Frage von irgendetwas1234, 39

Nach Sicherheitslücken suchen und melden - legal?

Ich würde gerne ein paar websiten auf Anfälligkeiten für SQL Injections, XSS und sonstige Web-Schwachstellen testen, mit der Absicht, die Ergebnisse dem Webmaster zu melden. Eigentlich eine Win-Win Situation; ich verbessere mich in meinen Tun (will später mal in die Richtung PenTest gehen) und die Betreiben habe eine oder mehrere Sicherheitslücken weniger. Natürlich würde ich nur exemplarisch arbeite, also z.B für XSS einfach nur ein Popup erscheinen lassen, wo steht: "Hier befindet sich eine Schwachstelle für XSS", screenshot und code schicken. Zugriff zum System will ich nicht erlangen,

Ist das legal? Gibt ja den "Hackerparagaphen", wobei das bloße vorbereiten eines Angriffs strafbar ist, jedoch ist nicht spezifiziert, ob das auch für "White Hat" Angriffe zählt.

Antwort
von NoHumanBeing, 27

Es ist auch illegal, (zu versuchen) in eine Wohnung einzubrechen, selbst wenn Du nichts entwendest. Zudem wird es Dir schwer fallen, zu beweisen, dass Du zu keinem Zeitpunkt "böse" Absichten hattest. Pentests werden daher im Vorfeld vertraglich vereinbart. Ein schriftlicher Vertrag mit dem Unternehmen eignet sich dann auch als Beweis vor Gericht.

Wenn Du ein Laie bist, wird aber kaum ein Unternehmen Verträge mit Dir abschließen, allein schon, weil Du ja durch Deine Angriffsversuche auch versehentlich etwas "beschädigen" könntest. Der Bereich Sicherheit ist einer der am stärksten reglementierten Bereiche der Informatik. Um dort hinein zu kommen, benötigt es eine formale Ausbildung in Form eines entsprechenden Studiums.

Antwort
von LeonardM, 4

Wenn du ein schriftliches abkommen hast mit der unterschrift des betreibers des vservers und kein widerruf vorliegt ist das in Anführungszeichen für dich legal. Hat der betreiber allerdings das ganze evtl nicht mit seinem provider abgesprochen kann der provider gegen den webseitenbetreiber u.U. anzeige erstatten. Die kann aber eigentlich bei gut aufgelegten vertrag zwischen dir und dem betreiber nur beim betreiber sitzen bleiben

Expertenantwort
von GaiJin, Community-Experte für Computer, 15

Heya irgendetwas1234,

wie es da im "privaten Bereich" genau aussieht, mit der rechtlichen Lage und (eventuellen) Folgen...

KÖNNTE mir aber schon vorstellen, wenn sich jemand viel Mühe gemacht hat, mit "seiner" Seite, das der recht "angepisst" reagieren KÖNNTE...

Aber, wenn Du diese Fähigkeiten & Kenntnisse hast, wieso versuchst Du Dich nicht am "Bug Bounty"-Programm, da kann man sich (legal) an renommierten Firmen versuchen, wie Google und Microsoft und seit neusten "bietet" auch Apple sowas an...

UND Du kannst bei denen, wenn Du echt was findest, sogar noch gut Geld machen, geht (ja nach Stufe) bis zu 200.000$...

Viel Erfolg!

Antwort
von DevourYou, 25

Ich meine das Analysieren wäre ok, aber sobald du da selbst dran scriptest, auch wenn es nur eine Popup-Meldung ist, ist es, denk ich, illegal.

Falls nicht könnte es aber einigen Unternehmen dennoch übel aufstoßen.

Wie wäre es, wenn du Unternehmen gezielt darauf ansprichst und deine Dienste anbietest? Du wärst nicht der erste der diesem Aufgabenbereich nachgeht.

Antwort
von TezZY1202, 24

Frag doch erst einmal die seiten wo du mal checken wolltest ob das soweit in ordnung gehen würde um ihnen schutz zu gewährleisten und du möchtest ja auch nicht bezahlt werden dir geht es nur um die erfahrung dabei

Antwort
von gonzo1233, 1

Die Firma Vupen verkauft Windows-Sicherheitslücken mit Beschreibung  gegen Geld, frag mal nach, ob du einsteigen kannst.

http://www.zdnet.com/article/nsa-purchased-zero-day-exploits-from-french-securit...

Mit den Produkten ist jeder Windowsrechner für die Geheimdienste ein offenes Buch.

Antwort
von Janis6262636, 11

Ohne Staatliche Erlaubnis geht das sogar nicht :)
Aber im Heim Netzwerk bei deinen PC darfst du dich natürlich selber Hacken, um deine Lücken zu finden.

Antwort
von FloTheBrain, 1

Wenn du das ohne das Einverständnis des Betreibers machst, ist das eindeutig illegal.

Du versuchst doch auch nicht in fremde Wohnungen einzubrechen, dabei vielleicht noch Schäden verursachend, um dann den Bewohnern deine Ergebnisse mitzuteilen.

Da kommt man doch durch Denken drauf.

Antwort
von Jimmibob, 20

Du solltest das vorher mit dem ANbieter absprechen. Sonst unterstellt man dir ganz schnell illegale machenschaften. Es gibt Gruppen die auf diese Weise große Unternehmen erpressen...

Antwort
von Blogger78, 22

Webseiten auslesen und analysieren ist ok.
Aber der Versuch zu hacken oder gar zu cracken ist in jedem Fall im Vorhinein mit dem Betreiber abzustimmen.

Antwort
von HappyBirthday09, 16

Du müsstest erstmal um Erlaubnis fragen

Antwort
von thiesmueller, 17

Die Vorgehensweise ist:
- Webseitenbetreiber fragen.
- Wenn fremdgehostet den Hoster informieren.
- Testen
- Ergebnisse Betreiber und oder Hoster mitteilen.
Wichtig ist, dass du immer alle Seiten um Erlaubnis fragst.
Sonst kannst du rechtliche Probleme bekommen und oder du schadest dem Ruf von Hackern der eh momentan nicht sonderlich gut ist...

Keine passende Antwort gefunden?

Fragen Sie die Community