New Hacker Law: Why I Really Like It!
HTML-код
- Опубликовано: 13 янв 2025
- The new hacker law is FINALLY a step in the right direction :)
📢 Digital Job Fair for IT Consulting:
www.get-in-it....
Are you interested in IT consulting and want to meet top employers and explore career opportunities in the IT world? Then the job I/O with the IT Consulting Special on December 5, 2024, is the perfect event for you!
Chat comfortably with leading companies - no travel required, completely anonymous and free. Learn more about the departments, work methods, and career opportunities in livestreams and 1:1 chats. Exciting jobs and contacts await you - exactly where IT talents like you are in demand!
Secure your free spot at job I/O now and join live and anonymously. It starts at 2:00 PM!
▶ Register here: www.get-in-it....
0110101001101111011000100010000001001001001011110100111100001010
Sources:
netzpolitik.or...
dejure.org/ges...
To Patreon:
www.patreon.co...
To the Newsletter: the-morpheus.c...
Instagram: / themorpheustuts
My other channels and projects: the-morpheus.de/
Learn computer science for free on my website: bootstrap.acad...
Discord:
the-morpheus.d...
Support me - Thank you!:
www.patreon.co...
www.paypal.me/...
Sehr interessant, die ganzen neuen und alten Regelungen zum Hacking zu erfahren 👍
Alles Gute zum Geburtstag!
😂 vielen Dank ❤️
👍 Danke für Deine wertvolle Arbeit💝
Wie realistisch ist es, dass dies jetzt durch den Bundestag kommt? Es gibt ja aktuell keine sicheren Mehrheiten im Parlament und der CDU trau ich leider keine Zustimmung zu solchem Neuland zu...
Die Kritik finde ich teilweise gerechtfertigt. Es wäre gut, wenn nicht spätestens das Gericht entscheiden soll ob der Test erlaubt war. Allerdings sollten sie dann auch einen Vorschlag machen, wie man sonst zwischen guten und schlechten Absichten unterscheiden kann.
Das Problem ist "SELBST WENN" die CDU "dafür" wäre, wäre sie "dagegen" um weiter gegen SPD/Grüne zu hetzen und den GEsetzesvorschlag zu instrumentalisieren wie schlimm der doch wäre -- nur um noch mehr zustimmung/stimmung im Wahlkampf zu gewinnen. Die Handeln nicht "im Sinne des Volkes" sondern "aus Prinzip". Die sind gemeingefährlich.
Normalerweise entscheiden Gerichte über die Details. Gesetze machen nur grobe Vorgaben
Find ich interessant so.
Versuche gerade mir Cybersicherheit, die Technik dahinter und die Tools beizubringen.
Hoff dass ich mit sowas nicht konfrontiert werde. XD
Keine Sorge Kevin, du wirst schon nicht für dein Java Hello World Projekt gefickt :)
Prinzipiell super und für mich als IT-Security Menschen natürlich super interessant.
Fragt sich leider nur ob das jetzt mit dem aus der Ampel Regierung überhaupt noch kommen wird 😅
Noch sollen ja ein paar Gesetzentwürfe im Bundestag verhandelt werden. Ich kann nur hoffen, dass die FDP hier Mal endlich mitspielt (den Gesetzesentwurf hat meines Wissens ja auch der FDP Justizminister zu verantworten)
@@alex82479 Ich glaube die FDP ist bei solchen Fragen eigentlich immer sehr fortschrittlich.
Wer kennt sie nicht die blutuuf-verbindung 😂
haha
Je nach dem wie gut (bzw. schlecht) Bluetooth implementiert wurde, ist irgendwas mit Blut gar keine so schlechte Beschreibung 😄
Bluhtuhf ist beste! Kommt bei mir gleich nach dem WLAN Kabel!
Nicht das beste „th“ - aber mMn mindestens 2^8 mal besser als „Blutuuß“. (✌️)
Schick mal blutuut Freundschaftsanfrage
Habe ich das richtig verstanden: Wenn ich beispielsweise Kali Linux installiere, auf dem Pentesting-Software vorinstalliert ist, befinde ich mich bereits in einer strafrechtlich heiklen Situation? Selbst wenn ich diese Software beruflich benötige, aber nicht ständig einsetze?
