte 72 Stunden, da war also genug Zeit. Echte Hacker gewähren genau 0,0 Sekunden.



Zitat (von nefrage234):
Es ist zumindest üblich, eine Frist von ein oder zwei Wochen verstreichen zu lassen, bevor man veröffentlicht.

Richtig, üblicherweise sitzen in den Firmen aber auch Leute mit zumindest rudimentärer Intelligenz und Weitsicht.
Wenn man so brüsk wie hier abgeschmettert wird, reduziert sich die Frist auf genau 0,0.


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

1x Hilfreiche Antwort

#4
 Von 
nefrage234
Status:
Schüler
(182 Beiträge, 37x hilfreich)

Zitat (von Harry van Sell):
Man hatte 72 Stunden, da war also genug Zeit. Echte Hacker gewähren genau 0,0 Sekunden.

Das stimmt nach den Aussagen im Artikel nicht. Man forderte eine Behebung innerhalb 72 Stunden, war mit der Reaktion der Firma nicht zufrieden und veröffentlichte darafuhin sofort:

"... gingen am selben Tag an die Öffentlichkeit, an dem sie Datenleck und Lücke an den Hersteller und die zuständigen Datenschutzbehörden gemeldet hatten."

Von Zeit zur Behebung kann da keine Rede sein.

Zitat:
Richtig, üblicherweise sitzen in den Firmen aber auch Leute mit zumindest rudimentärer Intelligenz und Weitsicht.

Äh, in welcher IT-Realität lebst Du? Meiner Erfahrung nach beherrschen in dieser Branche > 80% ihren Job nicht.

0x Hilfreiche Antwort

#5
 Von 
Harry van Sell
Status:
Unbeschreiblich
(118552 Beiträge, 39586x hilfreich)

Zitat (von nefrage234):
Das stimmt nach den Aussagen im Artikel nicht.

Doch.



Zitat (von nefrage234):
Man forderte eine Behebung innerhalb 72 Stunden

So ist es. 72 Stunden Zeit - wollte die Firma aber nicht.



Zitat (von nefrage234):
war mit der Reaktion der Firma nicht zufrieden und veröffentlichte darafuhin sofort:

Zitat (von Harry van Sell):
Wenn man so brüsk wie hier abgeschmettert wird, reduziert sich die Frist auf genau 0,0.




Zitat (von nefrage234):
Meiner Erfahrung nach beherrschen in dieser Branche > 80% ihren Job nicht.

Deshalb schrieb ich ja von "rudimentär".

Bedeutet: Wenn ich mit dem Auto einen Radfahrer überfahre weil ich nicht Auto fahren kann, rufe ich danach den Notarzt und meinen Anwalt an.

Die haben einen Radfahrer überfahren, das Auto gewendet, sind dann nochmal über den Radfahrer gefahren, rufen dann den Anwalt an und haben den Radfahrer wegen Sachbeschädigung angezeigt, weil das Rad den Unterboden vom Auto zerkratzt hat.


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

0x Hilfreiche Antwort

#6
 Von 
nefrage234
Status:
Schüler
(182 Beiträge, 37x hilfreich)

Zitat (von Harry van Sell):
Zitat (von nefrage234):
Man forderte eine Behebung innerhalb 72 Stunden

So ist es. 72 Stunden Zeit - wollte die Firma aber nicht.

Was die Firma vorhatte geht doch aus dem Artikel gar nicht hervor, da sie keine Stellungnahme abgegeben hat. Daß die allermeisten Menschen jegliche Kritik erstmal zurückweisen und dabei oft unhöflich und laut werden, ist kein Geheimnis und besagt auch nichts darüber, was sie später tun oder denken werden. Oder im konkreten Fall, was sie genau vorhatten.

Es ist auch nicht so, daß alle IT-Probleme mit einem Fingerschnippen zu beseitigen sind. Manchmal dauert das Wochen, Monate oder Jahre, jedenfalls niemals Stunden. Wenn wie hier Verschlüsselung "vergessen" wurde, ist die Nachrüstung je nach Sachlage locker eine Aufgabe von einem Monat bis zu einem halben Jahr.

Zitat:
Die haben einen Radfahrer überfahren, das Auto gewendet, sind dann nochmal über den Radfahrer gefahren, rufen dann den Anwalt an und haben den Radfahrer wegen Sachbeschädigung angezeigt, weil das Rad den Unterboden vom Auto zerkratzt hat.

