Wie mache ich den Technologiestandort Deutschland kaputt 101.

Mit dem Einsatz dieser Software habe der Beschuldigte nach Einschätzung des Amtsgerichts gemäß §202a StGB eine ausreichend hohe Hürde überwunden, um sich strafbar zu machen.

Konkret ging es wohl um die Verwendung des weitverbreiteten Datenbank-Administrationstools phpMyAdmin, in das der Angeklagte das entdeckte Passwort eingegeben hatte, um auf die Datenbank von Modern Solution zuzugreifen

Ich finde es immer wieder erschreckend, wie unwissend die Leute sind, die solche Sachen entscheiden. PMA hat die Überwindung der Hürde “Passwort” doch nicht möglich gemacht. Die Hürde “Passwort” wurde in dem Moment wirkungslos, als es von der Betreiberfirma überall im Klartext verteilt wurde. 🤦

  • scorpionix@feddit.deOP
    link
    fedilink
    arrow-up
    12
    ·
    10 months ago

    Dadurch, dass er an das Passwort gekommen ist, hat er die Sicherheitslücke bereits entdeckt und hätte die Firma darauf hinweisen können, ohne sich strafbar zu machen.

    Hier stellt sich mir die Frage, ob es allein schon strafbar ist, denn Schlüssel ins Schloss zu stecken. Es könnte ja durchaus sein, dass dieses hart gecodete Passwort überhaupt nicht mehr valide ist. Dann müsste man auch nicht die Pferde scheu machen.

    Durch das Einloggen in phpMyAdmin hat er dann die Kundendaten gesehen, was einen echten finanziellen Schaden verursacht, wenn man die DSGVO ernst nimmt. Denn jetzt ist das Unternehmen nicht nur gezwungen, die Sicherheitslücke zu schließen, sondern muss auch alle Kunden darüber informieren, dass ihre Daten von einer nicht berechtigten Person eingesehen wurden.

    Ich bin mir nicht sicher, ob man die Kosten, die dem Unternehmen dadurch entstehen, dass es über eine Sicherheitslücke informieren muss, als finanzieller Schaden dem Entdecker anlasten kann. Ein direkter Schaden wäre meiner Ansicht nach eher, wenn z.B. der Entdecker zu den Kunden geht und diese mit Verweis auf die mangelnde Sicherheit abwirbt.