Soweit ich mich korrekt erinnere, ist die Absicht hier das relevante für die Strafbarkeit. Der Besitz selber ist wohl legal, solange du damit nicht die Absicht hast ein fremdes System ohne Erlaubnis des Besitzers anzugreifen.
Wobei ich persönlich das nicht aus dem Gesetz lese, sondern genau das, was du implizierst.
Cooles informatives Video, gern mehr davon 👍🏾
26:37 Um die eigene Absicht "nachzuweisen" könnte es sich doch dann bestimmt lohnen den Anbieter der getesteten Website grundsätzlich vom Pentest in Kenntnis zu setzen, auch wenn nichts gefunden wurde. Ich könnte mir vorstellen dass eine solche Protokollführung vor Gericht die eigenen Absichten gut erkenntlich macht.
@@mrmorello sollte, allerdings sehe ich es bezüglich der Authentizität des testes problematisch an den host zu informieren,da dieser für den einen Tag die Sicherheit auf max hochfahren könnte sowie entsprechende Gegenmaßnahmen einleitet, die vielleicht bei einem zufälligen test aus leistungsgründen nicht aktiv sind oder mit reduzierter Leistung betrieben werden.
Nicht zu vergessen die seit Monaten vernachlässigen Updates ;-)
Betrachtet man es mal im realen Leben...wenn der laden weiß dass ein test die erscheint, werden alle Mitarbeiter wachsam sein...wenn es nur die beauftragte Ebene weiß, dann läuft ggf auf den Monitoren Fußball.
Und mal wirklich real betrachtet: man hat für eine Niederlassung ein Gebäude/etage gemietet,dass damit wirbt sehr sicher zu sein...nun beauftragt man als Chef einen Spezialisten dort einen Einbruch Versuch vorzunehmen, um zu prüfen ob der Vermieter Recht hat. Wie realitätsfern ist es, wenn man verpflichtet ist den Mieter zu informieren...klar dass dann alle 12 Sicherheitskräfte auf ihrem Posten sind, von denen an normalen Tagen nur drei Rum laufen
es geht zumindest in die richtige Richtung :) Danke für die Zusammenfassung !
Ich dachte die Taktik ist: erst einen erfolgreichen pen test machen und daraus dann einen Auftrag an das Unternehmen formulieren. Aber gut manche nennen das auch Erpressung lol xD
@@Blackout00745 Servas, das wäre grey-hat-hacking
MEGA ! Vielen Dank !
11:14 Da braucht es einen "Hackerschein" vgl. prinzipiell mit einem Waffenschein.
Grundsätzlich ist der Besitz von Schusswaffen verboten, außer du bist im Besitz eines Waffenscheins, der auf deinen Namen ausgestellt ist.
Das braucht es dann künftig auch für Hackertools... für Leute, die diese beruflich nutzen.
Ist Pegasus dann nicht auch Ransomware as a Service ^^
Für Nachrichtendienste gelten eben etwas andere Regeln. Das Anzapfen von Telefonen ist ja normalerweise auch eine Straftat. Und Spionage sowieso.
Tut mir sehr leid Herr Richter, ich musste von Ubisoft's Spielen Denuvo cracken ähhh reverse engineeren, weil ich wollte ja nur den Source Code überprüfen 😂
Nee spaß, aber mega geile Änderungen. In Deutschland mahlen die Mühlen zwar langsam, aber sie mahlen. Wir haben die kompetenten Leute, es dauert eben nur ein wenig :)
Wenn du Denuvo tatsächlich hacken könntest, dann bekommst du wahrscheinlich locker haufenweise Jobangebote.
Es sind viele Tränen geflossen...
Ich sage, wir können es nur so Garantieren, so muss es kommen!❤❤❤
Hallo Morpheus,
vielen Dank für das Video, das sind ja mal gute Nachrichten!
Eine Anmerkung habe ich aber. Ich bin zwar juristischer Laie, aber mein Halbwissen zu Strafrecht sagt mir, dass nicht der Angeklagte seine Unschuld beweisen muss, sondern der Staat die Schuld.