Es ist nach der aktuellen Informationslage kein realer Schaden bekannt - kein Wort über gekaperte Konten, abgeflossene Daten usw.. Aber der Beschuldigte hat potentiell Angreifer auf die Lücke aufmerksam gemacht und so möglicherweise für echte Schäden gesorgt.

Eigentlich wollte ich mit dem Thema keine Rants über unfähige IT-Firmen anstoßen, sondern hatte auf eine rechtliche Analyse gehofft, was das Verhalten des Beschuldigten angeht - aus allgemeinem und beruflichem Interesse.

0x Hilfreiche Antwort

#7
 Von 
Harry van Sell
Status:
Unbeschreiblich
(118552 Beiträge, 39586x hilfreich)

Zitat (von nefrage234):
Was die Firma vorhatte geht doch aus dem Artikel gar nicht hervor

Nö, aber was die Firma tat geht da schon hervor.



Zitat (von nefrage234):
Es ist auch nicht so, daß alle IT-Probleme mit einem Fingerschnippen zu beseitigen sind.

Richtig.



Zitat (von nefrage234):
Wenn wie hier Verschlüsselung "vergessen" wurde, ist die Nachrüstung je nach Sachlage locker eine Aufgabe von einem Monat bis zu einem halben Jahr.

Ja, wenn an erst mal alle Basics erlernen muss, ansonsten dauert das nicht so lange.
Da muss man dann halt notfalls externe Profis beauftragen wen es an der eigenen Kompetenz scheitert.

Jedenfalls ist das beseitigen der Lücke hier ganz schnell gemacht, in dem man den Server offline nimmt. Das ist eine Sache von Minuten.



Zitat (von nefrage234):
sondern hatte auf eine rechtliche Analyse gehofft, was das Verhalten des Beschuldigten angeht

Da es dazu derzeit keinerlei Fakten gibt, wird man damit noch warten müssen.


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

0x Hilfreiche Antwort

#8
 Von 
nefrage234
Status:
Schüler
(182 Beiträge, 37x hilfreich)

Zitat (von Harry van Sell):
Ja, wenn an erst mal alle Basics erlernen muss, ansonsten dauert das nicht so lange.
Da muss man dann halt notfalls externe Profis beauftragen wen es an der eigenen Kompetenz scheitert.

Nun, da würde man dann Leute wie mich beauftragen. Generell ist das Problem bei nachträglich gefundenen Sicherheitslücker per Design, daß die in der Regel nicht einfach nachgerüstet werden können. Wenn man Sicherheit nicht schon im Entwurf berücksichtigt kann das beim "Nachrüsten" zu vielen, dicken Tränen führen.

Hier ein kurze Liste was ich aus dem Artikel herausdeute, was die Reparatur alles nach sich zieht:

* Verschlüsselte Kommunikation implementieren.
* Gegebenenfalls sensitive Klartextdaten in internen Datenbanken verschlüsseln.
* Infrastruktur zur Verwaltung der Zertifikate aufbauen. Das beinhaltet möglicherweise die Inbetriebnahme zusätzlicher Hardware.
* Gründliche Tests.
* Entwickeln einer Updateprozedur für die Kundenpräsenzen sowie deren Test.
* Ausrollen der Änderungen in die Kundenpräsenzen.

(Hinter jedem der Punkte verbergen sich mindestens zehn unerwartete Detailprobleme.)

Zitat:
Jedenfalls ist das beseitigen der Lücke hier ganz schnell gemacht, in dem man den Server offline nimmt. Das ist eine Sache von Minuten.

Nun ja, ich kann ganz gut den Widerwillen einer relativ kleinen Firma verstehen, ihre Großkunden auf diese Art zu verprellen und freiwillig eine Insolvenz anzusteuern. Das heißt nicht, daß ich Mitleid mit denen hätte. Allerdings auch nicht mit dem Beschuldigten. Ich gehe ja auch nicht hin und tröte die Sicherheitslücken meine Geschäftspartner in die Welt hinaus, weil ich mit deren spontaner Reaktion nicht einverstanden bin.

Egal, warten wir mal ab, was daraus wird.

