1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Connect-App: CDU zeigt offenbar…

Rechtliche Pflicht zu _responsible_ disclosure?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Rechtliche Pflicht zu _responsible_ disclosure?

    Autor: Benutztername12345 04.08.21 - 13:40

    Gibt es eine rechtliche Pflicht, mit gefundenen Sicherheitslücken verantwortungsvoll umzugehen?
    Bzw. welche Paragrafen verbieten es, eine ausnutzbare Sicherheitslücke einfach zu veröffentlichen, inkl. der zum Ausnutzen nötigen Details?

    Eine Bitte: bitte nur antworten, wenn man es WIRKLICH weiß, mit Quelle, Link, am besten zu einem Gesetz, Urteil oder einer juristischen Einordnung. Antworten a la "Ey damit würde man denen voll schaden Alter, das ist Zensur und illegal und überhaupt!" bitte bei heise abladen;)

  2. Re: Rechtliche Pflicht zu _responsible_ disclosure?

    Autor: mdxdave 04.08.21 - 13:51

    Nein, es gibt keine Pflicht dazu. Ist nur der "quasi"-Standard im IT-Bereich.

    ABER: Wenn du durch das Aufspüren einer Sicherheitslücke irgendwelche strafrechtlich relevanten Dinge durchführst (beispielsweise Computersabotage / Ausspähen von Daten) und das dann öffentlich mitteilst, kannst du dafür eben angezeigt werden. Das geht natürlich auch (rechtlich) nach Responsible Disclosure - in der Praxis haben aber viele Unternehmen Bug Bounty Programme, die eine strafrechtliche Verfolgung i.d.R. ausschließen, wenn du dich an das Responsible-Disclosure-Verfahren hälst.

    Leider gibt es keine rechtliche Grundlage dass eine strafrechtliche Verurteilung nach RD nicht möglich ist. Meines Wissen nach gab es mal Anträge im EU-Parlament dazu, aber herausgekommen ist dazu bislang nichts.

    Hier auch noch ein Artikel dazu: zeit[punkt]de/digital/datenschutz/2013-09/bug-bounty-hack

  3. Re: Rechtliche Pflicht zu _responsible_ disclosure?

    Autor: DieTatsaechlicheDimensionDesGanzen 04.08.21 - 14:06

    Benutztername12345 schrieb:
    --------------------------------------------------------------------------------
    > Eine Bitte: bitte nur antworten, wenn man es WIRKLICH weiß.

    > Antworten a la "Ey damit würde man denen voll schaden Alter, das ist Zensur
    > und illegal und überhaupt!" bitte bei heise abladen;)


    Warum fragst Du das dann in einem Forum?

    In der Regel gehts mit eigener Suche schneller und zuverlässiger. Man bekommt mehr Kontext und ist hinterher besser informiert als irgendwelche Foren-Schwurbler ...


    Beispiel:
    https://www.google.com/search?q=bsi+meldepflicht+von+sicherheitslücken

    Ergebnis:
    BSI.de - Fragen und Antworten zur Meldepflicht nach dem IT-Sicherheitsgesetz
    https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-FAQ/FAQ-zur-Meldepflicht/faq-zur-meldepflicht_node.html



    1 mal bearbeitet, zuletzt am 04.08.21 14:07 durch DieTatsaechlicheDimensionDesGanzen.

  4. Re: Rechtliche Pflicht zu _responsible_ disclosure?

    Autor: dsafsdf 04.08.21 - 14:07

    Benutztername12345 schrieb:
    --------------------------------------------------------------------------------
    > Gibt es eine rechtliche Pflicht, mit gefundenen Sicherheitslücken
    > verantwortungsvoll umzugehen?
    > Bzw. welche Paragrafen verbieten es, eine ausnutzbare Sicherheitslücke
    > einfach zu veröffentlichen, inkl. der zum Ausnutzen nötigen Details?
    >
    > Eine Bitte: bitte nur antworten, wenn man es WIRKLICH weiß, mit Quelle,
    > Link, am besten zu einem Gesetz, Urteil oder einer juristischen Einordnung.
    > Antworten a la "Ey damit würde man denen voll schaden Alter, das ist Zensur
    > und illegal und überhaupt!" bitte bei heise abladen;)


    da würde mich auch was interessieren: darf man zero days vertickern? solange man natürlich einen weg darlegen kann, wie man diese sicherheitslücke aufdecken kann, ohne sich strafbar zu machen.



