Es dreht sich hier um einen relen Fall, der zur Zeit durch die IT-Presse geht:
https://www.heise.de/news/Datenleck-bei-Modern-Solution-Hausdurchsuchung-statt-Bug-Bounty-6222165.html
Ein "IT-Experte" hat eine (viele Endkunden betreffende) Sicherheitslücke einem Betreiber von Online-Läden gemeldet und dann kurz darauf (Stunden) an die Öffentlichkeit gebracht. O.g. Artikel (Autor und Beschuldigter stehen offenbar in Kontakt) beruft sich auf das Verfahren der "Responsible Disclosure" was knapp formuliert besagt, daß eine Lücke erst öffentlich gemacht wird nachdem die andere Partei genug Zeit hatte, die Lücke zu beheben.
Soweit so gut. Nun widerspricht eine Person, die sich offenbar als der Beschuldigte ausgibt, dieser Darstellung: "Wenige Tage später war die Datenbank wieder am Netz mit selbigen Fehlerbild."
Besagter Beitrag: https://www.heise.de/forum/heise-online/Kommentare/Datenleck-bei-Modern-Solution-Hausdurchsuchung-statt-Bug-Bounty/Re-Dieser-IT-Experte-nagt-am-Hungertuch/posting-39810375/show/
Ganze Diskussion: https://www.heise.de/forum/heise-online/Kommentare/Datenleck-bei-Modern-Solution-Hausdurchsuchung-statt-Bug-Bounty/forum-483185/
(Eine Stellungnahme der Firma existiert anscheinend nicht, und was genau angezeigt wurde, ist unbekannt.)
--
Aus latentem Interesse an solchen Fällen in meiner Branche wäre ich an Überlegungen zum Sachverhalt, insbesondere in Bezug auf richtigem oder falschem Verhalten des Beschuldigten interessiert. Mehr Informationen als die Presse kann ich nicht liefern.
Realer Fall aus der IT-Presse
19. Oktober 2021
Thema abonnieren
12
Frage vom 19. Oktober 2021 | 23:45
Von
Status: Schüler (182 Beiträge, 38x hilfreich)
Realer Fall aus der IT-Presse
Notfall oder generelle Fragen?
Notfall oder generelle Fragen?
Ein erfahrener Anwalt gibt Ihnen eine vertrauliche kostenlose Einschätzung!
Ein erfahrener Anwalt gibt Ihnen eine vertrauliche kostenlose Einschätzung!
#1
Antwort vom 20. Oktober 2021 | 00:14
Von
Status: Unbeschreiblich (128613 Beiträge, 41004x hilfreich)
Die versammelten Inkompetenz-Muster der CDU haben es doch vorgemacht, war ja nur eine Frage der Zeit, bis andere Idioten das nachmachen.
Was lernt man daraus?
Alle Bewiese sichern, direkt das Unternehmen informieren und zeitgleich das Problem mit den Beweisen veröffentlichen (idealerweise auch in den passenden Medien) in den und den Behörden zur Anzeige bringen. Und auch darüber die Firma informieren und warum man das nun so macht.
Am besten auch noch alles anonym.
Wenn dann die ersten Firmen über die Klinge springen, wird der Rest begreifen, was Sache ist.
Die Vergangenheit hat gezeigt, das die Unternehmen in solchen Fällen nur durch Schmerz und Schrecken lernen.
#2
Antwort vom 20. Oktober 2021 | 00:35
Von
Status: Schüler (182 Beiträge, 38x hilfreich)
Ja, gut, sehe ich im Prinzip genauso. Aber hat sich der Beschuldigte nicht selbst angreifbar gemacht, als er der Firma fast keine Zeit ließ zur Behebung der Lücke? Es ist zumindest üblich, eine Frist von ein oder zwei Wochen verstreichen zu lassen, bevor man veröffentlicht. Muß sich der Beschuldigte nicht zu Recht vorwerfen lassen, Schäden bei der Firma, Firmen, für die sie die Online-Läden betreibt und letztlich auch beim Endkunden zumindest in Kauf genommen oder sogar provoziert zu haben?