0x Hilfreiche Antwort

#9
 Von 
Harry van Sell
Status:
Unbeschreiblich
(118552 Beiträge, 39586x hilfreich)

Zitat (von nefrage234):
Hier ein kurze Liste was ich aus dem Artikel herausdeute, was die Reparatur alles nach sich zieht:

Ok, das die "die große Packung".

Als erstes hätte das
Zitat (von nefrage234):
Verschlüsselte Kommunikation implementieren

wohl durchaus mal gereicht.

Und das komplette Datenschutzkonzept der Firma muss grundlegend durchleuchtet werden, da scheint ebenfalls einiges im argen zu liegen. Hätte das funktioniert, wäre es gar nicht zu dem Problem gekommen ...



Wobei ich bei denen derzeit nur noch gegen Vorkasse arbeiten würde ...



Zitat (von nefrage234):
Nun ja, ich kann ganz gut den Widerwillen einer relativ kleinen Firma verstehen, ihre Großkunden auf diese Art zu verprellen und freiwillig eine Insolvenz anzusteuern.

Ja, das sollte man vermeiden. Der erstes Schritt war ja auch der richtige, erst mal vom Netz getrennt
Deshalb ist total unverständlich wie die reagiert haben, das die das dann einfach wieder so online stellen. Da war es ja kein Versehenen mehr, da war es Vorsatz.

Was auch einen richtig "guten" Eindruck macht: 20 5 Sterne Bewertungen in Folge bei Google vor einer Woche.



Zitat (von nefrage234):
Allerdings auch nicht mit dem Beschuldigten.

Hätte die Firma kooperativ reagiert, könnte der Beschuldigte eventuell ein Problem bekommen. Wobei ich nicht glaube das er dann erfolgreich zur Haftung herangezogen werden könnte.



Zitat (von nefrage234):
Ich gehe ja auch nicht hin und tröte die Sicherheitslücken meine Geschäftspartner in die Welt hinaus, weil ich mit deren spontaner Reaktion nicht einverstanden bin.

Nun, ich vermute mal, das man mit denen auch entsprechende vertraglichen Vereinbarungen hat bzw. sich auch aus den gesetzlichen Regelungen entsprechendes ergibt. Also eine ganz andere Basis.

Der Beschuldigte hat hier aber diese Verpflichtungen alle nicht.


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

0x Hilfreiche Antwort

#10
 Von 
eh1960
Status:
Senior-Partner
(6205 Beiträge, 1485x hilfreich)

Zitat (von nefrage234):
Soweit so gut. Nun widerspricht eine Person, die sich offenbar als der Beschuldigte ausgibt, dieser Darstellung: "Wenige Tage später war die Datenbank wieder am Netz mit selbigen Fehlerbild."

Wer soll in dem Fall der "Beschuldigte" sein? Der Betreiber der Datenbank? Der Hacker?

Signatur:

Eine "UG" gibt es nicht. Es gibt nur die "UG haftungsbeschränkt".

0x Hilfreiche Antwort

#11
 Von 
Harry van Sell
Status:
Unbeschreiblich
(118552 Beiträge, 39586x hilfreich)

Zitat (von eh1960):
Wer soll in dem Fall der "Beschuldigte" sein? Der Betreiber der Datenbank? Der Hacker?

Weder noch.
Gegen den Betreiber der Datenbank läuft wohl noch kein Strafverfahren und einen Hacker gibt es in der Geschichte nicht.
Der Beschuldigte dürfte wohl der unabhängige Programmierer sein.


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

0x Hilfreiche Antwort

#12
 Von 
taxpert
Status:
Student
(2329 Beiträge, 628x hilfreich)

Wie man mit soetwas am besten umgeht, kann man hier sehen. Zwar ein langer Beitrag, aber unbedingt sehenswert!

taxpert

Signatur:

"Yeah, I'm the taxman
and you're working for no one but me!"

The Beatles, Taxman

0x Hilfreiche Antwort

#13
 Von 
nefrage234
Status:
Schüler
(182 Beiträge, 37x hilfreich)

Wie nennt man denn juristisch korrekt eine Person, bei der das Haus durchsucht wurde?

-- Editiert von Moderator am 25.10.2021 11:23

0x Hilfreiche Antwort

#14
 Von 
nefrage234
Status:
Schüler
(182 Beiträge, 37x hilfreich)

Zitat:
Zitat:
Zitat (von nefrage234):
Ich gehe ja auch nicht hin und tröte die Sicherheitslücken meine Geschäftspartner in die Welt hinaus, weil ich mit deren spontaner Reaktion nicht einverstanden bin.


