Anonym: Sicherheitslücke in Internetseite

Hallo.

Wie sollte man eurer Meinung nach vorgehen, wenn man in einer Internetseite (ca 200.000 Mitglieder) eine (kritische) Sicherheitslücke findet?

Wenn man den Betreibern Bescheid gibt, könnte man dann Probleme auf Grund des Hackerparagrafens kriegen?

Was sollte man eurer Meinung nach machen?

  1. Lieber Anonym,

    Hackerparagrafen

    ich verstehe den Wikipedia-Artikel so, dass die Nutzung oder Verbreitung (an andere!) dieser Informationen sträflich ist. Die Mitteilung auf eine gefundene Sicherheitslücke stößt bei den Betreibern hoffentlich auf Dankbarkeit, und hoffentlich nicht auf verletzte Eitelkeit.

    Wenn Du "sicher"gehen willst, dann maile das über einen extra dafür angelegten Freemail-Account, den Du danach wieder löschst.

    Liebe Grüße,

    Felix Riesterer.

    --
    ie:% br:> fl:| va:) ls:[ fo:) rl:° n4:? de:> ss:| ch:? js:) mo:} zu:)
    1. Wenn Du "sicher"gehen willst, dann maile das über einen extra dafür angelegten Freemail-Account, den Du danach wieder löschst.

      Wenn schon, kannst du 'im Ausland' dazu hängen, ansonsten ich nichts sehe, was einer solchen Massnahme ein mehr an Schutz des Informanten bringen könnte, wobei ich derlei Verschleierungen als kontraproduktiv betrachte.

      Diese Interpretation des Hackerparagraphen klingt für mich gleich dämlich, wie an einem schweren Umfall als erstem möglichen Helfer vorbeizufahren, nur weil ein Parkverbotsschild da steht.

      mfg Beat

      --
      Woran ich arbeite:
      X-Torah
      ><o(((°>      ><o(((°>
         <°)))o><                      ><o(((°>o
      1. Wenn Du "sicher"gehen willst, dann maile das über einen extra dafür angelegten Freemail-Account, den Du danach wieder löschst.

        Wenn schon, kannst du 'im Ausland' dazu hängen, ansonsten ich nichts sehe, was einer solchen Massnahme ein mehr an Schutz des Informanten bringen könnte, wobei ich derlei Verschleierungen als kontraproduktiv betrachte.

        http://anonymouse.org/anonemail_de.html
        oder ähnlichen Dienst benutzen.

        Im Allgemeinen darf man aber wohl davon ausgehen, dass sich entsprechende Betreiber bedanken, das ganze fixen und gut. Aber wenn du eben rechtliche Schritte fürchtest (man hört ja so manche Horrorgeschichte) ist das ein möglicher Weg.

        --
        sh:( fo:| ch:? rl:( br:& n4:& ie:{ mo:} va:) de:µ_de:] zu:) fl:( ss:| ls:[ js:(
  2. echo $begrüßung;

    Wie sollte man eurer Meinung nach vorgehen, wenn man in einer Internetseite (ca 200.000 Mitglieder) eine (kritische) Sicherheitslücke findet?
    Wenn man den Betreibern Bescheid gibt, könnte man dann Probleme auf Grund des Hackerparagrafens kriegen?
    Was sollte man eurer Meinung nach machen?

    Einfach nur einen Fehler melden. À la: Beim Eingaben von O'Brien gab es die Fehlermeldung "hastenichgesehen". Das wäre eine ganz normale Anwendung und kein Versuch, eine Sicherheitslücke zu finden. Jedenfalls kann man so argumentieren.

    echo "$verabschiedung $name";

  3. Grüße,
    sämtliche anständige seiten haben sowas wie "bugreport@adresse" - schau dich um wenn es dir wichtig ist. dort dürfte auch entsprechender hinweis stehen.
    MFG
    bleicher

  4. Wenn man den Betreibern Bescheid gibt, könnte man dann Probleme auf Grund des Hackerparagrafens kriegen?

    1. Woher sollen wir das wissen?
    § 202c StGB: "Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er ..." Hast Du?
    2. Definiere Probleme!

      1. Woher sollen wir das wissen?
        § 202c StGB: "Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er ..." Hast Du?

      Wie definieren Gerichte "vorbereitet"? Fällt darunter schon, sich Informationen über die Lücke zu verschaffen? Weißt du das?

      1. Definiere Probleme!

      Hausdurchsuchung, Rechner weg. Selbst wenn letzten Endes nichts rauskommt, können die für Wochen bis Monate weg sein. Ohne Entschädigung.

