{"id":889,"date":"2007-07-06T16:46:19","date_gmt":"2007-07-06T15:46:19","guid":{"rendered":"https:\/\/weblog.hildania.de\/2007\/07\/06\/selbstanzeige\/"},"modified":"2007-07-06T16:46:19","modified_gmt":"2007-07-06T15:46:19","slug":"selbstanzeige","status":"publish","type":"post","link":"https:\/\/weblog.hildania.de\/index.php\/2007\/07\/06\/selbstanzeige\/","title":{"rendered":"Selbstanzeige?"},"content":{"rendered":"

Als ich heute im IRC den Spiegel-Online-Artikel<\/a> zugeschickt bekam (auch Heise-Online berichtet<\/a>), wusste ich, dass andere geplante Artikel in diesem Blog zun\u00e4chst zur\u00fcckgestellt werden m\u00fcssen. Bei meinen Recherchen entdeckte ich, dass ich einen geeigneten Artikel schon seit einigen Monaten fertig hatte. Es handelt sich um meine Aufzeichnungen, die ich bei einem Vortrag beim 23C3<\/a> gemacht hatte. Was damals noch \u201cZukunft\u201d war mit Worten, wie \u201cwer weiss, was da noch ge\u00e4ndert wird\u201d, ist heute Realit\u00e4t. Das Verschaffen, Verkaufen, \u00dcberlassen oder Verbreiten von Computerprogrammen, deren Zweck die Begehung von bestimmten Straftaten ist, wird unter Strafe gestellt. Leider ben\u00f6tigen wir im IT-Sicherheitsbereich solche Programme auch zum Testen unserer Sicherheit. Welcher Polizist w\u00fcrde gerne eine kugelsichere Weste tragen, die nie mit einer echten Kugel getestet werden konnte, weil es in dem Land ohne Ausnahmen verboten ist, solche Kugeln zu benutzen? Durch das neue Gesetz k\u00f6nnte die Sicherheit der IT-Infrastruktur in Deutschland stark leiden. Und mehr noch: Es k\u00f6nnte im Bereich Netzwerk und Netzwerksicherheit (zwei Zukunftsbranchen, seit vielen Jahren wachsen) entscheidende Wettbewerbsnachteile bringen.<\/p>\n

<\/p>\n

Hier nun meine nur leicht erg\u00e4nzten Aufzeichnungen vom 23C3:<\/p>\n

Nicht nur der CCC<\/a>, sondern auch der Bitkom<\/a> und der GI e.V.<\/a> warnen in einer Stellungnahme vor dem Gesetzentwurf, der Strafrechts\u00e4nderung zur Bek\u00e4mpfung der Computerkriminalit\u00e4t (Str\u00c4ndG).<\/p>\n

Ziel des Gesetzes ist es, internationale Abkommen umzusetzen und Gesetzesl\u00fccken zu schlie\u00dfen. Bei dieser Gelegenheit sollen bereits sog. Vorfeldhandlungen kriminalisiert werden, d.h. es soll schon bei der Vorbereitung eines Angriffs auf die IT eine gesetzliche Handhabe geben und das Ma\u00df, ab wann es sich um eine strafbare Handlung handelt, soll herabgesetzt werden.<\/p>\n

Es wurden drei Tatbest\u00e4nde ge\u00e4ndert und vier neue hinzugef\u00fcgt. Die Erzeugung \u201eneuer Daten\u201c auf einem Fremden System steht nach dem Gesetz z.B. nicht unter Strafe. Nach Ansicht der Referenten fallen demnach folgende T\u00e4tigkeiten in jedem Fall unter das ge\u00e4nderte Strafrecht: qualifiziertes Portscanning, Phishing, DoS-Angriffe, Cracking von Passw\u00f6rtern, remote Exploiting, Verbreitung von Trojaner, Viren und W\u00fcrmern, wobei es bei Viren und W\u00fcrmern, sowie Sniffing \u201eSchlupfl\u00f6cher\u201c gibt. D.h. unter bestimmten Umst\u00e4nden kann hier ein T\u00e4ter einer Strafe entgehen. Ebenso kann einfaches Portscanning als \u201eunproblematisch\u201c angesehen werden.<\/p>\n

Der neue Gesetzentwurf sch\u00fctzt auch PCs von Privatpersonen und nicht mehr nur Firmen- oder Staats-Server. Allerdings muss es sich um PCs von besonderer Wichtigkeit handeln. Der Einbruch auf dem Spiele-PC k\u00f6nnte also ggf. nicht strafbar sein. Ferner ist im Gesetz von \u201ebesonderer Sicherung\u201c die Rede. Darunter kann man z.B. eine Firewall (auch personal Firewall) verstehen. Ein frisch installiertes Windows aber z.B. k\u00f6nnte als \u201enicht gesichert\u201c und damit \u201eunbedenklich\u201c gelten.<\/p>\n

Nach Ermittlung eines T\u00e4ters gibt es zwei M\u00f6glichkeiten, ein Urteil abzuwenden: 1. Die Einstellung des Verfahrens nach T\u00e4terermittlung und 2. Die \u201et\u00e4tige Reue\u201c nach Er\u00f6ffnung des Verfahrens, die zur Einstellung f\u00fchren kann.<\/p>\n

Das Gesetz ist selbst etwas fragw\u00fcrdig geschrieben, da es die Herstellung und Beschaffung von Computerprogrammen unter Strafe stellt, die zur Begehung einer genau solchen Straftat dienen k\u00f6nnen (Entwurf \u00a7202 c Abs. 1 Alt. 2 StGB). Rekursive Strafbarkeit k\u00f6nnte man als schlechten Stil betrachten.<\/p>\n

Ein zentrales Problem k\u00f6nnte sein, dass die Benutzung folgender Sicherheits- und Analysewerkzeuge unklar wird: Sniffer, Intrusion Detection Systeme und Sicherheitsscanner. Wer m\u00f6chte sich schon gerne beruflich auf strafrechtlich bedenklichen Boden begeben? Ferner betroffen sind Trojaner, Viren, W\u00fcrmer, Exploit-Sammlungen und Virenbauk\u00e4sten. Diese k\u00f6nnen jedoch gerade f\u00fcr Hersteller von Sicherheitssoftware, f\u00fcr den Forschungs- und Lehrbereich sehr relevant sein. Eine Ausnahme ist hier jedoch bislang vom Gesetz nicht vorgesehen. Wer m\u00f6chte schon gerne einen Virenscanner benutzten, der mit echten Viren nie gepr\u00fcft worden sein kann? Der Vortragende brachte das Bild: Ein Polizist w\u00fcrde sich bestimmt unwohl f\u00fchlen, wenn seine kugelsichere Weste nie h\u00e4tte mit echten Kugeln getestet werden k\u00f6nnen.<\/p>\n

Aber es geht noch weiter: Was, wenn bei meiner Linux-Distribution ein Sniffer o.\u00e4. dabei ist? Wird damit jeder Linux-Nutzer automatisch ein Straft\u00e4ter? Oder erst bei der Installation auf der Festplatte? Und dann? Ist ein Cracker dann unschuldig, weil er das Tool immer wieder von der Platte nach Benutzung gel\u00f6scht hat?<\/p>\n

Umgehen l\u00e4sst sich das Gesetz durch Aufsplittung der Programme in einzelne Module, Auslagerung wesentlicher Funktionen in Bibliotheken, Betriebssystemkern oder Treiber. Ferner k\u00f6nnen \u201eHackerbauk\u00e4sten\u201c angeboten werden und reverse Backdoors, um im Falle eines Falles \u201et\u00e4tige Reue\u201c demonstrieren zu k\u00f6nnen. Evtl. versagt das Gesetz also genau an den erw\u00fcnschten Stellen.<\/p>\n

Weitere Folgen sind: Schadensersatzpflichten, Abmahnungen, Bu\u00dfgeldpflichtigkeit von Gesch\u00e4ftsf\u00fchrern, K\u00fcndigung (auch bei Straffreiheit).<\/p>\n

