AGBs gegen Hacker und Banküberfälle
Das alleine wäre noch nicht so berichtenswert: Sicherheitslücken gehören zur EDV wie das Schwarze zu den Fingernägeln. Man macht es weg, es kommt wieder. Der Kreislauf des Lebens eben… Wo war ich stehen geblieben? Ja, auftrag.at und die Administratorenrechte. Wie gesagt, so etwas passiert nun mal.
Dirk Heringhaus ist nun ein guter Hacker und bittet (als deutscher Staatsbürger) sofort das BSI, mit den zuständigen österreichischen Stellen Kontakt aufzunehmen. Eine Rückfrage von auftrag.at, deren Administratoren den Braten gerochen haben, beantwortet er ebenfalls sofort, obwohl der Ton der Rückfrage schon etwas daneben lag. Es wurde nämlich sofort das Einleiten rechtlicher Schritte angekündigt und darauf hingewiesen, daß die auftrag.at Ausschreibungsservice GmbH & Co KG […] eine Tochterfirma der Wiener Zeitung GmbH
ist, welchselbige als offizielles Amtsblatt der Republik Österreich im Eigentum des Bundeskanzleramtes steht
. Als ob das irgend eine Rolle spielen würde.
Was das nun mit AGBs und Banküberfällen zu tun hat? Ganz einfach: auftrag.at relativiert in einer weiteren an Dirk Heringhaus gerichteten Mail die gefundene Sicherheitslücke mit einem Verweis auf die AGBs, die da angeblich lauten:
Der Kunde ist nicht berechtigt, Mechanismen, Software oder sonstige Routinen bei der Nutzung von auftrag.at zu verwenden, die den Betrieb von auftrag.at beeinträchtigen können. Die Nutzung von auftrag.at darf nur im Rahmen des normalen Geschäftsbetriebes und im vereinbarten Umfang erfolgen.
„Angeblich“ deswegen, weil diese AGBs für mich auf auftrag.at nicht auffindbar waren und ich mich daher auf die von Dirk Heringhaus zitierte Version verlassen muß. (Wobei ich es, ganz nebenbei bemerkt, schon seltsam finde, daß ich auf so einer Seite keine AGBs finden kann.)
Weiters wird Herr Heringhaus „aufgefordert“, eine Dokumentation seiner „Eingriffe“ zu übermitteln. Richtigerweise kommentiert Dirk Heringhaus diese Mail mit:
Wozu Sicherheitsvorkehrungen in einer Bank? Es ist doch verboten eine Bank zu überfallen, oder fremdes Geld an sich zu nehmen. […] Alles ganz einfach: Wir brauchen nur AGBs…
[…]„ich möchte sie daher auffordern“ - Jetzt aber mal wirklich: Ich bekomme für meine Hilfe ja schon kein Geld – weder fordere ich es, noch wird es mir in irgendeiner Form angeboten - aber ein „Bitte“ oder „Danke“ in irgendeiner Form tut dann und wann gut. Aufgrund von „Was“ fordern Sie etwas von mir? In dieser Form lasse ich mich bestimmt nicht fordern.
Wie gesagt: Sicherheitslücken gehören zur EDV wie das Schwarze zu den Fingernägeln. Man macht es weg, es kommt wieder. Es kommt also darauf an, wie man damit umgeht. Ein Verweis auf die AGB reicht sicherlich nicht aus. Vor allem aber sollte es mittlerweile zum guten Ton gehören, gerade jenen Hackern, die einen diskret auf solche Schwachstellen aufmerksam machen, zu danken und ihre Arbeit zu honorieren. Bei uns wird stattdessen immer noch Befehlston angeschlagen, werden Rechtsabteilungen eingeschaltet und wird darauf verwiesen, daß das ja sowieso alles nicht sein kann, weil es den Geschäftsbedingungen widerspricht. Da liegt noch ein weiter, weiter Weg vor uns.
auftrag.at dürfte die Lücke mittlerweile geschlossen haben, zumindest läßt sich aus den News auf der Startseite schließen, daß neue Zugangsdaten zu verwenden sind. Zuvor hat Dirk Heringhaus alle Kunden, deren Accounts er einsehen konnte, angemailt und sie über diese Tatsache in Kenntnis gesetzt. Technisch scheint’s also beendet. Ich hoffe, daß auf Sicherheitsnotizen demnächst auch etwas über einen kulturellen Fortschritt bei auftrag.at zu lesen sein wird. Der Jahreszeit entsprechend wäre ein Weihnachtsgeschenk an Herrn Heringhaus angebracht.