Noch unsicher oder nicht ganz Ihr Thema?
Auf Frag-einen-Anwalt.de antwortet Ihnen ein Rechtsanwalt innerhalb von 2 Stunden. Sie bestimmen den Preis.
Jetzt zum Thema "Strafrecht" einen Anwalt fragen
Auf Frag-einen-Anwalt.de antwortet Ihnen ein Rechtsanwalt innerhalb von 2 Stunden. Sie bestimmen den Preis.
#3
Antwort vom 20. Oktober 2021 | 01:36
Von
Status: Unbeschreiblich (128613 Beiträge, 41004x hilfreich)
Zitat :Schäden bei der Firma, Firmen, für die sie die Online-Läden betreibt und letztlich auch beim Endkunden zumindest in Kauf genommen oder sogar provoziert zu haben?
Wieso, hat er den Server / das Programm so inkompetent konfiguriert? Nein. Das war Modern Solution.
Har er vorsätzlich, im vollen Bewusstsein der Problematik alles wieder online gesetzt? Nein. Das war Modern Solution.
Insofern sehe ich da keinen Ansatzpunkt.
Die sollten sich mal ihre eigenen Marketing Phrasen durchlesen ..
Modern Solution GmbH & Co. KG
"Ihre E-Commerce Agentur mit Weitblick."
Die aktuellen Handlungen sind von absoluter Kurzsichtigkeit geprägt.
Aber immerhin hat man es mal geschafft den FB-Account zu schließen, irgendwann kommt dann auch mal die Lücken dran ...
Die Gefährdung für sich, die Kunden und Andere geht hier samt und sonders von der Firma Modern Solution aus.
Das sind ja so absolute Basics die da missachtet wurden, dafür müsste man Modern Solution eigentlich den Geschäftsbetrieb in dem Bereich für die nächsten 10 Jahre untersagen ...
Wobei sich das wohl durch Insolvenz etc. erledigen dürfte, da jetzt nicht nur staatlichen Datenschutzbeauftragten aktiv werden, sondern auch die Opfer der Inkompetenz von Modern Solution und JTL machen gerade mobil. Sie Opfer stecken nämlich auch tief in der *******.
Auch JTL muss hier genannt werden, bei denen mangelt es ganz offenbar an einem ordentlichen Zertifizierungs- und Überwachungsprozess für die Aufnahme in das Dienstleisterverzeichnis. Da stehen wohl eher die finanzielle Aspekte der Zertifizierung im Vordergrund.
Da kann die Welle des ****storm gar nicht hoch genug werden, eventuell hilft das schon das andere Firmen so einen Miat nicht mehr verzapfen
Zitat :als er der Firma fast keine Zeit ließ zur Behebung der Lücke?
Man hatte 72 Stunden, da war also genug Zeit. Echte Hacker gewähren genau 0,0 Sekunden.
Zitat :Es ist zumindest üblich, eine Frist von ein oder zwei Wochen verstreichen zu lassen, bevor man veröffentlicht.
Richtig, üblicherweise sitzen in den Firmen aber auch Leute mit zumindest rudimentärer Intelligenz und Weitsicht.
Wenn man so brüsk wie hier abgeschmettert wird, reduziert sich die Frist auf genau 0,0.
#4
Antwort vom 20. Oktober 2021 | 03:44
Von
Status: Schüler (182 Beiträge, 38x hilfreich)
Zitat :Man hatte 72 Stunden, da war also genug Zeit. Echte Hacker gewähren genau 0,0 Sekunden.
Das stimmt nach den Aussagen im Artikel nicht. Man forderte eine Behebung innerhalb 72 Stunden, war mit der Reaktion der Firma nicht zufrieden und veröffentlichte darafuhin sofort:
"... gingen am selben Tag an die Öffentlichkeit, an dem sie Datenleck und Lücke an den Hersteller und die zuständigen Datenschutzbehörden gemeldet hatten."