      --
      Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.
      Self-Code: sh:( ch:? rl:( br:> n4:( ie:{ mo:) va:) de:> zu:} fl:| ss:| ls:~ js:|
      1. Hallo!

        Hausdurchsuchung, Rechner weg. Selbst wenn letzten Endes nichts rauskommt, können die für Wochen bis Monate weg sein. Ohne Entschädigung.

        Und dann bei Rückgabe auch noch beschädigt - ebenfalls ohne Entschädiung.

        mfg
          frafu

        1. Woher sollen wir das wissen?
          § 202c StGB: "Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er ..." Hast Du?
          Wie definieren Gerichte "vorbereitet"?

        Ich verstehe darunter; etwas tun um etwas anderes zu ermöglichen oder zu begünstigen? Was ist an "vorbereiten" unklar? Ab hier wirds rhetorisch: Muß man das Wort genauer festlegen? Was ist mit den Worten aus dieser Festlegung, auch genauer festlegen? Und wenn, warum sollten Gerichte das tun? Hast Du eine Vorstellung wie viele und wie umfangreiche Gesetze wir hätten, wenn man jedes Wort definieren würde?

        Man muß eine Straftat nach § 202a oder § 202b vorbereiten um sich nach § 202c strafbar machen zu können. Vorbereitungen in Form der gleichen Handlungen aber zu anderen Zwecken sind von der Regelung nicht erfaßt. Anonym hat den Zweck aber nicht offenbart. Er hat noch nicht mal gesagt, was er gemacht hat. Woher sollen wir die Antwort also wissen? Kann sein, er hat etwas "Böses" gemacht und hat jetzt mit den Ergebnissen etwas "Gutes" vor. Dann hat er sich strafbar gemacht und es könnte das Problem der Verurteilung auf ihn zukommen.

        Fällt darunter schon, sich Informationen über die Lücke zu verschaffen?

        Kann sein, muß aber nicht.

        Timo, vermutlich hast Du diverse (öffentlichkeitswirksame) Kritiken von verschiedenen IT-Experten an dem Gesetz gelesen. Nach dem was ich gelesen habe ist die Mehrzahl derer, die was von Gesetzen verstehen, viel weniger aufgeregt*. Letztgenannte haben aber keinen so großen Antrieb sich zu produzieren und medial ist das was sie sagen auch nicht so interessant.

        Warum haben es diese Schnellschußanzeigen nicht mal bis vor den Richter geschafft? Weil der Straftatbestand offenbar für jemanden, der was von Gesetzen versteht, offensichtlich nicht erfüllt war. Die Grenze der Strafbarkeit wird die Rechtssprechung herausarbeiten aber darüber hier zu diskutieren, solange grundlegende Informationen für den "Fall" fehlen die ihn vielleicht eindeutig machen, empfinde ich als vergebliche Liebesmüh.

        * Bitte verlange keine Quellen, vor allem keine die die "Mehrzahl" belegt, das ist zu lange her und gespeichert habe ich dazu nichts. Die Quellen zu finden wäre also Recherchearbeit, die Du selber durchführen kannst.

        1. Definiere Probleme!
          Hausdurchsuchung, Rechner weg. Selbst wenn letzten Endes nichts rauskommt, können die für Wochen bis Monate weg sein. Ohne Entschädigung.

        Ja solche Probleme kann man bekommen. Ob man sie in dem Fall berechtigterweise bekommen könnte (vermutlich ging es Anonym darum) kann man anhand der gegebenen Informationen nicht einschätzen. Kann sein, er hat etwas "Böses" gemacht aber es kann sein, daß sich aus dem was er dem "Opfer" mitteilt, kein Verdacht herleiten läßt.

          1. Woher sollen wir das wissen?
            § 202c StGB: "Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er ..." Hast Du?
            Wie definieren Gerichte "vorbereitet"?

          Ich verstehe darunter; etwas tun um etwas anderes zu ermöglichen oder zu begünstigen? Was ist an "vorbereiten" unklar? Ab hier wirds rhetorisch: Muß man das Wort genauer festlegen? Was ist mit den Worten aus dieser Festlegung, auch genauer festlegen? Und wenn, warum sollten Gerichte das tun? Hast Du eine Vorstellung wie viele und wie umfangreiche Gesetze wir hätten, wenn man jedes Wort definieren würde?

