Gericht sieht Nutzung von Klartext-Passwörtern als Hacken an - eviltoast
  • nicerdicer@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    71
    ·
    10 months ago

    Erinnert mich an das hier: Lilith Wittmann und die CDU-App

    Welche Folgen hat das? Kein Programmierer wird mehr irgendwelche Sicherheitslücken seinem Auftraggeber oder Dritten melden, weil er sonst angezeigt wird. Und dann werden sich viele iin einer falschen Sicherheit wiegen, denn alls Systeme sind ja sicher, sonst hätte man das ja gemeldet.

    • KISSmyOS@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      52
      ·
      10 months ago

      so, wie der Paragraf formuliert ist, fällt darunter nicht nur ethisches Hacking selbst, sondern vor allem auch der Schritt davor: Strafbar macht sich bereits, wer Computerprogramme herstellt oder sich verschafft oder diese verbreitet, die dazu geeignet sind, Daten auszuspähen oder abzufangen.

      Damit mache ich mich im Berufsalltag als second level support schon täglich strafbar.

      • renormalizer@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        32
        ·
        10 months ago

        Offensichtlich gehören Texteditoren jetzt auch zu diesen Hacking-Tools. Anzeige gegen Microsoft wegen notepad ist raus?

        • Tvkan@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          11
          ·
          10 months ago

          Fünf Jahre Haft für alle mit Word, und für LaTeX gibt’s nochmal fünf dazu!

          • ormr@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            3
            ·
            10 months ago

            Ja LaTeX ist für die Polizei sicher sehr verdächtig hahaha

        • Ranessin@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          11
          ·
          10 months ago

          Notepad verstößt schon seit Jahrzehnten gegen die Menschenrechtskonvention!

      • xtrapoletariat@beehaw.org
        link
        fedilink
        Deutsch
        arrow-up
        7
        ·
        edit-2
        10 months ago

        Wenn man dem Wortlaut folgt ist doch die mau gesicherte Software selbst das strafbare Programm, das geeignet ist Daten auszuspähen. Das Passwort zum Zugriff auf Daten anderer Kunden hatte die auftraggebende Firma ja offenbar bereits vom Hersteller, und der ‘schurkische’ Programmierer hat verifiziert, dass das PW auch plain in der executable lebt. facepalm

    • Klingenrenner@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      14
      ·
      10 months ago

      Einfach den ganzen Kram kopieren und verkaufen. Am Ende vom Tag hast du dann Geld in irgendeiner Form und keine Anzeige vom Unternehmen mit der Sicherheitslücke. Wenn das Unternehmen sich nicht ans Gentlemen’s agreement von responsible disclosure halten will, dann sollte der Hacker das auch nicht.

      • chloektboehnchen@lemmy.blahaj.zone
        link
        fedilink
        Deutsch
        arrow-up
        9
        ·
        10 months ago

        Wäre ja akzeptabel, wenn am Schluss nur die Unternehmen mit den Sicherheitslücken darunter leiden, aber die deren Daten dabei geleakt werden leiden halt auch darunter also keine wirklich gute Option.

        • Klingenrenner@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          6
          ·
          10 months ago

          Wenn man sich dabei auf die Firmen beschränkt, die schon einmal gegen einen Hacker, der RD betrieben hat vorgegangen sind, dann ist es wohl das kleinere Übel. Wenn man nett sein will, dann kann man ja noch anonym einen Brief hinschicken und drüber informieren.

  • 342345@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    58
    ·
    10 months ago

    Das Urteil ist noch nicht rechtskräftig. Beide Parteien haben eine Woche Zeit, um Berufung gegen den Strafbeschluss einzulegen. In diesem Fall würde das Verfahren dann vor einem Landgericht, höchstwahrscheinlich in Aachen, neu verhandelt werden.

    Ist nur ein Amtsgericht. Das heißt nicht viel.

    Es stimmt aber schon, dass genau das vorhergesagt wurde, als der Hackerparagraph damals beschlossen wurde: Responsible Disclosure kann zu Bestrafung führen.

