Diskussion:Forceful Browsing
Strafbarkeit
[Quelltext bearbeiten]Der Artikel trägt seit Jahren einen Belege-fehlen-Baustein - allerdings ist der so gekennzeichnete Abschnitt Durchführung nicht der einzige, der dieses Problem hat. Daher für den Abschnitt Rechtslage nochmal hier die Frage: Wo steht das? Es wird behauptet, dass "insbesondere dann, wenn der Angreifer sich einen Nutzen aus den Daten verschafft" (wann habe ich einen Nutzen? Um bei den Beispielen im Durchführungs-Abschnitt zu bleiben, schon wenn ich mein Informationsbedürfnis befriedige, indem ich den Jahresbericht 2009 lese oder den Kontostand meines Nachbarn erfahre, oder erst wenn ich damit Insiderhandel bzw. Einkaufen auf fremde Rechnung betreibe?), liege eine Straftat vor, "auch wenn der Ersteller die Daten scheinbar öffentlich ins Netz gestellt hat". Aber genau Letzteres ist doch, wenn ein Zugriff über "forceful browsing" möglich ist, nicht "scheinbar" so, sondern ganz offensichtlich. §202a StGB etwa verlangt daher auch ganz explizit, dass Daten gegen "gegen unberechtigten Zugang besonders gesichert" sein müssen, damit ihr Auslesen als Ausspähen von Daten strafbar wird (dafür muss ich daraus dann auch keinen wie auch immer gearteten Nutzen mehr ziehen). Von einer besonderen Sicherung kann hier keine Rede sein - wenn ich etwa weiß, wo der Jahresbericht 2008 liegt, ist es oft schlichtweg einfacher, die URL so abzuändern, dass ich an den von 2009 komme, als sich in einer komplexen Website zu einem Link zu diesem durchzuklicken. Das braucht im Allgemeinen keine Hacking-Skills und keine kriminelle Energie. Also: Welches Gesetz verbietet das? --YMS (Diskussion) Diskussion:Forceful Browsing#c-YMS-2013-08-11T22:10:00.000Z-Strafbarkeit11
- Wenn es der "Angreifer" gezielt ausnutzt um sich einen rechtswidrigen Vermögensvorteil zu verschaffen oder um das Vermögen eines anderen zu beschädigen würde vielleicht §263a StGB greifen? Was glaubt ihr? 202a würde Prinzipiell in dem Beispiel mit "Kontonummer im Parameter ändern" prinzipiell auch greifen, zumindest wenn anzunehmen ist, dass es dem Benutzer bekannt ist das er dadurch auf fremde Daten zugreift und dies auch wiederholt tut. Da er ja eigentlich ein Benutzernamen und Passwort davor eingeben muss ;-)ITSecLion (Diskussion) Diskussion:Forceful Browsing#c-ITSecLion-2014-09-02T11:29:00.000Z-YMS-2013-08-11T22:10:00.000Z11
- Eher ist es so, dass der Betreiber eines Systems, das sich auf so einfache Weise manipulieren lässt, grob fahrlässig handelt. Aber wer weiß schon, wie da die Gerichte entscheiden... -- 195.137.217.234 Diskussion:Forceful Browsing#c-195.137.217.234-2014-12-17T09:35:00.000Z-ITSecLion-2014-09-02T11:29:00.000Z11
- Wenn es der "Angreifer" gezielt ausnutzt um sich einen rechtswidrigen Vermögensvorteil zu verschaffen oder um das Vermögen eines anderen zu beschädigen würde vielleicht §263a StGB greifen? Was glaubt ihr? 202a würde Prinzipiell in dem Beispiel mit "Kontonummer im Parameter ändern" prinzipiell auch greifen, zumindest wenn anzunehmen ist, dass es dem Benutzer bekannt ist das er dadurch auf fremde Daten zugreift und dies auch wiederholt tut. Da er ja eigentlich ein Benutzernamen und Passwort davor eingeben muss ;-)ITSecLion (Diskussion) Diskussion:Forceful Browsing#c-ITSecLion-2014-09-02T11:29:00.000Z-YMS-2013-08-11T22:10:00.000Z11