Nun, ich vermute mal, das man mit denen auch entsprechende vertraglichen Vereinbarungen hat bzw. sich auch aus den gesetzlichen Regelungen entsprechendes ergibt. Also eine ganz andere Basis.


Sicherlich, aber ist die Situation wirklich so unterschiedlich? Der "IT-Experte" hat für einen Kunden gearbeitet und stieß dabei auf die Lücke. Denn sein Kunde ist wiederum Kunde von M. S..

0x Hilfreiche Antwort

#15
 Von 
Harry van Sell
Status:
Unbeschreiblich
(118552 Beiträge, 39586x hilfreich)

Zitat (von nefrage234):
Sicherlich, aber ist die Situation wirklich so unterschiedlich?

Ja klar.
Es ist schon ein gewaltiger Unterschied, ob man zum schweigen verpflichtet ist oder nicht.
Wobei die Verschwiegenheitsverpflichtungen durchaus auch da Grenzen haben, wenn es um illegales Verhalten geht.


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

0x Hilfreiche Antwort

#16
 Von 
moki11so
Status:
Frischling
(2 Beiträge, 0x hilfreich)

Moin,

vielleicht kann ich etwas Licht ins Dunkle bringen. Einige Infos waren nicht korrekt, mangels Verfügbarkeit der Informationen. Ich möchte hier nochmal kurz und knapp den Prozess vom Finden bis zur Veröffentlichung beleuchten:
1. Lücke gefunden
2. "Beweise gesichert"
3. Blogger um rat gefragt, ohne Infos zum Unternehmen und Lücke
4. Unternehmen kontaktiert, Fristen gesetzt:
- Selbstanzeige beim LfD: 2 Tage
- "Behebung" der Lücke: 7 Tage
5. Unternehmen angerufen, plump abgewiesen. "Es wäre ja garnichts klar"
6. Entschluss, öffentlich zugehen, sobald die Lücke vom Netz ist
7. Lücke überraschenderweise in kürzester Zeit vom Netz
8. Erneuter Anruf beim Unternehmen - Keine Angabe/Aussage
9. Veröffentlichung

Insofern hat das Unternehmen sich dem Dialog verweigert und wie hier schon geschrieben wurde auch nach dem zweiten Bruch. Auch hier wurde erst veröffentlicht, als die Lücke vom Netz war.

-- Editiert von moki11so am 25.10.2021 06:19

0x Hilfreiche Antwort

#17
 Von 
guest-12315.09.2023 08:23:49
Status:
Junior-Partner
(5465 Beiträge, 925x hilfreich)

Beweggründe und Motivation ... aus meiner Sicht vollkommen egal.

Im deutschen Recht gibt es keine "Responsible Disclosure", somit kann ein Straftatbestand gem. § 202a StGB sehr wohl vorliegen. Und genau auf Basis dieses Tatbestands wurde die Hausdurchschung durchgeführt.

0x Hilfreiche Antwort

#18
 Von 
Harry van Sell
Status:
Unbeschreiblich
(118552 Beiträge, 39586x hilfreich)

Zitat (von bostonxl):
somit kann ein Straftatbestand gem. § 202a StGB sehr wohl vorliegen.

Hier aber eindeutig nicht.



Zitat (von bostonxl):
Und genau auf Basis dieses Tatbestands wurde die Hausdurchschung durchgeführt.

Das wäre dann für Polizei und das Gericht aber mehr als blamabel ...


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

0x Hilfreiche Antwort

#19
 Von 
guest-12321.03.2022 17:40:03
Status:
Lehrling
(1312 Beiträge, 182x hilfreich)

Dem IT-Experten wird doch ein Verstoß gegen §202a StGB vorgeworfen.
Insofern wird es wohl relevant sein welche Daten er im Rahmen seiner "Beweissicherung" aufgezeichnet hat.

Unstrittig dürfte doch sein das die Strafbehörden einer diesbezüglichen Anzeige, von wem diese auch immer gekommen ist, nachgehen müssen.

Befremdlich finde ich das Vorgehen des Experten ohnehin, er meldet eine Sicherheitslücke und setzt direkt eine Frist. Kooperatives Verhalten um ein Problem zu lösen sieht anders aus.

