this post was submitted on 18 May 2025
108 points (100.0% liked)

DACH - Deutschsprachige Community für Deutschland, Österreich, Schweiz

3841 readers
331 users here now

Das Sammelbecken auf feddit.org für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

___

Aus gegebenem Anlass werden Posts zum Thema Palästina / Israel hier auf Dach gelöscht. Dasselbe gilt zurzeit für Wahlumfragen al´a Sonntagsumfrage.
___

Einsteigertipps für Neue gibt es hier.
___

Eine ausführliche Sidebar mit den Serverregeln usw. findet ihr auf der Startseite von feddit.org

___

founded 11 months ago
MODERATORS
Seven@feddit.org
Der_aus_Aux@feddit.org
108
Unerwünschte Zivilcourage bei Hackern? (www.tagesschau.de)
submitted 3 days ago by CyberEgg@discuss.tchncs.de to c/dach@feddit.org
21 comments fedilink hide all child comments
 

In einer digitalen Welt ist die IT-Sicherheit zentral. Trotzdem droht Strafe, wenn Hacker solche Lücken ehrenamtlich finden und meldet.

you are viewing a single comment's thread
view the rest of the comments
[–] treasure@feddit.org 52 points 2 days ago (1 children)

"Nicht jeder Computerbegeisterte kann sich selbst zum Sicherheitsforscher ernennen und damit einen Freibrief zum Hacking bekommen", so CDU-Politiker Günter Krings auf Anfrage der ARD-Rechtsredaktion.

Ich möchte kotzen. Herr Krings hat nichts verstanden. Es geht doch nicht darum, wer mit welcher Expertise Sicherheitslücken findet. Es geht darum, damit verantwortungsvoll umzugehen und Responsible Disclosure zu betreiben, damit die Lücke geschlossen werden kann und Schäden für eine Vielzahl von Menschen und ggf. das Unternehmen abgewendet werden können...

[–] elvith@feddit.org 20 points 2 days ago (1 children)

Wie in einem anderen Post geschrieben wirkt das doch nur in zwei Richtungen, die beide fatal sind, wenn sich keiner trauen kann den Hersteller zu informieren. Und: nicht jede Lücke muss man bewusst suchen. Ich hab auch mal beim Scripten eine mögliche SQL-Injection gefunden, da ich versehentlich die falsche Variable in einen URL-Parameter gebaut hatte und die Anfrage zu einer sehr offensichtlichen Datenbankfehlermeldung geführt hat aufgrund des Parameterinhalts...

  1. Lücke finden, ignorieren, nicht melden und sich wundern wie viele diese wohl schon gefunden und ausgenutzt haben ohne es zu melden

  2. Anonyme Public Full Disclosure

[–] Novocirab@feddit.org 4 points 2 days ago (1 children)

Kenne mich nicht extrem gut aus, aber gibt es nicht noch folgende Möglichkeit:

  1. Lücke finden, anonym der Organisation melden und anonyme public full disclosure ankündigen, und erst zur dabei angekündigten Zeit tatächlich veröffentlichen?
[–] elvith@feddit.org 5 points 2 days ago (1 children)

Wenn du da das Wort „anonym“ streichst, ist es die klassische responsible disclosure - Hersteller informieren und veröffentlichung erst nach Absprache / Ablauf einer Deadline. Nur halt deiner Version anonym. Da ich bei einer Info an den Hersteller ja mit einer Anzeige (notfalls gegen unbekannt) rechnen muss, die ich evtl. Bei Full disclosure genauso bekomme, wäre die Frage, warum ich dann den Aufwand treiben sollte (und alleine herauszufinden, an wen/wie man Lücken an $Unternehmen meldet kam ganz schön Arbeit sein). Die Info an den Hersteller sollte ja eigentlich genau den Part übernehmen mit dem ich sagen kann „hey, ich mache nichts kriminelles, ich will nur helfen“.

[–] Novocirab@feddit.org 2 points 2 days ago

Die Problematik der Anzeige gegen unbekannt ist ja bei "Anonyme Public Full Disclosure" auch gegeben. Einzig hinzu käme offenbar, dass man bei einer vorherigen anonymen Ankündigung trotz Vorsichtsmaßnahmen zusätzliche Anhaltspunkte zur Ermittlung der eigenen Identität liefern könnte.

Als Grund für den zusätzlichen Aufwand der vorherigen anonymen Mitteilung an die Organisation käme u.a. Sorge um die Kunden/Bürger oder um Dritte infrage (zumal wenn man selbst dazu zählt). Ob es das wert oder nicht (und ob man die pflichtvergessene Organisation nicht sogar auflaufen lassen sollte), muss natürlich jeder selbst und anhand des konkreten Falls entscheiden.