Guten Abend Manuel,

Nein, aber ich zeige durchaus jemanden an, der mich neben einem parkenden Auto zu Boden wirft und von mir Geld dafür haben will, dass er mir zeigt, wie ich es anstelle, von diesem Auto nicht überfahren zu werden.

Häh? Weil dir jemand anbietet, er zeigt dir, wie du nicht vom Auto angefahren wirst, und du, wenn du es wissen willst, dafür zahlen musst?

Unter normalen Umständen _weiss_ ich, wie ich es anstelle, nicht vom Auto überfahren zu werden. Wenn mich jemand also neben einem _parkenden_ Auto zu Boden wirft und mir gegen Bezahlung anbietet, mir zu zeigen, wie ich es anstelle nicht von _diesem_ Auto überfahren zu werden - dann hat derjenige sehr wohl eine Anzeige von mir am Hals.

Oder anders ausgedrückt: Man kann, wenn man ein Geschäft besitzt, sicherlich eine Sicherheitsfirma damit beauftragen, dafür zu sorgen, dass in dieses Geschäft nicht eingebrochen wird. Wenn aber jemand in das Geschäft einbricht, dort Kopien von Unterlagen zum Beweis des Einbruchs mitgehen läßt und dann am nächsten Tag wiederkommt, um dem Geschäftsinhaber seine Dienste als Sicherheitsbeauftragter anzubieten - dann hat derjenige ein rechtliches Problem.

Das ist jetzt der letzte Versuch meinerseits, meinen Standpunkt zu dem _ursprünglich geschilderten_ Problem zu verdeutlichen, das ja darin bestand, dass ein Unbekannter in einen Server eingebrochen ist, dort zum Beweis, dass er dort einbrechen kann, sensitive Daten hat mitgehen lassen und dann den Besitzer angeschrieben hat mit dem Angebot, gegen eine Gebühr die Sicherheitslücke aufzuzeigen. Dass es sich um einen guten Bekannten handelte, der ihn mit diesem Angebot einfach nur ein bisschen hochnehmen wollte, war zu dem Zeitpunkt ja noch nicht bekannt.

Wieder allgemein gesprochen, würde ich solchen Angeboten, die mir da unaufgefordert ins Haus flattern, sehr mißtrauisch gegenüberstehen und, sollte ich mich selbst nicht in der Lage fühlen, die undichte Stelle zu finden, eine seriöse Firma mit dem Auffinden der Lücke beauftragen. Den, der mir dieses "Angebot" geschickt hat, würde ich niemals damit beauftragen, denn wer so etwas tut, dem ist auch zuzutrauen, dass er sich ein Hintertürchen offen läßt, für den Fall, dass seine Auftragslage einmal zu dünn sein sollte.

Also nach deiner Argumentation ist jeder, der irgendwas verkaufen will, ein Erpresser, obwohl er dich vor die Wahl stellt, seine Leistungen in Anspruch zu nehmen. Und der Hacker hat ihm lediglich ein Angebot gemacht, oder hab ich übersehen, das er ihm, wenn er nicht zahl, damit droht, die Daten anderweitig zu nutzen?

Nach meiner Ansicht ist jeder, der einem anderen mitteilt, dass er einen Einbruch in das Besitztum des anderen begehen kann und dann eine "Gebühr" dafür verlangt, dass er zeigt, wie der andere verhindern kann, dass andere diesen Einbruch begehen können, ein Erpresser. Der ausgeübte Druck besteht darin, dass dieser Mensch deutlich macht, dass er einbrechen kann, nicht etwa in der Drohung, dass er einbrechen wird, wenn man ihn nicht für seine "Leistung" bezahlt.

Leute, die etwas verkaufen wollen, auch wenn es sich um ihre Arbeitsleistung handelt, sind sicherlich keine Erpresser. Sie bieten ihre Leistung normalerweise auf seriöse Art an und finden sich damit ab, dass ein potentieller Kunde sich am Markt nach dem für ihn günstigsten Angebot umsieht.

Was hindert den OP denn dran, eine Firma regulär damit zu beauftragen, die Lücke zu finden? Niemand  zwingt ihn dazu, den Hacker zu bezahlen. Allerdings wird es von dir und anderen so hingestellt, was nunmal an der Realität vorbeigeht.

Nichts hindert ihn und genau das wäre es gewesen, was ich an seiner Stelle getan hätte. Den Hacker angezeigt hätte ich trotzdem, weil es nun einmal ein Faktum ist, dass dieser Mensch versucht hat, sich durch illegale Handlungen einen Vorteil (nämlich einen Auftrag) zu verschaffen. Das erfüllt meiner Überzeugung nach schon den Tatbestand der versuchten Erpressung.

Der Datenklau ist sicher nicht legal und ich beführworte das sicher nicht, aber eure Argumente sind für mich ein klares Signal, das es für Hacker besser ist, Sicherheitslücken einfach offen zu lassen und ja niemanden drauf aufmerksam zu machen. Sollen die doch teure Firmen dafür nutzen.

Wie Johannes schon sagte: Wenn ein Hacker daran interessiert ist, allgemein die Datensicherheit zu fördern und Leute darauf aufmerksam zu machen, dass ihre Systeme unsicher sind, dann wird es wenige Leute geben, die diesen Hackern das übelnehmen. Wenn ein Hacker es sich aber zur Aufgabe macht, in anderer Leute Systeme einzubrechen, um dann einen Auftrag zur Absicherung dieses Systems zu bekommen, dann steht er meiner Ansicht nach auf derselben Stufe wie gewisse Leute, die Abmahnungen mit Kostennote in Geschäftsführung ohne Auftrag massenhaft zum Zwecke des Geldverdienens verschicken. Denn diese Abmahner wollen ja auch nur das allerbeste für die Abgemahnten: Sie wollen sie vor den rechtlichen Folgen ihres angeblich unrechtmäßigen Tuns bewahren.

Ich persönlich verstehs nicht, jeden gleich immer fertig zu machen wollen, obwohl man durch seine "Hilfe" einen deutlichen Vorteil hat (Auch wenns illegal ist, ist es eine Hilfe, eine Sicherheitslücke gezeigt zu bekommen). Aber vermutlich gehör ich auch nur zu den Leuten, die der Meinung sind, das es miteinander besser geht als gegeneinander. Wie ich sehe ist diese Meinung aber recht wenig verbreitet.

Wer wird denn hier bitte fertig gemacht? Die Frage war: "Ist dieses Verhalten legal?" Meine Antwort war: "Meiner Ansicht nach nicht." - und das mit Begründung und dem, was ich täte, wäre es um die Daten meiner Kunden gegangen.

File Griese,

Stonie