Sasser: Firmen prüfen Schadenersatz-Forderungen

Ich bin der Meinung, wie viele hier, der Junge sollte nur zu Sozialstunden verrichten. Ihr müsst euch mal vorstellen, ein 18 Jähiger hat es geschafft, Microsoft und viele andere Firmen lahmzulegen. Das kann doch nicht sein. Microsoft bzw. Bill Gates der verdient Millionen mit seiner "Misst"-Software. Ich bin der Meinung, dass Microsoft eins auf den Deckel bekommen soll. Die sollen sich schämen. Es ist klar der 18 Jährige hat hohe Kosten verursacht, aber er hat gezeigt was Microsoft für ein unsicheres und schlechtes Betriebssystem verkauft.

 

Irgendwie finde ich diese Diskussion um die "unfähigen" Administratoren ein wenig eigenartig. Ein adäquates Testsystem wäre doch nur ein gespiegeltes System, also Hardware und Software. Wenn ich nur einen hochwertigen PC als Server habe, ist das kein Problem, aber einen 50.000 ? Server habe ich doch bestimmt nicht als Reserve für Patchtests irgendwo rumstehen. Also ganz so einfach darf man es da nicht machen. Außerdem gibt es Server, wo man bei Patches erst auf die Freigabe des Herstellers warten muss, weil man sonst seine Wartung riskiert. Stratus FT-Server sind so ein Beispiel. Und es müssen ja nicht die Server alleine sein. Je nach Netzwerkgröße gibt es immer ein paar PCs, die durch die Patchmaschen schlüpfen und dann halt anfällig sind, wenn das Netzwerk nicht zu 100% kontrolliert wird. Außerdem kann es auch Fahrlässigkeit eines Users sein, der sein Notebook einfach ohne Rücksprache mit der Administration ans Firmennetzwerk anschließt. Dann hat er vielleicht noch eine ISDN-Karte drin und schleust über so eine Hintertür den Wurm ins Netz.

Und im privaten Bereich gibt es natürlich noch die 'Microsoft-Hasser', die zwar ein Windows auf ihrem Rechner haben und damit ins Internet gehen, aber dem Windows-Update nicht vertrauen, weil Microsoft ja dann die private E-Mail lesen kann und eine Datenbank über die installierten Raubkopien führt. (Überspitzt gesagt).

Also ich persönlich halte meinen privaten Rechner für ausreichend geschützt, da ich immer patche und meinen Virenscanner auch jeden Tag einmal nach Updates prüfen lasse und eine einigermaßen sichere Firewall laufen habe. Für einen privaten Rechner ist das schon viel aber leider haben viele nicht mal eins davon laufen...

 

Nein Linuxmaster,

ich kann von einem Autokäufer (z.B. weiblich, 70 Jahre) nicht erwarten das System "Auto" vollständig zu begreifen. Du nennst Dich Linuxmaster. Ich gehe davon aus, dass Du Dein System im Griff hast. Mein Vater ist 74 Jahre alt und hat einen PC auf dem er Onlinebanking (gerade noch begreift und) betreibt, Briefe schreibt und etwas im Internet surft. Er hat keine Chance ein Betriebssystem zu begreifen. Immerhin hat er mit 60 noch angefangen sich damit zu beschäftigen. Mein Vater hat ein Modem mit 54K. Die Patches kosten da richtig viel Geld. Nun ist meinem Vater der Schaden entstanden, dass er mit diesen PC nicht mehr arbeiten kann. Er weiss sich nicht zu helfen und lässt den Händler antanzen. Der nimmt ihm fast 100 Euros ab. (Wir erinnern uns, die 70jährige Frau kriegt auch keinen Zündkerzenwechsel hin).

Nun hat mein Vater sehr wohl den Anspruch auf Schadensersatz.

Ich finde, die Amis machen es hier richtig. So ein Typ sollte 10 Jahre nicht in die Nähe eines Computers

 

Der Wurmschreiber wird allerhöchstens mit einer Bewährungstrafe davon kommen. Aber sind wir doch mal ehrlich Wer den Sasser Wurm bekommen hat ist selbst schuld. Den Patch gab es zwei Wochen vor Ausbruch.
Wenn alle den Patch eingespielt hätten, dann würden wir hier nicht diskutieren.Aber so hat der Wurmautor gezeigt, wo es überall unfähige Administratoren gibt.
Es hat sich gezeigt Wer es nicht schafft rechtzeitig den Patch einzuspielen, sollte es lassen sich "Administrator" zu schimpfen. Es ist dem Administrator seine verdammte Pflicht sowas einzuspielen.
Die Ausrede "dann laufen andere Programme nicht " ist so alt. Bei uns im Unternehmen werden neu rausgekommene Patchs auf einem Testrechner installiert.Wenn es keine Komplikationen gibt dann wird der Patch unverzüglich installiert. Bei 1% treten vielleicht Komplikationen auf. Dann werden die Rechner von den anderen Rechner getrennt("isoliert"). Man sollte dann auch die entsprechende Software aktualisieren und den Hersteller informieren. Durch dieses Vorgehen waren wir gegen Sasser geschützt

MFG Linuxmaster

 

Wer Sch... baut muss auch dafür gerade steh'n.