Von Zeit zur Behebung kann da keine Rede sein.
Zitat:Richtig, üblicherweise sitzen in den Firmen aber auch Leute mit zumindest rudimentärer Intelligenz und Weitsicht.
Äh, in welcher IT-Realität lebst Du? Meiner Erfahrung nach beherrschen in dieser Branche > 80% ihren Job nicht.
#5
Antwort vom 20. Oktober 2021 | 03:57
Von
Status: Unbeschreiblich (128613 Beiträge, 41004x hilfreich)
Zitat :Das stimmt nach den Aussagen im Artikel nicht.
Doch.
Zitat :Man forderte eine Behebung innerhalb 72 Stunden
So ist es. 72 Stunden Zeit - wollte die Firma aber nicht.
Zitat :war mit der Reaktion der Firma nicht zufrieden und veröffentlichte darafuhin sofort:
Zitat :Wenn man so brüsk wie hier abgeschmettert wird, reduziert sich die Frist auf genau 0,0.
Zitat :Meiner Erfahrung nach beherrschen in dieser Branche > 80% ihren Job nicht.
Deshalb schrieb ich ja von "rudimentär".
Bedeutet: Wenn ich mit dem Auto einen Radfahrer überfahre weil ich nicht Auto fahren kann, rufe ich danach den Notarzt und meinen Anwalt an.
Die haben einen Radfahrer überfahren, das Auto gewendet, sind dann nochmal über den Radfahrer gefahren, rufen dann den Anwalt an und haben den Radfahrer wegen Sachbeschädigung angezeigt, weil das Rad den Unterboden vom Auto zerkratzt hat.
#6
Antwort vom 21. Oktober 2021 | 02:51
Von
Status: Schüler (182 Beiträge, 38x hilfreich)
Zitat :Zitat (von nefrage234):
Man forderte eine Behebung innerhalb 72 Stunden
So ist es. 72 Stunden Zeit - wollte die Firma aber nicht.
Was die Firma vorhatte geht doch aus dem Artikel gar nicht hervor, da sie keine Stellungnahme abgegeben hat. Daß die allermeisten Menschen jegliche Kritik erstmal zurückweisen und dabei oft unhöflich und laut werden, ist kein Geheimnis und besagt auch nichts darüber, was sie später tun oder denken werden. Oder im konkreten Fall, was sie genau vorhatten.
Es ist auch nicht so, daß alle IT-Probleme mit einem Fingerschnippen zu beseitigen sind. Manchmal dauert das Wochen, Monate oder Jahre, jedenfalls niemals Stunden. Wenn wie hier Verschlüsselung "vergessen" wurde, ist die Nachrüstung je nach Sachlage locker eine Aufgabe von einem Monat bis zu einem halben Jahr.
Zitat:Die haben einen Radfahrer überfahren, das Auto gewendet, sind dann nochmal über den Radfahrer gefahren, rufen dann den Anwalt an und haben den Radfahrer wegen Sachbeschädigung angezeigt, weil das Rad den Unterboden vom Auto zerkratzt hat.
Es ist nach der aktuellen Informationslage kein realer Schaden bekannt - kein Wort über gekaperte Konten, abgeflossene Daten usw.. Aber der Beschuldigte hat potentiell Angreifer auf die Lücke aufmerksam gemacht und so möglicherweise für echte Schäden gesorgt.
Eigentlich wollte ich mit dem Thema keine Rants über unfähige IT-Firmen anstoßen, sondern hatte auf eine rechtliche Analyse gehofft, was das Verhalten des Beschuldigten angeht - aus allgemeinem und beruflichem Interesse.
