1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Connect-App: CDU zeigt offenbar…

Ganz so einfach ist das nicht

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Ganz so einfach ist das nicht

    Autor: fanreisender 05.08.21 - 07:22

    Um den Fehler zu entdecken, war zunächst ein Gesetzesbruch nötig. Die Frau hat wohlwollend gehandelt, nur, woher weiß man das denn so genau?
    Der laut "Haltet den Dieb" davonlaufende Dieb ist ein Klassiker.

    Den Gesetzesbruch anzuzeigen, ist in meinen Augen sogar Pflicht.

    Klar ist das ein Dilemma, von dme ich auch nicht weiß, wie man das sauber lösen sollte. So unkal ist die Frage ja nicht, viele Straftaten des organisierten Verbrechens ließen sich leicht aufklären, wenn die Polizei - sagen wir einmal - weniger streng regelkonform arbeiten müsste.

  2. Re: Ganz so einfach ist das nicht

    Autor: mxcd 05.08.21 - 07:57

    Ein Gesetzverstoß ist dann notwendig, wenn bestehende Schutzmaßnahmen überwunden werden müssen. Wenn diese fehlen, ist es keiner.
    Zumal sich hier auch nicht "Zugang zu Systemen" verschafft wurde, die Daten waren halt einfach abrufbar. Ich tippe mal auf wiederverwendbaren API key.

  3. Re: Ganz so einfach ist das nicht

    Autor: Trollversteher 05.08.21 - 08:06

    >Um den Fehler zu entdecken, war zunächst ein Gesetzesbruch nötig. Die Frau hat wohlwollend >gehandelt, nur, woher weiß man das denn so genau?

    Welcher Gesetzesbruch lag denn konkret vor? Afaik hat sie keine Daten gestohlen oder gar weiterverbreitet...

    >Der laut "Haltet den Dieb" davonlaufende Dieb ist ein Klassiker.

    Das ist nun wirklich der schlechteste Vergleich, den ich seit langem gelsen habe - sag mal, bist Du überhaupt im IT Umfeld tätig?

  4. Re: Ganz so einfach ist das nicht

    Autor: Emulex 05.08.21 - 08:24

    fanreisender schrieb:
    --------------------------------------------------------------------------------
    > Um den Fehler zu entdecken, war zunächst ein Gesetzesbruch nötig. Die Frau
    > hat wohlwollend gehandelt, nur, woher weiß man das denn so genau?

    Ich denke im IT-Umfeld ist es Konsens, dass gefundene Sicherheitslücken nicht als Gesetzesbruch interpretiert werden.
    Allerdings sehe ich schon auch eine gewisse Grauzone in der Frage wie weit man gehen darf.
    Beispiel: Ich dringe durch eine Sicherheitslücke in ein Unternehmensnetz ein - ich persönlich würde an dieser Stelle aufhören und die Lücke melden.
    Wenn man nun aber weiter stöbert und z.B. ungeschützte personenbezogene Daten findet (deren Personenbezogenheit man ja nur durch Sichtung feststellen kann), dann empfinde ich das als Grauzone bzw. persönlich eigentlich schon als Rechtsbruch.

    Oder um den oft bemühten Vergleich mit der unverschlossenen Wohnung zu bemühen: Wenn ich eine offene Wohnungstür bemerke, dann informiere ich wenn möglich darüber, aber gehe nicht noch in's Haus und schaue ob der Tresor vielleicht auch offen ist und was sich darin befindet, ob vielleicht irgendwelche Schwarzgeldkonten dokumentiert sind oder so, die ich gleich mit melden kann ;)

    Der Fall scheint ja so gelagert, dass die Intention von Frau Wittmann war, herauszufinden ob die App wirklich keine personenbezogenen Daten erfasst.
    Und das finde ich durchaus problematisch.
    Im Grunde ist sie mit ner Kreditkarte durch die schlecht gesicherte Tür gekommen und hat dann gestöbert um herauszufinden ob das wirklich stimmt was gesagt wurde.
    Wäre bei jeder physischen Aktion ganz klar strafbarer Einbruch - egal ob was gefunden wird oder nicht.
    Zu schaun ob man die Tür mit der Kreditkarte auf kriegt und dann sofort melden wenn ja, ist was ganz anderes.

