Hacker-Moral: Deface == Bagatelle?
Hallo liebe myCSharp-Gemeinde
Es geht um den Beitrag von B A L U und die entsprechenden Kommentare.
norman_timo schreibt da nämlich:
Ansonsten hat das nix mit Moral zu tun. [...]
und
Außerdem bin ich von je her jemand der anderen die Sensibilität von solchen "Bagatell"-Delikten nahelegen möchte. Es ist nämlich klar und eindeutig eine Straftat und eben keine Bagatelle. Und deshalb finde ich das nicht lustig. Das Bild und der darin enthaltene Text mag witzig sein, aber nicht in dem Zusammenhang.
Ich habe dazu eine etwas andere Meinung.
Die Hacker haben nicht die Daten der User verkauft und den Server für irgendwelche (weitern) illegalen Aktionen verwendet, sondern Medienwirksam auf den sicherheitstechnischen Mißstand hingewiesen.
Das ist IMHO moralisch keineswegs verwerflich, sondern ganz im Gegenteil. Denn was in Gesetzte gegossen wird und was einem der gesunde Menschenverstand und Moral sagen sind zuweilen leider sehr unterschiedliche Dinge.
@norman_timo: Bitte nicht falsch verstehen. Ich habe eine andere Meinung und möchte hier dementsprechend eine Diskussion anstoßen, da mich auch intressiert, wie die Meinung anderer Forenteilnehmer ist.
Viele Grüße, Alf
Hallo Alf Ator,
Das ist IMHO moralisch keineswegs verwerflich, sondern ganz im Gegenteil.
vielleicht ist es moralisch ok, aber es ist in Deutschland eine Straftat. Alleine schon das Austauschen der Startseite ist strafbar.
Außerdem finde ich das Auftreten im konkreten Fall moralisch überhaupt nicht ok, denn es wird ja damit gedroht die Daten zu veröffentlichen. Und wenn sie das täten, wäre ja wohl das Gegenteil von dem erreicht, als dass, was dir wohl mit dem Bild von dem helfenden Hacker vorschwebt.
Es kann natürlich sein, dass es eine Drohung ist, die sie nie vorhaben wahr zu machen und nur deshalb aussprechen, um den Druck zu erhöhen. Aber selbst bliebe ja die Verunsicherung der User, die ich moralisch nicht ok finde.
Insgesamt finde ich die Aktion zumindest in ihrer Art und Weise nicht ok.
herbivore
Aber eine Mail an den Betreiber würde wahrscheinlich nur eine "Ja, wir kümmern uns irgendwann/irgendwie drum"-Reaktion erfolgen.
Die Besucher der Seite würden gar nichts erfahren. Viele sind ja für das Thema Datenschutz überhaupt nicht sensibilisiert, sondern geben überall alles von sich preis. So werden auch diese angeregt sich mal darüber Gedanken zu machen.
Hallo Alf Ator,
Aber eine Mail an den Betreiber würde wahrscheinlich nur eine "Ja, wir kümmern uns irgendwann/irgendwie drum"-Reaktion erfolgen.
woher weist du das? Wenn uns eine Mail mit einer Sicherheitslücke in myCSharp.de erreichen würde, würden wir sofort reagieren.
Jedenfalls sollte man doch zuerst eine Mail schreiben. Und wenn man das getan hat und keine Reaktion erfolgt ist, würde man diesen Umstand wohl in das anschließende Deface schreiben. Insofern kann man wohl davon ausgehen, dass das nicht passiert ist.
Die ganze Aufmachung des Deface macht auf mich den Eindruck, als wollte sich da jemand an seinem Machtgefühl laben. Wenn wirklich im Vordergrund gestanden hätte, zur Schließung einer Sicherheitslücke beizutragen, dann, sorry, hätte das anders ausgesehen/auszusehen.
herbivore
Die Frage ist ja: Waren wirklich die Kundendaten in Gefahr? Kann eben auch eine Schutzbehauptung sein um das Hacken moralisch zu rechtfertigen.
Mal ehrlich: Es gibt nur noch ganz weniger "echte" Hacker. Und die suchen sich "echte" Ziele. Es wäre z.B. ein Skandal, wenn man z.B. an die Gema-Daten, Bank- oder Gesundsheitsdaten ran könnte. Das zu hacken und dann öffentlich zu machen käme dem Gemeinwohl zugute (mehr Sicherheit). Irgendwelche Privat-Seiten zu hacken und sich dann auf der Startseite zu verewigen riecht doch wirklich eher nach einem Kiddie, welches sich wichtig macht.
Also: 🙄
Hallo zusammen
dann mal meine Meinung dazu 🙂
Ich fand daran mehr das Bild lustig, als den eigentlichen Umstand an sich...
Vielleicht kennen einige von euch StudiVz. Dort wurden auch vor garnicht langer Zeit die userdaten geklaut
Unter anderem auch meine. Fuer was die jetzt benutzt werden keine Ahnung.
Und da norman_timo geschrieben hatte das seine Freundin da einen Account hat(te) kann ich seine Reaktion schon verstehen.
Ich finde wenn man schon so einen Muell macht, dann sollte man dem Betreiber eine Mail schreiben. Ich denke auch das die meisten dann reagieren wuerden.
Wobei ich auch sagen muss, das es eine Riesensauerei ist, wie teilweise mit Userdaten umgegangen wird...
Da werden Passwoerter im Klartext in der Datenbank gespeichert und so ein kram.
Das kann es dann doch auch nicht sein.
Nett das auch Hacker Moral haben
Das war eigentlich Ironisch gemeint, und habe eigentlich gedacht das wird hier auch als solche aufgefasst...
Kann der Betreiber eigentlich dafuer Haftbar gemacht werden, wenn Userdaten missbraucht werden?
Tobias
Hallo Alf Ator,
@norman_timo: Bitte nicht falsch verstehen. Ich habe eine andere Meinung und möchte hier dementsprechend eine Diskussion anstoßen, da mich auch intressiert, wie die Meinung anderer Forenteilnehmer ist.
Nein, keineswegs nehme ich jemandem krumm, wenn er mir gegenüber das ausspricht, was er denkt, und schon gar nicht, wenn es unpersönlich, wie in diesem Fall ist. 😉
Ich kann meine Meinung darüber quasi nur wiederholen, ich finde es moralisch nicht in Ordnung, und bin daher der selben Meinung wie herbivore und svenson.
Es gab doch erst jüngst die Strafverfolgung von einem, der einen "harmlosen" Virus in die Welt gesetzt hat, der eine Sicherheitslücke bei Microsoft ausnutzen sollte. Obwohl es rechtzeitig entdeckt wurde und es nicht dazu kam, dass die MS Server überbelastet wurden, hat man ihn verknackt, und das meiner Meinung nach zu Recht.
Schon alleine die Arbeit der Admins, diesen Virus zu entfernen, kostet schlichtweg Geld, auch wenn er harmlos ist und prinzipiell nur auf Schwächen von Software hinweisen soll.
Deshalb ist es eine Straftat, und kostet mindestens Verdienstausfall und/oder Arbeitsstunden das wieder geradezubiegen. Kommen dann tatsächlich noch Datenschutzrechtliche Dinge ins Spiel (z.B. die Hacker haben eine Kopie der Userdaten gezogen, nur um zu "beweisen", dass es geht), dann droht Haft.
Eine Mail wäre auch die erste Wahl von mir gewesen. Ich habe eine zeitlang auch eine Homepage betreut, und ich habe als Admin auch einmal eine allgemeine E-Mail erhalten, wo auf eine Sicherheitslücke im Forum hingewiesen wurde. Da aber die E-Mail mit Unterschrift und Angabe über den Verfasser sowie einen weiterführenden Link mit detaillierten Informationen über die Sicherheitslücke enthielt, bin ich dem nachgegangen und alles war gut.
Anders ist es nicht zulässig solche "Hinweise" zu geben. Dafür muss ein Betreiber einer Webseite den Namen und E-Mail hinterlegen.
Auch der angebliche "Hacking-Erfolg" des Pentagon, wo ein 16-jähriger sich angeblich Zugang zu Pentagon-Servern verschafft hat, und heute als Sicherheitschef dort arbeiten soll, ist meiner Meinung nach ein Hoak.
Frage doch mal unabhängig Netzwerk-Sicherheitsfirmen (die die auch Penetration-Tests) durchführen, die (sollten) wissen was erlaubt ist und was nicht. Bzw. frage mal, was sie alles vom Kunden unterschreiben lassen, bevor sie solche Tests durchführen.
Kann der Betreiber eigentlich dafuer Haftbar gemacht werden, wenn Userdaten missbraucht werden?
Ich denke, dass das grundsätzlich nicht möglich ist. Das geht nur dann, wenn er fahrlässig gehandelt hat, und z.B. länger keine Updates mehr eingespielt hat, oder wenn er Daten leichtsinnig abgelegt hat. Das würde ich bei einer allgemein zugänglichen Forensoftware aber für unwahrscheinlich halten. Man kann dem Angreifer klar nachweisen, dass er sich auf illegalem Wege Zutritt zu diesen Daten verschafft hat, das sollte in diesem Fall den Betreiber entlasten. Gilt aber allgemein von Fall zu Fall zu untersuchen.
Grüße
Norman-Timo
A: “Wie ist denn das Wetter bei euch?”
B: “Caps Lock.”
A: “Hä?”
B: “Na ja, Shift ohne Ende!”
Hallo B A L U,
Kann der Betreiber eigentlich dafuer Haftbar gemacht werden, wenn Userdaten missbraucht werden?
Ein Betreiber ist auf jeden Fall verpflichtet, persönliche Daten sach- und ordnungsgemäß gegen fremden Zugriffe zu sichern. Diese Verpflichtung ergibt sich aus §9 BDSG und der im folgenden zitierten Anlage zu §9. Wie weitgehend eine Haftung bei einem Verstoß ist, oder ob das nur eine Ordnungswidrigkeit ist, weiß ich allerdings nicht. Es muss aber überhaupt ein Verstoß vorliegen, also wie norman_timo sagt, eine Fahrlässigkeit. Oder natürlich auch bei Vorsatz. Wenn man die Daten angemessen gesichert hat und sie trotzdem entwendet werden, dann trifft einen auch keine Haftung. Natürlich kann es darüber Streit geben, ob die Daten angemessen gesichert waren. Das muss dann im Zweifel ein Gericht (bzw. der vom Gericht bestellte Gutachter) entscheiden.
Anlage (zu § 9 Satz 1)
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,1.Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 1.zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 1.zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
...
herbivore
Mal ehrlich: Es gibt nur noch ganz weniger "echte" Hacker. Und die suchen sich "echte" Ziele. Es wäre z.B. ein Skandal, wenn man z.B. an die Gema-Daten, Bank- oder Gesundsheitsdaten ran könnte. Das zu hacken und dann öffentlich zu machen käme dem Gemeinwohl zugute (mehr Sicherheit). Irgendwelche Privat-Seiten zu hacken und sich dann auf der Startseite zu verewigen riecht doch wirklich eher nach einem Kiddie, welches sich wichtig macht.
Ich kann mich Svenson da nur anschließen. Heutzutage gibt es 100 "HackerForen" wo 95 % der Benutzer nicht mal Programmieren können. Die restlichen 5 % wissen genug um auf Millworm und Scripte von andren Leuten zu starten. Die wenigen die sich die mühe machen um diese Exploits zu schreiben machen das aus Ruhm und Ehre. Die Script Kiddeys brüsten sich dan indem sie eine seite Defacen. Das nix mit Moral zu tun 🙂