theMJan 18, 2024
Kuketz-Blog 🛡

Das ist so absurd. Man weiß wirklich nicht, ob man lachen oder weinen soll. phpMyAdmin ist offenbar ein »gefährliches Hackertool« im Sinne des Hackerparagrafen 202a StGB. Wenn der Gesetzgeber das JETZT nicht ändert, dann war es das mit der Responsible Disclosure. Wenn man jetzt noch dafür belangt wird, überlegt man sich zweimal, ob man die Daten nicht gleich gewinnbringend verkauft... 🤦‍♂️

https://www.golem.de/news/modern-solution-it-experte-wegen-nutzung-einer-zugriffssoftware-verurteilt-2401-181296.html

#hacker #hacking #responsibledisclosure #gesetz #hackerparagraf #hackerparaph

Modern Solution: IT-Experte wegen Nutzung einer Zugriffssoftware verurteilt - Golem.de

Das Amtsgericht Jülich hat den Mann verurteilt, weil er eine Zugriffssoftware verwendet hatte, um auf eine unzureichend geschützte Datenbank zuzugreifen.

Golem.de
Jan 18, 2024 at 10:41amWeb
Show threadNightfighter 🛡️Jan 18, 2024
@kuketzblog 🤦‍♂️
Show threadeinfachnurRolandJan 18, 2024
@kuketzblog Mal zur Einordnung für nicht-Nerds:
phpMyAdmin ist das Tool, dass ich im Programmierpraktikum in meinem Studium der technischen BETRIEBSWIRTSCHAFT im dritten Semester benutzt habe, um die Datenbank auf meinem Laptop zu managen.
Wenn man darüber in ein Fremdsystem reinkommt, ist das Klartext-Passwort echt noch das kleinste Problem.
Die Firma #ModernSolution gehört wg. grober Fahrlässigkeit verboten, dass ist die gleiche Liga wie #Bonify.
Show threadeinfachnurRolandJan 18, 2024
@kuketzblog Wir brauchen nicht nur einen neuen Hacker-Paragrafen, sondern verpflichtende Fortbildungen zur Allgemeinbildung für ALLE Juristen im Staatsdienst und eine CE-Kennzeichnung für ALLE Softwareprodukte.
Show threadzeitverschreib ⁂Jan 18, 2024

@einfachnurRoland

Stellen wir uns mal vor, er hätte alle Kommandos im Terminal eingegeben, ohne die "spezielle Software" zu benutzen.

@kuketzblog

Show threadeinfachnurRolandJan 18, 2024
@zeitverschreib @kuketzblog Hätte vermutlich deutlich mehr "Hackerwissen" erforderlich gemacht, aber der Logik des Gerichts entsprochen:
"Mit dem Einsatz dieser Software habe der Beschuldigte nach Einschätzung des Amtsgerichts gemäß §202a StGB eine ausreichend hohe Hürde überwunden, um sich strafbar zu machen."
Show threadꂵꍏꋪꀤꂦ 🖖Jan 18, 2024

@kuketzblog

Die unfähigsten Juristen sitzen meist bei der Staatsanwaltschaft.

Show threadwuffelJan 18, 2024

@kuketzblog
Biddewie?

Mir fällt grad kein passender _und_ legaler Kommentar dazu ein.

Show threadC.Suthorn Jan 18, 2024

@kuketzblog

@praesolgka - Hackerparagraf. Gleiche Qualität wie bei der Mutter die im Elternchat vor CSAM warnen will. Aber seit Jahrzehnten von der Politik nicht korrigiert.

Eine nachvollziehbare Erklärung wäre es, wenn die Bundesregierungen von Kohl bis einschließlich heute im Dienst eines feindlichen Staates stünden. Eine nachhaltigere Schädigung von Gesellschaft und Industrie in Deutschland ist kaum denkbar. Während ich das schreibe in meinen Benachrichtigungen: @hateaid: Fakepornoverbreitung explodiert (letztes Jahr vor dem BMDV: Wissing verweigert Annahme Petition gg Fakeporno)

Show threadJörg MüllerJan 18, 2024

@Life_is @kuketzblog Urteile darf + will ich nicht kommentieren. Daher nur allgemein:
- gg. AG-Urteile gibt es Berufung / Revision, muss also so nicht rechtskräftig werden
- Reform von § 202a StGB ist wohl in Arbeit, um White-Hacking zu schützen; könnte sogar strafbefreiende Rückwirkung haben hier.