          Das Problem besteht aber jetzt schon - die Gesetze sind kurz, aber um sie zu verstehen, muss man Rechtsliteratur und bestehende Urteile lesen. Die Rechtsprechung ist nunmal kompliziert, umfangreichere Gesetze könnten hier aber zumindest mehr Klarheit schaffen. Zumal es für Richter dann auch schwieriger ist, abweichende Interpretationen zu schaffen.
          Im Moment liegt die Interpretationsgewalt bei den Richtern, d.h. die gleiche Tat könnte bei einem Richter als strafbar angesehen werden, bei einem anderen nicht.

          Man muß eine Straftat nach § 202a oder § 202b vorbereiten um sich nach § 202c strafbar machen zu können. Vorbereitungen in Form der gleichen Handlungen aber zu anderen Zwecken sind von der Regelung nicht erfaßt. Anonym hat den Zweck aber nicht offenbart. Er hat noch nicht mal gesagt, was er gemacht hat. Woher sollen wir die Antwort also wissen? Kann sein, er hat etwas "Böses" gemacht und hat jetzt mit den Ergebnissen etwas "Gutes" vor. Dann hat er sich strafbar gemacht und es könnte das Problem der Verurteilung auf ihn zukommen.

          Wieso Verurteilung? Soweit braucht es doch gar nicht kommen, Probleme, die das Leben beeinträchtigen, kann man auch vorher kriegen (ein laufendes Ermittlungsverfahren verstehe ich nicht darunter, wohl aber, wenn es zu Unannehmlichkeiten dadurch kommt).
          Das mit dem Zweck ist besonders lustig, woher soll denn jemand außer ihm wissen, warum er das gemacht hat? Da liegt es in der Hand des Richters zu sagen "Sie wollten aber...!".

          Fällt darunter schon, sich Informationen über die Lücke zu verschaffen?
          Kann sein, muß aber nicht.
          Timo, vermutlich hast Du diverse (öffentlichkeitswirksame) Kritiken von verschiedenen IT-Experten an dem Gesetz gelesen. Nach dem was ich gelesen habe ist die Mehrzahl derer, die was von Gesetzen verstehen, viel weniger aufgeregt*. Letztgenannte haben aber keinen so großen Antrieb sich zu produzieren und medial ist das was sie sagen auch nicht so interessant.

          Wenn 90% der Juristen sagen, eine bestimmte Tat sei nicht strafbar, 10% sagen, es sei strafbar, hängt es vom Zufall ab, vor welchen Richter ich gerate (könnte ja einer der 10% sein). Das ist aber nichtmal unbedingt ein Problem des "Hackerparagrafens", sondern dieses Rechtssystems.
          Mir ist auch bewusst, dass man auch den Instanzenweg gehen kann, aber das alles kostet Zeit und Nerven, bisweilen auch Geld (gute Anwälte kosten mehr, dieses Mehr wird vom Staat nicht bezahlt)

          Warum haben es diese Schnellschußanzeigen nicht mal bis vor den Richter geschafft? Weil der Straftatbestand offenbar für jemanden, der was von Gesetzen versteht, offensichtlich nicht erfüllt war. Die Grenze der Strafbarkeit wird die Rechtssprechung herausarbeiten aber darüber hier zu diskutieren, solange grundlegende Informationen für den "Fall" fehlen die ihn vielleicht eindeutig machen, empfinde ich als vergebliche Liebesmüh.

          Dann kann man Anonym nur raten, nichts zu sagen, dann kann er auch keine Probleme bekommen. Alles andere liegt in den Händen von unberechenbaren anderen.

          * Bitte verlange keine Quellen, vor allem keine die die "Mehrzahl" belegt, das ist zu lange her und gespeichert habe ich dazu nichts. Die Quellen zu finden wäre also Recherchearbeit, die Du selber durchführen kannst.

          Brauche ich nicht, glaube ich dir auch so.

          1. Definiere Probleme!
            Hausdurchsuchung, Rechner weg. Selbst wenn letzten Endes nichts rauskommt, können die für Wochen bis Monate weg sein. Ohne Entschädigung.

          Ja solche Probleme kann man bekommen. Ob man sie in dem Fall berechtigterweise bekommen könnte (vermutlich ging es Anonym darum) kann man anhand der gegebenen Informationen nicht einschätzen. Kann sein, er hat etwas "Böses" gemacht aber es kann sein, daß sich aus dem was er dem "Opfer" mitteilt, kein Verdacht herleiten läßt.

