In einer digitalen Welt ist die IT-Sicherheit zentral. Trotzdem droht Strafe, wenn Hacker solche Lücken ehrenamtlich finden und meldet.
Ja gut, wenn Responsible Disclosure in dieser Form unerwünscht ist dann kann man die Sicherheitslücke auch gleich an den höchstbietenden verkaufen. Die Chance dass dann die Polizei vor der Tür ist dann auch geringer.
Was folgt daraus? Straftaten dürfen nur noch von Polizisten gemeldet werden? Steuerbetrug nur noch vom Finanzbeamten angezeigt werden?
Die Agenda erschließt sich mir nicht… Früher oder später kommen die Lücken doch so oder so heraus. Nur ist der Schaden dann weitaus größer. Man verschiebt das Problem nur.
Man verschiebt das Problem nur.
Deutsche Politik in der Nussschale
Das ganze führt letzenendlich dazu, dass Sicherheitslücken (wenn überhaupt) nur noch als anonymer Tipp an die großen Verlagshäuser (Heise, etc.) gemeldet werden und die dann Berichtserstattung mit bissigen Überschriften machen. Wem dann geholfen ist, weiß ich auch nicht.
Das lächerliche ist ja, dass es diesen ganzen Fall nur gibt weil sich modern-solution dachte, sie könnten einen Rechtsstreit gegen eine einzelne Person gewinnen. Bei Responsible Disclosure ausgehend von (ausreichend großen) Unternehmen passiert nie etwas dergleichen.
“Nicht jeder Computerbegeisterte kann sich selbst zum Sicherheitsforscher ernennen und damit einen Freibrief zum Hacking bekommen”, so CDU-Politiker Günter Krings auf Anfrage der ARD-Rechtsredaktion.
Ich möchte kotzen. Herr Krings hat nichts verstanden. Es geht doch nicht darum, wer mit welcher Expertise Sicherheitslücken findet. Es geht darum, damit verantwortungsvoll umzugehen und Responsible Disclosure zu betreiben, damit die Lücke geschlossen werden kann und Schäden für eine Vielzahl von Menschen und ggf. das Unternehmen abgewendet werden können…
Wie in einem anderen Post geschrieben wirkt das doch nur in zwei Richtungen, die beide fatal sind, wenn sich keiner trauen kann den Hersteller zu informieren. Und: nicht jede Lücke muss man bewusst suchen. Ich hab auch mal beim Scripten eine mögliche SQL-Injection gefunden, da ich versehentlich die falsche Variable in einen URL-Parameter gebaut hatte und die Anfrage zu einer sehr offensichtlichen Datenbankfehlermeldung geführt hat aufgrund des Parameterinhalts…
-
Lücke finden, ignorieren, nicht melden und sich wundern wie viele diese wohl schon gefunden und ausgenutzt haben ohne es zu melden
-
Anonyme Public Full Disclosure
Kenne mich nicht extrem gut aus, aber gibt es nicht noch folgende Möglichkeit:
- Lücke finden, anonym der Organisation melden und anonyme public full disclosure ankündigen, und erst zur dabei angekündigten Zeit tatächlich veröffentlichen?
Wenn du da das Wort „anonym“ streichst, ist es die klassische responsible disclosure - Hersteller informieren und veröffentlichung erst nach Absprache / Ablauf einer Deadline. Nur halt deiner Version anonym. Da ich bei einer Info an den Hersteller ja mit einer Anzeige (notfalls gegen unbekannt) rechnen muss, die ich evtl. Bei Full disclosure genauso bekomme, wäre die Frage, warum ich dann den Aufwand treiben sollte (und alleine herauszufinden, an wen/wie man Lücken an $Unternehmen meldet kam ganz schön Arbeit sein). Die Info an den Hersteller sollte ja eigentlich genau den Part übernehmen mit dem ich sagen kann „hey, ich mache nichts kriminelles, ich will nur helfen“.
Die Problematik der Anzeige gegen unbekannt ist ja bei “Anonyme Public Full Disclosure” auch gegeben. Einzig hinzu käme offenbar, dass man bei einer vorherigen anonymen Ankündigung trotz Vorsichtsmaßnahmen zusätzliche Anhaltspunkte zur Ermittlung der eigenen Identität liefern könnte.
Als Grund für den zusätzlichen Aufwand der vorherigen anonymen Mitteilung an die Organisation käme u.a. Sorge um die Kunden/Bürger oder um Dritte infrage (zumal wenn man selbst dazu zählt). Ob es das wert oder nicht (und ob man die pflichtvergessene Organisation nicht sogar auflaufen lassen sollte), muss natürlich jeder selbst und anhand des konkreten Falls entscheiden.
-
Kleinere Unternehmen hätten oftmals keine Finanzmittel, um zeitnah eine IT-Lücke vorsorglich zu schließen. Dass das ehrenamtliche Hacken unter Strafe stehen kann, hat aus Sicht seines Verbandes daher auch was Gutes.
Tja dann muss deine schrottige Software halt offline genommen werden…
Wie ein Kleinkind “Was ich nicht sehe ist nicht da und der ders mir zeigt hat Schuld, dass es da ist”.
v.a. genau so könnte man ja z.B. auch beim TÜV argumentieren, was nur die Absurdität verstärken würde
Kleinere Unternehmen hätten oftmals keine Finanzmittel, um zeitnah neue Querlenker an ihren runtergerockten Sprintern zu verbauen, nur damit die wieder zuverlässig geradeaus fahren.
Der Begriff “vorsorglich” ist schon komplett deplatziert. Niemand weiß, wieviel Schaden durch die Lücke bereits entstanden ist. Es ist auch gegen über ihren Kunden übel, die mit Kenntnis über die Sicherheitslücke vlt. Gegenmaßnahmen außerhalb der Software ergreifen könnten.
“vorsorglich” lol
Wenn es einer findet muss man davon ausgehen dass es ausländische Geheimdienste und Betrüger bereits kennen.
Die Frage ist nur: von wem. Von dir, mit motzen von den Kunden, oder von uns, mit Klagen von Kunden.
Vom Gericht. Wenn ne Lücke gemeldet wird und die nicht innerhalb von nem gewissen Zeitraum geschlossen ist, wird dein service einfach offline genommen. Genau wie das bei unsicheren Gebäuden, Fahrzeugen, Lebensmitteln, etc ist.
Oder die Unternehmen sind mal nicht dummdreist und machen es selbst, ohne vom Gericht dazu gezwungen zu werden. Ist ja nicht so, als würden sie selbst keinen Schaden nehmen, wenn sie von böswilligen Leuten gehackt werden.
Es ist ein Skandal dass dieses Gesetz immer noch noch angepasst wurde.
Es ist absurd dass dies insbesondere auch mit den gestiegenen Bedrohungen nicht als grundlegendes und breites Sicherheitsrisiko für uns alle auch in der Politik wahrgenommen wird.
Man weiß, das jetzt die Partei an der Macht ist, die auch Lillith Witman angezeigt hat. Gibt also keinen Grund, mehr als absolut nötig für IT auszugeben.