Das heißt die Staatsanwaltschaft (bzw das Opfer als Zeuge) müsste die bösartige Absicht nachweisen, oder?
In deutschland gild ja: im Zweifel für den Angeklagten...
Grundsätzlich richtig, sofern keine "Beweislastumkehr" stattfindet. Ob das überhaupt Anwendung finden kann, kann ich nicht beurteilen (bin halt auch kein Jurist, hab nur Kontakte)
6:04 ok.. also eine Kali Linux installation ist schon halb eine Straftat 😅
Man bereitet sich vllt nicht explizit auf einen Angriff vor, aber man hat ja die Möglichkeiten mit der Fertigstellung der Installation 🤔
Danke!
Das ist der typische Verlauf. Die Gesetzentwürfe sind gut. Der Beschluss ist dann zerredet, verwaschen, wesentlich komplizierter wegen "Ausnahmen"(=Schlupflöchern) und von den guten Aspekten aus dem Entwurf ist nicht mehr viel da.
Ist es ein Gemeinnutzen, zum wohle aller?
Ist dann nicht auch der Erwerb des "Staats-Trojaners" strafbar?
Ja absolut 😂
@@TheMorpheusTutorials -> könnte man da nicht eine Klage gegen den Staat anregen? :P
Alles wird ANDERS dieses mal!
Ich finde die Änderung auch krass gut, mich würde nur interessieren, was passiert mit der Cheatentwicklung für Computerspiele. Wenn ich jetzt ein Computerspiel reverseengineeren würde, einen Cheat schreiben und dann damit spielen würde und wenn ich es veröffentliche, nicht super viele Downloads habe (zum Beispiel weil die Installation zu schwierig ist) dann verursache ich weder a) großen Schaden b) agiere nicht als Teil einer Bande und c) führe kritische Infrastruktur nicht zum Ausfall und bin daher fein raus, oder?
Na endlich.....habe eigtl schon mit einer Verabschiedung Mitte des Jahres gerechnet nachdem bekannt gegeben wurde das die EU Richtlinien für Cybersec. angepasst werden, gerade im KRITIS Bereich
hi, also es ist so, dass nach §15 StGB nur vorsätzliches Handeln strafbar ist, wenn nicht das Gesetz fahrlässiges Handeln ausdrücklich mit Strafe bedroht. Im Entwurf hier ist das nicht der Fall. Im Beispiel mit dem automatisierten tool, welches die falsche seite "scant", wäre die Handlung maximal fahrlässig.
Das Github-Beispiel zu 202c ist schwiereig, hier muss ermittelt werden, ob tatsächlich eine STRaftat vorbereitet wird, oder nur ein tool entwickelt, welches im bereich IT-Sicherheit zum Einsatz kommen soll. nur ersteres wäre strafbar. Absatz 1 ist hier nicht zu überlesen.
Gutes Shirt btw.
"Einfach mal ehrenamtlich als Pen-Tester arbeiten" klingt nach einem Anwalt der so einen halbstarken Hacker verteidigen muss ^^
🤔 wenn ich netzwerkverkehr/protokolle reverse engineer , dann is das protokoll vermutlcih weiterhin datengeschützt oder ? also ich darf das dann nicht einfach veröffentlcihen nehm ich an
(bin nämlich grad dran das protokol für ne consumer drone zu reverse engineeren , damits mans vom PC steuern kann)
dabei wird dir wahrscheinlich das Urheberrecht in die quere kommen, wenn du das veröffentlichst
Was wäre denn wenn ich im Besitz der Tools bin, nur um mein eigenes System sicherer zu machen. Dann habe ich doch einen Auftrag vom Eigentümer (ich) und habe auch eine nachvollziehbare Absicht. Irgendwie lässt doch immer so ein Grund finden. Sonst könnte ja kein Opensource Linux Projekt/OS mehr existieren, da die Commuinity nicht nach Schwachstellen suchen dürfte, so wird nen Schuh draus. 😅
Also das ganze ist doch Recht einfach, zum Anwalt,einen Muster Vertrag aufsetzen mit allen zweifeln ,zum Auftrag Geber schicken und alles wird gut ! Eine ordentliche Dokumentation schreiben Kopie an deinen Auftrag Geber ,und für deine Akten Zack fertig , Kohle aufs Konto fettig😊
Joa, jetzt muss das "nur" noch abgestimmt werden. ...Könnte aktuell etwas schwierig werden im Bundestag, der Vorschlag kam ja primär von der FDP.
