Ist das veröffentlichen von Sicherheitslücken von Firmen oder Webseiten Illegal?
Frage für ein Informatik-Projekt.
7 Antworten
Ja und Nein
Also die ct aus dem Heise-Verlag hat extra einen investigativen "Briefkasten" für so etwas, da kann jeder sowas melden
Die Jungs checken das dann Gegen, melden es der betreffenden Firma und geben ihr eine gewisse Zeitspanne bis sie es veröffentlichen
SO und nicht anders würde ich es auch handhaben sonst hast Du sicherlich Schneller deren Firmenanwälte am Hals hängen als Du bis Zehn zählen kannst
Illegal ist es nicht. Das heißt aber nicht, dass das eine gute Idee ist. Wenn Du eine Sicherheitslücke veröffentlichst, ohne sie mit ausreichend Vorlaufzeit dem Softwarehersteller/Programmierer/Entwickler mitzuteilen, gefährdest Du viele Nutzer und/oder Firmen. Da kannst Du auch ganz schnell Schadensersatz-Forderungen bekommen, das wird dann richtig teuer.
Wende Dich an den Verantwortlichen. Wenn Du das nicht selbst machen möchtest oder unsicher bist, wie Du das am besten machst, wende Dich an den Heise-Verlag bzw. die Zeitschrift c't. Alternativ kannst Du das über https://www.openbugbounty.org/ machen. In beiden Fällen wird Dir die Arbeit abgenommen. Sowohl Heise als auch openbugbounty wissen, wie man mit solchen Dingen umgeht, wie man die richtigen Ansprechpartner findet, was die richtigen Fristen sind.
Meines Wissens nicht, ich bin allerdings KEIN Experte für diese Materie.
Der "Industriestandard" wenn man eine Sicherheitslücke entdeckt ist:
- Die Firma informieren und eine Frist zum Beseitigen geben
- Informationen erst veröffentlichen wenn die Lücke geschlossen wurde oder die Frist abgelaufen ist.
Meines Wissens nach besteht das rechtlich Problem zunächst darin, wie man die Lücke entdeckt hat. Eine Möglichkeit wäre die, dass einem (als Administrator) beispielsweise bekannt ist, dass auf einem System veraltete Software mit bekannten Lücken läuft. In dem Fall wäre das zunächst kein Problem.
Meistens geschieht das Entdecken allerdings, indem jemand eine mögliche bzw. vermutlich vorhandene Lücke untersucht - wobei es ihm entweder gelingt, unberechtigt Zugriff zu erhalten oder er scheitert. Damit macht sich derjenige unter Umständen strafbar, weil seine Handlung in der Regel den Straftatbestand der Computersabotage oder den der Datenhehlerei erfüllen kann.
Eine weitere Sache ist dann der Umgang mit entdeckten Sicherheitslücken. Wenn jemand eine Lücke meldet, kann er nicht wissen, welche rechtlichen Folgen das hat (sofern er sich das Wissen um diese Schwachstelle durch eine illegale Handlung verschafft hat). Manche Institutionen oder auch Entwickler bieten die Möglichkeit an, entdeckte Lücken direkt an sie zu melden, andere nicht.
Ansonsten besteht die Möglichkeit, solche Entdeckungen für sich zu behalten und eventuell für illegale Zwecke zu verkaufen, was dem Entdecker meistens mehr Einnahmen bringt als das Melden an den oder die Betroffenen. Bei der Weitergabe kann es sein, dass hierbei beispielsweise das Vorbereiten des Ausspähens und Abfangens von Daten zutrifft - also auch wieder eine illegale Angelegenheit.
Früher oder später landen die meisten Lücken in bestimmten Listen, beispielsweise der CVE. Dort sind sie für jeden einzusehen und können prinzipiell für Angriffe genutzt werden oder warnen vor Lücken, die behoben werden müssen. Für die Entwickler ist es ein Vorteil, vor der Veröffentlichung in so einer Liste informiert zu werden, weil sie dadurch die Möglichkeit haben, die Fehler vorab zu beheben.
Es gibt verschiedene Personengruppen, die solche Lücken suchen und untersuchen - "White Hats", die gute Absichten verfolgen, "Black Hats", die damit illegale Dinge zu tun beabsichtigen, "Bug hunter", die für Belohnungen danach suchen, "Penetration tester", die im Auftrag der Betreiber von Systemen die Sicherheit untersuchen und vielleicht weniger bekannt, zahlreiche Geheimdienste (z.B. NSA).
Ja, du bist sogar eher verpflichtet die den Firmen zu melden