Einbruch

Wenn man das mit einem Einbruch Delikt vergleicht, dann ist es auch nicht nur dann ein Einbruch, wenn Liegenschaft die neuesten Sicherheits-Türen / Fenster verwendet mit Alarmanlagen und 24/7 Sicherheitsdienst. Ich als Vermieter einer Privatwohnung bin mir auch relativ sicher, dass ich so lange diese Privatwohnung vermietet ist, selbst dann nicht in diese Privatwohnung eindringen darf, wenn ich einen Haupt-Schlüssel habe und die Wohnungstür offen steht.

Diese "White-Hat Hacker" Philosophie oder wie auch immer die genaue Terminologie sein mag mit "Daten Einbrüchen" zum Wohle des Betroffenen und damit mit dem höheren Ziel der Verbesserung der Menschheit ... das ist alles schön und gut, so lange man das als technischen PoC durchführt. Ich persönlich halte es schon für angebracht, dass nicht der Einbrecher entscheidet, was die Schwelle für diesen "Hackerparagraphen" sein soll.

Und auf die Überschrift bezogen: "IT-Experte wegen Nutzung einer Zugangssoftware verurteilt". Was hat "IT-Experte" mit dem Sachverhalt zu tun? Das soll doch sicher nur Sympathie in diesem Forum erwecken? Und wenn man nochmal zurück geht auf die Analogie "Einbruch": Auch wenn ich z.B. ein kommerziell erhältliches "Swiss Army Knife für Wohungseinbruch" verwende, oder einen Schlüsseldienst dazu bringe mir Zugang zu einer fremden Wohnung zu beschaffen, dürfte das immer noch Einbruch sein ...

Die Analogie ist aber viel eher "da liegt ein Schlüssel, auf dem steht für welche Tür er ist und hinter der Tür befindet sich Eigentum dritter (nicht des Besitzers, der aber den Eigentümers zugesagt hat es sicher zu verwahren)" und ja es ist ein Dienst an der Allgemeinheit. Hier wird kein Einbruchwerkzeug genutzt und der Herr ist halt IT-Experte.
Die Allgemeinheit hat weit größeren Schaden wenn nicht so wohlgesonnene Akteure diesen Schlüssel sehen und zu nutze machen - und der Schaden ist dann sowohl für die Allgemeinheit als auch die betreffende Firma da. Genaugenommen geht die Firma die das so entwickelt hat fahrlässig mit den Daten ihrer Kunden um und diese sind der eigentliche Straftäter, das BSI gibt hier als Bundesbehörde recht klare Richtlinien über den Stand der Technik den man selbst im deutschen Beamten und Bürokratiewulst erwarten kann und diese Richtlinien verletzt Modern Solutions

.02 Cents schrieb:
--------------------------------------------------------------------------------

>
> Diese "White-Hat Hacker" Philosophie oder wie auch immer die genaue
> Terminologie sein mag mit "Daten Einbrüchen" zum Wohle des Betroffenen und
> damit mit dem höheren Ziel der Verbesserung der Menschheit ... das ist
> alles schön und gut, so lange man das als technischen PoC durchführt. Ich
> persönlich halte es schon für angebracht, dass nicht der Einbrecher
> entscheidet, was die Schwelle für diesen "Hackerparagraphen" sein soll.
>

Ist schon schwierig. Selbstverständlich sollen Sicherheitslücken schnell weitergeleitet werden. Wo liegt hier die Grenze? Offenbar lag eine vor, die erkennbar war und deren Nachweis per Test nicht zwanghaft nötig war. Das zumindest lese ich aus diesem kurzen Bericht heraus.

Dann ist der Einsatz einer speziellen Software durchaus kritisch zu sehen. Zum einen weiß man nicht, was der "Tester" mit aufgefundenen Daten möglicherweise angestellt hat. Zum anderen ist die Annahme gar nicht so abwegig, dass die verwendete Software ihrerseits weiteren nicht unbedingt sofort erkennbaren Schaden angerichtet hat.

Ich glaube ein Wohnungseinbruch kann schlecht mit diesem Fall verglichen werden (es kann auch keine passende Analogie gefunden werden), weil das Problem bei dem Modern-Solution-Fall war, dass der Generalschlüssel in der Software lag.

Oder doch, vielleicht fällt mir eine Analogie ein: Du hast ein Tüschloss, und und beim Zerlegen deines Türschlosses stellst du fest, dass in dem Schloss ein anderer Schlüssel fest verbaut ist der das Schloss öffnet. Quasi drehst du mit deinem Schlüssel den fest verbauten Generalschlüssel. Und wenn man diesen Schlüssel rausholt, und dann feststellt dass man damit alle anderen Türen öffnen kann, dann ist das schon eine sehr grobe Fahrlässigkeit des Herstellers.

Das "Ausprobieren" des Generalschlüssels ist daher eine andere Sache: Wenn man von "Tür zu Tür" geht und ihn ausprobiert, ist das ein No-Go. Wenn du aber mit einer Datenbanksoftware in in die Datenbank reinschauen willst, und du stellst fest dass du dann alle Datenbanken sehen kannst, stellt sich die Frage: Warum habe ich nicht eigene Zugangsdaten mit denen ich nur in meine Datenbank schauen kann.

Vielleicht wäre dann doch eher eine "Bankautomatenanalogie" besser gewesen: In meiner Bankkarte steckt unter meinem EC-Chip ein weiterer Chip im Plastik. Hole ich ihn raus und schiebe die Karte in einen Bankautomaten rein (die PIN stand dabei), und auf einmal kann ich alle Konten der Bank sehen, wer ist dann der Schuldige? So mal als Denkanstoß.

> Die Analogie ist aber viel eher "da liegt ein Schlüssel, auf dem steht für
> welche Tür er ist und hinter der Tür befindet sich Eigentum dritter (nicht
> des Besitzers, der aber den Eigentümers zugesagt hat es sicher zu
> verwahren)"

Richtig, und nehmen wir an, das sei alles gegeben. Ist es dann legal, sich in der Wohnung einfach mal umzusehen, sich das Eigentum Dritter anzusehen?

Nein, es bleibt zumindest Hausfriedensbruch.

fanreisender schrieb:
--------------------------------------------------------------------------------
> Dann ist der Einsatz einer speziellen Software durchaus kritisch zu sehen.
> Zum einen weiß man nicht, was der "Tester" mit aufgefundenen Daten
> möglicherweise angestellt hat. Zum anderen ist die Annahme gar nicht so
> abwegig, dass die verwendete Software ihrerseits weiteren nicht unbedingt
> sofort erkennbaren Schaden angerichtet hat.

Wenn du mit deinem Browser eine Webseite eingibst, dich dabei vertippst und somit den Login umgehst, dann hast du auch eine Spezialsoftware verwendet und dich schuldig gemacht. zumindest wenn ich deiner Logik, oder der des Gerichts, folgend würde wäre das die logische Schlussfolgerung.

> Oder doch, vielleicht fällt mir eine Analogie ein: Du hast ein Tüschloss,
> und und beim Zerlegen deines Türschlosses stellst du fest, dass in dem
> Schloss ein anderer Schlüssel fest verbaut ist der das Schloss öffnet.
> Quasi drehst du mit deinem Schlüssel den fest verbauten Generalschlüssel.
> Und wenn man diesen Schlüssel rausholt, und dann feststellt dass man damit
> alle anderen Türen öffnen kann, dann ist das schon eine sehr grobe
> Fahrlässigkeit des Herstellers.

Richtig, das wäre schon richtig übel. Und trotzdem gibt dir der Fund dieses Generalschlüssels nicht das Recht, eine fremde Wohnung damit zu öffnen und Dich da erst mal umzusehen.

Du kannst den Hersteller auf den Fehler hinweisen, Du kannst sogar die Öffentlichkeit darauf hinweisen. Aber Schlüssel nutzen bleibt eine Straftat.

> Vielleicht wäre dann doch eher eine "Bankautomatenanalogie" besser gewesen:
> In meiner Bankkarte steckt unter meinem EC-Chip ein weiterer Chip im
> Plastik. Hole ich ihn raus und schiebe die Karte in einen Bankautomaten
> rein (die PIN stand dabei), und auf einmal kann ich alle Konten der Bank
> sehen, wer ist dann der Schuldige? So mal als Denkanstoß.

