EVE Online, Minecraft & Escapist down

[Accipiter]

http://www.spiegel.de/netzwelt/web/0,1518,768871,00.html
4Chan - Bring it on, suckers, you've got nothing on me *sing*...

[Estefan]

Komisch, ich meine mal gelesen zu haben, es sei Standard, dass z.B. Passwörter nicht im Klartext in irgendwelchen Datenbanken abgelegt werden?

Offensichtlich ist genau das Gegenteil der Fall, wie die ganzen Hacks der letzten Wochen zeigen.

[Sky]

http://www.spiegel.de/netzwelt/web/0,1518,768871,00.html
4Chan - Bring it on, suckers, you've got nothing on me *sing*...

Schon lustig, was da passiert. Hoffentlich wird dieser Kindergarten nicht als Grund genommen, Internetkontrollen einzuführen.

[Hurz]

Schon lustig, was da passiert. Hoffentlich wird dieser Kindergarten nicht als Grund genommen, Internetkontrollen einzuführen.

Wenn die so weiter machen bzw. das tun was sie angekündigt haben, dann wird genau das kommen. Irgendwann wird jemand (eigentlich unbeteiligtes) in direkter Folge eines solchen Angriffes zu Schaden kommen oder sterben und dann werden diese Gruppen wie die RAF, IRA oder andere Terrorgruppen eingestuft. Und um diese zu fangen wird einiges zu Bruch gehen und geopfert werden - Netzneutralität, Anonymität und andere Freiheiten im Netz als erstes. Was diese Leute betreiben ist mittelfristig absolut kontraproduktiv zu ihrer eigentlichen Absicht.

[Ronnie Drew]

Selbst wenn PWs mit einen Hash verschlüsselt sind, die Hashes kann man mittlerweile sogar googlen, um die Klartext-PWs wieder zu erhalten.
Da hilft nur zusätzliches Salt auf dem Hash.

Insofern sind alle unverschlüsselten PWs, oder mit einfachem Hash verschlüsselte, unsicher, und davon gibt's sicher ne Menge.

[Necrowizard]

Was diese Leute betreiben ist mittelfristig absolut kontraproduktiv zu ihrer eigentlichen Absicht.

"wir sind die 1337 h@xx0rz" ist wohl die einzig eigentliche Absicht. Der Rest ist doch vorgeschobenes Gestammel von ein paar Geeks, die sich gerade ihre Zukunft verbauen, wenn man sie doch irgendwann mal erwischt.

[Estefan]

Wenn ein Unternehmen beim Datenschutz schlampt, glaube ich kaum, dass da irgendwelche "Internetkontrollen" etwas helfen. Ausser man klemmt die nachlässigen Firmen vom Internet ab.

Immerhin machen die Jungs von Lulzsec ihre Hacks öffentlich. Das, was die öffentlich machen, hätte andere auch geheim abschnorcheln können (falls das nicht eh schon passiert ist), von daher finde ich die Lulzsec Hacks als Warnung für alle Beteiligten (Kunden, Unternehmen) mittlerweile nicht schlecht.

Bin schon verschiedene meiner Accounts durchgegangen und hab geschaut, dass die persönlichen Angaben nicht der Realität entsprechen.

[Hurz]

Wenn ein Unternehmen beim Datenschutz schlampt, glaube ich kaum, dass da irgendwelche "Internetkontrollen" etwas helfen.

Nur weil ein Haus nicht die beste Sicherung hat macht das einen Einbruch weniger strafbar (von möglichen zivilrechtlichen Folgen wie erlöschenden Versicherungsschutz sprechen wir hier nicht). Daher greift dieses Argument überhaupt nicht und abgesehen davon geht es weniger um die Diebstähle als um die sonstigen Angriffe.

Immerhin machen die Jungs von Lulzsec ihre Hacks öffentlich. Das, was die öffentlich machen, hätte andere auch geheim abschnorcheln können (falls das nicht eh schon passiert ist), von daher finde ich die Lulzsec Hacks als Warnung für alle Beteiligten (Kunden, Unternehmen) mittlerweile nicht schlecht.

Klasse, da brauchen sich die Leute die Daten missbrauchen wollen gar nicht erst die Mühe machen diese zu besorgen, sondern nutzen den freundlichen Service von Lulzsec und Co ... ich hoffe du hast deine Aussage "finde ich gut als Warnung" in Eile ohne nachzudenken geschrieben, denn das kann ja wohl nicht wirklich dein Ernst sein. Wenn es ihnen um Warnung und Steigerung der Sicherheit ginge, dann müssten Sie die Daten im Detail gar nicht veröffentlichen. Aber darum geht es ihnen ja gar nicht ...

[Estefan]

Vielleicht gings ihnen nur um die Lulz.

Ist aber eh nicht der Punkt.

Eher, dass die Firmen mal einen Tritt in den Hintern bekommen haben. Glaube nicht, dass eine höfliche Warnung was gebracht hätte. Man kennt das in vielen Bereichen zu Genüge (spontan fällt mir da mal die Atomkraft ein), gewarnt wird viel, verbessert wird nichts.
Und wenn der Gesetzgeber unbedingt aktiv werden will, soll er nicht den Verkehr im Internet überwachen, sondern für eine Kontrolle des Datenschutzes bei den datensammelnden Firmen sorgen!

[Hurz]

Glaube nicht, dass eine höfliche Warnung was gebracht hätte.

Eine Warnung wäre auch möglich gewesen indem man nur Teil der Daten oder eben die Tatsache, dass man die Daten hat öffentlich macht. Dazu ist das Bereitstellen der Daten für Dritte absolut unnötig. Denn damit trifft man nicht die Unternehmen sondern deren Kunden.

Und wenn der Gesetzgeber unbedingt aktiv werden will, soll er nicht den Verkehr im Internet überwachen, sondern für eine Kontrolle des Datenschutzes bei den datensammelnden Firmen sorgen!

Das eine hat mit dem anderen nichts zu tun. Sollte der Staat oder wichtige Infrastruktur das Ziel von vermehrten und nachhaltigen Angriffen werden, dann wird der Staat wie in den 70er Jahren mit der RAF (Einführung der Rasterfahndung) reagieren: Eingriffe in die Freiheit/Rechte der Allgemeinheit zum Schutze des Staates und Allgemeinwohls.

Diese Hakergruppen bedrohen mit Ihren Aktionen die Freiheit im Netz mehr als alle Politiker mit ihren Stopp-Schild Ideen zusammen.

[tombs]

in erster linie zeigen sie mit ihren rechtsbrüchen auf, dass diverse firmen sich nicht an ihre verträge mit den kunden halten, in denen sie für die sicherheit der abgegebenen daten bürgen.
als nebeneffekt bringen sie die beiden punkte hackerkriminalität und datenschutz etwas mehr in den fokus. den wirklichen schaden richten vermutlich die unbekannt bleiben wollenden, wirtschaftskriminell aktiven hacker an. an denen und deren methoden müssen sich polizei/bka/staat sowieso ausrichten um effektive gesetze/gegenmaßnahmen/einheiten zu planen.
und die firmen werden sich mit allzu viel öffentlicher lobbyarbeit schwer zurückhalten, schließlich würde jedesmal ihr versagen mitkommuniziert.

Nur weil ein Haus nicht die beste Sicherung hat macht das einen Einbruch weniger strafbar (von möglichen zivilrechtlichen Folgen wie erlöschenden Versicherungsschutz sprechen wir hier nicht). Daher greift dieses Argument überhaupt nicht und abgesehen davon geht es weniger um die Diebstähle als um die sonstigen Angriffe.

nach der logik könnten banken ihre tresore jederzeit offen stehen und gefüllt haben. ist ja schließlich verboten, sie zu überfallen und geld zustehlen. es geht hier um die verantwortung der firmen zur sicherung der von ihnen gespeicherten daten (wie bei der bank und den einlagen der kunden). wenn dieser verantwortung nicht genügend nachgekommen wird, ist dies schlicht und einfach unzuverlässig, vielleicht auch fahrlässig. cyberkriminalität ist ja nicht erst gestern entstanden.
was die sonstigen angriffe angeht: auch hier handelt die unternehmensführung fahrlässig. wenn sie ungenügende sicherungen installiert hat. in diesem fall allerdings gegenüber den eigentümern. natürlich muss/kann man hier deutlich ökonomischer abwiegen, welche kosten bei der sicherheit sinnvoll sind.
das die hackerangriffe illegal sind, und zwar völlig unabhängig von der dahinterstehenden intention, ist doch unstrittig. aber damit die sicherheitsschlamperei der betroffenen unternehmen zu entschuldigen ist naiv. und wenn man bedenkt, wie wenig naiv diese unternehmen ansonsten handeln, bestenfalls noch weltfremd zu nennen.

[Hurz]

in erster linie zeigen sie mit ihren rechtsbrüchen auf, dass diverse firmen sich nicht an ihre verträge mit den kunden halten, in denen sie für die sicherheit der abgegebenen daten bürgen.

Ein illegales Mittel wird also dann akzeptabel, wenn es auf einen Fehler bei Dritten hinweist? Wohl eher kaum ... Mit der "Zweck heiligt die Mittel" Argumentation wurde schon versucht ganz andere Dinge zu rechtfertigen und dagegen haben sie gerade die Leute gewehrt, die nun mit Lulzsec und Co sympathisieren.

den wirklichen schaden richten vermutlich die unbekannt bleiben wollenden, wirtschaftskriminell aktiven hacker an. an denen und deren methoden müssen sich polizei/bka/staat sowieso ausrichten um effektive gesetze/gegenmaßnahmen/einheiten zu planen.