    4 mal bearbeitet, zuletzt am 04.08.21 14:10 durch dsafsdf.

  5. Re: Rechtliche Pflicht zu _responsible_ disclosure?

    Autor: DieTatsaechlicheDimensionDesGanzen 04.08.21 - 14:11

    dsafsdf schrieb:
    --------------------------------------------------------------------------------
    > das würde mich auch was interessieren: darf man zero days vertickern? ich
    > mein, wenn man so oder so dafür verknackt wird, dass man nachschaut, wie
    > was funktioniert, kann man doch auch gleich... und so....

    Die bessere Frage ist: Darf man ohne Auftrag in Deutschland überhaupt an Sicherheitslücken forschen?

    Stichwort: "Hackerparagraph"

    Das dürfte hier auch Grundlage der Anzeige durch die CDU sein ...

    Info:
    https://de.wikipedia.org/wiki/Vorbereiten_des_Ausspähens_und_Abfangens_von_Daten



    1 mal bearbeitet, zuletzt am 04.08.21 14:12 durch DieTatsaechlicheDimensionDesGanzen.

  6. Re: Rechtliche Pflicht zu _responsible_ disclosure?

    Autor: d-mark 04.08.21 - 15:47

    Dann muss man es der CxU auf die harte Tour "einprügeln": Bei der nächsten Lücke die zugehörige Beschreibung zum Ausnutzen mit einem anonym erstellten Wegwerf-Account auf Reddit (oder wo auch immer) posten... Quasi "Non-Responsible Disclosure"! Vielleicht noch garniert mit dem dezenten Hinweis auf den aktuellen Vorfall.

  7. Re: Rechtliche Pflicht zu _responsible_ disclosure?

    Autor: Vögelchen 04.08.21 - 16:09

    d-mark schrieb:
    --------------------------------------------------------------------------------
    > Dann muss man es der CxU auf die harte Tour "einprügeln": Bei der nächsten
    > Lücke die zugehörige Beschreibung zum Ausnutzen mit einem anonym erstellten
    > Wegwerf-Account auf Reddit (oder wo auch immer) posten... Quasi
    > "Non-Responsible Disclosure"! Vielleicht noch garniert mit dem dezenten
    > Hinweis auf den aktuellen Vorfall.

    Ich dachte jetzt bei Harte Tour eher daran, dass ausländische Parteien angeblich gerne über so etwas Einfluss auf Wahlen nehmen.

  8. Re: Rechtliche Pflicht zu _responsible_ disclosure?

    Autor: Benutztername12345 05.08.21 - 00:32

    DieTatsaechlicheDimensionDesGanzen schrieb:
    --------------------------------------------------------------------------------
    > Benutztername12345 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Eine Bitte: bitte nur antworten, wenn man es WIRKLICH weiß.
    >
    > > Antworten a la "Ey damit würde man denen voll schaden Alter, das ist
    > Zensur
    > > und illegal und überhaupt!" bitte bei heise abladen;)
    >
    > Warum fragst Du das dann in einem Forum?

    Weil es manchmal Menschen hier gibt, die positiv überraschen. Und... siehe weiter unten in diesem Beitrag

    > In der Regel gehts mit eigener Suche schneller und zuverlässiger. Man
    > bekommt mehr Kontext und ist hinterher besser informiert als irgendwelche
    > Foren-Schwurbler ...
    >
    > Beispiel:
    > www.google.comücken

    Die Suchanfrage geht am Thema vorbei. Es geht nicht um die Pflicht, Sicherheitslücken zu melden sondern um die Frage, auf welcher rechtlichen Grundlage man verpflichtet ist, verantwortungsvoll mit einer Sicherheitslücke umzugehen, von der man Kenntnis hat.

    > Ergebnis:
    > BSI.de - Fragen und Antworten zur Meldepflicht nach dem
    > IT-Sicherheitsgesetz
    > www.bsi.bund.de

    Und auch das geht völlig am Thema vorbei. Hast du den Link überhaupt angeschaut? Da geht es um die Meldepflicht von EIGENEN Sicherheitslücken.

    Das war echt keine gute Werbung für "Frag doch google";)

  9. Re: Rechtliche Pflicht zu _responsible_ disclosure?

    Autor: Benutztername12345 05.08.21 - 00:37

    DieTatsaechlicheDimensionDesGanzen schrieb:
    --------------------------------------------------------------------------------
    > dsafsdf schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > das würde mich auch was interessieren: darf man zero days vertickern?
    > ich
    > > mein, wenn man so oder so dafür verknackt wird, dass man nachschaut, wie
    > > was funktioniert, kann man doch auch gleich... und so....
    >
    > Die bessere Frage ist: Darf man ohne Auftrag in Deutschland überhaupt an
    > Sicherheitslücken forschen?

    Aber selbstverständlich. Öffentlichen Code auf Github lesen zum Beispiel. Oder oder oder.

    > Stichwort: "Hackerparagraph"
    >
    > Das dürfte hier auch Grundlage der Anzeige durch die CDU sein ...
    >
    > Info:
    > de.wikipedia.orgähens_und_Abfangens_von_Daten

    Hast deinen eigenen Link mal gelesen?

  10. Re: Rechtliche Pflicht zu _responsible_ disclosure?

    Autor: Komischer_Phreak 05.08.21 - 11:19

    DieTatsaechlicheDimensionDesGanzen schrieb:
    --------------------------------------------------------------------------------
    > dsafsdf schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > das würde mich auch was interessieren: darf man zero days vertickern?
    > ich
    > > mein, wenn man so oder so dafür verknackt wird, dass man nachschaut, wie
    > > was funktioniert, kann man doch auch gleich... und so....
    >
    > Die bessere Frage ist: Darf man ohne Auftrag in Deutschland überhaupt an
    > Sicherheitslücken forschen?
    >
    > Stichwort: "Hackerparagraph"
    >
    > Das dürfte hier auch Grundlage der Anzeige durch die CDU sein ...
    >
    > Info:
    > de.wikipedia.orgähens_und_Abfangens_von_Daten

    Die bessere Frage ist eindeutig die schlechtere, die Antwort lautet "Ja". Oder kannst Du mir die letzten deutschen Sicherheitsforscher nennen, die verurteilt wurden? So auf der juristischen Jagd nach all den Sicherheitsforschern? Nein? Deine Frage beantwortet sich wirklich von selbst.

  11. Re: Rechtliche Pflicht zu _responsible_ disclosure?

    Autor: minnime 05.08.21 - 11:25

    Nein das wäre nicht die harte Tour sondern im Prinzip auch wieder ein Vergehen. Richtig ist die Meldung beim Datenschutzbeauftragten, der kann dann ein schönes Bußgeld verhängen. Man muss natürlich vorher schauen welcher Partei der so angehört, es wäre ideal wenn er von der Konkurrenz ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Prozessspezialist SAP IS-U (w/m/d)
    Stromnetz Hamburg GmbH, Hamburg
  2. IT Systemadministrator (m/d/w) MDM
    über grinnberg GmbH, Mainz
  3. Senior Technical Project Manager (m/f/d)
    Vorwerk Services GmbH, Wuppertal
  4. Fachinformatiker (m/w/d) für Systemintegration
    Max-Planck-Institut für Psychiatrie, München

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de