Strafverfahren: Gemeldete Sicherheitslücke bringt IT-Experten in Schwierigkeiten

Thread Starter
Mitglied seit
06.03.2017
Beiträge
114.039
Wem das Gezerre zwischen der CDU und einer Hackerin des CCC hinsichtlich einer Sicherheitslücke innerhalb der eigenen CDU-App von 2021 noch in Erinnerung ist, der dürfte Parallelen in der folgende Konstellation erkennen können. Denn ähnlich ergeht es derzeit einem Softwareentwickler, welcher im Juni 2021 eine Sicherheitslücke in einem System von Modern Solution aufgespürt hatte. Dabei ging der IT-Experten sogar vorbildlich vor. Er informierte den Software-Dienstleister und veröffentlichte die Lücke erst, nachdem das Unternehmen den Fehler beseitigt hatten. Allerdings hatte der IT-Experte die juristischen Konsequenzen seines Handels dabei scheinbar unterschätzt.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Leider falsch:
Er informierte den Software-Dienstleister und veröffentlichte die Lücke erst, nachdem das Unternehmen den Fehler beseitigt hatten.

Der Artikel ging vor Abschaltung oder Fix der Schnittstelle online.
 
Tja, wie so oft ist der Bote der schlechten Nachrichten jener, der am Ende hingerichtet wird.

Merken diese Gerichte eigentlich, was für ein Signal sie mit solchen Verfahren aussenden? Offenbar nicht, ansonsten würden sie solch eine Klage direkt abweisen.
 
Tja, wie so oft ist der Bote der schlechten Nachrichten jener, der am Ende hingerichtet wird.

Merken diese Gerichte eigentlich, was für ein Signal sie mit solchen Verfahren aussenden? Offenbar nicht, ansonsten würden sie solch eine Klage direkt abweisen.
Das gericht muss die gesetze einhalten, es ist damit aufgabe des gesetzgebers das zu unterbinden.
 
Gerichte haben aber dennoch die Möglichkeit, Klagen abzuweisen, wenn ersichtlich ist, dass die Klage unhaltbar ist. Und das ist sie in diesem Falle ganz eindeutig.

Gleiches galt seinerzeit für die Klage der CDU gegen Frau Wittmann, die ebenfalls vollkommen bescheuert war und für die sich die CDU im Nachgang sogar entschuldigt hat.
 
Gerichte haben aber dennoch die Möglichkeit, Klagen abzuweisen, wenn ersichtlich ist, dass die Klage unhaltbar ist. Und das ist sie in diesem Falle ganz eindeutig.

Gleiches galt seinerzeit für die Klage der CDU gegen Frau Wittmann, die ebenfalls vollkommen bescheuert war und für die sich die CDU im Nachgang sogar entschuldigt hat.
Ob haltbar oder nicht, entscheidet widerrum das gesetz. Ich finde es genauso bescheuert, aber solange der paragraph so dasteht woe er ist, wird es diese probleme geben.
 
Da nicht jeder auswendig weiß, was in § 202a StGB aka Hackerparagraf steht, wäre es nett, wenn wenigstens in einem Nebensatz kurz erwähnt wird, was der Tatbestand hier überhaupt ist.

Das der Tatbestand wohl ist, das der IT-Experte mit dem Auffinden der Lücke wohl auch auf Daten zugegriffen hat, auf die er nach diesem Paragraf nicht hätte zugreifen dürfen, findet man zwar auch "schnell" via Google raus, aber sowas könnte man in einem Nicht-Juristen-Forum trotzdem auch einfach mal erwähnen.