Ganz gleich wie hoch der Schaden ist.

Ich glaube kaum, dass sich jemand von Euch sämtliche Konten von irgendjemandem leerräumen lassen würde und dann auf den Großteil des Geldes verzichten würde, nur um dem der Euch die Konten leergeräumt und Euch damit in argste Probleme und möglicherweise in den Ruin gestürzt hat, zu entlasten.

Bei Firmen ist es auch nicht anders. Das Geld welches dort drin steckt gehört auch jemandem und musste erst mühsam erwirtschaftet werden. Möglicherweise können einige Firmen den Schaden leichter, anderer schwerer verschmerzen - aber das steht auf einem anderen Blatt.

 

Ich bin auch dafür ihn zu bestrafen.
Allerdings sollte man ihm nicht das ganze Leben verbauen.
Wenn er mit 40 immernoch dafür zahlen muss, ist das nicht fair auch wenn er einen so erheblichen Schaden angerichtet hat.
Sozialarbeit find ich eine gute Idee, aber dafür richtig lange. So 1 - 3 Jahre immer schön gemeinnützige Arbeit tun um zumindest einen Teil des Schadens abzuarbeiten.

 

@lutz

Nach dem BGB haftet jeder für sein Handeln in unbeschränkter Höhe. Der junge Mann wusste sehr wohl was er tat. Nun hat er vielleicht das Glück, nach dem Jugenstrafrecht verurteilt zu werden. Es sei ihm gegönnt.

Dass ein Eigenverschulden der Firmen mit berücksichtigt werden muss, das ist auch wiederum klar. Kann man aber von einem kleinen Handerksbetrieb verlangen, dass die das IT-Wissen einer Fluglinie haben müssen? Ich meine NEIN.

Edit by whisky

 

Ich finde, der Junge gehört 1-3 Jahre in den Knast.
Außerdem sollte er nicht mehr so schnell an einen PC dürfen.
100 Stunden gemeinnützige Arbeit --> LOL ! Das mach ich nebenher in einem Jahr in meinem Roten Kreuz Verein.
Wie wäre es mit 10 Jahren gemeinnützige Arbeit? Zum Bund müssen die Jungs heut doch eh nicht mehr.

Vielleicht werden die Deutschen Behörden hier mal ein Exempel statuieren, damit dieser Mist endlich mal aufhört. Aber gerecht sollte er schon verurteilt werden.

Das er mit 18 noch keinen gesunden Menschenverstand hat, glaub ich nicht und würd ich auch nicht zur Strafmilderung einsetzen/zulassen.

"Och...er ist doch noch ein Kind!" Klasse...klingt ja wie ein Freifahrtschein für unsere Teenie Skriptkiddies...

Ich kenne auch einen fast 20 Jährigen, der selbst codet. Aber der bastelt sich gescheite Programme und keine Viren wie dieser Heini hier, bloß weil er es lustig findet und damit vor seinen Kumpels prahlen kann.

Gruß
MC LAINE

 

@Rzwo:
Und das macht es in irgendeiner Form besser?

MfG
Vimes

 

Ui, ui, da hofft man doch, dass es bald einen Patch geben wird, der die Lücke in dem Wurm wieder dicht macht.

@Vimes

Tür und Tor waren schon vorher offen,
mit dem Wurm kam maximal noch ein Fenster hinzu.

 

Bei dem Schaden den er verursacht hat kann es nur die Höchststrafe geben die für Computersabotage vorgesehen ist.

Gerade leses ich hier bei Heise:
http://www.heise.de/newsticker/meldung/47243

Sicherheitsloch im Sasser-Wurm
Auf dem Sicherheitsportal k-otik wurde ein Exploit veröffentlicht, mit dem sich auf Rechnern, die vom Wurm Sasser befallen sind, beliebiger Code ausführen lässt. Die Autoren des Exploits haben einen Buffer Overflow im Sasser-Wurm gefunden; durch Überschreiben des SEH-Pointers (Structured Exception Handler) erhält der Angreifer eine Administrator-Shell auf Sasser-infizierten Windows-PCs. Zwar verfügt der Sasser-Wurm über eine Hintertür, doch diese lässt sich nur für begrenzten Lese-Zugriff verwenden. Durch Ausnutzen des Buffer Overflows kann quasi jeder die komplette Kontrolle über die Rechner übernehmen.

Unabhängig vom Patch-Level steht also jedes System, dass mit Sasser infiziert ist, sperrangelweit offen.

 

Was soll das denn wieder? Mit 18 Jahren soll man nicht beurteilen können wenn man Mist baut? Wenn der also mit seinem Auto jemanden über den Haufen fährt sollte er auch milde abgeurteilt werden weil die geistige Reife fehlt?

Das ist mal wieder typisch - Rechte wollen alle schon mit 14 aber Pflichten schiebt man von sich. Wen wunderts da noch dass jeder Respekt für andere fehlt.

