this post was submitted on 18 May 2025
108 points (100.0% liked)

DACH - Deutschsprachige Community für Deutschland, Österreich, Schweiz

3841 readers
365 users here now

Das Sammelbecken auf feddit.org für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

___

Aus gegebenem Anlass werden Posts zum Thema Palästina / Israel hier auf Dach gelöscht. Dasselbe gilt zurzeit für Wahlumfragen al´a Sonntagsumfrage.
___

Einsteigertipps für Neue gibt es hier.
___

Eine ausführliche Sidebar mit den Serverregeln usw. findet ihr auf der Startseite von feddit.org

___

founded 11 months ago
MODERATORS
Seven@feddit.org
Der_aus_Aux@feddit.org
108
Unerwünschte Zivilcourage bei Hackern? (www.tagesschau.de)
submitted 3 days ago by CyberEgg@discuss.tchncs.de to c/dach@feddit.org
21 comments fedilink hide all child comments
 

In einer digitalen Welt ist die IT-Sicherheit zentral. Trotzdem droht Strafe, wenn Hacker solche Lücken ehrenamtlich finden und meldet.

top 21 comments
sorted by: hot top controversial new old
[–] Klingenrenner@feddit.org 8 points 1 day ago

Einen weiteren Fund würde er wohl nicht mehr melden, so der 27-Jährige. Die Sorge vor der Justiz sitzt tief.

Toll gemacht, liebe Justiz -.-

[–] e8d79@discuss.tchncs.de 24 points 2 days ago

Ja gut, wenn Responsible Disclosure in dieser Form unerwünscht ist dann kann man die Sicherheitslücke auch gleich an den höchstbietenden verkaufen. Die Chance dass dann die Polizei vor der Tür ist dann auch geringer.

[–] unexposedhazard@discuss.tchncs.de 79 points 3 days ago (5 children)

Kleinere Unternehmen hätten oftmals keine Finanzmittel, um zeitnah eine IT-Lücke vorsorglich zu schließen. Dass das ehrenamtliche Hacken unter Strafe stehen kann, hat aus Sicht seines Verbandes daher auch was Gutes.

Tja dann muss deine schrottige Software halt offline genommen werden...

[–] needanke@feddit.org 14 points 2 days ago

Wie ein Kleinkind "Was ich nicht sehe ist nicht da und der ders mir zeigt hat Schuld, dass es da ist".

[–] ThoGot@lemm.ee 57 points 3 days ago (1 children)

v.a. genau so könnte man ja z.B. auch beim TÜV argumentieren, was nur die Absurdität verstärken würde

[–] varyingExpertise@feddit.org 22 points 2 days ago

Kleinere Unternehmen hätten oftmals keine Finanzmittel, um zeitnah neue Querlenker an ihren runtergerockten Sprintern zu verbauen, nur damit die wieder zuverlässig geradeaus fahren.

[–] Saleh@feddit.org 30 points 3 days ago

Der Begriff "vorsorglich" ist schon komplett deplatziert. Niemand weiß, wieviel Schaden durch die Lücke bereits entstanden ist. Es ist auch gegen über ihren Kunden übel, die mit Kenntnis über die Sicherheitslücke vlt. Gegenmaßnahmen außerhalb der Software ergreifen könnten.

[–] Kissaki@feddit.org 16 points 3 days ago* (last edited 3 days ago)

"vorsorglich" lol

Wenn es einer findet muss man davon ausgehen dass es ausländische Geheimdienste und Betrüger bereits kennen.

[–] 30p87@feddit.org 6 points 3 days ago (1 children)

Die Frage ist nur: von wem. Von dir, mit motzen von den Kunden, oder von uns, mit Klagen von Kunden.

[–] unexposedhazard@discuss.tchncs.de 29 points 3 days ago (1 children)

Vom Gericht. Wenn ne Lücke gemeldet wird und die nicht innerhalb von nem gewissen Zeitraum geschlossen ist, wird dein service einfach offline genommen. Genau wie das bei unsicheren Gebäuden, Fahrzeugen, Lebensmitteln, etc ist.

[–] rumschlumpel@feddit.org 10 points 3 days ago* (last edited 3 days ago)

Oder die Unternehmen sind mal nicht dummdreist und machen es selbst, ohne vom Gericht dazu gezwungen zu werden. Ist ja nicht so, als würden sie selbst keinen Schaden nehmen, wenn sie von böswilligen Leuten gehackt werden.

[–] treasure@feddit.org 53 points 3 days ago (1 children)

"Nicht jeder Computerbegeisterte kann sich selbst zum Sicherheitsforscher ernennen und damit einen Freibrief zum Hacking bekommen", so CDU-Politiker Günter Krings auf Anfrage der ARD-Rechtsredaktion.

