Skip Navigation
de_EDV @feddit.de scorpionix @feddit.de

Modern Solution: IT-Experte wegen Nutzung einer Zugriffssoftware verurteilt

archive.is archive.is

Wie mache ich den Technologiestandort Deutschland kaputt 101.

Mit dem Einsatz dieser Software habe der Beschuldigte nach Einschätzung des Amtsgerichts gemäß §202a StGB eine ausreichend hohe Hürde überwunden, um sich strafbar zu machen.

Konkret ging es wohl um die Verwendung des weitverbreiteten Datenbank-Administrationstools phpMyAdmin, in das der Angeklagte das entdeckte Passwort eingegeben hatte, um auf die Datenbank von Modern Solution zuzugreifen

Ich finde es immer wieder erschreckend, wie unwissend die Leute sind, die solche Sachen entscheiden. PMA hat die Überwindung der Hürde "Passwort" doch nicht möglich gemacht. Die Hürde "Passwort" wurde in dem Moment wirkungslos, als es von der Betreiberfirma überall im Klartext verteilt wurde. 🤦

2
2 comments

  • Leider, leider ein korrektes Urteil nach aktueller Rechtslage.
    Dadurch, dass er an das Passwort gekommen ist, hat er die Sicherheitslücke bereits entdeckt und hätte die Firma darauf hinweisen können, ohne sich strafbar zu machen.
    Durch das Einloggen in phpMyAdmin hat er dann die Kundendaten gesehen, was einen echten finanziellen Schaden verursacht, wenn man die DSGVO ernst nimmt. Denn jetzt ist das Unternehmen nicht nur gezwungen, die Sicherheitslücke zu schließen, sondern muss auch alle Kunden darüber informieren, dass ihre Daten von einer nicht berechtigten Person eingesehen wurden. (Ohne Kenntnis, dass jemand die Daten tatsächlich gesehen hat wären sie dazu nicht verpflichtet.)

    Ich befürworte das Urteil hier nicht, ich sage nur dass hier die Rechtslage scheiße ist. Der Richter hatte da wenig Wahl, er muss sich an die geschriebenen Gesetze halten.

    • Deswegen informiert man Betriebe in Deutschland durch ein einfaches drop database via VPN ueber ihre Sicherheitsprobleme.

      Denn jetzt ist das Unternehmen nicht nur gezwungen, die Sicherheitslücke zu schließen, sondern muss auch alle Kunden darüber informieren, dass ihre Daten von einer nicht berechtigten Person eingesehen wurden. (Ohne Kenntnis, dass jemand die Daten tatsächlich gesehen hat wären sie dazu nicht verpflichtet.)

      In der beschriebenen Situation ist davon auszugehen dass die Daten auch von anderen abgegriffen wurden die den Betreiber nicht informiert haben - solange er das nicht ausschliessen kann (was jemand der so ein Problem hat eher nicht koennen wird) bin ich der Meinung dass die Datenschutzbehoerden informiert werden sollten, auch wenn die Formulierung in der DSVGO das nicht direkt so hergibt. Es ist im heutigen Internet einfach unrealistisch anzunehmen dass es da keinen Zugriff gab - und ich hoffe dass die Rechtsprechung in den naechsten Jahren auch in die Richtung gehen wird.