1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › DDoS für 7.500 US-Dollar: Hacker…

Gesetzesänderung notwendig?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Gesetzesänderung notwendig?

    Autor: rocketfoxx 24.10.16 - 12:21

    Vielleicht sollte man darüber nachdenken, die Betreiber der zum Botnetz gehörenden Geräte in die Haftung zu nehmen.

    Heißt:
    Wer nicht sicherstellt, dass seine Geräte bestmöglich gegen Zugriff von außen gesichert sind, der ist im Zweifelsfall für die Schäden, die die missbräuchliche Nutzung verursacht, mit haftbar, ähnlich Störerhaftung.

    Man sollte das Bewusstsein beim Verbraucher schärfen, dass mit der Installation von Netzwerkgeräten auch eine gewisse Verantwortung einher geht.

    Gleichzeitig müssen aber auch Hersteller dazu verpflichtet werden, Sicherheitslücken zeitnahe zu beheben.

  2. Re: Gesetzesänderung notwendig?

    Autor: elcravo 24.10.16 - 12:34

    rocketfoxx schrieb:
    --------------------------------------------------------------------------------

    > Wer nicht sicherstellt, dass seine Geräte bestmöglich gegen Zugriff von
    > außen gesichert sind

    Und wer bestimmt was bestmöglich für jedes Gerät in dem Fall bedeutet?

  3. Re: Gesetzesänderung notwendig?

    Autor: rocketfoxx 24.10.16 - 12:47

    Das kann man dann festlegen, analog der Störerhaftung (ehemals) für WLAN.
    Heißt: wer zumutbare Sicherheitsvorkehrungen wie Änderung des Passworts, regelmäßiges Prüfen auf Updates, etc. beachtet, der hat sein Soll erfüllt.

    Wer allerdings ein 5 Jahre altes Gerät betreibt, das noch nie eine neue Firmware gesehen hat und das zudem aus dem Internet mit dem Standardpasswort erreichbar ist, der ist dann eben haftbar zu machen.

  4. Re: Gesetzesänderung notwendig?

    Autor: Porterex 24.10.16 - 13:01

    Man sollte sich aber auch als Konsument fragen ob man wirklich für jeder sche*ß Internetzugang/WLAN benötigt.



    1 mal bearbeitet, zuletzt am 24.10.16 13:02 durch Porterex.

  5. Re: Gesetzesänderung notwendig?

    Autor: Lagganmhouillin 24.10.16 - 13:25

    Porterex schrieb:
    --------------------------------------------------------------------------------
    > Man sollte sich aber auch als Konsument fragen ob man wirklich für jeder
    > sche*ß Internetzugang/WLAN benötigt.

    Naja, bei solchen Kameras schon. Das ist ja deren Sinn. Ich hab auch sowas, allerdings eine Foscam. Die ist aber von außen nicht erreichbar, wenn ich da drauf will, dann nutze ich VPN. Außerdem verwende ich das WLAN nicht, obwohl die eins hat (weil unsicher).
    Ich muß allerdings auch sagen, daß es gar nicht so leicht war, für mein Modell die richtige Firmware zu finden, weil die Herstellerwebseite diesbzgl. leider sehr unübersichtlich ist.

  6. Re: Gesetzesänderung notwendig?

    Autor: deadeye 24.10.16 - 13:36

    Also wie man es bei Serverbetreibern macht.

    Kann man das verlangen? Wenn ich ein Auto fahren will, verlangt man von mir, dass das Auto sicher ist und das ich niemanden damit umbringe. Da das Internet Auswirkungen auf das reale Leben hat, sollte man sich darüber wirklich mal Gedanken machen.

  7. Re: Gesetzesänderung notwendig?

    Autor: chefin 24.10.16 - 13:38

    Dann hast du statt einer Cam einen VPN der unsicher ist. Wo also ist der Unterschied?

    Jeder offene Port von aussen ist ein unnötiges Risiko. Und es gibt keine sichere Software, es gibt nur noch nicht publizierte Fehler.

  8. Re: Gesetzesänderung notwendig?

    Autor: Tantalus 24.10.16 - 13:46

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Dann hast du statt einer Cam einen VPN der unsicher ist. Wo also ist der
    > Unterschied?

    Ein VPN zu hacken ist aber um Welten aufwändiger, als per Portscan automatisiert nach entsprechenden Geräten zu scannen und sich mit globalen Standardzugangsdaten einzuloggen.