Ich möchte kotzen. Herr Krings hat nichts verstanden. Es geht doch nicht darum, wer mit welcher Expertise Sicherheitslücken findet. Es geht darum, damit verantwortungsvoll umzugehen und Responsible Disclosure zu betreiben, damit die Lücke geschlossen werden kann und Schäden für eine Vielzahl von Menschen und ggf. das Unternehmen abgewendet werden können...

[–] elvith@feddit.org 21 points 3 days ago (1 children)

Wie in einem anderen Post geschrieben wirkt das doch nur in zwei Richtungen, die beide fatal sind, wenn sich keiner trauen kann den Hersteller zu informieren. Und: nicht jede Lücke muss man bewusst suchen. Ich hab auch mal beim Scripten eine mögliche SQL-Injection gefunden, da ich versehentlich die falsche Variable in einen URL-Parameter gebaut hatte und die Anfrage zu einer sehr offensichtlichen Datenbankfehlermeldung geführt hat aufgrund des Parameterinhalts...

  1. Lücke finden, ignorieren, nicht melden und sich wundern wie viele diese wohl schon gefunden und ausgenutzt haben ohne es zu melden

  2. Anonyme Public Full Disclosure

[–] Novocirab@feddit.org 4 points 2 days ago (1 children)

Kenne mich nicht extrem gut aus, aber gibt es nicht noch folgende Möglichkeit:

  1. Lücke finden, anonym der Organisation melden und anonyme public full disclosure ankündigen, und erst zur dabei angekündigten Zeit tatächlich veröffentlichen?
[–] elvith@feddit.org 6 points 2 days ago (1 children)

Wenn du da das Wort „anonym“ streichst, ist es die klassische responsible disclosure - Hersteller informieren und veröffentlichung erst nach Absprache / Ablauf einer Deadline. Nur halt deiner Version anonym. Da ich bei einer Info an den Hersteller ja mit einer Anzeige (notfalls gegen unbekannt) rechnen muss, die ich evtl. Bei Full disclosure genauso bekomme, wäre die Frage, warum ich dann den Aufwand treiben sollte (und alleine herauszufinden, an wen/wie man Lücken an $Unternehmen meldet kam ganz schön Arbeit sein). Die Info an den Hersteller sollte ja eigentlich genau den Part übernehmen mit dem ich sagen kann „hey, ich mache nichts kriminelles, ich will nur helfen“.

[–] Novocirab@feddit.org 2 points 2 days ago

Die Problematik der Anzeige gegen unbekannt ist ja bei "Anonyme Public Full Disclosure" auch gegeben. Einzig hinzu käme offenbar, dass man bei einer vorherigen anonymen Ankündigung trotz Vorsichtsmaßnahmen zusätzliche Anhaltspunkte zur Ermittlung der eigenen Identität liefern könnte.

Als Grund für den zusätzlichen Aufwand der vorherigen anonymen Mitteilung an die Organisation käme u.a. Sorge um die Kunden/Bürger oder um Dritte infrage (zumal wenn man selbst dazu zählt). Ob es das wert oder nicht (und ob man die pflichtvergessene Organisation nicht sogar auflaufen lassen sollte), muss natürlich jeder selbst und anhand des konkreten Falls entscheiden.

[–] ___qwertz___@feddit.org 13 points 2 days ago

Das ganze führt letzenendlich dazu, dass Sicherheitslücken (wenn überhaupt) nur noch als anonymer Tipp an die großen Verlagshäuser (Heise, etc.) gemeldet werden und die dann Berichtserstattung mit bissigen Überschriften machen. Wem dann geholfen ist, weiß ich auch nicht.

Das lächerliche ist ja, dass es diesen ganzen Fall nur gibt weil sich modern-solution dachte, sie könnten einen Rechtsstreit gegen eine einzelne Person gewinnen. Bei Responsible Disclosure ausgehend von (ausreichend großen) Unternehmen passiert nie etwas dergleichen.

[–] HansGruber@sh.itjust.works 8 points 2 days ago (1 children)

Was folgt daraus? Straftaten dürfen nur noch von Polizisten gemeldet werden? Steuerbetrug nur noch vom Finanzbeamten angezeigt werden?

Die Agenda erschließt sich mir nicht... Früher oder später kommen die Lücken doch so oder so heraus. Nur ist der Schaden dann weitaus größer. Man verschiebt das Problem nur.

[–] EddyBot@discuss.tchncs.de 9 points 2 days ago

Man verschiebt das Problem nur.

Deutsche Politik in der Nussschale

[–] xlf42@feddit.org 24 points 3 days ago

Man weiß, das jetzt die Partei an der Macht ist, die auch Lillith Witman angezeigt hat. Gibt also keinen Grund, mehr als absolut nötig für IT auszugeben.

[–] Kissaki@feddit.org 21 points 3 days ago

Es ist ein Skandal dass dieses Gesetz immer noch noch angepasst wurde.

Es ist absurd dass dies insbesondere auch mit den gestiegenen Bedrohungen nicht als grundlegendes und breites Sicherheitsrisiko für uns alle auch in der Politik wahrgenommen wird.