#7
Antwort vom 21. Oktober 2021 | 03:21
Von
Status: Unbeschreiblich (128613 Beiträge, 41004x hilfreich)
Zitat :Was die Firma vorhatte geht doch aus dem Artikel gar nicht hervor
Nö, aber was die Firma tat geht da schon hervor.
Zitat :Es ist auch nicht so, daß alle IT-Probleme mit einem Fingerschnippen zu beseitigen sind.
Richtig.
Zitat :Wenn wie hier Verschlüsselung "vergessen" wurde, ist die Nachrüstung je nach Sachlage locker eine Aufgabe von einem Monat bis zu einem halben Jahr.
Ja, wenn an erst mal alle Basics erlernen muss, ansonsten dauert das nicht so lange.
Da muss man dann halt notfalls externe Profis beauftragen wen es an der eigenen Kompetenz scheitert.
Jedenfalls ist das beseitigen der Lücke hier ganz schnell gemacht, in dem man den Server offline nimmt. Das ist eine Sache von Minuten.
Zitat :sondern hatte auf eine rechtliche Analyse gehofft, was das Verhalten des Beschuldigten angeht
Da es dazu derzeit keinerlei Fakten gibt, wird man damit noch warten müssen.
#8
Antwort vom 21. Oktober 2021 | 05:03
Von
Status: Schüler (182 Beiträge, 38x hilfreich)
Zitat :Ja, wenn an erst mal alle Basics erlernen muss, ansonsten dauert das nicht so lange.
Da muss man dann halt notfalls externe Profis beauftragen wen es an der eigenen Kompetenz scheitert.
Nun, da würde man dann Leute wie mich beauftragen. Generell ist das Problem bei nachträglich gefundenen Sicherheitslücker per Design, daß die in der Regel nicht einfach nachgerüstet werden können. Wenn man Sicherheit nicht schon im Entwurf berücksichtigt kann das beim "Nachrüsten" zu vielen, dicken Tränen führen.
Hier ein kurze Liste was ich aus dem Artikel herausdeute, was die Reparatur alles nach sich zieht:
* Verschlüsselte Kommunikation implementieren.
* Gegebenenfalls sensitive Klartextdaten in internen Datenbanken verschlüsseln.
* Infrastruktur zur Verwaltung der Zertifikate aufbauen. Das beinhaltet möglicherweise die Inbetriebnahme zusätzlicher Hardware.
* Gründliche Tests.
* Entwickeln einer Updateprozedur für die Kundenpräsenzen sowie deren Test.
* Ausrollen der Änderungen in die Kundenpräsenzen.
(Hinter jedem der Punkte verbergen sich mindestens zehn unerwartete Detailprobleme.)
Zitat:Jedenfalls ist das beseitigen der Lücke hier ganz schnell gemacht, in dem man den Server offline nimmt. Das ist eine Sache von Minuten.
Nun ja, ich kann ganz gut den Widerwillen einer relativ kleinen Firma verstehen, ihre Großkunden auf diese Art zu verprellen und freiwillig eine Insolvenz anzusteuern. Das heißt nicht, daß ich Mitleid mit denen hätte. Allerdings auch nicht mit dem Beschuldigten. Ich gehe ja auch nicht hin und tröte die Sicherheitslücken meine Geschäftspartner in die Welt hinaus, weil ich mit deren spontaner Reaktion nicht einverstanden bin.
Egal, warten wir mal ab, was daraus wird.
#9
Antwort vom 21. Oktober 2021 | 11:37
Von
Status: Unbeschreiblich (128613 Beiträge, 41004x hilfreich)
Zitat :Hier ein kurze Liste was ich aus dem Artikel herausdeute, was die Reparatur alles nach sich zieht:
Ok, das die "die große Packung".
Als erstes hätte das
Zitat :Verschlüsselte Kommunikation implementieren
wohl durchaus mal gereicht.
Und das komplette Datenschutzkonzept der Firma muss grundlegend durchleuchtet werden, da scheint ebenfalls einiges im argen zu liegen. Hätte das funktioniert, wäre es gar nicht zu dem Problem gekommen ...