    • fylkenny@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      42
      arrow-down
      1
      ·
      10 months ago

      Das heißt, wenn man mal über sowas stolpert lieber irgendwo verkaufen als dem Hersteller zu melden. Strafbar ist man ja sowieso schon und so kann man dann wenigstens die Strafe zahlen.

      • Flipper@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        30
        arrow-down
        1
        ·
        10 months ago

        Außerdem muss dann erst ermittelt werden wer dafür überhaupt schuldig ist. Wenn man es meldet wissen die das immer genau.

    • rumschlumpel@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      11
      ·
      edit-2
      10 months ago

      Genau der gleiche Scheiß wurde ja im Zusammenhang mit Kinderpornographie gemacht. Wurde letztens geändert, aber nur insofern, dass es jetzt im Ermessen der Justiz liegt, Verfahren einzustellen - aber das heißt ja, dass man es nicht einklagen kann, selbst wenn 100% offensichtlich und beweisbar wäre, dass kein einschlägiges Motiv vorhanden war.

  • Ooops@kbin.social
    link
    fedilink
    arrow-up
    44
    ·
    10 months ago

    Das Durchschreiten einer geöffneten Tür ist demnächst dann also auch Einbruch.

        • catboss@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          16
          arrow-down
          2
          ·
          10 months ago

          Hausfriedensbruch ist kein Einbruchsdiebstahl. § 202a StGB steht aber dem Einbruchdiebstahl von Normsruktur und Zielrichtung weitaus näher als der gerade nicht von der Strafnorm erfasste digitale Hausfriedensbruch.

          Dein Kommentar ist daher nicht nur unqualifiziert sondern auch eklatant falsch. Du vergleichst nicht vergleichbare Dinge. Nur weil du eine Meinung zu einem Thema hast, ist diese Meinung es nicht automatisch wert kommuniziert zu werden.

      • Ooops@kbin.social
        link
        fedilink
        arrow-up
        6
        arrow-down
        1
        ·
        edit-2
        10 months ago

        Ja, gut. Aber die Intention der Aussage sollte klar gewesen sein. Wobei mich das zu einer weitere Frage bringt (vielleicht ist ja ein Jurist anwesend), deren Antwort ähnlich absurd sein könnte…

        Einbruch als Strafbestand existiert eh nicht allein, sondern nur in Verbindung mit anderen Straftaten. Also fällt das reine Betreten eher unter Hausfriedensbruch.

        Aber: Zählt eine Tür, in der der Schlüssel steckt als “abgeschlosser Raum” in den man “widerrechtlich eindringt”? Oder um die Frage noch weiter zu spinnen. Die normale deutsche Außentür hat keine Klinke zum Öffnen, dazu dient der Schlüssel. Ist also ein Schlüssel der dort von außen steckt, und mit dem jeder die Tür öffnen kann, rechtlich dann anders zu behandeln als eine drückbare Türklinke (wenn vorhanden).

        • Mahlzeit@feddit.de
          link
          fedilink
          Deutsch
          arrow-up
          6
          ·
          10 months ago

          Bin kein Jurist, aber § 243 StGB (genau so auch § 244 Wohnungseinbruchdiebstahl):

          [Wer] zur Ausführung der Tat in ein Gebäude, einen Dienst- oder Geschäftsraum oder in einen anderen umschlossenen Raum einbricht, einsteigt, mit einem falschen Schlüssel oder einem anderen nicht zur ordnungsmäßigen Öffnung bestimmten Werkzeug eindringt oder sich in dem Raum verborgen hält,

          Wenn der Schlüssel steckt, ist tatsächlich anders.

          • catboss@feddit.de
            link
            fedilink
            Deutsch
            arrow-up
            6
            ·
            10 months ago

            Für einen Nichtjuristen siehst du das aber absolut korrekt. Genau so ist das wohl auch bei § 202a StGb.