Für den Design-Fehler der Hersteller. Und wenn Du den Fehler nutzt, um dich in der Bank umzusehen und fremde Konten einzusehen, dann machst Du Dich wiederum strafbar. Eigentlich ganz einfach, oder?

Puh, das kann ich aber so hier echt nicht stehen lassen.

Es gibt im deutschen Strafrecht kein 'Einbruch'.
Der Einbruch ist 'Hausfriedensbruch' kombiniert mit 'Diebstahl'.
Dabei ist der 'Hausfriedensbruch' ein Antragsdelikt, d.h. er wird nur dann verfolgt, wenn das Opfer einen Strafantrag stellt, weil für Dritte unklar ist, ob es sich um einen eingeladenen Freund oder einen ungebetenen Gast handelt.

So wie ich das verstehe, ging es hier gar nicht um Diebstahl, sondern alleinig um Hausfriedensbruch. D.h. da hat das vermeintliche Opfer eine Tür offen gelassen und der Täter hat 'Hausfriedensbruch' begangen, um sich zu vergewissern, dass die Türe wirklich so weit offen steht und dann ohne Diebstahl das vermeintliche Opfer informiert.

Für den 'Diebstahl' gibt es das Analogon 'Computersabotage' nach §303 StGB.
Den Hackerparagraphen braucht es aus meiner Sicht nicht.

.02 Cents schrieb:
--------------------------------------------------------------------------------
> Ich als
> Vermieter einer Privatwohnung bin mir auch relativ sicher, dass ich so
> lange diese Privatwohnung vermietet ist, selbst dann nicht in diese
> Privatwohnung eindringen darf, wenn ich einen Haupt-Schlüssel habe und die
> Wohnungstür offen steht.
>

Also ignorierst du die offenstehende Wohnungstür und gibst deinen Mietern nicht Bescheid, dass deren Tür offen steht, der Schlüssel steckt oder der genutzte smarte Türöffner unsicher ist, weil darauf das Passwort vermerkt ist?

Na dich möchte ich nicht als Vermieter haben, wenn dir deine Mieter völlig egal sind.

Und ja, es macht einen Unterschied, ob du grundlos in die Wohnung gehst oder ob du ein Problem mit der Haustür feststellst und dem Mieter daraufhin Bescheid gibst.

Das Beispiel mit dem Einbruch scheint wirklich eine interessante Analogie zu sein.
wohnungseinbruchdiebstahl-und-der-zutritt-durch-die-tuer-3109807
So wie ich das verstehe wäre ein alleiniges Betreten eines Gebäudes durch die Türe, ohne Zuhilfenahme von Werkzeugen und Gewalt nicht strafbar.
Dafür spricht auch, dass Versicherungen nicht Zahlen falls ein Dieb über die offene Türe in das Gebäude kommt.

> Es gibt im deutschen Strafrecht kein 'Einbruch'.

StGB §244 ist überschrieben mit "... Wohnungseinbruchdiebstahl", es ist ein eigenes Delikt.

> Der Einbruch ist 'Hausfriedensbruch' kombiniert mit 'Diebstahl'.

Nein, Wohnungseinbruchdiebstahl ist ein eigenes Delikt und nicht die Tateinheit oder Tatmehrheit von Hausfriedensbruch und Diebstahl. Das sieht man auch schon daran, dass der Strafrahmen von §244 ungleich höher ist (bis zehn Jahre) als die Strafrahmen von §242 (Diebstahl - 5 Jahre) und §123 (Hausfriedensbruch - 1 Jahr). Weder die Bildungsregeln für Tateinheit noch für Tatmehrheit schaffen den Sprung auf 10 Jahre. Also hält offensichtlich der Gesetzgeber Wohnungseinbruchdiebstahl für deutlich verwerflicher als Hausfriedensbruch und Diebstahl.

Oktavian schrieb:
--------------------------------------------------------------------------------

> Für den Design-Fehler der Hersteller. Und wenn Du den Fehler nutzt, um dich
> in der Bank umzusehen und fremde Konten einzusehen, dann machst Du Dich
> wiederum strafbar. Eigentlich ganz einfach, oder?