    > Jeder offene Port von aussen ist ein unnötiges Risiko. Und es gibt keine
    > sichere Software, es gibt nur noch nicht publizierte Fehler.

    Nach der Logik dürfte niemand irgendwelche Internetservices anbieten.

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  9. Re: Gesetzesänderung notwendig?

    Autor: slashwalker 24.10.16 - 13:51

    Steinigt mich, aber ich bin schon länger der Meinung das es eine Art Internetführerschein geben sollte.

  10. Re: Gesetzesänderung notwendig?

    Autor: Muhaha 24.10.16 - 14:08

    slashwalker schrieb:
    --------------------------------------------------------------------------------
    > Steinigt mich, aber ich bin schon länger der Meinung das es eine Art
    > Internetführerschein geben sollte.

    Ich steinige Dich virtuell, weil das a) vollkommen sinnlos wäre, b) jeder Versuch analoge Lösungsanätze für digitale Probleme zu verwenden nur ein Ausdruck von Ahnungslosigkeit ist und c) die Anonymität im Internet noch mehr einschränken würde.

    Der Internet-Führerschein steht auf der gleichen Stufe wie der "Meldebutton". Ein auf den ersten Blick total toller Vorschlag, der sich beim weiteren Nachdenken aber selbst disqualifiziert, weil ein Internet-Zugang kein Auto ist.

  11. Re: Gesetzesänderung notwendig?

    Autor: twothe 24.10.16 - 14:10

    Wie hart auch immer man solche Gesetze fassen sollte, ein Minimum auf das sich jeder einigen kann ist denke ich, dass ein Hersteller, dessen Geräte nachweislich aufgrund einer Sicherheitslücke für Angriffe genutzt werden, diese Sicherheitslücken innerhalb einer vernünftigen Frist beheben muss, und zwar so, das weitere Angriffe mit derselben Methode unterbleiben, ansonsten wird er zu Schadensersatz verpflichtet.

    Der Zusatz ist wichtig, denn so ist der _Hersteller_ verpflichtet ein Update einzuspielen, und kann sich nicht raus reden mit "Ja irgendwie will keiner der uns unbekannten Kunden den Patch einspielen." Damit wäre dann jeder Hersteller gezwungen sich Gedanken über eine Updateprozedur zu machen und ggf. auch Ressourcen bereit zu stellen, um Patches zu schreiben. Damit wäre den Wegwerf-IoT-Produkten ein Ende gesetzt.

  12. Re: Gesetzesänderung notwendig?

    Autor: hyperlord 24.10.16 - 14:12

    rocketfoxx schrieb:
    --------------------------------------------------------------------------------
    > Vielleicht sollte man darüber nachdenken, die Betreiber der zum Botnetz
    > gehörenden Geräte in die Haftung zu nehmen.
    >
    > Heißt:
    > Wer nicht sicherstellt, dass seine Geräte bestmöglich gegen Zugriff von
    > außen gesichert sind, der ist im Zweifelsfall für die Schäden, die die
    > missbräuchliche Nutzung verursacht, mit haftbar, ähnlich Störerhaftung.

    Das wird nicht funktionieren. Geht damit los, dass es sehr schwer wird, das juristisch präzise zu definieren, was denn "bestmöglich" heißt im Einzelfall. Angesichts der großen Zahl an Geräten, dürfte es am Ende auch in der praktischen Anwendung scheitern, so eine Regelung durchzusetzen.

    > Gleichzeitig müssen aber auch Hersteller dazu verpflichtet werden,
    > Sicherheitslücken zeitnahe zu beheben.

    Ich denke, hier muss man ansetzen.
    Zunächst mal müssen die Geräte einfach viel viel narrensicherer sein, d.h. keine Standardpassworte ab Werk, sondern starke, individuelle Passworte pro Gerät. Und natürlich sollten die Geräte einen vollautomatischen Firmware-Update-Mechanismus haben.
    Und die Geräte sollten natürlich per Default keine Ports im Router aufmachen, so dass die Geräte out-of-the-box nur im LAN erreichbar sind.

    Ich denke, mit den Maßnahmen wäre schon viel erreicht.

