Veröffentlichung eines Zero-Day-Exploits strafbar?
Hallo,
ich habe mich gefragt ob die Veröffentlichung von Sicherheitslücken in Systemen strafbar ist?
Also nur die Information verbreiten...
2 Antworten
Das veröffentlichen ist erst mal nicht strafbar. Es gilt nur nicht als guter ton, und macht meist auch keinen Sinn.
Im Normalfall meldet man die Lücke der betreffenden Firma und lässt ihr eine gewisse Zeit (ein paar Monate) um diese zu fixen. Sobald das getan ist und das Update verteilt wird publiziert man die Lücke. Manchmal verringert man die Zeit, wenn die Firma z.B. absolut nicht daran interessiert ist die Lücke zu schließen - so erzeugt man öffentlichen Druck sie zu schließen.
Wenn du die früher veröffentlichst unterstützt du im Grunde kriminelle, die deine Arbeit ausnutzen um Schaden anzurichten. Und du verlierst die Möglichkeit von eiem Bug Bounty Programm zu profitieren - gute Lücken bringen viel Geld. Und selbst wenn du eher auf der dunkeln Seite stehst (sprich es dir egal ist ob sie gefixt wird), dann verkaufst du den Exploit an Firmen.
'ne, die Lücke soll ja bekannt werden damit der Hersteller reagieren kann, bevor die Lücke ausgenutzt wird.
ich bin kein Jurist. natürlich muss man dem Hersteller der Software eine angemssene Frist setzen. glaub Google hat dies in einige Fällen schon gemacht. msütest aber selber suchen Im Netz.
es gibt ja auch das Bug-Bounty Programm in diesem Zusammnahng
wir reden hier von sechsstelligen Beträgen und aufwärts an Schäden die dadurch entstehen... Das wäre dann doch eine art Epressung, wenn man dem Unternehmen eine Frist für eine Entlohnung geben würde?!
Du gibst keine Frist für eine Entlohung. Du publizierst die Lücke erst nach einer gewissen Zeit, unabhängig davon, ob du entlohnt wirst oder nicht. Klar, wenn du mit "Zahlt mir Geld sonst mach ich das Publik" kommst ist das illegal.
Als It Sec willst du dir auch nen Ruf aufbauen und lernen. Da ist es egal, wenn nicht jeder gefundene Exploit auch Geld bringt.
Meine Frage bezog sich nicht darauf, sondern ob es strafrechtliche konsequenzen hätte wenn jemand einen 0-Day-Exploit öffentlich stellt, ohne dass das Unternehmen vorher darüber in Kenntniss gesetzt wurde... mit anderen Worten die würden es mit allen anderen gleichzeitig erfahren.
"Veröffentlichen" und "den Hersteller informieren" sind aber zwei grundlegend unterschiedliche Dinge!
Die Sache ist.. wenn das bekannt wird, könnte ein großer Schaden entstehen, ganz zu schweigen von Folgekosten für das betroffene Unternehmen, in bezug auf Datensicherheit der Kunden. Da in der Zeit jeder der es ließt freien Zugriff drauf hätte könnte man das Ausmaß ja nicht einschätzten. Beispielsweise ein bekannter social Media Kanal, mit einer größeren Reichweite leaked diese Sicherheitslücke... hätte das rechtliche folgen für diesen Kanal(Person)?