Das erinnert mich an den Fall von 2021, in dem Lilith Wittmann die CDU-App untersucht hat, dort eine Sicherheitslücke entdeckt hat, diese dem CERT-Bund gemeldet hat, und dann zur Belohnung ein Verfahren wegen Hackens an der Backe hatte.
Ich hab damals - halb ernst, halb sarkastisch - schon gesagt, dass man doch bitte froh sein soll, dass Leute, die sowas finden das dann auch direkt melden.
Wenn das weiterhin rechtlich problematisch ist, gibt's es nur zwei Optionen:
Augen zu und durch - ignorieren, nix melden und wissen wie trivial die Lücke ist und wie schnell die gefunden wird
Anonym Public full disclosure, statt vertraulich dem Hersteller/Betreiber Bescheid geben.
Beides nicht gut. Und zum ersten Punkt: Angenommen durch die Lücke käme später jemand wirklich zu schaden - bspw. Hack eines Krankenhauses und irgendwelche Behandlungen verzögern sich/fallen weg/schlagen fehl/... - wäre das nicht melden der Lücke nicht irgendwie auch eine Mitschuld/unterlassene Hilfeleistung/...?
Ich verstehe auch nicht, warum von Sicherheitslücken betroffene Anbieter diese Hinweise nicht einfach dankend annehmen. Es trägt ja zur allgemeinen Sicherheit einer App bei. Stattdessen reagiert man so, als wäre man ertappt worden und versucht die Hinweisgeber durch ein Strafverfahren einzuschüchtern.
Am Besipiel der eletronischen Patientenakte sieht man aber ganz deutlich, dass das Aufzeigen von Sicherheitslücken durch Dritte als Störfaktor wahrgenommen wird, anstatt als wertvoller Hinweis. Die Hinweisgeber bringen Unruhe in das Gefüge, und das ist nicht gut, wo man doch froh ist, dass der Bums gerade eben so funktioniert.
Mit dieser Aussicht auf "Belohnung" kann ich mir auch gut vorstellen, wenn dann Option 3) angewendet wird: Die geleakten Daten direkt im Darknet verhökern.
Das erinnert mich an den Fall von 2021, in dem Lilith Wittmann die CDU-App untersucht hat, dort eine Sicherheitslücke entdeckt hat, diese dem CERT-Bund gemeldet hat, und dann zur Belohnung ein Verfahren wegen Hackens an der Backe hatte.
Kurz darauf wurde das Verfahren aufgrund öffentlichen Druckes eingestellt.
Ich hab damals - halb ernst, halb sarkastisch - schon gesagt, dass man doch bitte froh sein soll, dass Leute, die sowas finden das dann auch direkt melden.
Wenn das weiterhin rechtlich problematisch ist, gibt's es nur zwei Optionen:
Beides nicht gut. Und zum ersten Punkt: Angenommen durch die Lücke käme später jemand wirklich zu schaden - bspw. Hack eines Krankenhauses und irgendwelche Behandlungen verzögern sich/fallen weg/schlagen fehl/... - wäre das nicht melden der Lücke nicht irgendwie auch eine Mitschuld/unterlassene Hilfeleistung/...?
Ich verstehe auch nicht, warum von Sicherheitslücken betroffene Anbieter diese Hinweise nicht einfach dankend annehmen. Es trägt ja zur allgemeinen Sicherheit einer App bei. Stattdessen reagiert man so, als wäre man ertappt worden und versucht die Hinweisgeber durch ein Strafverfahren einzuschüchtern.
Am Besipiel der eletronischen Patientenakte sieht man aber ganz deutlich, dass das Aufzeigen von Sicherheitslücken durch Dritte als Störfaktor wahrgenommen wird, anstatt als wertvoller Hinweis. Die Hinweisgeber bringen Unruhe in das Gefüge, und das ist nicht gut, wo man doch froh ist, dass der Bums gerade eben so funktioniert.
Mit dieser Aussicht auf "Belohnung" kann ich mir auch gut vorstellen, wenn dann Option 3) angewendet wird: Die geleakten Daten direkt im Darknet verhökern.