Wer ein Forum betreibt ist auch dafür verantwortlich die neusten Security Fixes einzuspielen und die Foren-Software auf Stand zu halten.
Es gibt immer wieder Sicherheitslücken die von den Entwicklern auch erkannt und behoben werden.
Wer sich nicht darum kümmert ist schlichtweg selbst schuld wenn er gehackt wird.
Weitere Dummheit ist natürlich auch, die config-Datei nicht vom Server zu löschen oder die Berechtigungen so zu setzen, dass jemand von außen Scripte auf dem Server ausführen kann.
ZitatOriginal geschrieben von belinea
Wer ein Forum betreibt ist auch dafür verantwortlich die neusten Security Fixes einzuspielen und die Foren-Software auf Stand zu halten.
Es gibt immer wieder Sicherheitslücken die von den Entwicklern auch erkannt und behoben werden.
Wer sich nicht darum kümmert ist schlichtweg selbst schuld wenn er gehackt wird.
Woah, das ist mal eine interessante Rechtsmeinung:
Du gehst also viktimologisch an die Sache ran und sagst - übertragen - dass eine junge, hübsche Frau in heißen Klamotten selbst schuld ist, wenn sie jemand bedrängt?
Im deutschen Strafrecht ist das Opfer nicht deshalb selbst schuld, weil es nicht genügend Vorsorge betrieben hat. Das Hacken eines Webservers geht regelmäßig einher mit dem Ausspähen von Daten (auf dem Webserver) und der ebenfalls strafbaren Datenveränderung (ebenfalls auf dem Webserver). Ob die Tatbestände der §§ 202a, 303a StGB im vorliegenden Fall erfüllt sind, mag Tatfrage sein - wir kennen hier ja nicht die volle Faktenlage.
Aber keinesfalls bringt eine Anzeige diesbezüglich "nichts" - im Gegenteil, die IT-Abteilungen der Polizei und Staatsanwaltschaften sind mittlerweile erstaunlich fit. Also ruhig anzeigen, das kostet nämlich nichts.
Gruß ///Freak
ZitatOriginal geschrieben von D-Love
Naja, "Hacker"...mit "hacken" hat das in der Regel wenig zu tun.
In diesem Fall (höchst wahrscheinlich) schon, wie ein Blick auf die Versionsnummer der eingesetzten Software auf der jeweiligen Seite verrät.
Auch wenn sich der jemand nur (von anderen) veröffentlichten Exploits bedient.
ZitatÜbrigens: Ich weiß nicht, ob es in der neuen vB-Version immer noch so ist, aber jemand, der Zugriff auf die MySQL-Datenbank hat, kann alle im System gespeicherten privaten Nachrichten lesen :flop:
Mit mysql-Zugriff kann man in jeder populären Foren-software Einblick in die privaten Nachrichten erhalten.
Hängt auch damit zusammen, dass die für Verschlüsselung notwendigen Bibliotheken nicht überall verfügbar sind, und die Nachfrage von seiten der "Kunden" (also der Administratoren) sehr gering ist. Jemand mit Vollzugriff aufs System wird ohnehin immer die Möglichkeit haben Nachrichten auszuspähen - es sei denn die Nutzer nehmen die Umstände auf sich und nutzen vollkommen client-seitige Verschlüsselung.
ZitatWeitere Dummheit ist natürlich auch, die config-Datei nicht vom Server zu löschen
Das ist natürlich Unsinnwas du da sagst. Die config.Dateien der jeweiligen Software muß natürlich für den Betrieb auch dauerhaft auf dem Webserver abgelegt sein.
Zitatoder die Berechtigungen so zu setzen, dass jemand von außen Scripte auf dem Server ausführen kann.
Solche Bereichtigungen gibt es nicht. Remote Code Execution-Möglichkeiten treten in der Regel durch das Ausnutzen von schlecht programmierter Software zu Tage; sei es weil Nutzereingaben nicht validiert werden oder weil Uploadfunktionen angeboten werden, welche nicht sauber programmiert sind.
Vielleicht habe ich mich missverständlich ausgedrückt, ich meinte nicht die config-Datei, in der die Pfade und das Datenbankpasswort abgespeichert ist, an die man ja von außen auch nicht rankommt, sondern die install-Datei, die man über den Browser ausführen kann.
ZitatOriginal geschrieben von EricssonFreak Das Hacken eines Webservers geht regelmäßig einher mit dem Ausspähen von Daten (auf dem Webserver) und der ebenfalls strafbaren Datenveränderung (ebenfalls auf dem Webserver). Ob die Tatbestände der §§ 202a, 303a StGB im vorliegenden Fall erfüllt sind, mag Tatfrage sein - wir kennen hier ja nicht die volle Faktenlage.
Da es ein privates Forum gewesen zu sein scheint, fällt "Ausspähung von Daten" schonmal flach.
ZitatOriginal geschrieben von EricssonFreak Aber keinesfalls bringt eine Anzeige diesbezüglich "nichts" - im Gegenteil, die IT-Abteilungen der Polizei und Staatsanwaltschaften sind mittlerweile erstaunlich fit.
Das mag schon sein, dass Polizei und Staatsanwaltschaft recht gute IT-Abteilung haben. Aber Gott Sei Dank verschwenden die Ihre Zeit nicht mit so einem Kinderkram.
ZitatOriginal geschrieben von EricssonFreak Also ruhig anzeigen, das kostet nämlich nichts.
Genau, kosten tut das nichts - Zahlt ja eh der Steuerzahler. :mad:
ZitatOriginal geschrieben von belinea
Da es ein privates Forum gewesen zu sein scheint, fällt "Ausspähung von Daten" schonmal flach.
Ach ja? Warum? Das Strafgesetzbuch schützt ALLE, nicht nur Heuschrecken und sonstige Unternehmen. Also auch private Forenbetreiber.
Hobby-Juristerei gehört meiner Meinung nach nicht hier her - überlass' das den Leuten, die sich damit auskennen.
Gruß ///Freak
Re: Re: Re: Forum gehackt - Rechtliche Schritte möglich?
ZitatOriginal geschrieben von IntoXiquÉ
Hab den Typen über Usernamen, IP und andere Foren ausfindig gemacht. Und wie es so oft ist, gibt man im Forum eben Namen, Wohnort und Alter an!
Und woher willst Du wissen, daß diese Angaben nicht frei erfunden sind? Und wenn der "Hack" nur via HTTP-Requests erfolgt ist, kann es leicht sein daß die IP einem Anonymer gehört...
Das Problem beim §202a StGB ist m.E., daß der Gesetzgeber das Hacken im eigentlichen Sinne nicht unter Strafe stellen wollte ([...] Daten [...] verschafft [...]), sondern gewisse Kriterien (Speicherung, Weiterverwendungsabsicht usw.) anlegt und damit die Beweisführung sehr schwer ist, wenn kein feststellbarer Schaden über das bloße Eindringen hinaus vorliegt. Wäre aber mal interessant, ob es dazu Urteile gibt!?
Sehr richtig - das bloße Knacken von Sicherheitsvorkehrungen sollte nach dem Willen des historischen Gesetzgebers nicht von § 202a StGB erfasst sein. Dies auch deswegen, damit potentiell gefährliche Löcher weiterhin aufgedeckt werden können und nicht schon die - gesellschafts- und wirtschaftspolitisch erwünschte - Aufklärungsarbeit von White Hat Hackern im Ansatz erstickt, weil kriminalisiert werden sollte.
Heute könnte das eventuell anders betrachtet werden. Insbesondere, wenn man sich die Cybercrime Convention des Europarates zu Gemüte führt, die der deutsche Gesetzgeber ratifiziert hat und daher umsetzen muss. Möglicherweise könnte die Convention zu einer Strafschärfung in diesem Bereich führen.
Bezogen auf die Frage des TE heißt das aber nicht, dass eine Anzeige gerade wegen § 202a StGB nichts bringt - im Gegenteil: Ob über das bloße Zugang-verschaffen hinaus auch Daten zur Kenntnis genommen wurden (das reicht aus!), wissen wir doch gar nicht. Das weiß nur der TE und natürlich der Hacker 
Gruß ///Freak
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!