Ich glaube im Modern Solution-Fall ist er nach "Responsible Disclosure" vorgegangen und hat gesagt "Hallo, ich kann alle Konten sehen". Von einem Datenabfluss war nicht die Rede, von daher hat er sich auch nicht strafbar gemacht.

> So wie ich das verstehe wäre ein alleiniges Betreten eines Gebäudes durch
> die Türe, ohne Zuhilfenahme von Werkzeugen und Gewalt nicht strafbar.

Doch, das wäre dann Hausfriedensbruch. Und wenn der Täter etwas mitnimmt, wäre es Diebstahl. Aber Du hast Recht, die Strafzumessung ist deutlich geringer.

> Dafür spricht auch, dass Versicherungen nicht Zahlen falls ein Dieb über
> die offene Türe in das Gebäude kommt.

Das ist eine Frage des Vertrags zwischen Versicherer und Versicherungsnehmer. Ein Wohnungsbesitzer muss ja nicht versichert sein, somit hat die Versicherung keine Bedeutung für die Straftat. Und im Vertrag könnten die Parteien auch Regeln, dass die Versicherung nicht zahlt, falls der Einbrecher eine Clownsnase trägt. Und trotzdem wäre der Einbruch eines Clowns immer noch ein Einbruch, auch wenn die Versicherung nicht zahlt.

> Ich glaube im Modern Solution-Fall ist er nach "Responsible Disclosure"
> vorgegangen und hat gesagt "Hallo, ich kann alle Konten sehen".

Wenn er alle Konten sehen kann, muss er ja zumindest ein select auf die entsprechenden Tabellen gemacht haben. Damit sind Daten vom Unternehmen zu ihm geflossen.

> Von einem
> Datenabfluss war nicht die Rede, von daher hat er sich auch nicht strafbar
> gemacht.

Das sah der Richter offensichtlich anders.

Der Vergleich hinkt. Der Hacker hat dem Eigentümer nur gezeigt. das man mit einem einfachen Schlüssel in seine Wohnung kommt. Hätte der Hacker sich in der Wohnung "umgesehen", ist das strafbar.
Vergleichbar mit meinem Nachbarn:
Er läßt den Schlüssel außen auf dem Schloß stecken.. Ich klingel bei ihm und sage: "Ey, dein Schlüssel steckt hier!" Und er verklagt mich wg. Hausfriedensbruch

> Also ignorierst du die offenstehende Wohnungstür und gibst deinen Mietern
> nicht Bescheid, dass deren Tür offen steht, der Schlüssel steckt oder der
> genutzte smarte Türöffner unsicher ist, weil darauf das Passwort vermerkt
> ist?

Doch, aber man geht als Vermieter dann trotzdem nicht in die Wohnung und sieht sich um.

> Und ja, es macht einen Unterschied, ob du grundlos in die Wohnung gehst
> oder ob du ein Problem mit der Haustür feststellst und dem Mieter daraufhin
> Bescheid gibst.

Ja, und wenn Du ein Problem mit der Türe feststellst, berechtigt es dich trotzdem nicht, hindurchzugehen. Natürlich ist es nett/hilfreich/sinnvoll/geboten, auf das Problem hinzuweisen. Durch die Türe gehen darf man aber nicht.

> Der Vergleich hinkt. Der Hacker hat dem Eigentümer nur gezeigt. das man mit
> einem einfachen Schlüssel in seine Wohnung kommt. Hätte der Hacker sich in
> der Wohnung "umgesehen", ist das strafbar.

Gehen wir doch einfach mal davon aus, dass er nach dem "connect" auch noch zumindest ein "select" gemacht hat. Einfach schon um sicherzustellen, dass die Verbindung mit diesem User tatsächlich funktioniert und der User nicht z.B. so stark eingeschränkte Rechte hat, dass seine gefundene Sicherheitslücke bedeutungslos ist. Das ist natürlich nur eine Annahme, aber wenn ich mir vorstelle, was ich als erstes tue, wenn ich (berechtigt) Zugang zu einer Datenbank bekomme, dann ist es genau das. Ich schaue mir das DB-Schema an, die vorhandenen Tabellen, und mache ein paar Selects, um zu gucken, ob zumindest grundlegendes funktioniert.

Ich gehe einfach mal davon aus, das wurde im Prozess erörtert, auch wenn es nicht in den Artikel Eingang gefunden hat.

> Wenn du mit deinem Browser eine Webseite eingibst, dich dabei vertippst und
> somit den Login umgehst, dann

... war die Hürde so gering, dass Du keine Strafe fürchten musst. Es geht ja nicht nur um die Software sondern auch um die Umgehung des Schutzes. Hier hat er ja erst Username und Passwort extrahieren müssen, ein Aufwand, der "zufälliges Vertippen" wohl deutlich übersteigt.

Oktavian schrieb:
--------------------------------------------------------------------------------
> > So wie ich das verstehe wäre ein alleiniges Betreten eines Gebäudes
> durch
> > die Türe, ohne Zuhilfenahme von Werkzeugen und Gewalt nicht strafbar.
>
> Doch, das wäre dann Hausfriedensbruch. Und wenn der Täter etwas mitnimmt,
> wäre es Diebstahl. Aber Du hast Recht, die Strafzumessung ist deutlich
> geringer.

Heißt du lässt die Wohnungstüre offen, dein Nachbar sieht das, schaut durch die Türe in die Wohnung und ruft dich dann an um dir zu sagen dass die Türe offen ist.
Deine Reaktion ist dann den Nachbarn wegen Hausfriedensbruch anzuzeigen.

> > Dafür spricht auch, dass Versicherungen nicht Zahlen falls ein Dieb über
> > die offene Türe in das Gebäude kommt.
>
> Das ist eine Frage des Vertrags zwischen Versicherer und
> Versicherungsnehmer. Ein Wohnungsbesitzer muss ja nicht versichert sein,
> somit hat die Versicherung keine Bedeutung für die Straftat. Und im Vertrag
> könnten die Parteien auch Regeln, dass die Versicherung nicht zahlt, falls
> der Einbrecher eine Clownsnase trägt. Und trotzdem wäre der Einbruch eines
> Clowns immer noch ein Einbruch, auch wenn die Versicherung nicht zahlt.

Auch wenn die Clownsnase nicht direkt mit dem Thema zu tun hat, solche Klauseln hätten vor Gericht keinen Bestand. Aber warum stelle ich mir die Jungs von Modern Solution gerade mit Clownsnase vor?

> Heißt du lässt die Wohnungstüre offen, dein Nachbar sieht das, schaut durch
> die Türe in die Wohnung und ruft dich dann an um dir zu sagen dass die Türe
> offen ist.

Reingucken darf er. Er darf klingeln. Er darf sogar reinrufen, vielleicht habe ich die Türe mit Absicht offen gelassen. Er darf sogar mal in den Hausflur rufen, vielleicht bin ich ja gerade im Keller und habe die Türe mit Absicht offen gelassen. Aber die Wohnung betreten darf er nicht.

Hier gilt "My home is my castle". Wer sich darin aufhält ohne meine Erlaubnis, tut das rechtswidrig.

> Deine Reaktion ist dann den Nachbarn wegen Hausfriedensbruch anzuzeigen.

Zu meinen Nachbarn pflege ich ein sehr vertrauensvolles Verhältnis, deshalb würden die weder so einen Quatsch tun, noch würde ich sie anzeigen.

In der Analogie zum Fall wären es aber keine Nachbarn sondern ein völlig unbekannter Dritter. Und ja, der müsste ggf. mit einer Anzeige rechnen, so er denn einen Fuß über die Schwelle gesetzt hat.

> Auch wenn die Clownsnase nicht direkt mit dem Thema zu tun hat, solche
> Klauseln hätten vor Gericht keinen Bestand.

Wenn sie einzelvertraglich vereinbart worden wäre und nicht nur tief in den AVB vergraben, sehe ich da keine Probleme.

> Aber warum stelle ich mir die
> Jungs von Modern Solution gerade mit Clownsnase vor?

Ich fände, Clownsnasen passen zu Einbrechern besser. Viele Menschen haben Angst vor Einbrechern, viele Angst vor Clowns. Das passt doch.



1 mal bearbeitet, zuletzt am 18.01.24 11:30 durch Oktavian.