Ergebnis 1 bis 9 von 9

Meldepflicht zu Sicherheitslücken

  1. Neuer Benutzer
    Registriert seit
    28.10.2007
    Beiträge
    5
    Standard Meldepflicht zu Sicherheitslücken
    Hi,

    ich bin neu hier und hab gleich mal ne Frage. ^^

    Ich versuche jetzt schon mehrere Stunden etwas für einen Vortag heraus zu finden.
    Es geht um Online Banking und um einen Fehler dem es dem Nutzer möglich macht z.B. fremde Kontodaten einzusehen (ohne dessen Verschulden!!).

    Nun möchte ich ein wenig den Ethischen Hintergrund hierzu beleuchten.

    Ist der Nutzer verpflichtet der Bank mitzuteilen das diese ein Sicherheitsproblem hat?? Oder muss er gleich zur Polizei??

    Was erwartet ihn wenn er es verheimlicht (den Sicherheitsfehler aber natürlich nicht ausnutzt).

    Dieser Nutzer handelt nicht böswillig, hat das Sicherheitsproblem nicht selbst herbeigeführt oder gar ausgenutzt (er ist zufällig darauf gestoßen).
    Ich würde nur gerne wissen ob er diese Sicherheitslücke melden muss.

    Wäre nett wenn mir jemand sagen könnte ob das irgendwo gesetzlich festgehalten ist und wo ich das finden kann, interpretieren tue ich das dann selbst. Nach Stunden der erfolglosen Suche im Internet hätte ich doch gerne
    eine Lösung.

    Eine Quelle, also aus welchem Gesetzbuch das auch immer stammt brauche ich aber auf jeden Fall!

    Vielen Dank für eure Hilfe!!

  2. Erfahrener Benutzer
    Registriert seit
    26.03.2007
    Beiträge
    8.430
    Standard AW: Meldepflicht zu Sicherheitslücken
    Ich kenne kein Gesetz, was einen dazu verpflichtet. Was mich allerdings auch nicht wundert.
    Das Ausnutzen einer bekannten (zufällig entdeckten) Lücke ist strafbar, das findet man in StGB. Und der Versuch teilweise auch. Aber dann müsste es ja erstmal einen Versuch gegeben haben. Ein Versuch setzt aber Vorsatz voraus - was bedeutet das zufällige Entdecken kann kaum Vorsatz sein (es sei denn, man hat bewußt danach gesucht - zum Beispiel mittels spezieller Skripte)
    Also ich würde deswegen unterscheiden zwischen
    - rein zufälliges Entdecken durch Nutzung
    - zufälliges Entdecken durch Hilfsmittel (z.B. Skripte), die nicht zur normalen Verwendung gehören

    Allerdings sollte man auf jeden Fall den Betreiber informieren. Nicht wegen straf- oder zivilrechtlichen Folgen, sondern eher um Mißbrauch zu verhindern. Ich könnte mir nämlich vorstellen, dass wenn das Erkennen der Lücke "mitgeloggt" wird (was mich nicht verwundern würde - bei Banken zum Beispiel ganz einfach über IP und angezeigtes Konto), und später jemand die Lücke ausnutzt, man in den Verdacht der Mittäterschaft geraten könnte. Da kommt man sicherlich wieder irgendwie raus, aber erstmal hat man die am Hals.
    Kann man aber nachweisen, dass man alles versucht hat, um den Mißbrauch zu verhindern, sollte man eigentlich außen vor sein.

    Auch glaube ich die Polizei ist kaum der richtige Ansprechpartner, da die nur bei Strafrecht tätig werden. Da eine Lücke keine Straftat darstellt, können die dagegen nichts machen.

    Das Ausnutzen einer Lücke ist allerdings eine Straftat, da ermitteln die dann.

  3. Neuer Benutzer
    Registriert seit
    28.10.2007
    Beiträge
    5
    Standard AW: Meldepflicht zu Sicherheitslücken
    Aha vielen Dank für die Antwort!!

