[Loki]

Anzeige

Hi,

ich bin neu hier und hab gleich mal ne Frage. ^^

Ich versuche jetzt schon mehrere Stunden etwas für einen Vortag heraus zu finden.
Es geht um Online Banking und um einen Fehler dem es dem Nutzer möglich macht z.B. fremde Kontodaten einzusehen (ohne dessen Verschulden!!).

Nun möchte ich ein wenig den Ethischen Hintergrund hierzu beleuchten.

Ist der Nutzer verpflichtet der Bank mitzuteilen das diese ein Sicherheitsproblem hat?? Oder muss er gleich zur Polizei??

Was erwartet ihn wenn er es verheimlicht (den Sicherheitsfehler aber natürlich nicht ausnutzt).

Dieser Nutzer handelt nicht böswillig, hat das Sicherheitsproblem nicht selbst herbeigeführt oder gar ausgenutzt (er ist zufällig darauf gestoßen).
Ich würde nur gerne wissen ob er diese Sicherheitslücke melden muss.

Wäre nett wenn mir jemand sagen könnte ob das irgendwo gesetzlich festgehalten ist und wo ich das finden kann, interpretieren tue ich das dann selbst. Nach Stunden der erfolglosen Suche im Internet hätte ich doch gerne
eine Lösung.

Eine Quelle, also aus welchem Gesetzbuch das auch immer stammt brauche ich aber auf jeden Fall!

Vielen Dank für eure Hilfe!!

[aaky]

Ich kenne kein Gesetz, was einen dazu verpflichtet. Was mich allerdings auch nicht wundert.
Das Ausnutzen einer bekannten (zufällig entdeckten) Lücke ist strafbar, das findet man in StGB. Und der Versuch teilweise auch. Aber dann müsste es ja erstmal einen Versuch gegeben haben. Ein Versuch setzt aber Vorsatz voraus - was bedeutet das zufällige Entdecken kann kaum Vorsatz sein (es sei denn, man hat bewußt danach gesucht - zum Beispiel mittels spezieller Skripte)
Also ich würde deswegen unterscheiden zwischen
- rein zufälliges Entdecken durch Nutzung
- zufälliges Entdecken durch Hilfsmittel (z.B. Skripte), die nicht zur normalen Verwendung gehören

Allerdings sollte man auf jeden Fall den Betreiber informieren. Nicht wegen straf- oder zivilrechtlichen Folgen, sondern eher um Mißbrauch zu verhindern. Ich könnte mir nämlich vorstellen, dass wenn das Erkennen der Lücke "mitgeloggt" wird (was mich nicht verwundern würde - bei Banken zum Beispiel ganz einfach über IP und angezeigtes Konto), und später jemand die Lücke ausnutzt, man in den Verdacht der Mittäterschaft geraten könnte. Da kommt man sicherlich wieder irgendwie raus, aber erstmal hat man die am Hals.
Kann man aber nachweisen, dass man alles versucht hat, um den Mißbrauch zu verhindern, sollte man eigentlich außen vor sein.

Auch glaube ich die Polizei ist kaum der richtige Ansprechpartner, da die nur bei Strafrecht tätig werden. Da eine Lücke keine Straftat darstellt, können die dagegen nichts machen.

Das Ausnutzen einer Lücke ist allerdings eine Straftat, da ermitteln die dann.

[Loki]

Aha vielen Dank für die Antwort!!

Ich sehe aber gerade, dass der Nutzer die Sicherheitslücke zwar zuerst zufällig entdeckt hat, diese dann aber doch mit einem selbstgeschriebenen Script erweitert hat. Sich irgendwie bereichert hat er sich aber nicht.

Der Fall steht irgendwo auf Wikipedia und Spiegel Online. Ich hab aber gerade nur die ausgedruckte Version zur Verfügung.

Das bedeutet dann ja, dass er auf jeden Fall eine Straftat begangen hat, indem er dieses Script geschrieben hat. Mit Hilfe dieses Scriptes konnte er Kontoinformationen von beliebigen Leuten einsehen.

Wo genau im StGB ist das denn genau erläutert?
Ich muss auf jeden Fall die Quelle angeben!!

[aaky]

Die Straftat selbst ist hier geregelt

Zitat:

StGB § 202a Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Ich dachte zwar zuerst, das Script selbst ist keine Straftat, aber musste mich vom StGB eines besseren belehren lassen Selbst das Schreiben ist schon eine

Zitat:

StGB § 202c Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

1.Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2.Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.

Allerdings kann man sich da auch wieder rauswinden

Zitat:

StGB § 149 Vorbereitung der Fälschung von Geld und Wertzeichen
...
2) Nach Absatz 1 wird nicht bestraft, wer freiwillig

1.die Ausführung der vorbereiteten Tat aufgibt und eine von ihm verursachte Gefahr, daß andere die Tat weiter vorbereiten oder sie ausführen, abwendet oder die Vollendung der Tat verhindert und
2.die Fälschungsmittel, soweit sie noch vorhanden und zur Fälschung brauchbar sind, vernichtet, unbrauchbar macht, ihr Vorhandensein einer Behörde anzeigt oder sie dort abliefert.
(3) Wird ohne Zutun des Täters die Gefahr, daß andere die Tat weiter vorbereiten oder sie ausführen, abgewendet oder die Vollendung der Tat verhindert, so genügt an Stelle der Voraussetzungen des Absatzes 2 Nr. 1 das freiwillige und ernsthafte Bemühen des Täters, dieses Ziel zu erreichen.

[Loki]

Vielen Dank für die sehr ausführlichen Antworten!!

Das bringt mich ein sehr gutes Stück nach vorn.