Neben dem Überwinden eines im Klartext vorliegenden Passwortes war den Richtern noch wichtiger, dass der Zugriff auf die Daten nur nach einer Dekompilierung möglich war.
Die erste Frage sollte mal sein, wie man überhaupt an das Passwort kam. Denn auch wenn ein Passwort irgendwo im Klartext gespeichert wird, heisst das nicht, das man das einfach so abrufen kann. Wenn es natürlich im Klartext in z.B. einer öffentlich zugänglichen HTML-Seite steht, dann ist das aber halt schon fatal.
Was soll dagegen heißen, das man die Daten erst "Dekompilieren" hätte müssen?
Zum einen: Wie "dekompilieren"? Das die Daten binär gespeichert daherkamen, statt als Plain-Text-CSV-Datei? Das hat nix mit "kompilieren" zu tun und so einem Datensatz kann jemand geübtes auch ohne "dekompilierung" schnell mal ansehen, das das z.B. Kundendaten sind.
Zum anderen: Es wird dem IT-Experten also unterstellt, das er die Daten auch tatsächlich abgerufen hat und dann sogar noch "dekompiliert" haben soll? Hat er das denn?
Also ich weiß ja nicht... wenn ich irgendwo ein Passwort im Klartext finde und wenn das Passwort schon fahrlässig im Klartext gespeichert wurde, daneben vielleicht sogar noch Hinweise, das es sich um einen Zugang zu einer Datenbank handelt, dann kann ich ja mal schnell probieren, ob ich mich damit "einfach so" bei der Datenbank einloggen kann. Also selbst wenn es noch nicht reicht den Dienstleister auf ein vermeintliches Passwort im Klartext hinzuweisen, sollte es definitiv ausreichen ihn darauf hinzuweisen, wenn man sich damit irgendwo einloggen kann. Da muss man noch nichtmal wissen, in was man sich da genau einloggt. Daten hat man deswegen aber so oder so noch lange nicht abgerufen.

Aber ja, die grundsätzliche Anlass des Hackerparagrafen bleibt bestehen. Und genau das sollte hinterfragt werden. Warum hat der Experte da überhaupt bei diesem Dienstleister geguckt? Oder ist er tatsächlich zufällig über ein Passwort gestolpert? Man hat nicht (vom Betreiber unbeauftragt) an fremden Systemen rumzuprobieren, ob man da vielleicht irgendwas findet. Auch dann nicht, wenns gut gemeint ist und man es tatsächlich meldet, sollte man was finden.

Wenn ich beim Nachbarn versuche ob ich sein Haustürschloss mit einer Büroklammer knacken kann, spielt es auch keine Rolle, ob das ja nur gut gemeint war und ich ihm dann nur mitteilen wollte, das sein Schloss unsicher ist. Der Versuch ansich ist halt schon verboten. Und das ist auch gut so.
 
Das gericht muss die gesetze einhalten, es ist damit aufgabe des gesetzgebers das zu unterbinden.
Nein, Gerichte interpretieren Gesetzte und da kann dann auch das Gegenteil von dem was im Gesetz steht rauskommen, viel zu Befürchten haben sie ja nicht da die Hürden für Konsequenzen lächerlich hoch sind.
 
Letztendlich geht es bei dieser Klage darum, offene Fragen durch eine gerichtliche Grundsatzentscheidung zur sicheren Orientierung bei der Rechtssprechung zu schließen. Ich denke, es wird nicht beim Amtsgericht bleiben und sicher weiter nach oben gehen. Wäre auch extrem blöd, wenn Richter unterschiedliche Urteile verkünden. Das untergräbt die eigene Sicherheit bei der Rechtssprechung. Ich glaube, es geht darum, wie die Informationskette bei der Aufdeckung einer Sicherheitslücke gehen sollte und wie für IT-Experten und wohlgesonnene Hacker eine Rechtssicherheit gewährleistet werden kann. Ideal wäre eine zentrale Informationsanlaufstelle, die bundesweit anerkannt ist. Außerdem zusätzlich integriert ein zentrales Register, die IT-Experten und Hacker für die Findung von Sicherheitslücken legitimiert werden. Dann ist das Dekompilieren kein Problem. Softwareentwickler machen auch Fehler und Software (z.B. Entwicklerprogramme) können auch Bugs haben. Mein Bauchgefühl sagt mir, dass eine generelle juristische Auseinandersetzung, bei unterschiedlichen Meinungen, über den Kopf/Köpfen des/der IT-Experten geführt wird. Das wiederum finde ich sehr verwerflich und destruktiv. Vielleicht steckt auch Übereifer einzelner juristischen Personen dahinter. Das ist schwer zu beurteilen, wenn man die Sachlage im Detail nicht kennt. Also reine Spekulation, da die öffentlichen Informationen schon extrem gefiltert sind und im Kontext unter Umständen falsch dargestellt werden. Persönlich finde ich es gut, dass es Menschen gibt, die sich darum kümmern, dass Anwendungen usw. Sicherheit für jeden Einzelnen geben und Softwareentwickler die Chance geben Fehler zu korrigieren.
 