  13. Re: Gesetzesänderung notwendig?

    Autor: Sea 24.10.16 - 14:54

    und wie bezifferst du den Schaden, den dieses eine Gerät angerichtet hat?
    Und wie genau glaubst du, das die "Täter" hier bestimmt werden? Durch IPs, die das Log der angegriffenen Server zur "Tatzeit" geschrieben hat? Du weisst wie ein DDOS funktioniert? Vor allem der bei Mirai verwendete? Es ist unmöglich mit Sicherheit zu sagen, welche Anfrage hier ein Angriff und welche legitim war.

    Abgesehen davon: Ein Krimineller in LandXY verwendet ein Botnetz um per DDoS Unfug zu machen. Und tausende/millionen nichts ahnende Konsumenten werden dadurch Kriminalisiert und zu Geldstrafen verurteilt. Tolle Idee. Wirklich. Der Kriminelle freut sich, die Abmahnindustrie freut sich ( nicht das es da einen Unterschied gäbe ), die Gerichte werden völlig unnötig mit noch mehr scheisse vollgemüllt.

    Yay. Deine Idee ist richtig toll.

    Das Problem sind nicht die Konsumenten. Diese erwarten völlig zu Recht, das der Kram den sie kaufen so funktioniert, wie sie es erwarten: Zuverlässig und Sicher.
    Wenn, dann muss es eine Gesetzesänderung für die Hersteller geben. Eine Art CE Zeichen für IT Sicherheit. Mit offenlegen des vollständigen Quellcodes mindestens gegenüber der Prüfer. So wie die Hersteller damals bei CE, TÜV etc genötigt wurden sich endlich Gedanken um die Betriebs-, Brand- etc -sicherheit zu machen, so müssen sie das jetzt halt auch bei der IT Sicherheit.

  14. Re: Gesetzesänderung notwendig?

    Autor: PhilSt 24.10.16 - 16:27

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Der Zusatz ist wichtig, denn so ist der _Hersteller_ verpflichtet ein
    > Update einzuspielen, und kann sich nicht raus reden mit "Ja irgendwie will
    > keiner der uns unbekannten Kunden den Patch einspielen." Damit wäre dann
    > jeder Hersteller gezwungen sich Gedanken über eine Updateprozedur zu machen
    > und ggf. auch Ressourcen bereit zu stellen, um Patches zu schreiben. Damit
    > wäre den Wegwerf-IoT-Produkten ein Ende gesetzt.

    Das hast du leider nicht zu Ende gedacht... wenn der Hersteller in der Lage ist, von aussen die Firmware ohne zutun des Kunden zu aktualisieren (was für deinen Vorschlag notwendig wäre) - dann wäre das nur ein zusätzliches Einfallstor für Hacker, die dir dann über die Wartungs-Backdoor eine ganz neue Firmware einspielen. Was genau würde das also bringen?

  15. Keine Gesetzesänderung notwendig!

    Autor: Bouncy 24.10.16 - 20:03

    rocketfoxx schrieb:
    --------------------------------------------------------------------------------
    > Vielleicht sollte man darüber nachdenken, die Betreiber der zum Botnetz
    > gehörenden Geräte in die Haftung zu nehmen.
    Keineswegs. Überleg mal, wer von deinen nahen Verwandten - gäbe es dich nicht (ich nehme mal an, du bist IT-affin) - seine Gadgets sicher konfigurieren könnte, oder sogar vor dem Kauf recherchieren könnte, ob die überhaupt sicher konfiguriert werden können (was selbst für uns eine Herausforderung ist). Ich sehe meine Eltern schon vor Gericht, in so einem Szenario, und das dürfte wohl für die meisten Eltern >70 gelten. Und würdest du dann mit dem Finger draufzeigen und schmerzliche Strafen fordern, weil sie zu doof waren? Würdest du dich dann den ****birnen anschließen, die PC-Führerscheine und so einen Quatsch fordern?
    Alles Blödsinn, Technik dient dem Menschen - _jedem_ Menschen - und nicht umgekehrt, und das jetzt ist ein rein technisches Problem, das durch Technik gelöst werden muß.

    Erinnert sich denn keiner mehr an das letzte mal, als sowas passiert ist? Es gab mal eine Zeit, in der gab es weder Virenscanner noch Router noch Firewalls in jedem Windows, _alles_ was im Internet war, war sperrangelweit offen. Und dann gab es solche Desaster. Und dann gab es Lösungen. Rein technische Lösungen. Ganz ohne User auf dem Marktplatz zu erhängen...

  16. Re: Keine Gesetzesänderung notwendig!

    Autor: rocketfoxx 24.10.16 - 22:25

    Ich halte es für zumutbar, dass Leute sich professionelle Hilfe holen, wenn sie mit der Konfiguration überfordert sind.

    Es kann ja auch jeder eine Steckdose anschließen. Wenn dann nachher einer nen Schlag kriegt, weil man nicht korrekt verkabelt hat, ist man als Installierender genauso haftbar.
    Im Internet herrscht eben dieses Bewusstsein noch nicht.



    1 mal bearbeitet, zuletzt am 24.10.16 22:26 durch rocketfoxx.

  17. Re: Gesetzesänderung notwendig?

    Autor: Sea 25.10.16 - 10:14

    bedingt stimmt das. Wenn der Hersteller remote das Update startet, wäre das fatal.
    Wenn allerdings das Gerät kontakt zum Hersteller aufnimmt und sich das Update runterlädt, ist das - bei korrekter Umsetzung - OK.
    Natürlich darf nicht einfach nur eine Datei runtergeladen werden. Signierung des Updates, Gegenprüfungen etc muss da alles rein. Aber machbar ist das

  18. Re: Gesetzesänderung notwendig?

    Autor: Truster 25.10.16 - 12:23

    Einige UEFI-Fähige Systeme machen das genauso. Der Aufwand hier wäre enorm, ein "gehacktes" Update unterzujubeln. Immerhin braucht's dann das Env. vom Hersteller - z.B. für die Signierung der F/W.

  19. Re: Gesetzesänderung notwendig?

    Autor: deadeye 25.10.16 - 12:29

    Truster schrieb:
    --------------------------------------------------------------------------------
    > Einige UEFI-Fähige Systeme machen das genauso. Der Aufwand hier wäre enorm,
    > ein "gehacktes" Update unterzujubeln. Immerhin braucht's dann das Env. vom
    > Hersteller - z.B. für die Signierung der F/W.

    Würdest du dein Leben darauf verwetten?

  20. Re: Gesetzesänderung notwendig?

    Autor: Truster 25.10.16 - 12:38

    Ja*

    *eine interne Info kann immer nach außen leaken. Dann muss aber der Hersteller dementsprechend reagieren. Außerdem habe ich nicht gesagt, dass es unmöglich wäre. Denn das wäre unmöglich :-). Der Aufwand wird nur erhöht.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DR. JOHANNES HEIDENHAIN GmbH, Traunreut (Raum Rosenheim)
  2. Interhyp Gruppe, Berlin, München
  3. Altair Engineering GmbH, Böblingen, München
  4. Deutsche Forschungsgemeinschaft e. V., Bonn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 59,99€ (USK 18)
  2. (-20%) 47,99€
  3. 9,99€
  4. 9,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Star Trek - Der Film: Immer Ärger mit Roddenberry
Star Trek - Der Film
Immer Ärger mit Roddenberry

Verworfene Drehbücher, unzufriedene Paramount-Chefs und ein zögerlicher Spock: Dass der erste Star-Trek-Film vor 40 Jahren schließlich doch in die Kinos kam, grenzt an ein Wunder. Dass er schön aussieht, noch mehr.
Von Peter Osteried

  1. Machine Learning Fan überarbeitet Star Trek Voyager in 4K
  2. Star Trek - Picard Hasenpizza mit Jean-Luc
  3. Star Trek Voyager Starke Frauen und schwache Gegner

Coronakrise: Hardware-Industrie auf dem Weg der Besserung
Coronakrise
Hardware-Industrie auf dem Weg der Besserung

Fast alle Fabriken für Hardware laufen wieder - trotz verlängertem Chinese New Year. Bei Launches und Lieferengpässen sieht es anders aus.
Ein Bericht von Marc Sauter

  1. Kaufberatung (2020) Die richtige CPU und Grafikkarte
  2. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen

Bodyhacking: Prothese statt Drehregler
Bodyhacking
Prothese statt Drehregler

Bertolt Meyer hat seine Handprothese mit einem Synthesizer verbunden - das Youtube-Video dazu hat viele interessiert. Wie haben mit dem Psychologieprofessor über sein Projekt und die Folgen des Videos gesprochen.
Ein Interview von Tobias Költzsch