0x Hilfreiche Antwort

#20
 Von 
guest-12315.09.2023 08:23:49
Status:
Junior-Partner
(5465 Beiträge, 925x hilfreich)

Zitat (von Harry van Sell):
Hier aber eindeutig nicht.
Doch, sehr wohl sogar.
Zitat:

Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.


Zitat (von Harry van Sell):
Das wäre dann für Polizei und das Gericht aber mehr als blamabel ...
Einfach mal in den Links nachlesen. Genau der 202a war die Grundlage der Hausdurchsuchung.

0x Hilfreiche Antwort

#21
 Von 
Harry van Sell
Status:
Unbeschreiblich
(118552 Beiträge, 39586x hilfreich)

Zitat (von bostonxl):
Doch, sehr wohl sogar.

Hätte man alles gelesen und verstanden, wüsste man das es hier am wichtigsten - dem "besonders gesichert sind" - mangelt.
Die fehlende Sicherung war der Auslöser des ganzen.



Zitat (von Alter Sack):
Befremdlich finde ich das Vorgehen des Experten ohnehin, er meldet eine Sicherheitslücke und setzt direkt eine Frist.

Logisch. Nur durch ein Frist kommt es zum Verzug der weitere Handlungen absichert.
Wobei hier gar keine Frist erforderlich gewesen wäre.


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

0x Hilfreiche Antwort

#22
 Von 
guest-12321.03.2022 17:40:03
Status:
Lehrling
(1312 Beiträge, 182x hilfreich)

Zitat (von Harry van Sell):
Die fehlende Sicherung war der Auslöser des ganzen.


Das dürfte im gegebenen Fall (u.a.) eine Zielrichtung des Ermittlungsverfahrens sein!

0x Hilfreiche Antwort

#23
 Von 
guest-12315.09.2023 08:23:49
Status:
Junior-Partner
(5465 Beiträge, 925x hilfreich)

Zitat (von Harry van Sell):
Hätte man alles gelesen und verstanden, wüsste man das es hier am wichtigsten - dem "besonders gesichert sind" - mangelt.
Die fehlende Sicherung war der Auslöser des ganzen.
Würde man sich belesen, wüsste man, dass die gängige Rechtsprechung den Begriff "besonders gesichert" im 202a folgendermaßen einschränkt: Ein hoher Sicherheitsgrad ist nämlich nicht erforderlich. Die Sicherung darf aber nicht für jeden Laien ohne Weiteres überwindbar sein.

0x Hilfreiche Antwort

#24
 Von 
Harry van Sell
Status:
Unbeschreiblich
(118552 Beiträge, 39586x hilfreich)

Zitat (von bostonxl):
Ein hoher Sicherheitsgrad ist nämlich nicht erforderlich.

Richtg. Hier war nur schlicht gar kein Sicherheitsgrad vorhanden - oder wie möchte man keine Verschlüsselung und Zugangsdaten im Klartext bezeichnen?



Zitat (von bostonxl):
Die Sicherung darf aber nicht für jeden Laien ohne Weiteres überwindbar sein.

Dürfte hier wohl der Fall sein ...


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

0x Hilfreiche Antwort

#25
 Von 
guest-12321.03.2022 17:40:03
Status:
Lehrling
(1312 Beiträge, 182x hilfreich)

Zitat (von Harry van Sell):
... und Zugangsdaten im Klartext bezeichnen?


Woher nimmst du diese Erkenntnis?

Im zietierten heise-Artikel steht: " ... dass dieser Datenaustausch bei Modern Solution über eine im Klartext einsehbare SQL-Verbindung lief und die Zugangsdaten fest in der Software verankert waren. "

Die Zugangsdaten lagen im Programm, in welcher Form (verschlüsselt oder im Klartext) steht hier nicht. Und da die Zugangsdaten "fest in der Software verankert" waren lagen sie wohl nicht ein einer separaten Konfigurationsdatei sondern im Programm-Code. Um die Zugangsdaten aus einem den Programm-Code auszulesen bedarf es demnach schon eines gewissen Aufwandes.

0x Hilfreiche Antwort

#26
 Von 
Harry van Sell
Status:
Unbeschreiblich
(118552 Beiträge, 39586x hilfreich)

Zitat (von Alter Sack):
Woher nimmst du diese Erkenntnis?

Logik.