Nur weil andere mehr Schaden anrichten ist der geringere Schaden dann auf einmal egal? Ich so auf den Punkt gebracht dürfte denke ich aufzeigen wie unbrauchbar diese Denkweise ist.

nach der logik könnten banken ihre tresore jederzeit offen stehen und gefüllt haben. ist ja schließlich verboten, sie zu überfallen und geld zustehlen. es geht hier um die verantwortung der firmen zur sicherung der von ihnen gespeicherten daten (wie bei der bank und den einlagen der kunden).

Du zeigst mal wieder, dass du leider nicht differenziert genug denkst, denn diese Frage steht überhaupt nicht zur Debatte, denn das betrifft das Innenverhältnis zwischen z.B. Bank und Kunde. Der Hacker der sich Zugang verschafft (oder sonst wie das System beeinflusst) ist aber ein Dritter und unabhängig von dem Innenverhältnis stellt dieser Eingriff eine gesonderte Handlung dar und eine Straftat. Ob im Innenverhältnis zwischen Kunde und Bank dann ein Schadensausgleich erfolgen muss auf Grund von Fehlern der Bank hat dabei überhaupt keine Bedeutung.

das die hackerangriffe illegal sind, und zwar völlig unabhängig von der dahinterstehenden intention, ist doch unstrittig. aber damit die sicherheitsschlamperei der betroffenen unternehmen zu entschuldigen ist naiv.

Wenn diese Tatsache unstreitig ist, warum versuchst du sie dann zu relativieren und schön zu reden und zu rechtfertigen sogar? Denn genau das tust du in deinen Aussagen. Mangelnde Sicherheit oder offensichtliche Fehler bei Unternehmen sind überhaupt nicht das Thema hier, sondern die Angriffe an sich und da spielt dies keine Rolle (sekundär in der späteren Schuldfrage im Innenverhältnis Kunde <> Unternehmen sehr wohl).

Fakt ist, dass Lulzsec und andere in diesem Jahr gezielt Chaos und Schaden anrichten wollen und das nicht nur bei Unternehmen sondern auch bei staatlichen Einrichtungen. Und nimmt man die jüngste Eskalation als Basis, so ist die unweigerliche Folge, dass irgendwann jemand zu Schaden kommen wird (sei es weil Notrufe nicht beantwortet werden können oder sonst etwas) und dann nimmt die Sache einen völlig anderen Charakter an. Und das dann staatlichen Stellen reagieren werden ist ebenso klar und die Geschichte zeigt, dass es dann sicher nicht gemütlicher wird.

[tombs]

was'n fail hurz. weder schreibe ich, dass der zweck die mittel heiligt (ich schreibe sogar explizit - und du zitierst den teil auch - dass es unstrittig illegal ist), noch unterstelle ich den angreifern irgendwelche weltverbessernden motive.
genausowenig ist der absatz über die, nennen wir sie mal wirtschaftshacker, ein kleinreden der lulzer, sondern sollte nur zeigen, dass die kriminalität bereits viel schwerwiegendere ausmaße angenommen hat. wenn sich der staat nun hinzustellen würde und wegen lulzsec strenge freiheitseingriffe im netz einführen würde, wäre dies schlicht ein fadenscheinige begründung. ich sage nicht, dass es so kommt, sondern entgegne auf deinen "lulzsec" führt zu ähnlichen methoden wie sie zur raf-abwehr eingeführt wurden.
der bankräuber, der sich zugang verschafft, ist mit hoher wahrscheinlichkeit auch ein dritter, es sei denn er ist kunde bei der bank die er ausraubt, dann hast du mit deinem innenverhältnis natürlich recht. (und bitte erspare uns weitere juristerei, die ist nämlich tatsächlich nicht das streitthema hier).
zum ende nochmal, ich habe an keiner stelle aktiv versucht, die illegalität der angriffe zu relativieren oder kleinzureden. ich sage lediglich, diese aktionen oder besser ihr erfolg, zeigt einen missstand bei den firmen auf. du hingegen argumentierst in etwa so - aktion ist illegal, also ist die ungenügende sicherheit der server kein problem das thematisiert werden darf/sollte.

Mangelnde Sicherheit oder offensichtliche Fehler bei Unternehmen sind überhaupt nicht das Thema hier, sondern die Angriffe an sich und da spielt dies keine Rolle

es ist vielleicht nicht dein thema, aber es war das thema meines posts, und nicht deine an den haaren herbeigezogene relativierungstheorie.
und mit diesen kleinen lesehilfen kannst du jetzt gern noch mal meinen ersten post lesen und vielleicht inhaltlich darauf antworten. oder du erklärst mir noch einmal, am besten mit vielen ausflügen in die juristerei, was ich eigentlich meine und welche themen hier zugelassen sind und welche nicht. erwarte in dem fall aber keine weitere fütterung.