            Ich sage “wohl”, weil die Strafnorm komplett missglückt ist und man - was eigentlich nie der Fall sein dürfte - in Teilen nur raten kann, was genau nach Wunsch des Gesetzgebers jetzt am Ende strafbar sein sollte.

            Hut ab, dass du die Parallele in der Wertung aber richtig erfasst. Das schafft ganz offensichtlich nicht jeder.

  • albert180@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    43
    ·
    edit-2
    10 months ago

    Die Internetausdrucker der deutschen Justiz haben mal wieder zugeschlagen.

    Ich würde sagen der Richter, ist zu größerem geeignet. Wie wäre es zum Beispiel mit dem Landgericht Hamburg?

    • trollercoaster@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      10
      ·
      10 months ago

      Der Verband der deutschen Lack- und Druckfarbenindustrie hat auch angefragt, die suchen einen erfahrenen Produkttester zur Bewertung des Geschmacks ihrer Erzeugnisse.

  • CoconutKnight@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    40
    ·
    10 months ago

    und es wurde nicht versucht, die Angaben des Angeklagten zu überprüfen.

    Egal in welchem Zusammenhang; das ist unfassbar.

  • DarkwinDuck@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    30
    ·
    edit-2
    10 months ago

    Dies erinnert mich immer wieder daran dass es mehr als einen Vorfall gab bei dem jemand an sensible Daten gekommen ist indem er F12 gedrückt hat, die Sicherheitslücke dann gemeldet hat und daraufhin eine Strafanzeige ins Haus bekommen hat. Meistens waren die Kläger Verwaltungs/Regierungsorgane…

  • plague-sapiens@lemmy.world
    cake
    link
    fedilink
    Deutsch
    arrow-up
    28
    ·
    10 months ago

    Immer diese Kacknoobs die über Dinge entscheiden, von denen sie 0,0 Ahnung haben… Aber naja, die nächst höhere Instanz ist dann meist n bisschen kompetenter.

    • Darukhnarn@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      14
      ·
      10 months ago

      Als jemand der bei einer größeren Behörde arbeitet: ich habe heute von unserer „IT“ ein Erklärhandbuch zu Excel geschickt bekommen. Da wird dann erklärt wie man auf das Icon drückt und Zellen ausfüllt.

      Dass die nächste Instanz kompetenter ist ist reine Glückssache. Ich würde da nicht drauf wetten bei dem technologischen Stand den manche meiner Kollegen haben….

  • SrTobi@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    4
    ·
    10 months ago

    Ok finde jetzt die Strafe schon sehr milde gewählt. Vlt ein halbes Monatsgehalt. Und wahrscheinlich bezahlt ihm das noch die Firma die ihn beauftragt hat. Denke mal der Richter hat hier wirklich keine Möglichkeit gesehen das Gesetz anders zu deuten und ich denke er hat nicht Unrecht. Das Gesetz selber ist natürlich Müll und die Folgen alles andere als milde. War das Linus vom CCC der mal gesagt hat in Deutschland versuchen wir gerne technische inkompetenz mit juristischen Maßnahmen zu fixen? Natürlich ist es prinzipiell schon nicht schlecht so einen paragraphen in irgendeiner Form zu haben. Man will ja schon juristisch was gegen hacker in der Hand haben… Aber bringt nicht viel weil die sich ja nicht erwischen lassen, bzw gar nicht in Deutschland sind. Ist halt doppelt ärgerlich weil wenn der Programmierer nix gesagt hätte wäre auch nichts passiert. Glaubt doch keiner dass die Firma, die ihre Datenbank mit klartext passwort im Programmcode “sichert”, einen unbekannten Zugriff bemerkt.

