| Rubrik | Gartenbahn im Internet | zurück | ||
| Thema | Hacker unterwegs ????? | 23 Beiträge | ||
| Autor | Seba8sti8an 8H., Erlensee / | 293324 | ||
| Datum | 16.07.2007 00:49 MSG-Nr: [ 293324 ] | 6954 x gelesen | ||
Moin, zunächst sollte man mal klären, ob das Forum wirklich gehackt wurde. Hatten die Hacker Zugriff auf die Dateien und die Datenbank? Oder wurde vielleicht nur der DNS angegriffen und alle Anfragen auf eine andere IP-Adresse umgeleitet? Ich denke, beides wäre denkbar. Geschrieben von Sandbahner Sind wir doch mal ehrlich, wieviele von uns benutzen für alle möglichen Zugänge immer das gleiche PW ( war selbst von so einer Attacke betroffen!)? Ja, das ist ein interessanter Einwand. Eigentlich sollte es zwar üblich sein, dass Passwörter nicht im Klartext gespeichert werden, sondern mit einer Hashfunktion verschleiert werden, aber wahrscheinlich hat sich das noch nicht überall herumgesprochen. Aus IT Sicherheitskritierien sollte man jedenfalls Hashfunktionen einsetzen. Diese Hashfunktion funktionieren nur in eine Richtung, d.h. habe ich das richtige Passwort, kann ich überprüfen, ob es nach Anwendung der Hashfunktion mit dem gespeicherten "Passwort" übereinstimmt. Man kann aber nicht aus dem gespeicherten "Passwort" auf das tatsächliche Passwort schließen. Außerdem sollte man auf der Datenbankseite dafür sorgen, dass gleiche Passwörter von unterschiedlichen Usern (das kommt öfter vor, als ihr vielleicht denkt!) auf unterschiedliche Werte abgebildet werden. Denn sonst kann ich ja sehr einfach durch Zugriff auf die Datenbank andere gleiche Passwörter "erraten". Wer sich nicht an solche einfachen Mechanismen der IT Sicherheit hält, handelt in meinen Augen mindestens fahrlässig. Denn dann kann wirklich durch einen Hacker sehr sensible Daten ergaunert werden. Aber eigentlich ist das ganze auch egal, solange man keinen SSL-Zugriff auf die Homepage anbietet. So kann eh jeder den Datenverkehr mitabhören! Geschrieben von Knut Welche Verantwortung muß da eigentlich der Administrator eines solchen Forums übernehmen? Besonders wenn er darauf besteht daß Realname, Adresse usw. angegeben wird? Geht man vom Fall aus, dass hier tatsächlich Zugriff auf die Datenbank erfolgte, könnte es haarig werden. Ich bin kein Jurist* (hatte das nur im Nebenfach), aber durch die Verwendung von Realnamen und Anschrift dürfte ohne Zweifel klar sein, dass es sich dabei um personenbezogene Daten handelt. Das heißt, das Bundesdatenschutzgesetz (BDSG) findet Anwendung. § 9 S. 1 BDSG Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen zu gewährleisten. Und in der Anlage heißt es dann unter Abs. 1 Nr. 3 Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystens Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle). Und dann für diesen Fall interessant: § 7 BDSG Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebungm Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadenersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat. Hier zeigt sich mal wieder ganz deutlich, dass es keinen Datenschutz ohne Datensicherheit geben kann. Dies folgt auch nach telelogischer Auslegung des Rechts auf informationelle Selbstbestimmung nach Art. 2 Abs. 2 i.V.m. Art. 1 Abs. 2 Grundgesetz (GG). Desweiteren dürfte meiner Meinung nach die Anwendung des Telemediengesetz (TMG) vom 26.02.2007 eröffnet sein, da es sich nicht um Telekommunikationsdienste nach § 3 Nr. 24 des Telekommunikationsgesetzes (TKG), telekommunikationsgeschützte Dienste nach § 3 Nr. 25 TKG oder Rundfunk nach § 2 des Rundfunkstaatsvertrags (RStV) handelt. (Vgl. § 1 Abs. 1 TMG) Wer dann immer noch nicht genug hat, kann mal in die Convention on Cybercrime reinschauen. Dabei handelt es sich um einen Völkerrechtlichen Vertrag, der allerdings von der BRD noch nicht ratifiziert wurde. Würde mich in diesem Zusammenhang auch mal interessieren, wie das hier im GBF gehandhabt wird. Wäre schön, wenn Jürgen dazu Stellung beziehen könnte. Und man sollte das nicht unbedingt aus Sicherheitsgründen verschweigen, denn "security by obscurity" gibt es nicht. Viele Grüße, Sebastian *: Da ich kein Jurist bin, kann ich das nur aus meiner Sicht schildern und maße mir hier keine Rechtsberatung an. Im Einzelfall sollte man hier besser den Rat eines Rechtsanwalts auf dem Gebiet einholen. Ich sehe meine Informationen nur als Grundlage einer juristischen Laien-Diskussion ;-) | ||||
| << [Master] | antworten | >> | ||
| flache Ansicht | Beitrag merken | alle Beiträge als gelesen markieren | ||
| ||||
Beitrag inhaltlich zustimmen / ablehnen