Wieso überhaupt schaltete sich die Staatsanwaltschaft da ein?
Wer hat dort Front gegen den Finder der Lücke gemacht?

Oder ging das aus einer evtl. erfolgten Meldung des Unternehmens nach DSGVO hervor?
Ehrliche Finder sollten stets belohnt und nicht unter Verdacht gestellt werden.
 
Nein, Gerichte interpretieren Gesetzte und da kann dann auch das Gegenteil von dem was im Gesetz steht rauskommen, viel zu Befürchten haben sie ja nicht da die Hürden für Konsequenzen lächerlich hoch sind.
Falsch, ich weis was du meinst, der "was wollte der gesetzgeber damit sagen". Aber das hat nur beding spielraum. Manchmal hat man es mit einem inkompetenten richter zu tun (deshalb gibt es instanzenwege), oder einem kriminellen rechtsbeuger. Aber generell sollte der worltaut des gesetztes meiner meinung nach mehr gewicht habem als ein "ja schon aber bla bla.."
 
Falsch, ich weis was du meinst, der "was wollte der gesetzgeber damit sagen". Aber das hat nur beding spielraum. Manchmal hat man es mit einem inkompetenten richter zu tun (deshalb gibt es instanzenwege), oder einem kriminellen rechtsbeuger. Aber generell sollte der worltaut des gesetztes meiner meinung nach mehr gewicht habem als ein "ja schon aber bla bla.."
Erstmal gibt es Instanzen nur solange eine Revision zugelassen wird und schon da happert es meistens. Und deine Meinung das der Wortlaut des Gesetzes mehr Gewicht haben sollte als die Interpretation des Richters, wird nicht durch die Rechtsprechenden Organe geteilt.

Zitieren wir dazu doch einfach mal den Vorsitzenden des Bundesgerichtshof:
https://www.bundesgerichtshof.de/DE/DasGericht/Praesidenten/Hirsch/HirschReden/rede03122003.html schrieb:
Unserem Verständnis von Gewaltenteilung entspricht es dagegen, daß der Gesetzgeber Normen mit abstraktem generellem Inhalt setzt, das weitere Schicksal und insbesondere die konkreten Wirkungen seines Gesetzes aber in die Hände der Richter legt. Der Richter gibt dem toten Buchstaben des Gesetzes Leben in der Rechtswirklichkeit. Er wendet das Recht nicht nur an - das tut auch die Verwaltung -, sondern er verschafft ihm konkret und individuell die letzte Autorität; er verhilft dem Sollen zum Sein.

Dabei ist er nach Art. 20 Abs. 3 GG an Gesetz und Recht gebunden. Diese Verpflichtung der Dritten Gewalt auf "Gesetz und Recht" ist keine bloße Tautologie. Sie befreit den Richter vom bedingungslosen Gehorsam gegenüber dem Gesetzgeber und erteilt damit dem reinen Gesetzespositivismus eine Absage. Diese Formel hält, wie das Bundesverfassungsgericht feststellte, "das Bewußtsein aufrecht, daß sich Gesetz und Recht zwar faktisch im allgemeinen, aber nicht notwendig und immer decken."

Sonst guckt man sich einfach mal an was beim Versuch die Störerhaftung abzuschaffen passiert ist, nachdem da 3 mal am Gesetz nachgeschärft wurde um das unmissverständlich zu machen werden die Leute jetzt als Täter und nicht als Störer verurteilt obwohl seit 20 Jahren klar ist das es nicht mal zur Anklage kommen sollte und falls doch das Urteil unschuldig sein sollte.
 
Wie sagte mein damaliger Professor in der Rechts-Vorlesung immer:

"Recht ist eben nicht immer gerecht!"
 
Drecksfirma, mehr gibts dazu nicht zu sagen.
 
Allerdings hatte der IT-Experte die juristischen Konsequenzen seines Handels dabei scheinbar unterschätzt.

Mit anscheinend wird die Vermutung zum Ausdruck gebracht, dass etwas so ist, wie es erscheint.
Das Adjektiv scheinbar sagt, dass etwas nur dem äußeren Eindruck nach, aber nicht in Wirklichkeit so ist, wie es sich darstellt
 

Strafgesetzbuch (StGB)
§ 202a Ausspähen von Daten​


(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Man merkt schon, dass das verabschiedete Gesetz nur auf spezielle kriminelle Aktivitäten gestaltet wurde. "Wer" kann jede Person oder Institution sein und wenn "wer" (ohne Auftrag) unbefugt sich Zugang verschafft hat, handelt rechtswidrig. Ich glaube da liegt die Krux bei diesem Paragrafen. Da haben die Legislative und juristischen Personen bei der Gesetzesgestaltung wohlgesonnene Experten und Institutionen, auch wenn es ein Zufallsfund wäre, in die pauschale Kriminalität katapultiert. Es fehlt einfach ein Passus, der genau diese Personen und Institutionen strafrechtlich schützt, weil sie im Sinne und Wohle der Bevölkerung handeln. Der klare Menschenverstand sagt, richtig gehandelt, die juristische Formulierung eigentlich ein Desaster, mit offenen Fragen.
 
Man lernt daraus einfach nix mehr zu melden. Ich würde es jedenfalls nicht mehr tun...
 
Tja, wie so oft ist der Bote der schlechten Nachrichten jener, der am Ende hingerichtet wird.

Merken diese Gerichte eigentlich, was für ein Signal sie mit solchen Verfahren aussenden? Offenbar nicht, ansonsten würden sie solch eine Klage direkt abweisen.
Das Gericht ist doch nicht das Problem, steht auch klar im Artikel.
Die zuständigen Jülicher Richter lehnten das Begehren der Staatsanwaltschaft Köln aber zunächst ab. Sie waren der Ansicht, dass "ein Passwort nicht in jedem Fall eine effektive Datensicherung" darstellt und lehnten so schon die Erfüllung des Tatbestands des § 202a StGB ab.
In erster Linie sind derartige Firmen das Problem und an zweiter Stelle folgen dann komplett inkompetente Staatsanwaltschaften, die das Verfahren auf Brechen komm raus durchdrücken wollen.

Das Fazit daraus sollte eigentlich banal wie einfach sein. Sollte man durch Zufall Lücken bei Firmen finden, die mit derartigem Verhalten aufgefallen sind, kotzt man diese in Zukunft eben unreflektiert und ohne Meldung ins Netz - fertig. Lernen durch Schmerz ...
 
Du kannst mit durchschnittlich dummen Menschen keine moderne Gesellschaft am Laufen halten. Da helfen keine Knebelgesetze, keine Zensur und keine ideologische Früherziehung bei Kindern. Wenn überall nur Idioten an den Schalthebeln sitzen, geht es zwangsweise schief.
 
Ich kann die Sorge durchaus verstehen, aber auch die Kläger. Es sollte halt nicht so sein, das man einfach mal "hacken" sollte.

Ist es auch nicht normal, das jemand testet ob eine Haustür bei jemanden nicht abgeschlossen ist oder wenn die Gartentür ein Spalt offen ist.

So kann man das auch nicht als Einladung auffassen zum checken ob die Haustür geschlossen ist. Man kommt nicht so einfach auf eine Webseite drauf in die ungeschützte Binärdatei um zu checken das die User//PW Liste nicht verschlüsselt ist. Das passiert nicht beim versuch sich einzuloggen. Da hat es jemand durchaus drauf angelegt möglicherweise was zu finden.

Genauso wie die Aktivistin bei der CDU APP. Es hat ihr niemand den Auftrag gegeben etwas auf Sicherheitslücken zu prüfen.
Findet ihr das auch nicht komisch wenn eine Random Guy bei euch anruft und sagt: "Gestern war bei ihnen die Haustür offen".... dann würde ich auch sofort die Polizei alarmieren.!
 