  5. Re: Ganz so einfach ist das nicht

    Autor: Komischer_Phreak 05.08.21 - 11:14

    fanreisender schrieb:
    --------------------------------------------------------------------------------
    > Um den Fehler zu entdecken, war zunächst ein Gesetzesbruch nötig.

    Welcher Gesetzesbruch, nach welchem Paragraphen, soll das denn Deiner Meinung nach gewesen sein?

    > Den Gesetzesbruch anzuzeigen, ist in meinen Augen sogar Pflicht.

    Du meinst sicherlich den Verstoß gegen die CDU wegen Verstoßes gegen die DSGVO?


    > So unkal ist die Frage ja nicht, viele Straftaten des
    > organisierten Verbrechens ließen sich leicht aufklären, wenn die Polizei -
    > sagen wir einmal - weniger streng regelkonform arbeiten müsste.

    Ich glaube eher, hier fehlt Regelkonformität. Ich würde wetten, eine Anzeige dazu ist schon erfolgt. Das die CDU da mit "Unvorstellbar" und "Verdrehung der Tatsachen" argumentieren wird, ist absehbar. Klassischer Fall von Täter, der das Opfer beschuldigt.

  6. Re: Ganz so einfach ist das nicht

    Autor: ElTentakel 05.08.21 - 19:17

    fanreisender schrieb:
    --------------------------------------------------------------------------------.
    > Den Gesetzesbruch anzuzeigen, ist in meinen Augen sogar Pflicht.

    Ich denke auch, man sollte pauschal alle anzeigen, die etwas tun, von dem man keine Ahnung hat. Dann muss sich die Polizei nicht mehr um die wirklich wichtigen Probleme kümmern.

    Ernsthaft: ich hoffe, dass der CCC sich so lange wehrt, bis der Hackerparagraph von einem Gericht kassiert wird. Das wäre dann die gerechte Strafe für so wenig Verständnis vom Neuland. Dann kann ich auch wieder meine Arbeit machen, ohne Angst zu haben.

  7. Re: Ganz so einfach ist das nicht

    Autor: stan__lemur 05.08.21 - 23:05

    Emulex schrieb:
    --------------------------------------------------------------------------------

    > Ich denke im IT-Umfeld ist es Konsens, dass gefundene Sicherheitslücken
    > nicht als Gesetzesbruch interpretiert werden.
    > Allerdings sehe ich schon auch eine gewisse Grauzone in der Frage wie weit
    > man gehen darf.
    > Beispiel: Ich dringe durch eine Sicherheitslücke in ein Unternehmensnetz
    > ein - ich persönlich würde an dieser Stelle aufhören und die Lücke melden.
    > Wenn man nun aber weiter stöbert und z.B. ungeschützte personenbezogene
    > Daten findet (deren Personenbezogenheit man ja nur durch Sichtung
    > feststellen kann), dann empfinde ich das als Grauzone bzw. persönlich
    > eigentlich schon als Rechtsbruch.
    Da ist ein Denkfehler drin: Es geht um öffentlich zugängliche Systeme, die keine Authentifizierung benötigen. Die "Lücke" (eigentlich Scheunentor) bestand darin, dass eben auch personenbezogene Daten (deren Existenz die CDU bestritten hat) darin genauso ungesichert verfügbar waren.
    >
    > Oder um den oft bemühten Vergleich mit der unverschlossenen Wohnung zu
    > bemühen: Wenn ich eine offene Wohnungstür bemerke, dann informiere ich wenn
    > möglich darüber, aber gehe nicht noch in's Haus und schaue ob der Tresor
    > vielleicht auch offen ist und was sich darin befindet, ob vielleicht
    > irgendwelche Schwarzgeldkonten dokumentiert sind oder so, die ich gleich
    > mit melden kann ;)
    Der Vergleich hinkt nicht, der sitzt im Rollstuhl.
    Die Wohnung ist privat (und auch rechtlich besonders geschützt), der Server war öffentlich zugänglich. Wenn man das schon mit Räumlichkeiten vergleichen will, dann wäre der Publikumsbereich von Geschäften etc. die bessere Analogie. Und wenn dann da noch ein Infoterminal steht und darauf eine unbeschriftete Schaltfläche, die beim Klick die Kundenkartei ausspuckt, dann passt der Vergleich so langsam.
    >
    > Der Fall scheint ja so gelagert, dass die Intention von Frau Wittmann war,
    > herauszufinden ob die App wirklich keine personenbezogenen Daten erfasst.
    > Und das finde ich durchaus problematisch.
    > Im Grunde ist sie mit ner Kreditkarte durch die schlecht gesicherte Tür
    > gekommen
    Da war keine Tür, noch nicht mal eine sperrangelweit offenstehende.