Wobei ich bei denen derzeit nur noch gegen Vorkasse arbeiten würde ...
Zitat :Nun ja, ich kann ganz gut den Widerwillen einer relativ kleinen Firma verstehen, ihre Großkunden auf diese Art zu verprellen und freiwillig eine Insolvenz anzusteuern.
Ja, das sollte man vermeiden. Der erstes Schritt war ja auch der richtige, erst mal vom Netz getrennt
Deshalb ist total unverständlich wie die reagiert haben, das die das dann einfach wieder so online stellen. Da war es ja kein Versehenen mehr, da war es Vorsatz.
Was auch einen richtig "guten" Eindruck macht: 20 5 Sterne Bewertungen in Folge bei Google vor einer Woche.
Zitat :Allerdings auch nicht mit dem Beschuldigten.
Hätte die Firma kooperativ reagiert, könnte der Beschuldigte eventuell ein Problem bekommen. Wobei ich nicht glaube das er dann erfolgreich zur Haftung herangezogen werden könnte.
Zitat :Ich gehe ja auch nicht hin und tröte die Sicherheitslücken meine Geschäftspartner in die Welt hinaus, weil ich mit deren spontaner Reaktion nicht einverstanden bin.
Nun, ich vermute mal, das man mit denen auch entsprechende vertraglichen Vereinbarungen hat bzw. sich auch aus den gesetzlichen Regelungen entsprechendes ergibt. Also eine ganz andere Basis.
Der Beschuldigte hat hier aber diese Verpflichtungen alle nicht.
#10
Antwort vom 21. Oktober 2021 | 16:50
Von
Status: Senior-Partner (6826 Beiträge, 1576x hilfreich)
Zitat :Soweit so gut. Nun widerspricht eine Person, die sich offenbar als der Beschuldigte ausgibt, dieser Darstellung: "Wenige Tage später war die Datenbank wieder am Netz mit selbigen Fehlerbild."
Wer soll in dem Fall der "Beschuldigte" sein? Der Betreiber der Datenbank? Der Hacker?
#11
Antwort vom 21. Oktober 2021 | 17:08
Von
Status: Unbeschreiblich (128613 Beiträge, 41004x hilfreich)
Zitat :Wer soll in dem Fall der "Beschuldigte" sein? Der Betreiber der Datenbank? Der Hacker?
Weder noch.
Gegen den Betreiber der Datenbank läuft wohl noch kein Strafverfahren und einen Hacker gibt es in der Geschichte nicht.
Der Beschuldigte dürfte wohl der unabhängige Programmierer sein.
#12
Antwort vom 21. Oktober 2021 | 17:40
Von
Status: Student (2576 Beiträge, 688x hilfreich)
Wie man mit soetwas am besten umgeht, kann man hier sehen. Zwar ein langer Beitrag, aber unbedingt sehenswert!
taxpert
#13
Antwort vom 23. Oktober 2021 | 19:14
Von
Status: Schüler (182 Beiträge, 38x hilfreich)
Wie nennt man denn juristisch korrekt eine Person, bei der das Haus durchsucht wurde?
-- Editiert von Moderator am 25.10.2021 11:23
#14
Antwort vom 23. Oktober 2021 | 19:17
Von
Status: Schüler (182 Beiträge, 38x hilfreich)
Zitat:Zitat:Zitat (von nefrage234):
Ich gehe ja auch nicht hin und tröte die Sicherheitslücken meine Geschäftspartner in die Welt hinaus, weil ich mit deren spontaner Reaktion nicht einverstanden bin.
Nun, ich vermute mal, das man mit denen auch entsprechende vertraglichen Vereinbarungen hat bzw. sich auch aus den gesetzlichen Regelungen entsprechendes ergibt. Also eine ganz andere Basis.
Sicherlich, aber ist die Situation wirklich so unterschiedlich? Der "IT-Experte" hat für einen Kunden gearbeitet und stieß dabei auf die Lücke. Denn sein Kunde ist wiederum Kunde von M. S..
#15
Antwort vom 24. Oktober 2021 | 00:32
Von
Status: Unbeschreiblich (128613 Beiträge, 41004x hilfreich)
Zitat :Sicherlich, aber ist die Situation wirklich so unterschiedlich?
Ja klar.
Es ist schon ein gewaltiger Unterschied, ob man zum schweigen verpflichtet ist oder nicht.
Wobei die Verschwiegenheitsverpflichtungen durchaus auch da Grenzen haben, wenn es um illegales Verhalten geht.
#16
Antwort vom 25. Oktober 2021 | 06:18
Von
Status: Frischling (2 Beiträge, 0x hilfreich)
Moin,
vielleicht kann ich etwas Licht ins Dunkle bringen. Einige Infos waren nicht korrekt, mangels Verfügbarkeit der Informationen. Ich möchte hier nochmal kurz und knapp den Prozess vom Finden bis zur Veröffentlichung beleuchten:
1. Lücke gefunden
2. "Beweise gesichert"
3. Blogger um rat gefragt, ohne Infos zum Unternehmen und Lücke
4. Unternehmen kontaktiert, Fristen gesetzt:
- Selbstanzeige beim LfD: 2 Tage
- "Behebung" der Lücke: 7 Tage
5. Unternehmen angerufen, plump abgewiesen. "Es wäre ja garnichts klar"
6. Entschluss, öffentlich zugehen, sobald die Lücke vom Netz ist
7. Lücke überraschenderweise in kürzester Zeit vom Netz
8. Erneuter Anruf beim Unternehmen - Keine Angabe/Aussage
9. Veröffentlichung
Insofern hat das Unternehmen sich dem Dialog verweigert und wie hier schon geschrieben wurde auch nach dem zweiten Bruch. Auch hier wurde erst veröffentlicht, als die Lücke vom Netz war.
-- Editiert von moki11so am 25.10.2021 06:19
#17
Antwort vom 25. Oktober 2021 | 11:47
Von
Status: Junior-Partner (5465 Beiträge, 934x hilfreich)
Beweggründe und Motivation ... aus meiner Sicht vollkommen egal.
Im deutschen Recht gibt es keine "Responsible Disclosure", somit kann ein Straftatbestand gem. § 202a StGB sehr wohl vorliegen. Und genau auf Basis dieses Tatbestands wurde die Hausdurchschung durchgeführt.
#18
Antwort vom 25. Oktober 2021 | 11:51
Von
Status: Unbeschreiblich (128613 Beiträge, 41004x hilfreich)
Zitat :somit kann ein Straftatbestand gem. § 202a StGB sehr wohl vorliegen.
Hier aber eindeutig nicht.
Zitat :Und genau auf Basis dieses Tatbestands wurde die Hausdurchschung durchgeführt.
Das wäre dann für Polizei und das Gericht aber mehr als blamabel ...
#19
Antwort vom 25. Oktober 2021 | 11:58
Von
Status: Lehrling (1312 Beiträge, 185x hilfreich)
Dem IT-Experten wird doch ein Verstoß gegen §202a StGB vorgeworfen.
Insofern wird es wohl relevant sein welche Daten er im Rahmen seiner "Beweissicherung" aufgezeichnet hat.
Unstrittig dürfte doch sein das die Strafbehörden einer diesbezüglichen Anzeige, von wem diese auch immer gekommen ist, nachgehen müssen.
Befremdlich finde ich das Vorgehen des Experten ohnehin, er meldet eine Sicherheitslücke und setzt direkt eine Frist. Kooperatives Verhalten um ein Problem zu lösen sieht anders aus.
#20
Antwort vom 25. Oktober 2021 | 12:37
Von
Status: Junior-Partner (5465 Beiträge, 934x hilfreich)
Doch, sehr wohl sogar.Zitat :Hier aber eindeutig nicht.
Zitat:
Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
Einfach mal in den Links nachlesen. Genau der 202a war die Grundlage der Hausdurchsuchung.Zitat :Das wäre dann für Polizei und das Gericht aber mehr als blamabel ...
#21
Antwort vom 25. Oktober 2021 | 13:01
Von
Status: Unbeschreiblich (128613 Beiträge, 41004x hilfreich)
Zitat :Doch, sehr wohl sogar.
Hätte man alles gelesen und verstanden, wüsste man das es hier am wichtigsten - dem "besonders gesichert sind" - mangelt.
Die fehlende Sicherung war der Auslöser des ganzen.
Zitat :Befremdlich finde ich das Vorgehen des Experten ohnehin, er meldet eine Sicherheitslücke und setzt direkt eine Frist.
Logisch. Nur durch ein Frist kommt es zum Verzug der weitere Handlungen absichert.
Wobei hier gar keine Frist erforderlich gewesen wäre.
#22
Antwort vom 25. Oktober 2021 | 13:23
Von
Status: Lehrling (1312 Beiträge, 185x hilfreich)
Zitat :Die fehlende Sicherung war der Auslöser des ganzen.
Das dürfte im gegebenen Fall (u.a.) eine Zielrichtung des Ermittlungsverfahrens sein!
#23
Antwort vom 25. Oktober 2021 | 17:34
Von
Status: Junior-Partner (5465 Beiträge, 934x hilfreich)
Würde man sich belesen, wüsste man, dass die gängige Rechtsprechung den Begriff "besonders gesichert" im 202a folgendermaßen einschränkt: Ein hoher Sicherheitsgrad ist nämlich nicht erforderlich. Die Sicherung darf aber nicht für jeden Laien ohne Weiteres überwindbar sein.Zitat :Hätte man alles gelesen und verstanden, wüsste man das es hier am wichtigsten - dem "besonders gesichert sind" - mangelt.
Die fehlende Sicherung war der Auslöser des ganzen.
#24
Antwort vom 25. Oktober 2021 | 18:15
Von
Status: Unbeschreiblich (128613 Beiträge, 41004x hilfreich)
Zitat :Ein hoher Sicherheitsgrad ist nämlich nicht erforderlich.
Richtg. Hier war nur schlicht gar kein Sicherheitsgrad vorhanden - oder wie möchte man keine Verschlüsselung und Zugangsdaten im Klartext bezeichnen?
Zitat :Die Sicherung darf aber nicht für jeden Laien ohne Weiteres überwindbar sein.
Dürfte hier wohl der Fall sein ...
#25
Antwort vom 25. Oktober 2021 | 19:43
Von
Status: Lehrling (1312 Beiträge, 185x hilfreich)
Zitat :... und Zugangsdaten im Klartext bezeichnen?
Woher nimmst du diese Erkenntnis?
Im zietierten heise-Artikel steht: " ... dass dieser Datenaustausch bei Modern Solution über eine im Klartext einsehbare SQL-Verbindung lief und die Zugangsdaten fest in der Software verankert waren. "
Die Zugangsdaten lagen im Programm, in welcher Form (verschlüsselt oder im Klartext) steht hier nicht. Und da die Zugangsdaten "fest in der Software verankert" waren lagen sie wohl nicht ein einer separaten Konfigurationsdatei sondern im Programm-Code. Um die Zugangsdaten aus einem den Programm-Code auszulesen bedarf es demnach schon eines gewissen Aufwandes.
#26
Antwort vom 25. Oktober 2021 | 20:02
Von
Status: Unbeschreiblich (128613 Beiträge, 41004x hilfreich)
Zitat :Woher nimmst du diese Erkenntnis?
Logik.
Was enthält wohl eine "im Klartext einsehbare SQL-Verbindung"? Natürlich müssen da die Zugangsdaten enthalten sein, sonst gäbe es denknotwendigerweise keinen Zugang und somit auch keine Verbindung.
Zitat :Und da die Zugangsdaten "fest in der Software verankert" waren lagen sie wohl nicht ein einer separaten Konfigurationsdatei
Natürlich können die auch in einer separaten Konfigurationsdatei gelegen haben.
Hier auch noch ein schöner Kommentar:
https://www.heise.de/meinung/Kommentar-zu-Modern-Solution-Der-Staat-darf-kein-Handlanger-von-Stuempern-sein-6224293.html
Wobei ich die Meinung "Der Hackerparagraf 202 StGB muss weg" nicht teile - der müsste nur entsprechend modifiziert werden, wenn die Gerichte und Ermittler das nicht selber schaffen ...
#27
Antwort vom 25. Oktober 2021 | 20:19
Von
Status: Lehrling (1312 Beiträge, 185x hilfreich)
Zitat :Was enthält wohl eine "im Klartext einsehbare SQL-Verbindung"? Natürlich müssen da die Zugangsdaten enthalten sein, sonst gäbe es denknotwendigerweise keinen Zugang und somit auch keine Verbindung.
Das hat deine "denknotwendigerweise" verwendete Logik aber ein kleine Lücke.
Eine SQL-Verbindung ist eine Datenbankverbindung. Nehme z.B. ORACLE als kommerzielle Datenbank, da wird der eigentliche Authentifizierungsprozess (Login) schon seit Urzeiten zwangsweise verschlüsselt während der Datenstrom nach der Authentifizierung verschlüsselt werden kann, aber nicht zwingend verschlüsselt (aus technischer Sicht) werden muss.
#28
Antwort vom 25. Oktober 2021 | 20:22
Von
Status: Unbeschreiblich (128613 Beiträge, 41004x hilfreich)
Zitat :da wird der eigentliche Authentifizierungsprozess (Login) schon seit Urzeiten zwangsweise verschlüsselt
War hier aber nicht der Fall wie man lesen kann.
#29
Antwort vom 25. Oktober 2021 | 20:22
Von
Status: Unbeschreiblich (128613 Beiträge, 41004x hilfreich)
Zitat :da wird der eigentliche Authentifizierungsprozess (Login) schon seit Urzeiten zwangsweise verschlüsselt
War hier aber nicht der Fall wie man lesen kann.
#30
Antwort vom 25. Oktober 2021 | 20:40
Von
Status: Lehrling (1312 Beiträge, 185x hilfreich)
Zitat :War hier aber nicht der Fall wie man lesen kann.
Das kann man nicht lesen, lesen kann man das Daten im Klartext übermittelt werden, das sind aber nicht zwingend auch die Zugangsdaten mit denen man sich an der Datenbank anmeldet.
Und jetzt?
Für jeden die richtige Beratung, immer gleich gut.
Schon
287.902
Beratungen
Anwalt online fragen
Ab
30
€
Rechtssichere Antwort in durchschnittlich 2 Stunden
- Keine Terminabsprache
- Antwort vom Anwalt
- Rückfragen möglich
- Serviceorientierter Support
Anwalt vor Ort
Persönlichen Anwalt kontaktieren. In der Nähe oder bundesweit.
- Kompetenz und serviceoriente Anwaltsuche
- mit Empfehlung
- Direkt beauftragen oder unverbindlich anfragen
Alle Preise inkl. MwSt. zzgl. 5€ Einstellgebühr pro Frage.
Jetzt Anwalt dazuholen.
Für 60€ beurteilt einer unserer Partneranwälte diese Sache.
- Antwort vom Anwalt
- Innerhalb 24 Stunden
- Nicht zufrieden? Geld zurück!
- Top Bewertungen
12
Ähnliche Themen
-
3 Antworten
Top Strafrecht Themen
-
76 Antworten