          Das kann man gar nicht verhindern, das Herleiten eines Verdachts ist in der Hand des Staatsanwalts und solange eine unzulässige Hausdurchsuchung für keinen der aktiv Beteiligten (Staatsanwalt, Richter, Polizei) Nachteile hat, kann sowas immer wieder passieren.
          Was bringt es mir denn, wenn ein Gericht entscheidet, ein ausreichender Verdacht sei gar nicht gegeben und die Durchsuchung nebst Beschlagnahme war unzulässig, wenn dafür meine Rechner Monate weg waren (alles entschädigungslos, versteht sich).

          --
          Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.
          Self-Code: sh:( ch:? rl:( br:> n4:( ie:{ mo:) va:) de:> zu:} fl:| ss:| ls:~ js:|
          1. Das Problem besteht aber jetzt schon - die Gesetze sind kurz, aber um sie zu verstehen, muss man Rechtsliteratur und bestehende Urteile lesen.

            Was der eine der es verstehen muß noch versteht, reicht für den anderen nicht mehr aus, wo soll man da die Grenze ziehen? Ich will aber nicht bestreiten, daß Spielraum für Verbesserungen besteht.

            Die Rechtsprechung ist nunmal kompliziert, umfangreichere Gesetze könnten hier aber zumindest mehr Klarheit schaffen. Zumal es für Richter dann auch schwieriger ist, abweichende Interpretationen zu schaffen.
            Im Moment liegt die Interpretationsgewalt bei den Richtern, d.h. die gleiche Tat könnte bei einem Richter als strafbar angesehen werden, bei einem anderen nicht.

            Da gehts den Menschen wie den Gesetzen. Je mehr Gesetze ins Detail gehen, um so weniger Auslegungsspielraum gibt es aber auf um so weniger treffen sie zu, um so umfangreicher werden sie und um so mehr wird übersehen. Da traue ich Richtern noch mehr zu als den Politikern die solche Gesetze machen müßten.

            Wieso Verurteilung? ...

            Wieso nicht, soll ich alle möglichen Probleme aufzählen? Deshalb habe ich doch nachgefragt, um welche Probleme es ihm geht.

            Das mit dem Zweck ist besonders lustig, woher soll denn jemand außer ihm wissen, warum er das gemacht hat? Da liegt es in der Hand des Richters zu sagen "Sie wollten aber...!".

            Was ist daran lustig? Das ist in vielen Gesetzen so, kann gar nicht anders sein, und funktioniert im Rahmen der Möglichkeiten recht gut. Das geht bei der Frage nach dem Vorsatz bei vielen Straftaten los und zieht sich rein bis in die "Otto-Normalverbraucher-Gesetze" wie die Privatkopie im Urheberrecht.

            Wenn 90% der Juristen sagen, eine bestimmte Tat sei nicht strafbar, 10% sagen, es sei strafbar, hängt es vom Zufall ab, vor welchen Richter ich gerate (könnte ja einer der 10% sein). Das ist aber nichtmal unbedingt ein Problem des "Hackerparagrafens", sondern dieses Rechtssystems.

            ... und ist in der Regel nur bei grenzwertigen Fällen von Bedeutung. Ob der hier diskutierte Fall ein bestimmter Fall ist bei dem die 10%  existieren wissen wir nicht.

            Was bringt es mir denn, wenn ein Gericht entscheidet, ein ausreichender Verdacht sei gar nicht gegeben und die Durchsuchung nebst Beschlagnahme war unzulässig, wenn dafür meine Rechner Monate weg waren (alles entschädigungslos, versteht sich).

            Man kann bei Hausdurchsuchungen/Beschlagnahmungen Schadenersatz* geltend machen. Im Falle solch eines Falles würde ich deswegen aber sofort einen Anwalt aufsuchen. Ich habe aber sogar munkeln gehört, es wurden seitens der Staatsanwaltschaft schon Leute auf eventuell bestehende Schadenersatzansprüche hingewiesen. Man (Anwalt) kann das Verfahren in eklatanten Fällen auch stark verkürzen (ob es dafür auch so was wie Prozeßkostenhilfe gibt weiß ich aber nicht).

            * Unter Schadenersatz fällt allerdings viel weniger, als sich die meisten so erträumen.

          2. Hallo.

            Im Moment liegt die Interpretationsgewalt bei den Richtern

            Das tut sie nicht nur in diesem Fall, sondern prinzipiell. Und dieses Prinzip heißt Gewaltenteilung und ist insgesamt sehr positiv zu bewerten.
            MfG, at