[Neranja]

und welche themen hier zugelassen sind und welche nicht

Du spielst postest halt falsch. Aber ernsthaft, zum Thema Cyber-Abwehrzentrum und Computer-Sicherheit allgemein hier etwas Denkanregung:

http://www.danisch.de/blog/2011/06/16/warum-das-neue-cyber-abwehrzentrum-der-bundesregierung-so-nicht-funktioniert/#more-3592

Dahinter steht so die juristisch-politisch-kriminalistische Sichtweise, daß man Straftaten durch Strafen verhindert, die verhängt werden, wenn das Verbrechen bereits passiert ist.

Das funktioniert hier nicht. IT-Sicherheit erreicht man nicht durch reaktives Abwehren, sondern durch proaktives Absichern. Der Fehler im Konzept ist, daß man glaubt, eine schlechte IT-Infrastruktur bewachen zu können und zu müssen, anstatt eine starke Infrastruktur systematisch aufzubauen.

[Hurz]

was'n fail hurz. weder schreibe ich, dass der zweck die mittel heiligt (ich schreibe sogar explizit - und du zitierst den teil auch - dass es unstrittig illegal ist), noch unterstelle ich den angreifern irgendwelche weltverbessernden motive.

Natürlich tust du das, indem du versucht die Angriffe zu relativieren durch Versäumnisse bei den Bestohlenen oder den Hinweis auf die Tatsache, dass andere schlimmere Dinge tun.

wenn sich der staat nun hinzustellen würde und wegen lulzsec strenge freiheitseingriffe im netz einführen würde, wäre dies schlicht ein fadenscheinige begründung. ich sage nicht, dass es so kommt, sondern entgegne auf deinen "lulzsec" führt zu ähnlichen methoden wie sie zur raf-abwehr eingeführt wurden.

Es besteht ein signifikanter Unterschied ob von Privatunternehmen Daten entwendet werden oder staatliche Einrichtungen angegriffen werden.

zum ende nochmal, ich habe an keiner stelle aktiv versucht, die illegalität der angriffe zu relativieren oder kleinzureden. ich sage lediglich, diese aktionen oder besser ihr erfolg, zeigt einen missstand bei den firmen auf. du hingegen argumentierst in etwa so - aktion ist illegal, also ist die ungenügende sicherheit der server kein problem das thematisiert werden darf/sollte.

Genau das tust du (siehe oben) doch: Du nennst die Aktionen nicht Straftaten oder Angriffe und bezeichnest sie als Erfolg und gibst ihnen einen positiven Beigeschmack. Genau das ist eine Relativierung dessen was diese Angriffe sind. Außerdem vermischt du weiterhin zwei Tatbestände die zwar räumlich zusammen stehen, aber nicht in der Bewertung der Straftat zusammen gehören - und auch nicht für den Staat bei der Ermittlung möglicher Fahndungs- und Präventionsmaßnahmen. Mögliche Versäumnisse bei der Sicherheit spielen dabei - und vor allem bei Angriffen auf staatliche Einrichtungen - erst einmal keine Rolle.

Dahinter steht so die juristisch-politisch-kriminalistische Sichtweise, daß man Straftaten durch Strafen verhindert, die verhängt werden, wenn das Verbrechen bereits passiert ist.

Das funktioniert hier nicht. IT-Sicherheit erreicht man nicht durch reaktives Abwehren, sondern durch proaktives Absichern. Der Fehler im Konzept ist, daß man glaubt, eine schlechte IT-Infrastruktur bewachen zu können und zu müssen, anstatt eine starke Infrastruktur systematisch aufzubauen.

Diese Aussage ist zwar nett, aber Unsinn, denn Straftaten in IT-Bereich sind Straftaten wie alle anderen auch (nur mit anderen Mitteln). Das gesamte Strafrecht beruht auf dem Gedanken, dass Strafen vor Straftaten abschrecken sollen und das ist so alt wie die Menschheit. Die Argumentation oben weiter geführt würde bedeuten, dass ein Strafrecht hinfällig ist, so lange nicht jede erdenkliche Sicherheitsmaßnahme getroffen wurde um die Straftat zu vereiteln (wir leben also alle in Bunkern (sonst könnte jemand einfacher einbrechen), gehen nie vor die Tür (wir könnten beklaut werden) usw.). Diese Diskussion ist übrigens so alt wie das Strafrecht selber und wird immer mal wieder auch z.B. bei Eigentumsdelikten usw. geführt. Abgesehen davon ist es nicht Aufgabe des Strafrechtes Vorgaben für die IT-Sicherheit zu schaffen, sondern zu definieren was Straftaten sind und wie diese geahndet werden (wenn diese begangen wurden).