Ausführlich zum Fall (wenn auch verfahrensrechtlich nicht ganz präzise):

https://www.heise.de/news/Warum-ein-Sicherheitsforscher-im-Fall-Modern-Solution-verurteilt-wurde-9601392.html

Gericht sieht Nutzung von Klartext-Passwörtern als Hacken an

Der Programmierer, der eine gravierende Lücke in der Software der Firma Modern Solution aufgedeckt hat, fällt unter den Hackerparagrafen, meint das Gericht.

heise online
Show threadC.Suthorn Jan 18, 2024

@praesolgka @kuketzblog

Dass das verfahren in die nächste instanz geht, davon gehe ich aus. Das urteil zeigt aber in wie verschiedenen welten die menschen, die in deutschland leben, leben:

99% die nie bewußt das wort "phpmyadmin" gehört haben oder sich etwas darunter vorstellen können.
90% die das internet benutzen und deren leben dadurch beeinflußt wird, dass tools wie phpmyadmin korrekt verwendet werden
1% die phpmyadmin täglich nutzen und fassungslos sind, dass jemand verurteilt wird, der sich um die sicherheit der anderen 99% kümmert
0,1% die falsche konfiguration von phpmyadmin ausnutzen, damit 99,9% schädigen und sich nach dem urteil die hände reiben

Show thread[email protected]Jan 18, 2024
@Life_is @praesolgka @kuketzblog Die falsche Konfiguration von phpmyadmin?
Show thread[email protected]Jan 18, 2024
@praesolgka @Life_is @kuketzblog Dass der Hackerparagraph „real soon now“ überarbeitet werden soll, ist das Mindeste.
Dass ein solcher, schon für Menschen mit IT-Basiswissen offensichtlicher Unsinn überhaupt gegen alle Warnungen Gesetz geworden ist, lässt befürchten, dass noch ganz anderer Schwachsinn in unseren Gesetzen deponiert wurde, den man nicht so leicht erkennt.
Irgendwie ist das in vielerlei Hinsicht sehr respektlos.
Show threadeinfachnurRolandJan 18, 2024

@kuketzblog Liegt hier kein #Rechtsmissbrauch durch #ModernSolution vor? Andere Verklagen, um von der eigenen Sch... abzulenken? Funktioniert das echt immer noch?

Ich habe mal kurz gegoogelt und die Begriffe #Schikane (BGB §226), #TreuUndGlauben (BGB §242) und #Arglisteneinrede (BGB §853) gefunden. Trifft es alles nicht ganz.

#Jura #JuraBubble

Show threadsunweaverJan 18, 2024
@kuketzblog OMG
Show threadFabian【ファビアン】🏳️‍🌈Jan 18, 2024
@kuketzblog Deutschland ist so beschissen wenn es um Technologie geht.. das ist ungeheuerlich..
Show threadRTNJan 18, 2024

@kuketzblog Auch phpMyAdmin ist natürlich kein Hackertool.

Dann wäre JEDE Software, in der man ein Passort eingibt, so leer/sinnlos/bekannt es auch ist, ein Werkzeug zur Überwindung ausreichend hohe Hürden im Sinne des StGB?

Ja geht´s noch?

Ich könnte das Passwort, das auf dem Router pappt, in die Routersoftware eingeben? Hab ich dann eine ausreichend grosse Hürde ÜBERWUNDEN?

Ich hoffe sehr, da tut sich in der Rechtsprechung noch was.