    Was mich aber richtig aufregt ist dieser compilat-fetischismus… Wtf das ist ne Reihe von Zahlen von denen manche halt Buchstaben sind und der Rest ist halt was das Programm macht. Wieso immer gleich durchdrehen wenn man das ein bisschen verarbeitet… Ist ja schlimm

  • Mahlzeit@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    5
    arrow-down
    5
    ·
    10 months ago

    § 202a Ausspähen von Daten

    (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

    Dass, das Passwort nicht verschlüsselt war, ist kein Argument. Man könnte Zweifel am Vorsatz haben, so wie es dargestellt wurde. Allerdings wäre er auch nicht unbedingt befugt gewesen, wenn es tatsächlich nur die Daten seines Kunden betroffen hätte. Der hatte ihm das PW ja nicht gegeben.

    Das eigentliche Problem ist der Paragraf selber, dem es nicht auf die Absicht zum Datenspähen ankommt. Diebstahl, zum Vergleich, ist nur solcher, wenn man die Sache tatsächlich illegal behalten will. Hier reicht schon der Zugang, also das “Hacken”.

    • catboss@feddit.de
      link
      fedilink
      Deutsch
      arrow-up
      18
      ·
      edit-2
      10 months ago

      Doch, es ist ein Argument. Sogar ein sehr gutes. § 202a StGb setzt nämlich das Überwinden einer Sicherung voraus. Das steht so sogar unmissverständlich im von dir zitierten Normtext.

      Wenn ich ein Passwort im Klartext abspeichere, dann lässt sich sehr wohl und sehr gut argumentieren, dass es inherent keine Sicherungsfunktion erfüllen kann.

      Der Schutz durch Passwörter ist zwar unzweifelhaft ein Sicherungsmechanismus, der mit § 202a StGb vor Überwindung geschützt werden soll. Das betrifft aber ganz klar Fälle, in denen man sein sicherndes Passwort nicht direkt an die Eingangstür schreibt.

      Es kann für eine Strafbarkeit nach § 202a StGb schlichtweg nicht genügen, dass man ein Passwort hat, egal von welcher Qualität. “Passwort” oder “12345” als Passwort, selbst wenn es nicht irgendwo im Klartext ausgelesen werden könnte, halte ich schon für untauglich, weil dem Sicherungsmechanismus eine gewisse Sicherungsqualität innewohnen muss. Sonst fehlt es nämlich am vorausgesetzten “Überwinden”. Ein Überwinden erfordert eine gewisse und nicht unerhebliche Energie, die man als Täter aufwenden müsste, um einen Schutz zu umgehen.

      § 202a StGb ist eine komplett verunglückte Strafnorm, aber einer von vornherein ungeeigneten Form der Sicherung irgendeine Sicherungsqualität beimessen zu wollen, das liefe absolut fehl. Erst Recht kann dann ein im Klartext auslesbares Passwort nicht genügen. Aber weil die Norm so ein Murks ist, darf am Ende wieder die höchstrichterliche Rechtsprechung Hilfsgesetzgeber spielen, sobald Fälle wie der jetzige in die höheren Instanzen gehen.

      Ich stimme dir im Übrigen aber zu, dass die Norm in einer idealen Welt mehr subjektive Tatbestandsmerkmale erfordern sollte. Dass der reine Vorsatz genügt und keine “Ausspähabsicht” erforderlich ist, ist ohne Frage der Griff eines geriatrischen Gesetzgebers ins Klo.

      • Mahlzeit@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        2
        arrow-down
        1
        ·
        10 months ago

        Ist das die herrschende Meinung? Das überzeugt mich nicht so wirklich.

        Sagen wir mal, man nimmt so eine Liste von Passwörtern, die nicht ausreichen, um besonderen Schutz zu gewährleisten. Dann benutzt man ein Programm, dass Brute Force Nutzernamen durchgeht und jeweils diese Passwörter ausprobiert. Da ist dann natürlich schon eine ziemliche Energie dahinter, aber man hat ja nur die Konten geknackt, die, per Definition, nicht besonders gesichert waren.

        Oder, man geht irgendwo vorbei und erspäht den Login auf dem Klebezettel am Display. Sollte man das einfach mal ausprobieren dürfen, egal mit welcher Absicht?