Man kommt nicht so einfach auf eine Webseite drauf in die ungeschützte Binärdatei um zu checken das die User//PW Liste nicht verschlüsselt ist.
Doch, das kann durchaus passieren. :ROFLMAO:

Vor ~20 Jahren hat ein Freund mal eine Webseite für einen Verein erstellt. Damals waren wir beide noch Azubis (er FISI, ich FIAE).
Man konnte sich auf der Webseite einloggen um z.B. Wettkampfergebnisse einzutragen.
Die exakten technischen Umstände weiß ich nichtmehr, aber ich habs irgendwie geschafft, das das Login schief ging und nachdem ich auf den Login-Button geklickt hatte, hat mein Browser eine Datei runtergeladen.
Es war eine *.mdb und ohne zu wissen, was das überhaupt ist, wurde die mit einem Doppelklick drauf automatisch mit MS Access geöffnet. Und siehe da, da standen auch die Passwörter im Klartext drin. :ROFLMAO:
Abgesehen davon, das die Datenbankdatei frei abrufbar (wenn man irgendwie auf die URL kam) mit auf dem Webspace rumlag und nichtmal via htaccess oder so geschützt war.

Da war von meiner Seite keinerlei Intention dahinter irgendwelche Lücken zu finden. Ich wollte auch nichts runterladen, sondern der Browser hat das automatisch getan (in irgendeinem Fehlerfall kam wohl ein direkter Link auf die mdb-Datei zurück) (Die Standardeinstellung der Browser Dateien ohne Rückfrage (generell und auch bzgl. des Speicherorts) runterzuladen, nervt mich bis heute).

Wenn man das Gesetz so unreflektiert auslegt, hätte ich mich dabei gleich in zwei Punkten strafbar gemacht:
1) Ich habe die Datenbank runtergeladen (obwohl ich das weder wollte noch absichtlich gestartet habe)
2) Ich habe die Datenbank dann sogar noch geöffnet (die übrigens auch im Binärformat vorlag und von MS Access beim Öffnen automatisch "dekompiliert" wurde ;))

Deswegen habe ich ja auch geschrieben: Man müsste den genaueren Hergang kennen. Auch wenn ich arg bezweifle, das es so ein "simpler" und komplett unbeabsichtiger Vorgang war.
 
Es sollte halt nicht so sein, das man einfach mal "hacken" sollte.
Es hat ihr niemand den Auftrag gegeben etwas auf Sicherheitslücken zu prüfen.

Dann werden solche Lücken niemals geschlossen, weil Aufträge verteilen kostet Geld. Chef braucht seinen Mercedes. Und der "böse" hacker hackt genauso ohne Auftrag, nur mit dem Unterschied, dass der trotzdem bezahlt wird.

Schon komisch, mal die Ganze Rechtslage außen vorgelassen - da engagiert sich jemand quasi "ehrenamtlich" und kriegt noch eine auf den Sack dafür und die Firma die, so eine scheisse überhaupt produziert soll auch noch im Recht sein? Verkehrte Welt.
 
Dann werden solche Lücken niemals geschlossen, weil Aufträge verteilen kostet Geld. Chef braucht seinen Mercedes. Und der "böse" hacker hackt genauso ohne Auftrag, nur mit dem Unterschied, dass der trotzdem bezahlt wird.

Schon komisch, mal die Ganze Rechtslage außen vorgelassen - da engagiert sich jemand quasi "ehrenamtlich" und kriegt noch eine auf den Sack dafür und die Firma die, so eine scheisse überhaupt produziert soll auch noch im Recht sein? Verkehrte Welt.
Dann engagier dich ehrenamtlich und versuch mal beim Nachbarn die Tür zu öffnen. Jeder wird dich böse fragen was du da machst und ob du nicht mehr alle Tassen im Schrank hast. Genauso der versuch über ein Fenster einzusteigen.