Das Einzige was ich in diesem Zusammenhang bedenklich fände wäre eine hohe Freiheitsstrafe denn leider wird in diesem Lande eine Straftat die finanziellen Schaden verursacht härter bestraft als ein Gewaltverbrechen.

Jedenfalls sollte man immer noch mehr an die Opfer von Verbrechen denken als an die Täter wenn man die Dränendrüse drücken will. Der junge Mann weiß genau was er gemacht hat und ein saftiger Denkzettel täte ihm nicht schlecht. Wenn er als Virenschreiber so gut ist wie z.T. dargestellt wird kann er ja die Kohle relativ leicht durch Arbeit wieder einspielen. IT-Profis werden so schlecht ja nicht bezahlt.

 

Es wurde zwar schon an anderer Stelle weidlich dazu gestritten, aber...

1. Der Wurm hat nicht nur den Rechner jeweils runtergefahren, sondern auch Tor und Tür für andere Malware aufgemacht.

2. Wenn er nicht absehen konnte, was er anrichten würde, hätte er mal besser seine Finger von der Tastatur gelassen.

3. Ab wann soll man denn haftbar gemacht werden können für den Mist, den man verzapft? 18 ist doch ein schönes Alter für so etwas.

Versteh mich nicht falsch, ich bin dagegen, daß er den Rest seines Lebens blechen muß.

Aber das Argument, man hätte sich ja schützen können, zieht nicht. Er hat versucht, anderen zu schaden. Punkt. Wenn er nicht wußte, was er da tut, dann hätte er eben die Finger davon lassen sollen.

Noch ein Wort zum Patchen in Firmen:

Auf Produktivsystemen im strengeren Sinne des Wortes sind und müssen die Admins sehr vorsichtig sein. Ich arbeite in einem Großunternehmen. Wenn da die Rechner (mit Spezialanwendungen usw.) nicht mehr funzen, weil ein Patch nicht vorher GRÜNDLICH getestet wurde und querschießt, dann rauchts aber.

Und noch was Lustiges: Wenn die ganzen Wurm-und-Virenschreiber endlich aufhören würden, ihren Quatsch in die Welt zu setzen, bräuchte es keine ständigen Patches.

MfG
Vimes
P.S.: Ich halte einige 100 Stunden Sozialarbeit für den jungen Mann für angemessen. Vielleicht lernt er was dabei.

 

Dann wäre ich mir nicht so arg sicher, ob der / die zuständige(n) Richter dem Knaben die Privatinsolvenz ermöglich. Und selbst wenn: 7 Jahre Privatinsolvenz sind eine lange Zeit. Fänd ich persönlich unschön, zumal die Kreditwürdigkeit wohl doch ein wenig leiden dürfte.

MfG
Vimes

 

Richtig, die Gläubiger müssen im Normalfall zustimmen. Allerdings kann diese Zustimmung durch einen Richterspruch ersetzt werden, je nachdem wessen Interessen der Richter nach umfangreicher Interessenabwägung höher bewertet. (Privat-)Insolvenz nach Strafzahlungen / Schadensersatzleistungen bei Straftaten sind möglich. Das einzige, was das Gesetz untersagt: Diese Zahlungen dürfen nicht als Aufwand von der Steuerbemessungsgrundlage abgezogen werden, aber das ist ein ganz anderes Thema.

mfg


hoegi1973

 

Ja. Aber erstens müssen die Gläubiger dafür zustimmen, d.h. man muß einen Plan aufstellen, den die dann abnicken -- wenn sie gut drauf sind -- und zweitens bin ich nicht sicher, ob das auch für Insolvenzen in Folge von Straftaten zählt.
In Punkt 1 bin ich mir aber sicher. Ich gebe die Frage also an Dich zurück.

MfG
Vimes

 

Schonmal was von Privatinsolvenz gehört? Nach dem Ablauf der Schutzfrist (7 Jahre, wenn ich mich recht erinnere), ist er seine Schulden wieder los und die Gläubiger schauen in die Röhre...

mfg


hoegi1973

 

Eine mögliche Variante:

- Gib dem User (remote) das Adminrecht,
dabei sollte er nach Möglichkeit abgemeldet sein.

- lass die Patches (z.B. über das Anmelde-Script) laufen.

- nach dem Patch, aber vor dem Reboot,
entzieht sich der User (per Script) wieder das Adminrecht und meldet sich wieder ab.

- je nach Patch Reboot oder normale Anmeldung.

Wie gesagt ist nur eine Möglichkeit.
Lösungen gibt es einige (mehr oder weniger gute).

 

Genau das ist ja das Problem. Entweder ich melde mich remote an jedem Rechner einzeln an, dann bin ich Admin, oder ich packe irgendwelche Patches in das Anmeldescript, dann bin ich - bzw. der User, der sich anmeldet - eben kein Admin.

 

Dann lass uns in ein anderes Forum gehen...
Ich denke mal das interessiert nicht nur mich (obwohl ich nur "Admin" von 3 Rechnern und nicht 150 bin).