Moin morpheus,
Klar sind solche News interessant, allerdings hättest du das Thema in 10 Minuten abgehandelt wenn du dich beim frei sprechen nicht so oft verknotet hättest. Meistens hat man den Punkt verstanden wenn du noch 2 Sätze einbaust.
Der Prolog zum aktuellen Zustand war auch viel zu lang und unnötig. Du hast dazu ja schon gut berichtet- Videolink und Thema wär durch.
Kurz: Inhalte supi, Vortrag aber echt ermüdend. Und wen mir in GenY das schon so geht... 😂
🥰🥰🥰
Fände es halt noch ganz nice, wenn das was die kritische Infrastruktur betrifft auch für andere Länder gelten würde. Wieso ist das weniger schlimm, wenns z.B. Polen trifft.
Gutes Video aber furchtbare Beleuchtung ;-).
8:50 Die Aussage kann ich nicht nachvollziehen.
§202c sagt nicht, dass die Tools strafbar sind. Wird explizit davon gesprochen, dass die Tools zum Zweck der Straftat..... Wenn ich die Tools herstelle und dann veröffentliche, dass das entsprechend bewertet wird.....
Entweder sind die Tools generell verboten oder nicht. Wenn es ein Gericht feststellt, dass die Herstellung im Rahmen eines Auftrages dann nicht rechtswidrig ist, dann passt die Grundaussage nicht. Dann sind die Tools eben nicht verboten, weil das Gericht wird es doch anhand des Gesetzes begründet haben. Das Problem wird sein, dass man in den wenigsten Fällen wohl Tools herstellen wird um sie dann gegen sich selbst zu testen.
17:37 Naja, aus meiner Sicht komplett falsches Vorgehen es hinterher zu melden. Ich würde es logischerweise vorher beim BSI ankündigen...... sollte man auch.
Das ist wirklich Mindblowing. Mit ganz viel Glück liest auch Jemand hier die Kommentare mit, weil das wurde auch schon mal genau so vorgeschlagen.....
Das mit dem Ankündigen klappt glaube ich nicht. Ich habe schon bei BugBounty-Programmen nach Sicherheitslücken gesucht und bis du mal eine findest vergeht eine ganze Menge an Zeit. Da schickst du vielleicht 10 Mails wenn nicht noch mehr bis einmal was findest
Nice, nice.
Spannend und leider irgendwie aktuell für mich
Viel Glück. Ich würde das aber in der aktuellen Lage nicht posten 😆
WTF das heißt tools wie konboot sind jetzt illigal (wenn man mal sein windows pw vergessen hat^^)? Das ist ja wie wenn man messer verbieten will.
Ne das war der Zustand davor
Vertrag aufsetzen und sich richtig absichern.
Die größte Sicherheitslücke ist der Mensch, deswegen müssen wir alles Systemisch betrachten und mit mehreren Menschen Verifizieren!
inc elon musk mit neurolink: "bald patchen wir menschen" ->*ironie/humor off*
Naja, die geplante Umsetzung ist so, wie sie umgesetzt werden soll quatsch, weil wie soll die in folgendem Beispielfall funktionieren?
1. Nehmen wir mal an, ein Hacker hat die gute Absicht eine Schwachstelle zu finden und es dann dem BSI zu melden, gleichzeitig ist er mit seinem anderen Rechner noch mit dem TOR Netzwerk verbunden, bei dem er einen sicheren Ein- und Austrittsknoten hat. Also hackt er den Server, macht das aber nicht über Tor denn er will ja zeigen, dass es gute Absicht ist. Er findet selbst aber nichts oder anderer Fall, er findet eine Lücke, kann sie aber nicht melden, weil irgendwas dazwischen kommt, weswegen er es später dann melden will. Auf jeden Fall landet er in den Logs, denn wenn er seine Spuren verwischt, ändert er ja Daten und dann würde es schwer werden, seine gute Absicht zu beweisen.