    Ich sehe aber gerade, dass der Nutzer die Sicherheitslücke zwar zuerst zufällig entdeckt hat, diese dann aber doch mit einem selbstgeschriebenen Script erweitert hat. Sich irgendwie bereichert hat er sich aber nicht.

    Der Fall steht irgendwo auf Wikipedia und Spiegel Online. Ich hab aber gerade nur die ausgedruckte Version zur Verfügung.

    Das bedeutet dann ja, dass er auf jeden Fall eine Straftat begangen hat, indem er dieses Script geschrieben hat. Mit Hilfe dieses Scriptes konnte er Kontoinformationen von beliebigen Leuten einsehen.

    Wo genau im StGB ist das denn genau erläutert?
    Ich muss auf jeden Fall die Quelle angeben!!

  4. Erfahrener Benutzer
    Registriert seit
    26.03.2007
    Beiträge
    8.430
    Standard AW: Meldepflicht zu Sicherheitslücken
    Die Straftat selbst ist hier geregelt
    StGB § 202a Ausspähen von Daten
    (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

    (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
    Ich dachte zwar zuerst, das Script selbst ist keine Straftat, aber musste mich vom StGB eines besseren belehren lassen Selbst das Schreiben ist schon eine
    StGB § 202c Vorbereiten des Ausspähens und Abfangens von Daten
    (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

    1.Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
    2.Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
    herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

    (2) § 149 Abs. 2 und 3 gilt entsprechend.
    Allerdings kann man sich da auch wieder rauswinden
    StGB § 149 Vorbereitung der Fälschung von Geld und Wertzeichen
    ...
    2) Nach Absatz 1 wird nicht bestraft, wer freiwillig

    1.die Ausführung der vorbereiteten Tat aufgibt und eine von ihm verursachte Gefahr, daß andere die Tat weiter vorbereiten oder sie ausführen, abwendet oder die Vollendung der Tat verhindert und
    2.die Fälschungsmittel, soweit sie noch vorhanden und zur Fälschung brauchbar sind, vernichtet, unbrauchbar macht, ihr Vorhandensein einer Behörde anzeigt oder sie dort abliefert.
    (3) Wird ohne Zutun des Täters die Gefahr, daß andere die Tat weiter vorbereiten oder sie ausführen, abgewendet oder die Vollendung der Tat verhindert, so genügt an Stelle der Voraussetzungen des Absatzes 2 Nr. 1 das freiwillige und ernsthafte Bemühen des Täters, dieses Ziel zu erreichen.

  5. Neuer Benutzer
    Registriert seit
    28.10.2007
    Beiträge
    5
    Standard AW: Meldepflicht zu Sicherheitslücken
    Vielen Dank für die sehr ausführlichen Antworten!!

    Das bringt mich ein sehr gutes Stück nach vorn.

  6. Neuer Benutzer
    Registriert seit
    28.10.2007
    Beiträge
    5
    Standard AW: Meldepflicht zu Sicherheitslücken
    Hallo

    Noch mal eine andere Frage bezüglich dieses Themas:

    1.
    Nehmen wir mal an, dass die Bank darüber informiert wird, dass es möglich ist mit Hilfe eines Scriptes fremde Kontodaten einzusehen.

    Ist die Bank irgendwie gesetzlich dazu verpflichtet (mal abgesehen vom ethischem Standpunkt) die Sicherheitslücke zu schließen??
    Oder hat die Bank freien Spielraum und braucht erst etwas dagegen zu unternehmen wenn sie es für richtig erachtet?

    2.
    Wer haftet für eventuell entstandene Schäden durch dieses Script,
    wenn es auf der Online Banking Seite der Bank benutzt wird und dadurch Kontodaten von anderen Personen eingesehen werden können, oder sogar Geld von fremden Konten abgebucht werden kann.