    > und hat dann gestöbert um herauszufinden ob das wirklich stimmt
    > was gesagt wurde.
    > Wäre bei jeder physischen Aktion ganz klar strafbarer Einbruch - egal ob
    > was gefunden wird oder nicht.
    > Zu schaun ob man die Tür mit der Kreditkarte auf kriegt und dann sofort
    > melden wenn ja, ist was ganz anderes.
    Ist der Aufruf von www_dot_amazon_dot_de (also mit den passenden Ersetzungen) auch ein Einbruch? Nach deinen Vergleichen würde ich davon ausgehen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Systemadministrator (m/w/d)
    Wentronic GmbH, Braunschweig
  2. Systemadministrator (m/w/d) Netzwerk / Firewall
    Optica Abrechnungszentrum Dr. Güldener GmbH, Stuttgart
  3. IT Support (m/w/d) First Level
    GK Software SE, Schöneck/Vogtland, Hamburg
  4. Mitarbeiter*innen für Anwendungsbetreuung & Support
    GEBIT MÜNSTER Gesellschaft für Beratung sozialer Innovation und Informationstechnologie mbH & Co. KG, Münster

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,99€
  2. 17,99€
  3. 6,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Corona und IT: Arbeiten ganz ohne Geschäftsreisen
Corona und IT
Arbeiten ganz ohne Geschäftsreisen

Für manche in der IT mag er ein Segen sein, für andere ist er projektgefährdend: der coronabedingte Wegfall von Geschäftsreisen.
Ein Erfahrungsbericht von Boris Mayer


    Elektronische Patientenakte: Ganz oder gar nicht
    Elektronische Patientenakte
    Ganz oder gar nicht

    Zwischen dem Bundesdatenschutzbeauftragten und den Krankenkassen bahnt sich ein Rechtsstreit über die elektronische Patientenakte an.
    Von Christiane Schulzki-Haddouti

    1. Spiegel, Zeit, Heise Datenschutzverein geht gegen Pur-Abos vor
    2. Daten gegen Service EuGH soll über Facebooks Geschäftsmodell entscheiden
    3. DSGVO Datenschützer will "Cookie-Banner-Wahnsinn" beenden

    Direct Air Capture: Orca filtert CO2 aus der Atmosphäre
    Direct Air Capture
    Orca filtert CO2 aus der Atmosphäre

    Die größte Direct-Air-Capture-Anlage geht in Island in Betrieb. Die Technik wird wohl gebraucht, steht aber vor großen Herausforderungen.
    Ein Bericht von Hanno Böck

    1. Klimaschutzgesetz Bereits 2045 soll Deutschland klimaneutral werden