2. Eine Stunde später wird die Sicherheitslücke von einer anderen IP im Ausland in böser Absicht ausgenutzt. Wer war es nun? Es ist ja möglich, dass ein böser Hacker zur etwa gleichen Zeit den Server erforscht und die Sicherheitslücke gefunden hat. Zufälle gibt es eben. Ebenso wäre es denkbar, dass der vermeintlich gute Hacker eben doch nicht gut war. Aber er steht in den Logs, der andere vielleicht nicht und der Ausfall des Servers führt zu einem hohen Schaden. Allein das könnte dazu führen, dass man dem guten Hacker unterstellt, dass er es war. Als Beweis für das Eindringen hat man die Logs und dann bestand bei seiner IP zu der Zeit des Pentests ja noch eine Verbindung zum Tor Netzwerk. Dass der Angriff dann von einer anderen IP kommt, muss somit nichts bedeuten, denn das könnte auch er selber gewesen sein, dass er dann über die Tor Verbindung veranlasst hat. Siehe Punkt 3. Oder was, wenn der gute Hacker nichts findet, der Kriminelle aber schon und das dann wie hier gerade beschrieben ausnutzt? Dann gibt's vom guten Hacker nicht einmal eine spätere Meldung an das BSI.
3. Dieses Gesetz könnte von Kriminellen als Alibi genutzt werden, Systeme in guter Absicht hacken zu wollen um Sicherheitslücken zu finden und dann zu melden, aber stattdessen die gefundenen Lücken dann von einer anderen IP in böser Absicht auszunutzen. Melden könnten sie das dann später, womit dem Gesetz genüge getan wäre. Sind sie dann Verdächtige? Dann wären wir wieder bei Punkt 2.
Insofern, beachtet man all das, dann wird sich in der Praxis nichts ändern. Wer einen Pentest machen will, wird sich vorher beim Servereigentümer absichern müssen.
Das setzt voraus, dass der white hat hacker die selben Tests macht wie der black hat hacker. Man kann ja im Nachhinein nachvollziehen, wie der Ausfall zustande kam
@@guitaek Wenn beide die Sicherheitslücke finden, dürfte das der Fall sein. Aber das gilt selbst dann, wenn der white hacker sie nicht findet, aber in der richtigen Richtung sucht, es nur nicht erkennt.
@@OpenGL4ever normalerweise sind Sicherheitslücken ja komplexer. Also die wirklich gefährlichen. Da gibt es mehrere Wege, sie zu entdecken
3:07 lol wer hat da noch bock pen testing zu machen hää .
6:40 Wtf internet ist für Deutschland wirklich neuland ^^
Entwürfe sind keine Gesetze
Hacker und Gesetze/Paragraphen passen für mich nicht zusammen.
Du hast vollkommen recht! Man müsste auch Schlosser verhaften, die Ihre Produkte vor Verkauf testen! Und Unfallforscher, die mit Absicht Autounfälle verursachen!!!
gesetze die Sinn ergeben x_x
nicht mehr mein Deutschland
@@Florian-p6y natürlich,... ergibt mehr Sinn als davor. Oder was beanstanden Sie genau ?
@@danielhensen4132überprüfe sicherheitshalber mal deinen Sarkasmus-Detektor. ✌️😅
Lächerlich diese Tools existieren doch nicht zum Spaß
maaaaan der klingt soooo langweilig ...
muss das melden "unmittelbar" (=siehe jur. def. von "unmittelbar") erfolgen?
-> sonst wäre es ja möglich: "... ehm ja... die Sicherheitslücke die ich vor 10 Jahren gefunden hab wollte ich dann (irgendwann) mal melden..."
(also ergo: ich wollte sie nicht melden aber hab eine super Ausrede für den fall dass ich in Probleme gerate ...)