Be\u00e4ngstigend dabei ist, dass offensichtlich eine ernsthafte Beteiligung der betroffenen IT-Fachverb\u00e4nde unerw\u00fcnscht ist.<\/p>\n

Selbst setze ich noch folgende Frage dazu: Werden durch das neue Gesetz selbst Massnahmen des BSI Grundschutzhandbuches<\/a> (GSHB) strafbar?<\/p>\n

Das BSI GSHB ist mindestens in Deutschland eine feste Gr\u00f6\u00dfe bei der Netzwerksicherheit und wird im beh\u00f6rdlichen Bereich in der Regel mindestens gefordert.<\/p>\n

Hier ein paar Beispiele:<\/p>\n

– M 4.26 nennt Beispiele f\u00fcr Sicherheitschecks. Mit dabei \u201cSATAN\u201d. Das Programm kann ebenso f\u00fcr die Pr\u00fcfung der eigenen Sicherheit, wie auch zum Angriff verwendet werden und f\u00e4llt damit wahrscheinlich unter \u00a7202c.<\/p>\n

– M 4.81 fordert Audit und Protokollierung der Aktivit\u00e4ten im Netz. Der Administrator k\u00f6nnte hierbei auch z.B. Passw\u00f6rter mitprotokollieren. Auf jeden Fall sind diverse Tools zur Netzwerk\u00fcberwachung auch dazu geeignet, zum Angriff genutzt zu werden.<\/p>\n

Es verwundert nat\u00fcrlich nicht, dass Massnahme zur Kontrolle der eigenen Sicherheit oft auf die gleichen Mittel zugreift, wie das auch bei einem Angriff passieren w\u00fcrde. F\u00fcr neue Bedrohungen m\u00fcssen entsprechende Tests (Indikatoren) erstellt werden. Das trifft aber ggf. den Tatbestand der Herstellung eines solchen \u201cHackertools\u201d.<\/p>\n

Ich pers\u00f6nlich werde versuchen, mich von der neuen Gesetzeslage nicht beeinflussen zu lassen und setze dabei auf die Intention des Gesetzes. Werde ich bei der Aus\u00fcbung einer Straftat erwischt, bleibt mir nur der Versuch der \u201ct\u00e4tigen Reue\u201d.<\/p>\n","protected":false},"excerpt":{"rendered":"

Als ich heute im IRC den Spiegel-Online-Artikel zugeschickt bekam (auch Heise-Online berichtet), wusste ich, dass andere geplante Artikel in diesem Blog zun\u00e4chst zur\u00fcckgestellt werden m\u00fcssen. Bei meinen Recherchen entdeckte ich, dass ich einen geeigneten Artikel schon seit einigen Monaten fertig hatte. Es handelt sich um meine Aufzeichnungen, die ich bei einem Vortrag beim 23C3 gemacht … Selbstanzeige?<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12,7,3,4,2],"tags":[],"class_list":["post-889","post","type-post","status-publish","format-standard","hentry","category-arbeit","category-datenschutz","category-gedanken-des-tages","category-geek","category-internet"],"_links":{"self":[{"href":"https:\/\/weblog.hildania.de\/index.php\/wp-json\/wp\/v2\/posts\/889","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/weblog.hildania.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/weblog.hildania.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/weblog.hildania.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/weblog.hildania.de\/index.php\/wp-json\/wp\/v2\/comments?post=889"}],"version-history":[{"count":0,"href":"https:\/\/weblog.hildania.de\/index.php\/wp-json\/wp\/v2\/posts\/889\/revisions"}],"wp:attachment":[{"href":"https:\/\/weblog.hildania.de\/index.php\/wp-json\/wp\/v2\/media?parent=889"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/weblog.hildania.de\/index.php\/wp-json\/wp\/v2\/categories?post=889"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/weblog.hildania.de\/index.php\/wp-json\/wp\/v2\/tags?post=889"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}