Ich wünsche dem IT-Experten viel Glück und viele Nerven. Die ganze Sache kann ich nicht anders beschreiben als mit "komplett pervers"...
this post was submitted on 22 Aug 2025
41 points (100.0% liked)
Deutschland
2124 readers
201 users here now
About Sammelbecken für deutsche Kartoffeln und ihre Nachrichten, Geschichten, Diskussionen über Deutschland.
Nicht zu verwechseln mit !dach@feddit.org , das für gesamten Europäischen deutschsprachigen Raum zuständig ist.
___
Einsteigertipps für Neue gibt es hier.
___
Schreibt hier Beiträge, die ganz Deutschland betreffen, nicht nur einen kleinen Teil.
Wir haben andere Communities für Bundesländer und Lokalnachrichten:
Städte / Landkreise
-!augsburg
-!bochum
-!bonn
-!braunschweig
-!Buxtehude
-!chemnitz
-!cologne
-!magdeburg
-!dresden
-!duisburg
-!heidelberg
-!stuttgart
-!wuppertal
-!ostwestfalen-Lippe
-!karlsruhe
-!rostock
Bundesländer:
-!bremen
-!niedersachsen
-!nrw
-!sachsen
-!bayern
-!hamburg
-!berlin
-!badenwuerttemberg
-!schleswig_holstein
-!rlp (Rheinland-Pfalz)
___
Regeln
Seid nett zueinander.
Sinnlose Provokationen ohne Inhalt werden gelöscht und User gebannt
Vom Posten von aktuellen Wahlumfragen bitten wir zurzeit Abstand zu nehmen. Begründung
___
Zusätzlich: alle Regeln, die ihr auf Feddit.org in der Sidebar lesen könnt.
___
founded 1 year ago
MODERATORS
Das Ganze ist so selten dämlich. Ok, wenn man Sicherheitslücken lieber offen lassen möchte, dann bitte.
Dann gibts halt nur noch full disclosure statt responsible disclosure. Wirtschaft und Politik wollen es ja nicht anders.
Hier ist ja das Problem:
Das Gericht sah es als erwiesen an, dass sich der Mann strafbar gemacht hatte, als er ein Passwort in der Software seines Kunden ausgelesen hatte, um Zugriff auf die dazugehörige Datenbank auf den Modern-Solution-Servern zu bekommen.
Das wäre ja bei Full Disclosure genauso. Denn zum Verifizieren der Schwachstelle muss man das ja machen. Lösung: Sicherheitslücke im Darknet verkaufen…
Der Anwalt des Programmierers sagte im Gespräch mit heise online, dass auch schon eine Ablehnung der Beschwerde ein Sieg für die Allgemeinheit der Juristen und IT-Beschäftigten in Deutschland sein könne. Für den Angeklagten wäre das zwar wenig hilfreich, aber eine Ablehnung durch das BVerfG könnte etwa Hinweise für den zukünftigen Umgang mit §202a StGB enthalten.
Das könnte das aktuelle Minenfeld, mit dem sich viele Sicherheitsforscher und andere IT-Experten konfrontiert sehen, wenigstens etwas entschärfen. Manche Sicherheitsforscher kommentierten den Fall so, dass sie in einer solchen Situation neue Sicherheitslücken nicht melden würden, um eine strafrechtliche Verfolgung der betroffenen Firma zu vermeiden. Wenn sich diese Haltung in der Branche durchsetzt, würde das unweigerlich zu einer landesweiten Verschlechterung der IT-Sicherheit führen.
Deutschland will sich auch einfach kaputt machen. Man versagt nicht nur darin, den Anschluss zu halten, sondern es wird aktiv dafür gesorgt, dass man hinterherhinkt.
Die Ansicht der Richter, dass schon ein im Quellcode im Klartext abgelegtes Standardpasswort genügt, um eine "besondere Sicherung" zu gewährleisten, trifft in der Praxis auf das Unverständnis von Experten, die einen solchen Zustand eher als Sicherheitslücke und nicht als wirksame Sicherung begreifen.
Das Argument sollte man mal bei der Versicherung bringen, dass der Haustürschlüssel unter der Türmatte besonders gesichert war.
In der Beweisaufnahme beschäftigte sich das Gericht in Jülich nicht direkt mit der Passwort-Datei und es wurde nicht versucht, die Angaben des Angeklagten zu überprüfen. Auch die Polizei scheint dies nach den im Prozess verlesenen Teilen der Ermittlungsakte nicht getan zu haben. Des Weiteren konnte das Gericht dem Angeklagten nicht nachweisen, das Passwort durch Dekompilieren erlangt zu haben.
Am Ende des Prozesses hatte aber auch dies kaum Auswirkungen auf das Urteil. Laut dem Vorsitzenden Richter bedeute allein das gesetzte Passwort, dass ein Blick in die Rohdaten des Programms und eine anschließende Datenbankverbindung zu Modern Solution den Straftatbestand des Hackerparagrafen erfülle. Dass dies, wie die Verteidigung mehrmals betont hatte, im Zuge einer "funktionalen Analyse" der Software im Auftrag eines Kunden von Modern Solution geschah, schien bei dieser Entscheidung keine Rolle zu spielen. Das gilt auch für die Tatsache, dass das infrage kommende Passwort zusammen mit der Software ausgeliefert wurde.
Der Jülicher Richter begründete seine Entscheidung, dass der Gesetzgeber mit der Verschärfung von § 202a StGB im Jahre 2007 offensichtlich bezweckt habe, "das Hacken als solches unter Strafe zu stellen." Unter diesem Aspekt sei ein Schutz, der "nicht für jedermann" einfach zu umgehen sei, ausreichend, um den Straftatbestand zu erfüllen. Da der Angeklagte nicht vorbestraft war, wurde er zu einer Geldstrafe verurteilt und kam um eine Haftstrafe herum.
"Das Passwort war im Quellcode versteckt mkay?" - Nach der Logik sind dann auch offene Weblinks, wo man nur die Nummer durchiterieren muss, auch ein besonderer Schutz...
Der Mann legte Berufung beim Landgericht Aachen ein. Im November 2024 entschied das Gericht, diese als unbegründet abzuweisen. In dem Prozess übernahm das LG Aachen durchgängig die Einschätzung des AG Jülich, dass der Zugriff auf die gesicherte Datenbank den Straftatbestand erfülle, weil das Passwort nicht ohne Weiteres zu erraten oder öffentlich bekannt gewesen sei. Die kleine Strafkammer des Gerichts betonte, dass sich der Angeklagte nicht strafbar gemacht hätte, wenn er den Zugriff bei Sicht fremder Kundendaten abgebrochen hätte. Die erstellten Screenshots besiegelten demnach seine Strafbarkeit.
"Wenn Sie die Sicherheitslücke dokumentieren, dann machen Sie sich strafbar. Lassen Sie die Firma gefälligst in Ruhe und die Sicherheitslücke unangetastet! Es bleibt hier alles so wie es ist!"
Klassisches Beispiel für: Gesetzte werden von Menschen gemacht, die eigentlich keine Ahnung von der Materie haben.
Waaaas!? Die machen doch immer die voll geilen Gesetze, die Bürger vor diesen bösen Tech-Brudis schützen. Erst letztens der AI Act war ja auch mal wieder so kompetent, dass sich nur die Industrie beschwert. Dann muss das doch gut sein. Über diesen Hackparagrafen hat sich auch noch nie jemand beschwert, der kein IT-Profi war. Das zeigt doch, wie voll geil die Bürger beschützt werden.