Mahlzeit Lothar,

Es ist aber doch ein rechtliches Problem. Daten ausspähen, Server hacken, Formulardaten faken, usw. sind strafrechtlich relevante Dinge. Der Kunde muß mit seinen Mitarbeitern vertraglich fixieren, was sie dürfen und was nicht.
Darüber hinaus fixiert unser Rechtssystem, was man darf und was nicht.

Das mag sein. Andererseits sollte es Deine Pflicht als Programmierer sein, sauberen und sicheren Code abzuliefern, den man überhaupt gar nicht manipulieren *kann*.

Es wäre durchaus denkbar, dass Dir eine eventuelle Mitschuld angelastet wird, wenn ein findiger Mitarbeiter eines Kunden es z.B. geschafft hat, ein von Dir geschaffenes System zu überlisten und z.B. größere Datenbestände zu vernichten. Schließlich kostet so etwas ... und der Kunde wird sicherlich alle Möglichkeiten ausschöpfen, den ihm entstandenen Schaden ansatzweise wieder auszugleichen.

Abgesehen natürlich davon, dass derart "schlampig" programmierte Anwendungen normalerweise *NIEMALS* irgendeine Form von Zertifikat erhalten werden und demzufolge in Unternehmen, die z.B. aus rechnungslegungsrelevanten Gründen nur zertifizierte Software verwenden dürfen, nichts zu suchen hat.

Als Programmierer muß (!) ich zwingend die Dinge ausschalten, die versehentlich oder grob fahrlässig vom User falsch gemacht werden können. Aber bin ich auch verpflichtet, die Dinge auszuschalten, die er vorsätzlich und in strafrechtlich relevanter Weise "falsch" macht?

IMHO ja. Das würde ich als Kunde zumindest erwarten.

Ist der Hersteller eines Autos in der Pflicht, wenn ein Autofahrer vorsätzlich in eine Menschenmenge fährt?

Juchuuuhhh - der erste unpassende Vergleich (klassischerweise mit Autos) in diesem Thread ... mal schauen, wann Godwins Gesetz erfüllt ist.

Interessantes Thema. Bis zu einem gewissen Grad sehe ich mich hier auch durchaus in der Pflicht, aber wo hört Sicherheitsverständnis auf und wo fängt Paranoia an?

Was hat Paranoia mit einer sauberen Anwendung zu tun, die nur vernünftige und korrekte Daten verarbeitet?

Jedenfalls von grob fahrlässig zu sprechen, weil Formulare nahezu immer gefaked werden können, ist weit aus dem Fenster gelehnt.

Nein. Definitiv nicht. Da "Webanwendungen" genau auf diesem Prinzip (es gibt keine dauerhafte Verbindung) basieren, ist es ein absolutes *MUSS*, alle Daten, die zwischen Client und Server hin- und hergeblasen werden, auf Integrität zu prüfen.

Sich darauf zu verlassen, "dass die User schon alles richtig machen (weil sie sich ja sonst strafbar machen)" ist mehr als grob fahrlässig. Anwendungen, die von Programmierern stammen, die derart nachlässig und faul sind, sind nicht einen halben Pfifferling wert und haben dort, wo ich zu entscheiden habe, absolut nichts zu suchen.

MfG,
EKKi