Was enthält wohl eine "im Klartext einsehbare SQL-Verbindung"? Natürlich müssen da die Zugangsdaten enthalten sein, sonst gäbe es denknotwendigerweise keinen Zugang und somit auch keine Verbindung.



Zitat (von Alter Sack):
Und da die Zugangsdaten "fest in der Software verankert" waren lagen sie wohl nicht ein einer separaten Konfigurationsdatei

Natürlich können die auch in einer separaten Konfigurationsdatei gelegen haben.



Hier auch noch ein schöner Kommentar:
https://www.heise.de/meinung/Kommentar-zu-Modern-Solution-Der-Staat-darf-kein-Handlanger-von-Stuempern-sein-6224293.html
Wobei ich die Meinung "Der Hackerparagraf 202 StGB muss weg" nicht teile - der müsste nur entsprechend modifiziert werden, wenn die Gerichte und Ermittler das nicht selber schaffen ...


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

0x Hilfreiche Antwort

#27
 Von 
guest-12321.03.2022 17:40:03
Status:
Lehrling
(1312 Beiträge, 182x hilfreich)

Zitat (von Harry van Sell):
Was enthält wohl eine "im Klartext einsehbare SQL-Verbindung"? Natürlich müssen da die Zugangsdaten enthalten sein, sonst gäbe es denknotwendigerweise keinen Zugang und somit auch keine Verbindung.


Das hat deine "denknotwendigerweise" verwendete Logik aber ein kleine Lücke.

Eine SQL-Verbindung ist eine Datenbankverbindung. Nehme z.B. ORACLE als kommerzielle Datenbank, da wird der eigentliche Authentifizierungsprozess (Login) schon seit Urzeiten zwangsweise verschlüsselt während der Datenstrom nach der Authentifizierung verschlüsselt werden kann, aber nicht zwingend verschlüsselt (aus technischer Sicht) werden muss.

0x Hilfreiche Antwort

#28
 Von 
Harry van Sell
Status:
Unbeschreiblich
(118552 Beiträge, 39586x hilfreich)

Zitat (von Alter Sack):
da wird der eigentliche Authentifizierungsprozess (Login) schon seit Urzeiten zwangsweise verschlüsselt

War hier aber nicht der Fall wie man lesen kann.


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

0x Hilfreiche Antwort

#29
 Von 
Harry van Sell
Status:
Unbeschreiblich
(118552 Beiträge, 39586x hilfreich)

Zitat (von Alter Sack):
da wird der eigentliche Authentifizierungsprozess (Login) schon seit Urzeiten zwangsweise verschlüsselt

War hier aber nicht der Fall wie man lesen kann.


Signatur:

Meine persönliche Meinung/Interpretation!
Im übrigen verweise ich auf § 675 Abs. 2 BGB

0x Hilfreiche Antwort

#30
 Von 
guest-12321.03.2022 17:40:03
Status:
Lehrling
(1312 Beiträge, 182x hilfreich)

Zitat (von Harry van Sell):
War hier aber nicht der Fall wie man lesen kann.


Das kann man nicht lesen, lesen kann man das Daten im Klartext übermittelt werden, das sind aber nicht zwingend auch die Zugangsdaten mit denen man sich an der Datenbank anmeldet.

0x Hilfreiche Antwort

Und jetzt?

Für jeden die richtige Beratung, immer gleich gut.
Schon 264.716 Beratungen
Anwalt online fragen
Ab 30
Rechtssichere Antwort in durchschnittlich 2 Stunden
107.124 Bewertungen
  • Keine Terminabsprache
  • Antwort vom Anwalt
  • Rückfragen möglich
  • Serviceorientierter Support
Anwalt vor Ort
Persönlichen Anwalt kontaktieren. In der Nähe oder bundesweit.
  • Kompetenz und serviceoriente Anwaltsuche
  • mit Empfehlung
  • Direkt beauftragen oder unverbindlich anfragen
Alle Preise inkl. MwSt. zzgl. 5€ Einstellgebühr pro Frage.

Jetzt Anwalt dazuholen.

Für 60€ beurteilt einer unserer Partneranwälte diese Sache.

  • Antwort vom Anwalt
  • Innerhalb 24 Stunden
  • Nicht zufrieden? Geld zurück!
  • Top Bewertungen
Ja, jetzt Anwalt dazuholen
12