Kannst ja auch mal probieren "Ich bin ehrenamtlicher Einbrecher und teste zufällig Häuser auf unverschlossene Türen/Fenster". Ist genau das gleiche Prinzip. Jemand der eine professionelle Alarmanlage haben will bezahlt dafür und bekommt auch einen Sicherheitscheck. Wer nicht, hat das halt nicht. Da brauchts keine Ehrenamtlichen Sicherheitsüberprüfungen.
 
Äpfel und Birnen imo. Aber ist halt #Neuland
 
Äpfel und Birnen imo. Aber ist halt #Neuland
Nein das ist das gleiche Prinzip. Die logischen Konsequenz wäre daraus das jemand mit Böswilligkeit einen auf "Ehrenamtlichen hacker macht", wenn dieser erwischt werden würde. Wie kannst du intial unterscheiden ob jemand aus böswilligen Zwecken diesen Check gemacht hat oder aus guten Absichten?
 
Ebenso fällt jeglicher Versicherungsschutz weg, wenn eingebrochen wurde und nachher festgestellt wird, das Sicherheitsmaßnahmen fahrlässig ungenutzt geblieben sind, z.B. die Türe unverschlossen war.
Trotzdem gibts keine Instanz, die einfach mal so prüft, ob irgendwelche Leute ihre Türen unverschlossen lassen. Das wird erst relevant, wenn mal was passiert ist.

Wenn man sowas überhaupt prüfen wollen würde, dann würde und dürfte das auch ganz sicherlich nicht irgendjemand Ehrenamtlich tun, sondern das obläge dann der Staatsgewalt. Sprich: Die Polizei dürfte sowas überprüfen und die hätte dann auch die staatliche Genehmigung dafür.
Aber selbst die dürfen nicht einfach in irgendwelche Wohnungen rein gehen, selbst wenn die Tür komplett offen steht.

Wenn ich hinterm Haus meine Wäsche im Garten aufhänge und in der Zeit die Haustüre offen stehen lasse und irgendein Polizist vorbeikommt und meint in meine Wohnung gehen zu müssen, weil er die offene Haustür bemerkt hat, dann kriegt am Ende der Polizist eine auf den Sack, nicht ich. Wenn allerdings in der Zeit ein Einbrecher vorbei kommt und meine Wohnung ausräumt, dann hab ich halt Pech gehabt, weil ich fahrlässig gehandelt habe. Der Einbrecher wird aber trotzdem verurteilt (sofern er erwischt wird), meine Versicherung zahlt trotzdem nicht.

Beim Auto hast du sogar die Pflicht es zu "sichern". Wenn jemand dein Auto klaut und damit einen Unfall baut und sich nachher rausstellt, das du dein Auto nicht abgeschlossen hattest, ist nicht nur dein Auto Schrott, sondern du kriegst sogar noch eine auf den Deckel, weil du deine Sorgfaltspflicht nicht erfüllt hast.
Beitrag automatisch zusammengeführt:

und die Firma die, so eine scheisse überhaupt produziert soll auch noch im Recht sein? Verkehrte Welt.
Die Firma ist nicht im Recht, sondern die Firma hat überhaupt nix damit zu tun.
Die STAATSANWALTSCHAFT hat Anzeige erstattet, nicht die betroffene Firma.
 
Zuletzt bearbeitet:
Die Firma ist nicht im Recht, sondern die Firma hat überhaupt nix damit zu tun.
Die STAATSANWALTSCHAFT hat Anzeige erstattet, nicht die betroffene Firma.
Genau die Staatsanwaltschaft geht erstmal juristisch neutral an die Sache ran und unterstellt dem Hacker Mutwilligkeit(Absicht).
Bei einer potentiellen Straftat muss der Staat wenn diese offensichtlich ist dagegen vor gehen.
Ob es am ende vollzogen wird oder wegen Geringfügigkeit nur zu einem Ordnungsgeld kommt wird das Verfahren zeigen.
Wenn dieser vor Gericht das Gegenteil beweisen kann, wird man wohl das Verfahren gegen Gebühr einstellen. "Ich bin da reingestolpert".

...Die Haustür stand offen und ich mal reingeschaut ob jemand da ist, dann fand ich die Schatulle mit dem Schmuck.... :bigok: die war offen und ich mal reingeschaut was so drin ist....
 
Staatsanwaltschaft geht erstmal juristisch neutral an die Sache ran
:ROFLMAO:
und unterstellt dem Hacker Mutwilligkeit(Absicht).
well.

...Die Haustür stand offen und ich mal reingeschaut ob jemand da ist, dann fand ich die Schatulle mit dem Schmuck.... :bigok: die war offen und ich mal reingeschaut was so drin ist....
Vergleich hinkt.

Weils darum geht, dass mit den anvertrauten Datensätzen dritter sorgfältig umgegangen werden muss.
Wenn jemand sein Geld offen rumliegen lässt, ist das seine Sache.
Wenn die Bank (mit Konzession und so) dein Geld offen rumliegen lässt, es dann verschwindet, und die Bank dann sagt "ja ups ähm Pech", dann... weisst du was ich mein?


Naja, vielleicht lernt der CCC ja, dass man nicht mit Corpos, Politik und dem Niemandsland dazwischen interagiert.
Sobald man da als anständiger Mensch reinfasst, hat man auch schon verloren :d...

Wenn man sowas überhaupt prüfen wollen würde, dann würde und dürfte das auch ganz sicherlich nicht irgendjemand Ehrenamtlich tun, sondern das obläge dann der Staatsgewalt. Sprich: Die Polizei dürfte sowas überprüfen und die hätte dann auch die staatliche Genehmigung dafür.
Die Idee ist in der Theorie nett, in der Praxis eine Katastrophe.



=> Der Witz ist die asymmetrie der Lage.
Wenn ich mir ansehe, was die "großen" alle mit "berechtigtem Interesse" machen dürfen, brrr... zu welchen Datenschutzbedingungen (lol Neusprech) man heute zustimmen muss, wenn man irgendwas tun/nutzen will.

Da ist dann halt die Frage, ob die Überprüfung der Sicherheit solcher Dinge nicht auch in einem "berechtigtem Interesse" liegt. Ya know?
 
Weils darum geht, dass mit den anvertrauten Datensätzen dritter sorgfältig umgegangen werden muss.
Wenn jemand sein Geld offen rumliegen lässt, ist das seine Sache.
Wenn die Bank (mit Konzession und so) dein Geld offen rumliegen lässt, es dann verschwindet, und die Bank dann sagt "ja ups ähm Pech", dann... weisst du was ich mein?
Dann ist es halt ein Pfandleihhaus das das eine Schmuckdose mit Schmuck nicht in den Safe eingesperrt hat. Es spielt in dem Sinne erstmal trotzdem keine Rolle.
Wenn der Banksafe nicht verschlossen wäre, sich aber jemand in die Bank irgendwie reingeschlichen hätte wäre es trotzdem Hausfriedensbruch. Auch wenn die Bank mit offenem Safe fahrlässig gehandelt hat. Ist das Eindringen einer Person aus welchen Gründen auch immer in einen geschützten privaten Raum erstmal grundsätzlich untersagt.

Das hat ja der Hacker gemacht. Das wäre genauso wenn der Kreditvertrag von einem Kunden auf dem Schreibtisch von einem Bankmitarbeiter liegen würde, dass kann mal passieren. Das nimmt aber dem "Eindringling" nicht die Schuld weg. Der hat dort nichts zu suchen, auch wenn der Bankvertrag offen liegt ist dieser doch an einem Ort aufbewahrt der Grundsätzlich vertrauenswürdig ist und nicht öffentlich.

Ein Mitarbeiter im Einzelhandel beim Finanzierungsbüro lässt ausersehen die Bürotür offen weil er dringend aufs Klo muss. Jetzt kommt ein Kunde an die Tür bemerkt das die Tür nicht abgeschlossen ist.
Jetzt liegt der Ordner mit den Finanzkäufen auf dem Tisch. Diesen Ordner macht der Kunde unberechtigterweise auf und beschwert sich anschließend beim Management weil der Ordner da einfach rumliegt.
Da würde ich mich auch fragen, mit welchem Begründung haben Sie den Ordner geöffnet?
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh