Geldstrafe für Aufzeigen eines Sicherheits-Problems

In den Niederlanden ist ein Abgeordneter des Parlamentes wegen des Eindringens in fremde Computer-Systeme zu einer Geldstrafe verurteilt worden. Dieser gab an, lediglich auf ein Problem aufmerksam gemacht zu haben. mehr... Arzt, Operation, Chirurg Bildquelle: segueprogram.org Arzt, Operation, Chirurg Arzt, Operation, Chirurg segueprogram.org

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ich glaube der letzte Satz ist hier von sehr großer Bedeutung. Es wird Admins eh immer schwerer gemacht Sicherheitslücken zu finden weil entsprechende Tools verboten werden/sind. Und wenn sie denn noch etwas finden, sei es durch Zufall oder wie auch immer, müssen sie mit Strafe rechnen. Dann braucht man sich doch gar nicht mehr über Schlagzeilen wundern in denen steht das in Deutschland die IT-Sicherheit vernachlässigt wird.
 
@Tomarr: Hier geht es darum, dass diese Lücken ÖFFENTLICH gemacht werden und somit Hinz und Kunz diese nutzen könnte. Wenn der Hinweis direkt an der Verantwortlichen geht und dieser auch reagiert, bemerkt die Öffentlichkeit davon nichts und alles wäre (theoretisch) gut. Was man dem guten Mann zugute halten könnte, wie auch vielen anderen, ist, dass der Druck aufgrund der "allgemeinen Bekanntheit" der Lücke steigt.
 
@tommy1977: Aber nur wenn der Verantwortliche dich nicht für das eindringen anzeigt. Das ist ja das Problem, er könnte es Positiv auffassen und die Lücke schließen, er könnte dich aber auch erstmal Anzeigen und dann die Lücke schließen oder es einfach ignorieren...
 
@tommy1977: Ohne die Gefahr eines Imageschaden interessiert die wenigsten IT Sicherheit..
 
@Tomarr: Deutsche IT-Sicherheit? Der Artikel fängt mit den Worten: "In den Niederlanden[...]" an. Wobei es in Deutschland mit der IT-Sicherheit tatsächlich nicht sooo rosig aussieht. Da wird vieles durch unsinnige Bürokratie künstlich klein gehalten.
 
@KnolleJupp: Mir ist schon klar dass das nun gerade in den Niederlanden war. Aber ich lebe halt in Deutschland, und da wird ja auch son Schwachsinn praktiziert das alle die nach Lücken suchen kriminalisiert werden.
 
@Tomarr: Die Sicherheitslücke war ein Vollpfosten, der ein Passwort für Dritte hörbar gesagt hat ... Allein dass weißt darauf hin, dass das Passwort kaum irgendwelchen Vorgaben entsprochen hat, wenn man es durch simples Zuhören rekonstruieren kann. Weiterhin unterliegt alles mit Patienten unter Verschwiegenheitspflicht, auch der Zugang dazu. Es ist jedenfalls keine Lücke, wenn man seine Daten weitergibt, egal ob bewusst oder unbewusst.
 
@wuddih: Ja gut. Die Lücke war halt der Typ der lauthals darüber gesprochen hat. Schon klar das eine Lücke nicht immer im System sondern auch gerne mal davor sitzt. Trotzdem ist es eine Lücke auf die man aufmerksam machen muss.
 
Die Frage ist doch, 1. ob er die "Lücke" diskret gemeldet hat und da keine Rückmeldung kam, erst dann an die Öffentlichkeit ging oder 2. ob es gleichzeitig geschah. Wenn 2.), dann kann ich die Strafe irgendwie nachvollziehen. Wenn nicht, dann braucht man sich nicht zu wundern, wenn man in Sachen Sicherheit nicht mit Google oder MS (da wird man belohnt) mithalten kann!
 
Es wird immer perverser .....
 
Wie geil sich in dieser News schon der erste Satz mit dem Titel wiederspricht :D
"Geldstrafe für -Aufzeigen eines Sicherheits-Problems-
..In den Niederlanden ist ein Abgeordneter des Parlamentes -wegen des Eindringens in fremde Computer-Systeme- zu einer Geldstrafe verurteilt worden".
Das ist so als würde ich titeln "Geldstrafe wegen Hinweis auf unverschlossene Haustür" und dann schreiben "..Ist ein Mensch wegen EInbruchs verurteilt worden" :D
 
@Achereto62: Von Einbruch steht nichts im Text.. nur unerlaubtes Eindringen - das ist ein Unterschied. Wenn du schon die Haustür als Beispiel nehmen willst, dann müsste der Täter von einem Dritten gehört haben, dass der Hauseigentümer nen Ersatzschlüssel unterm Blumentopf liegen hat.. und wenn er das weiß und sich damit zum Haus Zugang beschafft, dann ist das zumindest Hausfriedensbruch für den es auch Geldstrafen oder eine Freiheitsstrafe bis zu einem Jahr gibt.
 
@Trashy: Hast wohl recht, ja. Der Punkt ist, er wurde völlig zu recht bestraft, und für wesentlich mehr, als das "Aufzeigen eines Sicherheitsproblems".
 
@Achereto62: ob er zu recht bestraft wurde, darüber lässt sich streiten. Aber bei Patientendaten sind halt wieder Persönlichkeitsrechte im Spiel, die ihn auch nichts angehen. Da hätte er dem Portal einfach mitteilen müssen, dass sie ihr Passwort mal besser ändern sollen, weil es Dritten bekannt ist und der Keks wär gegessen gewesen. Hier ging es ja nicht um das Aufzeigen einer technischen Sicherheitslücke - es war einfach nur ein bekanntes Passwort. Sich aber mit ausgehorchten Passwörtern ins TV zu setzen und dafür noch Geld zu kassieren, was jedenfalls der falsche Weg.
 
Lustige "Berufsbezeichnung": Sicherheitsforscher. Wie lang ist da eigentlich die Berufsausbildung bzw. Studienzeit für ? *fg Oder ist das wie bei "unseren" Heilpraktikern und wie bei so manchen Ärzten: 1,5 Tage Ausbildung am Wochenende, Urkunde in die Hand und schon darf man es draußen an der "Praxis" (zusätzlich) aufs Schild schreiben: Heilpraktiker oder eben auch: Fettabsaugung, Laserbehandlung .. ?
 
@DerTigga: Nicht alle Berufe sind Ausbildungsberufe. Ich habe auch keine Ausbildung zum IT Consultant gemacht, sondern zum Fachinformatiker, bin ich aus diesem Grund ein Dilletant? Sicherheitshalber die Antwort: Nein.
 
@Achereto62: falls du irgendwie der Meinung bist, das mit den 1,5 Tagen in Verbindung mit Ärzten war ein Witz oder erfunden muss ich dich enttäuschen. War keiner. Ist wirklich so. Lebender Beweis ist da mein Bruder. Das ich das unmöglich, zu kurz und gefährlich finde brauch ich hoffentlich nicht noch dazu schreiben. Aber mag sein das ich da zu empfindlich oder misstrauisch bin. So wie des öfteren bei so manchem "Experten", der von RTL oder Pro7 oder wie die ganzen Sender mit ihren Volksverdummungs-Soaps noch so heißen präsentiert bzw. drauflosbehauptet wird.
 
@DerTigga: Keine Ahnung, ist mir auch egal. Ich wollte nur sagen, dass es durchaus Berufsbezeichnungen gibt, die man zu recht tragen kann, ohne darin eine Ausbildung oder ein Studium belegt zu haben. VIn Medizin habe ich keine Ahnung, von IT aber schon, daher ist es imo durchaus denkbar, auch ein qualifizierter "Sicheheitsforscher" zu werden, ohne darin ausgebildet worden zu sein ^^
 
@Achereto62: genau das ist der Punkt. Bezahlter Sicherheitsforscher contra selbst beauftragter bzw. behaupteter und eben nur kurzzeit ausgebildeter "Experte". Oder um beim üblichen Metapher zu bleiben: das gefundene Lücken auf dem Schwarzmarkt verscherbelnde Kellerkind, das in leere Getränkekartons pieselt, um nicht vom Rechner weg zu müssen contra der vom Chef bezahlte Firmen-Mitarbeiter im eigenen Büro. Beide könnten sich als "Sicherheitsforscher" betiteln. Das es nur einer davon Zurecht tut, ist, so hoffe ich, nicht nur meine Sicht der Dinge.
 
@DerTigga: Ja, also ich eine gesunde Skepsis bei sowas ist ja auch durchaus angebracht. Man sieht ja auch in der Politk, was sich da teilweise als Internetexperte schimpft. Ich meine nur, dass man das nicht pauschalisieren sollte.
 
Ich wäre als Admin, oder Konzern Chef glücklich wenn mir einer so meine Fehler im System zeigt! Sowas gehört belohnt und nicht bestraft!
 
@Jareth79: Er hat den Fehler nicht einfach nur gezeigt, er hat ihn auch ausgenutzt und öffentlich bekanntgegeben, und sowas wird völlig zu recht bestraft. Um bei meinem obigen Beispiel zu bleiben, wenn ich merke, dass jemand sein Haus nicht ordentlich gesichert hat, rechne ich nicht mit einer Belohnung wenn ich dort einbreche und aller Welt davon erzähle, erst recht nicht wenn ich auch noch etwas geklaut habe :P
 
@Achereto62: Wenn ich ein system, wie auch immer, gekapert habe dann sichere ich auch Beweise. Entweder indem ich das System für den eigentlichen Admin sperre oder z.B. Daten wie Passwörter oder Dokumente herunterhole. Viele sogenantte IT-Spezialisten sowohl an Serverne als auch Einzelplätzen glauben dir das sonst gar nicht und wiegeln ab. Brisant wird die Sache vor allem dann, wenn noch offeblegung einer Lücke diese nach Wochen oder Monaten immer noch nutzbar ist. Solche Anlagen sollte man dann mitsamt den Verantwortlichen ins digitale Nirwana katapultieren.
 
@LastFrontier: Das rechtfertigt nicht die Öffentlichmachung dieses Problems, und, sie wiegeln ab? Die ITler villeicht (nach außen hin, reagieren werden sie sicher), um sicherzugehen kann man es ja auch an die Firmenleitung geben, wenn man ganz böse ist. Der Typ wollte sich nur profilieren, sonst nichts.
 
@Achereto62: Warum immer diese Geheimnisküngelei? Oft ist es so, dass erst durch den Druck der Öffentlichkeit Misstände auch schnell beseitigt werden. Wer fahrlässig mit seinen Kundendaten umgeht ist einfach nicht tragbar. Zumal es ja hier nicht um gezieltes Hacken geht, sondern um die leichtfertige Preisgabe eines Passwortes - das ist noch viel schlimmer. Zeigt es doch ganz klar auf, welches Verantwortungsbewusstsein solche Personen haben. Den popeligen Filesharer nötigt man mit der Störerverursachung zum Kriminellen. Und da wo es wirklich drauf ankommt, will man das Mäntelchen des verschleierns drüber decken. Zudem glaube ich nicht, dass der Journalist das Passwort weitergegeben hat, sondern nur vorgeführt hat, was möglich ist. Im übrigen wüsste man heute noch nichts von manchen Kriegsgeschehen, wenn es nicht veröffentlicht worden wäre - z.B. WikiLeaks.
 
Die Login Daten Online stellen^^ :)
 
Sicherheitslücken unauffällig an Meistbietende verkaufen, damit so was nicht passiert. Das bringt wenigstens Geld und vermeidet unnötigen Ärger.
 
Dieses Gesetz ist völlig unsinnig. Als würde es Crackern interessieren, ob solche Tools verboten sind.
 
@ichbinderchefhier: Cracker gibt es ja nicht wirklich. Nur im Deutschen wird zwischen Hacker und Cracker versucht zu unterscheiden das der eine in guter und der andere in böser Absicht unterwegs ist. Aber genau das was du beschreibst ist auch ein Problem der (deutschen) Gesetzgebung. Mal als anderes Beispiel werden hier nach jedem Amoklauf die Waffengesetze verschärft. Das trifft aber halt nur die legalen Waffenbesitzer/-nutzer. Den illegalen Waffenbesitzern ist es ja nunmal absolut egal ob sie nun eine Waffe noch illegaler besitzen als vorher oder nicht es bleibt halt illegal. Und genau so ist es hier. Die Gesetzgebung kann nur die "Guten" beschneiden in ihrem Tun, niemals die "Bösen".
 
Hat der CCC doch damals auch so gemacht, mittels BTX Banking die Konten von Vorständen leergeräumt die behauptet hatten BTX Banking wäre sicher.
 
Hätt ich genau so gemacht! Allerdings ANONYM!
 
@Hans Meiser: Jetzt kennt jeder deinen Namen!
 
@dodnet: Oh Mist! Gut das ich mittlerweile nicht mehr so oft im Fernsehen zu sehen bin!
 
Das Gericht zieht es vor von solchen Fehlern weg zu sehen. An sich ists mir egal - aber als Kunde der Firma X bin ich schon daran interessiert, dass meine Daten halbwegs sicher sind. Überprüfen kann ich das nicht und eine objektive Meinung ist - folgt man hier dem Urteil - wohl nicht erlaubt. Das heißt ich muss dem Unternehmen vertrauen, dass sie technisch keine Scheiße bauen - das ist in der heutigen Zeit überhaupt nicht möglich, denn so gut wie jedes Unternehmen baut sie. Mir ist es lieber wenn solche Leute wie dieser Krol die Fehler aufdecken und sie öffentlich machen - als wenn es eine Gruppierung macht, um sie dann irgendwie aus zu nutzen. Zeigt mal wieder, dass Richter keinen Plan von den Dingen haben - aber die Macht haben zu urteilen.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles