Ist es erlaubt Websiten auf Lücken zu testen?

...komplette Frage anzeigen

4 Antworten

Meine persönliche Erfahrung mit so etwas ist, dass mehr als 90% der gemeldeten Lücken ignoriert werden, auch wenn man eindringlich darauf hinweist.

Viele Firmen drohen zusätzlich mit einer Anzeige. Die schnallen einfach nicht, dass man gerade dabei ist, erheblichen Image-Schaden von dem Unternehmen abzuwenden und fühlen sich stattdessen angegriffen.

Einige fühlen sich sogar erpresst, und schalten die Polizei ein. Also achte VERDAMMT gut darauf, WIE du die Meldung formulierst.

Aus diesem Grunde würde ich so etwas ausschließlich anonym melden, wenn überhaupt. Aber auf keinem Fall unter dem Klarnamen beim Arbeitgeber.

Theoretisch wirst du da zwar (höchstwahrscheinlich) vor Gerichten mit durch kommen und am Ende Recht erhalten, aber hast du Lust auf Hausdurchsuchung, Beschlagnahmung deiner elektr. Gerätschaften, Anwahltskosten, Monate- oder Jahrelange Rennerei, vorläufigen Jobverlust, etc.??? Ist es das Wert?

Ja, theoretisch ist es sehr vorbildlich, was du da tust, aber ich garantiere dir, dass man dich in der Praxis missverstehen wird, vor allem wenn der Chef kein ITler ist.

Ach so, und - zumindest in Deutschland - werden allein schon Portscans manchmal als Angriff gewertet. Einige Admins reagieren darauf allergisch.

Ich habe in der Vergangenheit auch schon oft Lücken auf Websites und Webdiensten gefunden und diese ordnungsgemäß gemeldet. Gefixt wurde aber nicht ein EINZIGER Bug; das höchste der Gefühle war eine Dankesmail von Führungskräften, die mir vorgeheult haben, wie knapp das Budget kalkuliert ist. (Schönen Gruß an die Spezialisten von GF an dieser Stelle!)

Ganz ehrlich: Wenn ich du (Mitarbeiter A) wäre, würde ich es sein lassen. Die meisten Leute erkennen leider nicht, dass du nur helfen willst. Im schlimmsten Fall (ca. 20% Wahrscheinlichkeit) bekommst du richtig lang anhaltende nervige und teure Probleme.

In den meisten Firmen sitzen eben nur BWLer ... und die denken auch wie BWLer. Also lass es lieber!

Nichtsdestotrotz ist deine Motivation ehrenhaft! Leider wird sie (vermutlich) verkannt werden.

Schönen Abend noch! :)

MCFixxer 29.05.2016, 12:14

Die Beste Antwort, bekommst den Stern. Lieben Dank dafür :)

1

Ich glaub das kommt auf die Gerichtsbarkeit in dem jeweiligen Land, in dem der Server steht, an.

Ein Hackangriff auf den Bundesnachrichtendienst, Bundestag, Pentagon usw. ist sicherlich strafbar, wenn man nicht dafür angestellt ist.

Angriffe auf Firmen werden vermutlich in vielen Ländern an sich auch strafbar sein. Jedoch verschweigen viele Firmen, dass sie einen Hackangriff abbekommen haben, zwecks Imagegründen und somit kann einem da weniger passieren. Wenn man eine Firma dann darauf aufmerksam macht, werden die in den seltensten Fällen eine Anzeige erstatten, sondern sich vermutlich eher bedanken.

Es gibt aber auch viele Firmen, die Hacker gezielt herausfordern. Das sind vor allem große Firmen, wie Google und co. Diese zahlen Hackern, die es schaffen, eins ihrer Produkte zu hacken hohe Summen. Wer z.B. Chromebook im Gastmodus knackt, erhält 100.000 Dollar.
Ich glaub, wenn man Google komplett hackt gibt es sogar ne halbe Millionen oder sogar Milliarden oder irgendwas in der Richtung.
Dort ist es dann natürlich legal, wenn man Google und co. danach auf die Lücken aufmerksam macht.

Ich sags mal ganz Allgemein. Wenn man ohne Wissen des Serverbetreibers einen Lücke aufdeckt und man diesen dann informiert, wird einem fast nie etwas passieren. Wird man jedoch dabei erwischt und zurückverfolgt, könnte es schwierig werden, das dann glaubhaft zu versichern, dass man nichts böses wollte.

DreiGegengifts 27.05.2016, 14:27

Warum rätst du ins Blaue hinein ohne jegliches Wissen zum Thema?

0
strol 27.05.2016, 15:14
@DreiGegengifts

Weil man dafür keine allgemeine Antwort geben kann, weil das von den nationalen Gesetzen abhängt und wie derjenige, der gehackt wird, reagiert.
Dass ich nicht von jedem Land der Welt die IT-Gesetzte wissen kann, sei mir an dieser Stelle doch bitte verziehen.

Dass Firmen öfter angegriffen werden, sie es aber nicht immer offen sagen, stimmt. Dazu gibt es Studien.

Dass ein Angriff auf z.B. den Bundestag strafbar ist, ist fakt, sonst hätte der General Bundesanwalt nach dem Hackerangriff auf den Bundestag nicht den Anfangsverdacht einer Straftat geprüft.

Dass Google Hackern Geld zahlt, die es schaffen verschiedene Sachen zu hacken ist auch fakt.
Dass man 100.000 Dollar für das hacken von Chromebook im Gastmodus bekommt, ist ebenfalls fakt. Falls du es mir nicht glaubst, dann schau halt selber nach.
Dass mit den halben Millionen, weiß ich nicht mehr genau. Darum hab ich das aber auch dazu geschrieben.

In meiner Schlussbemerkung sind keinerlei Gesetze aufgezählt. Außerdem hatte ich genau dieses Thema schon in der Schule.

Jetzt sag mir doch bitte, was in meinen Ausführungen falsch ist und was daran frei rein geraten ist.

1
MCFixxer 27.05.2016, 16:17
@DreiGegengifts

Anstatt zu kommentieren wäre es sehr hilfreich stattdessen eine Antwort zu verfassen. Du scheinst es ja besser zu wissen? :)

1

Das Geschäftsmodell von Windows beruht unter anderem auf einer hohen Anzahl von Sicherheitslücken, laut dem Bundesamt für Sicherheit in der Informationstechnik fluten täglich 300000 neue Windows-Schädlingsvarianten das Web.

Die in Frankreich angesiedelte Firma Vupen liefert jedem Kunden Informationen zu den Sicherheitslücken und die genaue Anleitung wie Windowsrechner damit gekapert werden können.

Siehe http://www.zdnet.de/88170332/nsa-kaufte-zero-day-luecken-von-franzoesischer-sicherheitsfirma-vupen/

Viele Firmen zahlen dir sogar eine Menge Geld für das Melden von Sicherheitslücken (z.B. Youtube) - kommt aber auf das Unternehmen an.

Was möchtest Du wissen?