Show threadɥʇ⌬ɹıı!qJan 18, 2024
@kuketzblog hat mich ein wenig an das hier erinnert. 😀
Show threadLars HanischJan 18, 2024

@kuketzblog Wenn ich das richtig (bei heise) verstanden habe, war das Extrahieren des Passworts aus der ausführbaren Datei die strafbare Handlung. Dieses war dem Kunden/Dienstleister nicht bekannt, sondern fest im Programm hinterlegt. Und es ist egal, wie einfach das Auslesen des Passworts ist.

Es ist trotzdem extrem verstörend.

Show threadHabrokJan 18, 2024
@kuketzblog Gibt es eigentlich eine Liste, welche Firmen bzw. Organisationen sich für den Opt-Out bei Responsible Disclosure entschieden haben? Neben Modern Solutions erinnere ich mich dunkel an eine CDU-Wahlkampfapp oder so, weiß aber, dass es noch mehr Firmen waren.
Show threadKäpt'n Tollpatsch ✅Jan 18, 2024
@kuketzblog
Wenn phpMyAdmin so ein »gefährliches Hackertool« im Sinne des Hackerparagrafen 202a StGB ist, dann sollte ich wohl schleunigst meinen Informatik-Unterricht umstellen.
Sonst kommt noch ein Gericht auf die Idee, dass ich da ja viele kleine Hacker ausbilde und die Staatsanwaltschaft zeigt mich wegen Beihillfe zu irgendwelchen Straftaten an.🤔
Show threadnehrka - RIP NatenomJan 18, 2024
@kuketzblog Der Gang durch eine offene Tür wird dann auch bald als Einbruch gewertet?
Show threadDaarinJan 18, 2024
@nehrka @kuketzblog
Vergleichbar wäre wohl eher, wenn du den Schlüssel unter der Fußmatte findest.
Show threadnehrka - RIP NatenomJan 18, 2024
@daarin Stimmt, hatte den Beitrag nicht gelesen, sondern mich nur auf den Aspekt der Nutzung von phpmyadmin bezogen.
Show thread𝕒𝕧𝕖𝕣𝕒𝕘𝕖Jan 18, 2024
@kuketzblog das ist wirklich nicht zu fassen. Wie kann man denn zu so einer Einschätzung kommen? Den Beteiligten ist anscheinend überhaupt nicht klar, was dieses Urteil für Folgen hat.
Ist schon bekannt, ob da Revision eingelegt wird? Sollte auf jeden Fall getan werden!
Show threadDaarinJan 18, 2024
@kuketzblog Gibt ja wohl nur noch eine Möglichkeit: Man meldet sie an einen Journalisten bei dem man weiß, dass er Quellenschutz noch ernst nimmt! Und dann dürfen die Hersteller rennen!
Show threadAmenothepJan 18, 2024
@kuketzblog Behörden Buden bei Lecks abräumen und ein stampfen. Anders verstehen die das nicht.
Show threadEvilBobJan 18, 2024
@kuketzblog Dazu fällt mir einer meiner lieblings #xkcd ein https://xkcd.com/327 Wenn der Name deines Kindes ein Hackertool ist.
Exploits of a Mom

xkcd
Show threadinreohJan 18, 2024

@kuketzblog "Das Jülicher Gericht habe nun festgestellt, dass für den Zugriff auf die Datenbank eine Zugriffssoftware erforderlich war"

No shit, Sherlock - für den Zugriff auf Daten sind Programme vonnöten.

Was kommt als nächstes? Telnet, curl, Linux, Windows, ... ?

Bleibt nur zu hoffen, dass Berufung eingelegt und das Urteil kassiert wird.

Show threadSheogorathJan 18, 2024

@kuketzblog Die Argumentation der Verteidigung gegen den "Spezialwissens" Anteil finde ich schwach.

Nach meinem Verständnis stehen alle notwendigen Kompetenzen im Lehrplan für die Oberstufe: https://kultusministerium.hessen.de/sites/kultusministerium.hessen.de/files/2021-07/kcgo-in.pdf

Show threadruitenJan 19, 2024
@kuketzblog Die paar Provider, mit denen ich schon gearbeitet habe, stellen dieses Hackertool als Dienstleistung bei Datenbanken zur Verfügung. Sind die jetzt alle kriminell?