1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Connect-App: CDU zeigt offenbar…

Ganz so einfach ist das nicht

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Ganz so einfach ist das nicht

    Autor: fanreisender 05.08.21 - 07:22

    Um den Fehler zu entdecken, war zunächst ein Gesetzesbruch nötig. Die Frau hat wohlwollend gehandelt, nur, woher weiß man das denn so genau?
    Der laut "Haltet den Dieb" davonlaufende Dieb ist ein Klassiker.

    Den Gesetzesbruch anzuzeigen, ist in meinen Augen sogar Pflicht.

    Klar ist das ein Dilemma, von dme ich auch nicht weiß, wie man das sauber lösen sollte. So unkal ist die Frage ja nicht, viele Straftaten des organisierten Verbrechens ließen sich leicht aufklären, wenn die Polizei - sagen wir einmal - weniger streng regelkonform arbeiten müsste.

  2. Re: Ganz so einfach ist das nicht

    Autor: mxcd 05.08.21 - 07:57

    Ein Gesetzverstoß ist dann notwendig, wenn bestehende Schutzmaßnahmen überwunden werden müssen. Wenn diese fehlen, ist es keiner.
    Zumal sich hier auch nicht "Zugang zu Systemen" verschafft wurde, die Daten waren halt einfach abrufbar. Ich tippe mal auf wiederverwendbaren API key.

  3. Re: Ganz so einfach ist das nicht

    Autor: Trollversteher 05.08.21 - 08:06

    >Um den Fehler zu entdecken, war zunächst ein Gesetzesbruch nötig. Die Frau hat wohlwollend >gehandelt, nur, woher weiß man das denn so genau?

    Welcher Gesetzesbruch lag denn konkret vor? Afaik hat sie keine Daten gestohlen oder gar weiterverbreitet...

    >Der laut "Haltet den Dieb" davonlaufende Dieb ist ein Klassiker.

    Das ist nun wirklich der schlechteste Vergleich, den ich seit langem gelsen habe - sag mal, bist Du überhaupt im IT Umfeld tätig?

  4. Re: Ganz so einfach ist das nicht

    Autor: Emulex 05.08.21 - 08:24

    fanreisender schrieb:
    --------------------------------------------------------------------------------
    > Um den Fehler zu entdecken, war zunächst ein Gesetzesbruch nötig. Die Frau
    > hat wohlwollend gehandelt, nur, woher weiß man das denn so genau?

    Ich denke im IT-Umfeld ist es Konsens, dass gefundene Sicherheitslücken nicht als Gesetzesbruch interpretiert werden.
    Allerdings sehe ich schon auch eine gewisse Grauzone in der Frage wie weit man gehen darf.
    Beispiel: Ich dringe durch eine Sicherheitslücke in ein Unternehmensnetz ein - ich persönlich würde an dieser Stelle aufhören und die Lücke melden.
    Wenn man nun aber weiter stöbert und z.B. ungeschützte personenbezogene Daten findet (deren Personenbezogenheit man ja nur durch Sichtung feststellen kann), dann empfinde ich das als Grauzone bzw. persönlich eigentlich schon als Rechtsbruch.

    Oder um den oft bemühten Vergleich mit der unverschlossenen Wohnung zu bemühen: Wenn ich eine offene Wohnungstür bemerke, dann informiere ich wenn möglich darüber, aber gehe nicht noch in's Haus und schaue ob der Tresor vielleicht auch offen ist und was sich darin befindet, ob vielleicht irgendwelche Schwarzgeldkonten dokumentiert sind oder so, die ich gleich mit melden kann ;)

    Der Fall scheint ja so gelagert, dass die Intention von Frau Wittmann war, herauszufinden ob die App wirklich keine personenbezogenen Daten erfasst.
    Und das finde ich durchaus problematisch.
    Im Grunde ist sie mit ner Kreditkarte durch die schlecht gesicherte Tür gekommen und hat dann gestöbert um herauszufinden ob das wirklich stimmt was gesagt wurde.
    Wäre bei jeder physischen Aktion ganz klar strafbarer Einbruch - egal ob was gefunden wird oder nicht.
    Zu schaun ob man die Tür mit der Kreditkarte auf kriegt und dann sofort melden wenn ja, ist was ganz anderes.

  5. Re: Ganz so einfach ist das nicht

    Autor: Komischer_Phreak 05.08.21 - 11:14

    fanreisender schrieb:
    --------------------------------------------------------------------------------
    > Um den Fehler zu entdecken, war zunächst ein Gesetzesbruch nötig.

    Welcher Gesetzesbruch, nach welchem Paragraphen, soll das denn Deiner Meinung nach gewesen sein?

    > Den Gesetzesbruch anzuzeigen, ist in meinen Augen sogar Pflicht.

    Du meinst sicherlich den Verstoß gegen die CDU wegen Verstoßes gegen die DSGVO?


    > So unkal ist die Frage ja nicht, viele Straftaten des
    > organisierten Verbrechens ließen sich leicht aufklären, wenn die Polizei -
    > sagen wir einmal - weniger streng regelkonform arbeiten müsste.

    Ich glaube eher, hier fehlt Regelkonformität. Ich würde wetten, eine Anzeige dazu ist schon erfolgt. Das die CDU da mit "Unvorstellbar" und "Verdrehung der Tatsachen" argumentieren wird, ist absehbar. Klassischer Fall von Täter, der das Opfer beschuldigt.

  6. Re: Ganz so einfach ist das nicht

    Autor: ElTentakel 05.08.21 - 19:17

    fanreisender schrieb:
    --------------------------------------------------------------------------------.
    > Den Gesetzesbruch anzuzeigen, ist in meinen Augen sogar Pflicht.

    Ich denke auch, man sollte pauschal alle anzeigen, die etwas tun, von dem man keine Ahnung hat. Dann muss sich die Polizei nicht mehr um die wirklich wichtigen Probleme kümmern.

    Ernsthaft: ich hoffe, dass der CCC sich so lange wehrt, bis der Hackerparagraph von einem Gericht kassiert wird. Das wäre dann die gerechte Strafe für so wenig Verständnis vom Neuland. Dann kann ich auch wieder meine Arbeit machen, ohne Angst zu haben.

  7. Re: Ganz so einfach ist das nicht

    Autor: stan__lemur 05.08.21 - 23:05

    Emulex schrieb:
    --------------------------------------------------------------------------------

    > Ich denke im IT-Umfeld ist es Konsens, dass gefundene Sicherheitslücken
    > nicht als Gesetzesbruch interpretiert werden.
    > Allerdings sehe ich schon auch eine gewisse Grauzone in der Frage wie weit
    > man gehen darf.
    > Beispiel: Ich dringe durch eine Sicherheitslücke in ein Unternehmensnetz
    > ein - ich persönlich würde an dieser Stelle aufhören und die Lücke melden.
    > Wenn man nun aber weiter stöbert und z.B. ungeschützte personenbezogene
    > Daten findet (deren Personenbezogenheit man ja nur durch Sichtung
    > feststellen kann), dann empfinde ich das als Grauzone bzw. persönlich
    > eigentlich schon als Rechtsbruch.
    Da ist ein Denkfehler drin: Es geht um öffentlich zugängliche Systeme, die keine Authentifizierung benötigen. Die "Lücke" (eigentlich Scheunentor) bestand darin, dass eben auch personenbezogene Daten (deren Existenz die CDU bestritten hat) darin genauso ungesichert verfügbar waren.
    >
    > Oder um den oft bemühten Vergleich mit der unverschlossenen Wohnung zu
    > bemühen: Wenn ich eine offene Wohnungstür bemerke, dann informiere ich wenn
    > möglich darüber, aber gehe nicht noch in's Haus und schaue ob der Tresor
    > vielleicht auch offen ist und was sich darin befindet, ob vielleicht
    > irgendwelche Schwarzgeldkonten dokumentiert sind oder so, die ich gleich
    > mit melden kann ;)
    Der Vergleich hinkt nicht, der sitzt im Rollstuhl.
    Die Wohnung ist privat (und auch rechtlich besonders geschützt), der Server war öffentlich zugänglich. Wenn man das schon mit Räumlichkeiten vergleichen will, dann wäre der Publikumsbereich von Geschäften etc. die bessere Analogie. Und wenn dann da noch ein Infoterminal steht und darauf eine unbeschriftete Schaltfläche, die beim Klick die Kundenkartei ausspuckt, dann passt der Vergleich so langsam.
    >
    > Der Fall scheint ja so gelagert, dass die Intention von Frau Wittmann war,
    > herauszufinden ob die App wirklich keine personenbezogenen Daten erfasst.
    > Und das finde ich durchaus problematisch.
    > Im Grunde ist sie mit ner Kreditkarte durch die schlecht gesicherte Tür
    > gekommen
    Da war keine Tür, noch nicht mal eine sperrangelweit offenstehende.

    > und hat dann gestöbert um herauszufinden ob das wirklich stimmt
    > was gesagt wurde.
    > Wäre bei jeder physischen Aktion ganz klar strafbarer Einbruch - egal ob
    > was gefunden wird oder nicht.
    > Zu schaun ob man die Tür mit der Kreditkarte auf kriegt und dann sofort
    > melden wenn ja, ist was ganz anderes.
    Ist der Aufruf von www_dot_amazon_dot_de (also mit den passenden Ersetzungen) auch ein Einbruch? Nach deinen Vergleichen würde ich davon ausgehen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Projektleiter Embedded Software (m/w/d)
    Silver Atena GmbH, Stuttgart
  2. Sachbearbeiter (m/w/d) Geräteverwaltung
    VOLTARIS GmbH, Maxdorf
  3. Technische Konzeption / Evaluation Content-Management-System (m/w/d)
    Universität Hamburg, Hamburg
  4. Full Stack Developer (m/f/d)
    Techtriq GmbH, Halle (Saale)

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 10,99€
  2. 39,49€
  3. 49,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Minidisc gegen DCC: Der vergessene Formatkrieg der 90er-Jahre
Minidisc gegen DCC
Der vergessene Formatkrieg der 90er-Jahre

Vor 30 Jahren hat Sony die Minidisc als Nachfolger der Kompaktkassette angekündigt - und Philips die Digital Compact Cassette. Dass sich an diese nur noch Geeks erinnern, hat Gründe.
Von Tobias Költzsch


    Probefahrt mit BMW i4 M50: Für mehr Freude am Fahren
    Probefahrt mit BMW i4 M50
    Für mehr Freude am Fahren

    Der neue BMW i4 M50 bringt seine 400 kW Motorleistung sehr souverän auf die Straße. Und das auf einer Verbrennerplattform.
    Ein Bericht von Friedhelm Greis

    1. Daymak Spiritus Elektroauto macht Krypto-Mining auf drei Rädern
    2. Foxconn Eigene Elektroautos unter dem Namen Foxtron vorgestellt
    3. E-Kleinstwagen Microlino bekommt ein Exoskelett als Offroader

    New World im Test: Amazon liefert ordentlich Abenteuer
    New World im Test
    Amazon liefert ordentlich Abenteuer

    Konkurrenz für World of Warcraft und Final Fantasy 14: Amazon Games macht mit dem PC-MMORPG New World momentan vor allem Sammler glücklich.
    Von Peter Steinlechner

    1. New World Exploit macht Spieler unbesiegbar und unbeweglich
    2. New World Kommunikations-Bug wird für einige Spieler zu Katastrophe
    3. Amazon Games New World meldet inaktive Spieler ab