    3.
    Wer haftet für eventuell entstandene Schäden,
    wenn das Script beim Online Banking Nutzer (auf dessen PC) eingeschleußt wurde und mit dessen Hilfe unrechtmäßig Geld von dieser Person durch eine dritte Person abgehoben wurde.

    Schon mal Vielen Dank für eure Mühe!!

  7. Erfahrener Benutzer
    Registriert seit
    26.03.2007
    Beiträge
    8.430
    Standard AW: Meldepflicht zu Sicherheitslücken
    Ich hab jetzt zwar nicht die Gesetze zur Hand,. aber mal meine Meinung zu den Fragen:

    zu 1. Die Bank müsste ab Kenntnis haften. Also wenn jemand zu Schaden kommt, müsste er nachweisen können, dass die Bank vorher wusste, dass die Lücke besteht. Das dürfte für jemanden, der die Lücke nicht kennt, schwierig werden. Passiert aber dem was, der die Lücke kennt, könnte die Bank eventuell die Haftung zturückweisen, da der Benutzer sie ja kannte. Ich würde sagen, hier kommt es auch auf den Umfang der Lücke an. Kann sie durch einfaches Ändern des Passworts vom Nutzer selbst behoben werden, und er kennt sie, könnte die Bank fein raus sein.

    zu 2. Der Verwender des Scripts. Wenn es auf dem Server der Bank gespeichert ist, eben die Bank. Wenn es auf einem anderen Rechner ist, der Nutzer. Hängt aber aus meiner Sicht auch eng mit 1. zusammen,

    zu 3. Der Nutzer des PCs. Die Sicherheit seines Rechners ist ausschließlich sein Problem (siehe Trojaner, Fishing-Mails ...). Die Banken sind hier meines Wissens komplett aus der Verantwortung.

  8. Neuer Benutzer
    Registriert seit
    28.10.2007
    Beiträge
    5
    Standard AW: Meldepflicht zu Sicherheitslücken
    Hallo,

    eigentlich wird mein Vortrag recht allgemein sein und sehr stark den ethischen Aspekt der ganzen Sachen beleuchten.
    Wir bekamen dazu eine kleine Geschichte an der wir uns orientieren konnten.
    Allerdings sollen wir nicht daran festkleben.
    Da ich aber auch gerne die rechtlichen Fragen dazu geklärt haben wollte und überhaupt nichts zu meinem Thema gefunden habe, habe ich versucht, eben diese etwas genauer zu stellen.

    Soll heißen: dahinter steckt jetzt kein konkreter Fall. Ich wollte mir aber doch gerne ein eindeutiges Bild aus der Sicht des Gesetztgebers verschaffen was meiner Meihnung nach sehr wichtig ist.
    Deine Antworten waren dabei auch sehr hilfreich.

    Vielen Dank dafür!!
    Loki

  9. Erfahrener Benutzer
    Registriert seit
    26.03.2007
    Beiträge
    8.430
    Standard AW: Meldepflicht zu Sicherheitslücken
    Dann mach dir doch mal den Spaß und versuche herauszufinden, was die Banken dazu sagen. Bestimmt sehen die sich nirgendwo in der Verantwortung
    Die Antworten der Bank würden mich dann aber auch mal interessieren

Ähnliche Themen
  1. Von Musa95 im Forum Strafrecht & Internet
    Antworten: 2
    Letzter Beitrag: 15.08.2011, 23:11
  2. Von CRAZyBUg im Forum Urheberrecht
    Antworten: 2
    Letzter Beitrag: 05.10.2010, 15:26
  3. Von chatsw im Forum Strafrecht & Internet
    Antworten: 2
    Letzter Beitrag: 24.05.2010, 20:20
  4. Von IHaveNoClue im Forum Strafrecht & Internet
    Antworten: 5
    Letzter Beitrag: 23.03.2010, 19:37
Berechtigungen
  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •