Mitternachtshacking

Rise of the Stupid Network von David Isenberg, geschrieben im Mai 1997 aber immer noch mit erstaunlicher Aktualität. Sehr lesenswert, finde ich.

Das hätte ich ja beinahe übersehen, in der Deutschen Presse steht noch gar nichts dazu. Nur bei The Register ist der Artikel sogar die Hauptseite wert. Der leicht verwirrende Titel „Microscope-wielding boffins crack Tube smartcard“ verdeckt jedoch ein wenig den Blick auf das Wesentliche.

Henryk Plötz, Karsten Nohl und Starbug haben ihre Ankündigung auf dem 24C3 wahr gemacht und sich weiter mit der Mifare Classic Verschlüsselung beschäftigt. Karsten Nohl hat inzwischen eine komplette Kryptoanalyse des bisher von NXP geheim gehaltenen Algorithmus veröffentlicht.

Wie schon auf dem 24C3 angekündigt ist es aufgrund von Implementierungsschwächen des Algorithmus möglich, die Verschlüsselung einer Karte mit geeigneter Hardware in wenigen Minuten, auf Standard-PC-Hardware etwas länger, zu brechen. Um beispielsweise damit umsonst in der Londoner U-Bahn zu fahren oder Zugang zu einer versperrten Chemiefabrik zu bekommen ist das ein überschaubarer Aufwand.

Im Grunde ist die Migration auch technisch nicht besonders schwierig. NXP bietet mit Mifare DESfire (DES-Algorithmus) und Mifare Plus (AES-Algorithmus) auch sichere Varianten der Karte an, allerdings zu einem deutlich höheren Preis. Die einfachen Mifare Classic Karten gibt es schon für wenige Cent. Entsprechend wurden laut NXP bisher auch weit über eine Milliarde Karten verkauft. Die alle abzulösen wird mehrere Jahre dauern, wenn überhaupt das wirtschaftliche und politische Interesse dazu besteht.

Oder wie Karsten Nohl formuliert: „Standardisierte Verschlüsselungsverfahren (wie DES oder AES, Anm.) bieten einen sehr gut untersuchten und verstandenen Sicherheitslevel. Mit einem proprietären Algorithmus kann man das nie garantieren.“

Mal sehen, wann das BSI das mit ihrem Chiasmus auch kapiert. Chiasmus ist der BSI-eigene geheime Blockverschlüsselungsalgorithmus mit 128 Bit Schlüssellänge (160 Bit, davon aber 32 Bit Prüfsumme), der in der gleichnamigen Software und in den SINA-Boxen eingesetzt wird. Ich vermute ja, die Sicherheit von Chiasmus basiert lediglich darauf, dass niemand der Ahnung hat die Software in die Finger bekommen darf.

Nachtrag:

Inzwischen sind die Ergebnisse verifiziert und bestätigt. Sogar Heise hat inzwischen einen Artikel dazu. Ein paar Niederländer haben den skizzierten Angriff auf Crypto-1 inzwischen so optimiert, dass Ergebnisse bereits nach wenigen Sekunden verfügbar sind. Die Betreiber des Niederländischen Nahverkehrsnetzes schätzen, dass weitverbreitete Angriffe und Betrugsversuche in spätestens zwei Jahren zu erwarten sind. Bis dahin wollen sie auf Mifare Plus umstellen. Ich frage mich ja, ob die Umstellung alleine der Steuerzahler finanzieren muss oder der Mifare-Hersteller NXP wenigstens mit den Preisen für die neuen Karten ordentlich nach unten geht.

Untertitel aus der Meldung von Golem:

„Wissenschaftler aus den USA haben herausgefunden, dass Herzschrittmacher mit einer Funkschnittstelle gehackt werden können – mit tödlichen Folgen.“

Inzwischen haben auch implantierte Geräte wie Herzschrittmacher, an die man halt nur schwer herankommt eine Funkschnittstelle und wenn die nicht sauber abgesichert ist, dann rumpelt es eben in der Kiste.

Das untersuchte Gerät (PDF) sendet auf 175 KHz, eine Frequenz die bequem mit einem Oszilloskop analysiert werden kann. Dann noch ein wenig Reverse Engineering und man kann aus dem Gerät sensible Daten auslesen und sogar die Programmierung verändern. In den USA gibt es inzwischen sogar einen eigenen reservierten Frequenzbereich, das 402-405 MHz Medical Implant Communications (MICS) Band auf dem neuere Geräte senden.

In andere Herzschrittmacher ist sogar nur ein einfacher Bluetooth-Chip eingebaut. Die Teile sind extrem günstig und brauchen wenig Energie. Außerdem senden sie nur über geringe Entfernung und sind kompatibel zu normalen Notebooks und Handys. Vermutlich wird als Peering-PIN „0000“ verwendet.

Erschreckend finde ich vor allem, dass das gesamte Equipment, Oszilloskop, Datenkabel, PC, GNU Radio Software (bis auf Mathlab) praktisch komplett bei mir vorhanden ist. Ok, das Oszilloskop müsste ich von meinem Vater ausleihen aber der Rest ist da.

Eigentlich ist das Thema Economics of Information Security, d.h. die betriebswirtschaftliche Betrachtung von IT- und Informationssicherheit kein neues Thema. Vom 25. bis 27. Juni findet in Hanover, NH (USA) der WEIS 2008 (der 7.  Workshop on the Economics of Information Security) statt. Themen der letzten Jahre waren u.a.

• The legitimate vulnerability market: the secretive world of 0-day exploit sales (PDF)
  
• Economics of User Segmentation, Profiling, and Detection in Security (DOC)
  
• Cyber-Insurance: Copula Pricing Framework and Implications for Risk Management (PDF)
  
• Economics of Security Patch Management (PDF)

Das ganze Thema ist jedoch irgendwie unbefriedigend gelaufen. Ich frage mich immer wieder, welchen Aufwand will/muss man eigentlich treiben um Systeme vernünftig abzusichern:

• Firewall (ok, sehe ich ein)
• Virenscanner (hmm, auf PCs bestimmt, aber auf Servern und für Mail?)
• VPN (sehr praktisch aber oft genügt auch SSH)
• Datenverschlüsselung (wichtig!)
• Intrusion Detection/Prevention Systeme (teuer, teilweise recht nutzlos)

Und warum eigentlich? Weil alle diese Funktionen vom Betriebssystem entweder nicht mitgebracht werden (Datenverschlüsselung und VPN wandert gerade hinein) oder damit Schwachstellen des Betriebssystems behoben werden. Von den Kosten für Patchmanagement gar nicht zu reden.

Jedenfalls wird das Thema aktuell, die ENISA, die European Network and Information Security Agency, von der ich schon mal schrieb hat das Thema Security Economics für sich entdeckt. Die ENISA hat jedenfalls einen Forschungsbericht mit dem Titel „Security Economics and the Internal Market“ (PDF) finanziert, der interessante Forderungen aufstellt:

• ein EU-weites Gesetz zur Veröffentlichung von Sicherheitsvorfällen
• Regelungen, dass neu angeschlossene Geräte per Default abgesichert sein müssen
• Hersteller sollen für ungepatchte Software verantwortlich gemacht werden

Insgesamt ein eindrucksvoller Forderungskatalog. Ich war beim Lesen wirklich überrascht und beeindruckt.
Der letzte Punkt ist natürlich ein ganz heißes Eisen. Zur Zeit stehlen sich die Anbieter von Software aus der Verantwortung, weil sie jede Haftung für Fehler in den Lizenzbedingungen ausschließen können. Microsoft hat beispielsweise noch nie für einen Software-Fehler haften müssen, egal wie hoch der Schaden war. Autohersteller zum Beispiel können von so einer Welt nur träumen. Selbst wenn die Haftung auf den Anschaffungspreis begrenzt wäre, eine sinnvolle Lösung, um z.B. freie und Open Source Software nicht zu sehr einzuschränken, wäre das Interesse des Herstellers, mehr in die Sicherheit seiner Produkte und etwas weniger in die reinen Funktionen zu investieren auf einen Schlag gewaltig.

Und das ist natürlich nicht national durchsetzbar, mit der inkompetenten Politikerkaste in Deutschland schon gar nicht. Eine Europäische Union, die gegen Microsoft ein Bußgeld von 497 Millionen Euro in der ersten und 899 Millionen Euro in der zweiten Runde verhängen konnte, ist jedoch ein ganz anderer Gesprächspartner.

Mitautor war übrigens Rainer Böhme von der TU Dresden, das ist jemand, den man in den nächsten Jahren im Auge behalten sollte.

Die Zeit hat (schon vor einigen Tagen) einen sehr schönen und fundiert argumentierten Beitrag von Kai Biermann zum Grundsatzurteil des Bundesverfassungsgerichts betreffend Online-Durchsuchung veröffentlicht. Auf diesem Niveau kann man sonst höchstens noch Heribert Prantl oder Hans Leyendecker, beide bei der Süddeutschen Zeitung lesen.

Im Kern geht es um das neue „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“. Das bedeutet vermutlich mehr, als uns allen zur Zeit bewusst ist. Natürlich ist das IT-Grundrecht erst einmal ein Abwehrrecht gegen staatliche Begierde in Person eines paranoiden Rollstuhlfahrers.

Doch das neue Recht betrifft nicht nur den Staat. Grundrechte schützen beispielsweise auch vor dem Nachbarn, dem Arbeitgeber oder dem Ehepartner. Möglicherweise ist eine Folge dieses neuen Grundrechts, dass der Arbeitgeber private Daten eines Arbeitnehmers auch dann nicht mehr betrachten dürfen, wenn private Nutzung ausdrücklich verboten ist. Was ist mit Logfiles, z.B. auf Web- und Mailservern? Von all dem konnte ich bisher nur in der Zeit lesen.

Ich denke, das neue IT-Grundrecht wird noch spannend.

Ich schrieb schon ein paar mal über Captchas, unter anderem wie man Mathe-Captchas knackt und warum Captchas auf Dauer nicht funktionieren werden. Das war am 8. Februar. Inzwischen sind wir von der Realität überholt worden.

Anscheinend ist auch die letzte Antispam-Bastion gefallen, die Captchas die Google Mail vor den Spammern schützen. Moderne Spambots können inzwischen 20-30% der Captchas korrekt erkennen. Das reicht leicht, um flächendeckend Google Mail Spamaccounts anzulegen. Der Vorteil eines Spammers bei Google Mail ist insbesondere, dass diese Domains noch kaum blockiert werden, da bisher das Spamaufkommen relativ niedrig war. Ganz im Gegensatz z.B. zu Yahoo Mail oder Hotmail. In meinem direkten Bekanntenkreis findet sich niemand, der noch Yahoo Mail oder Hotmail verwendet. Alles was von dort kommt, ist 100% Spam. Beide Domains werden daher von mir inzwischen komplett blockiert.

Interessanterweise scheint sich das Problem noch nicht rumgesprochen zu haben. Da gibt es die Seite PWNtcha, die diverse Captchas dekodieren kann (aber keinen Source Code veröffentlicht). Dort ist man immer noch der Meinung, dass es gute Captchas geben kann, die auch in Zukunft funktionieren. Ich widerspreche dieser Ansicht ganz entschieden. Moderne Captchas wie sie z.B. Yahoo einsetzt sind so kompliziert, dass die Erkennungsrate echter Menschen teilweise unter der von Captcha-Dekodern liegt. Da lässt man den Schutz besser ganz weg.

Komplett vernachlässigt wird in der ganzen Diskussion die Barrierefreiheit. Was macht denn ein Anwender, der leider nicht sehen kann? Arschkarte gezogen? Das sollte eigentlich nicht sein. Ich frage mich ja, wann in Amerika die ersten Blindendiskriminierungsprozesse stattfinden, weil sich Blinde bei Google Mail nicht anmelden können.

Ein paar Wirrköpfe glauben zwar noch, das Gelbe vom Ei erfunden zu haben, praktisch steckt aber nur heiße Luft dahinter. Ein Beispiel ist dieser Programmierer, der glaubt durch geschickt benannte Eingabefelder das Spam-Problem zu lösen. Wenn man sich den daraus resultierenden HTML-Code anschaut, dann sind zwar die Formularfeldnamen kodiert, irgendwo muss aber noch eine verständliche Beschreibung stehen denn Menschen müssen die ja auch richtig ausfüllen können.

<tr><td>Name:</td><td><input name="7f0f3f86b0bcd308584728af6ab2335d" 
style="width: 200px;" type="text"></td></tr>
<tr><td>E-Mail:</td><td><input name="dc7b8fd4bf5bc84ea95ce39b7b625bc5" 
style="width: 200px;" type="text"></td></tr>
<tr><td>Betreff:</td><td><input name="2d9f7da47a267ae7d2e69e535ec9315a"
style="width: 200px;" type="text"></td></tr>

Ich schätze, in etwa drei Minuten kann ich einen kleinen Parser schreiben, der die Texte neben den Eingabefeldern richtig den Formularfeldnamen zuordnet.

Der Autor schreibt übrigens ganz stolz, dass noch niemand sein geniales Verfahren überlistet hat und er seither keinerlei Spamprobleme hat. Das hat einen einfachen Grund. Die Seiten auf denen dieses Verfahren eingesetzt wird sind so unwichtig, dass sich kein einziger Spammer bisher die Mühe gemacht hat, drei Minuten in einen Parser zu investieren. Sobald sich das Verfahren jedoch auf mehr Seiten durchsetzen sollte wird es sofort gebrochen und ist auch gleich wieder verschwunden.

Ich persönlich tendiere ja zu mathematischen Rechenaufgaben. „Berechnen Sie den Cosinus des zweiten Logarithmus der vierten Nullstelle der Riemannfunktion!“ oder so wäre z.B. eine Aufgabe die zwei Probleme mit einem Streich löst. Zum einen bleiben die Spammer draußen, zum anderen steigt das Niveau der Kommentare denn die Flachmaten dürften mit dieser Aufgabe leicht überfordert sein.

Aber mal im Ernst … gerade bei Angeboten die sich an die breite Masse richten werden Captchas in Zukunft nicht mehr funktionieren. Für die muss das Captcha so trivial sein, dass es irgendwie noch richtig eingegeben werden kann und das bedeutet, irgendeine Software kann garantiert das gleiche.

Das Problem: Ich sehe keine echte Alternative. Audio-Captchas sind zwar nett aber helfen nicht bei Schwerhörigen, JavaScript-Gelumpe wird mittelfristig auch überlistet, sobald es weiter verbreitet ist (oder die Spammer steuern einfach einen Browser fern). Und dann darf nicht vergessen werden, dass es in China eine Menge Leute gibt die den ganzen Tag vor dem Computer sitzen, World of Warcraft spielen und die gewonnenen Artikel in der realen Welt verkaufen. Die könnten genauso gut auch Captchas eingeben.

Ich fürchte wir haben zumindest technisch den Kampf gegen Spam verloren.

Ich weiß ja nicht mehr so recht, welcher Behörde man denn in Deutschland überhaupt noch vertrauen kann. Das Bundesamt für Sicherheit in der Informationstechnik hat eigentlich immer einen recht seriösen Eindruck gemacht (auch wenn es Vermutungen und Gerüchte gibt, dass es da auch eine „Schwarze Kammer“ gibt, die z.B. Verschlüsselung bricht und für die BRD spioniert). Inzwischen bin ich mir da aber auch nicht mehr sicher.

Der konkrete Anlass sind die Vorträge des BSI auf der CeBIT zum neuen elektronischen Reisepaß. Die Kernaussage des BSI ist dabei, trotz RFID ist alles gut und sicher und da kann überhaupt nichts passieren. Immerhin habe man ja die Entropie (das ist sowas wie die Schlüssellänge bei der Verschlüsselung) von 35 auf 45 Bit erhöht.

Der Präsident des Bundeskriminalamts Jörg Ziercke, von dem ich ja glaube, dass er sich in der Bundestrojanerdiskussion dümmer stellt als er ist und der bezüglich Reisepass bestimmt sehr gut informiert ist, sieht das jedenfalls anders. Immerhin führt Ziercke seinen Pass nur in einer Schutzhülle mit, die elektromagnetische Abstrahlung z.B. von einem RFID-Chip verhindert.

Ebenfalls sehr seltsam ist, dass Diplomatenpässe, angeblich wegen der besonderen Gefährdungslage (ich frage mich ja, wieso ein Diplomat z.B. in Brüssel besonders gefährdet sein soll … und warum ein Soldat in Afghanistan das nicht sein soll …) ohne RFID-Chip ausgestellt werden. Auch hier gehe ich davon aus, dass das Auswärtige Amt nicht unnötig Panik verbreiten will sondern von einer konkreten Gefährdung weiß.

Entweder … ist BKA-Präsident Ziercke ein paranoider Spinner der sich unnötig Gedanken um Bürgerrechte macht und das Auswärtige Amt beteiligt sich an unsinniger Panikverbreitung … oder das BSI lügt.

Ihr könnt es Euch aussuchen.

Weil’s gerade durch ein paar Blogs geht und so schön hier rein passt, eine nette Satire von 2001(!) auf der Webseite Adequacy (News for Grown-ups). Die Webseite selbst ist nur noch aus historischen Gründen online, neue Artikel werden nicht geschrieben. Anscheinend richtete sich die Seite damals an Erwachsene, die dem munteren Online-Treiben ihrer Kinder hilflos zusehen mussten.

Is Your Son a Computer Hacker?

Die Anhaltspunkte sind dramatisch:

1. Hat ihr Sohn verlangt, den Provider zu wechseln?

Die meisten guten ehrlichen Amerikaner sind bei AOL, die eine strickte „No Hacker“-Policy vertreten. Wenn ihr Sohn anfängt zu hacken, wird er als erstes den Provider wechseln wollen!

2. Gibt es auf ihrem Computer Programme die sie nicht installiert haben?

Ein untrügliches Zeichen, dass ihr Sohn böses im Sinn hat sind Hacking-Tools wie Flash, die plötzlich auf der Festplatte auftauchen!

3. Fragt ihr Kind nach neuer Hardware?

Insbesondere Prozessoren der bösen Firma AMD sind ein deutlicher Hinweis. Kaufen sie nur gute amerikanische CPUs der Firma Intel mit eingebauten Sicherheitsfunktionen!

4. Liest ihr Kind Hacker-Anleitungen?

In den Buchhandlungen gibt es unzählige Hackeranleitungen die dringend verboten gehören, z.B. „Snow Crash“ von Neil Stephenson oder „Programming with Perl“ von Tim O’Reilly. Beschlagnahmen sie die Bücher sofort, falls sie sie bei ihrem Sohn finden!

5. Wie viel Zeit verbringt ihr Kind am Computer?

Mehr als 30 Minuten online am Tag können ein Hinweis darauf sein, dass ihr Sohn versucht, fremde Systeme mittels DoS-Angriffen lahmzulegen!

6. Besitzt ihr Sohn Quake?

Quake ist eine beliebte Software, in deren virtueller Realität Hacker den Umgang mit Feuerwaffen üben. Machen sie ihrem Sohn klar, dass dieses Verhalten nicht akzeptiert wird!

7. Wird ihr Sohn mürrisch und streitsüchtig?

Das ist ein klares Zeichen, dass er zu viel Zeit online verbringt. Geben sie nicht auf sondern helfen sie ihrem Sohn, auch wenn der Meinung ist, es gäbe kein Problem. Sie sind seine einzige Chance!

8. Ist ihr Sohn von Lunix begeistert?

Lunix, egal ob Debian oder Mandrak aber auch BSD sind illegale Hackerbetriebssysteme des sowjetischen Hackers Linyos Torovoltos. Sie basieren auf geklautem Code von Xenix, das Microsoft für die US-Regierung entwickelt hat. Lunix ist extrem gefährliche Software, ein Hinweis auf Lunix ist beispielsweise, wenn beim Booten des Computers die Zeichenfolge „LILO“ erscheint!

9. Hat ihr Sohn seinen Stil verändert?

Hacker ziehen sich anders an, als normale Menschen. Wenn ihr Sohn plötzlich auf Baggy Pants, bunte T-Shirts mit Slogans oder gefärbte Haare steht ist das ein sicheres Zeichen, dass er sich in schlechter Gesellschaft befindet!

10. Werden die schulischen Leistungen schlechter?

Wahrscheinlich verbringt ihr Sohn zu viel Zeit mit gefährlichen Hackergruppen und findet daher nicht mehr zum Lernen. Durch die viele Zeit am Computer kann er schizophren oder sogar fett werden!

Ich kann alle Eltern nur aufrufen, diese Warnhinweise ernst zu nehmen. Hacken ist ein illegaler und gefährlicher Zeitvertreib und führt häufig zu Festnahmen und Knast. Potentielle Hacker können gar nicht früh genug bekämpft werden!

Google Hacking wird offensichtlich immer wichtiger. Viele angreifbare Webseiten lassen sich mit trivialen Google-Anfragen finden und auch vertrauliche Informationen tauchen gerne mal bei Google auf. Bisher war die Standardreferenz die Webseite I Hack Stuff von Johnny Long sowie sein Vortrag auf der Black Hat Europe 2005 (PDF). Von ihm stammt auch die Original Google Hacking Database.

Inzwischen gibt es auch Interfaces zur Google Hacking Database:

Das „offizielle“ Online-Portal scheint Gnucitizen zusammengestellt zu haben. Dort nennt sich die Seite GHDB v1.0a mit dem Untertitel „The online Google Hacking, Ethical Penetration Testing Tool (v1.0a)“. In der linken Menüleiste tauchen immer die neuesten Google Dorks auf. Allerdings kann man hier auch nicht mehr machen als direkt mit der Google-Webseite.

Einen anderen Ansatz verfolgt die Cult of the Dead Cow (cDc), von denen vor Jahren auch BackOrifice entwickelt wurde. Mit dem Goolag-Scanner den man sich auf der Seite Goolag.org herunterladen kann besteht die Möglichkeit, direkt Anfragen an Google zu schicken und auswerten zu lassen. Sogar Bruce Schneier ist beeindruckt.

Ebenfalls von Johnny Long gibt es Gooscan für Linux. Johnny bezeichnet das Programm als „cgi-scanner“, der jedoch nie im Logfile des untersuchten Webservers auftaucht sondern alle Anfragen via Google schickt.

Heise UK geht inzwischen sogar der Frage nach ob Google Scanning legal ist. Insbesondere das US-Recht hat gelegentlich seltsame Vorstellungen von „Trespassing“, so wurde David Ritz in North Dakota verurteilt, der unerlaubt einen DNS Zonentransfer durchgeführt hat. In Deutschland stellt sich die Frage in dieser Form nicht, der relevante § 202a StGB „Ausspähen von Daten“ verlangt, dass die Daten geschützt sind.

Die erste Runde im Kampf gegen den § 202c StGB ist offensichtlich vorbei, allerdings ist für keine Seite ein Punktsieg, geschweige denn ein K.O. ersichtlich. Da es inzwischen in der Presse recht ruhig geworden ist, möchte ich hier kurz zusammenfassen wie der Stand zur Zeit ist.

Unverbindliche Meinung des Bundesjustizministeriums

Das Bundesjustizministerium, insbesondere Frau Zypries bestätigt jedem, der es gar nicht wissen will, dass Security-Programme natürlich weiterhin legal sind und eingesetzt werden dürfen. Ich habe hier einerseits das Schreiben des Bundesministeriums der Justiz an EC-Council vertreten durch Herrn Kistemaker zur Legalität des Certified Ethical Hacker Seminars, das SSR-I für EC-Council in Europa anbietet (PDF-Schreiben, 50 KB). Außerdem bestätigt Frau Zypries persönlich dem Dachverband der IT-Revisoren in Deutschland ISACA (PDF-Schreiben, 1,5 MB), dass bei der Nutzung von Hacking-Tools zur Sicherheitsüberprüfung kein Problem vorliegt. Das klingt ja alles ganz gut, berücksichtigt aber zwei mögliche Probleme nicht.

1. Wollen wir dem BMJ wirklich vertrauen?

Hat das Bundesjustizministerium und im besonderen Frau „ich habe keine Ahnung“ Zypries überhaupt Ahnung wovon sie reden? Ich möchte hier nur mal das Beispiel der Widerrufsbelehrung bei Online-Verkäufen nennen. Da gibt es sogar eine offizielle amtliche, vom Bundesjustizministerium herausgegebene angeblich rechtssichere Widerrufsbelehrung. Aber nur angeblich rechtssicher. Das Landgericht Halle (Az. 1 S 28/05) hat geurteilt, die amtliche Widerrufsbelehrung genügt nicht den gesetzlichen Vorgaben. Oder anders ausgedrückt, das BMJ ist nicht einmal in der Lage, die eigenen Gesetze richtig zu verstehen und anzuwenden. In die Abmahnfalle ist insbesondere die Staatsanwaltschaft Magdeburg getappt. Selbst die beamteten Juristen verstehen die Gesetze nicht mehr. Und da sollen wir der unverbindlichen Aussage von Frau Zypries vertrauen? Persönliche Amtshaftung für Falschaussagen wäre hier sinnvoll und notwendig. Ein zweites Beispiel ist die Anwendung des Bundesdatenschutzgesetzes im Bundesjustizministerium. Auch hier hat das BMJ den Inhalt des selbst geschriebenen Gesetzes nicht verstanden und konnte (oder wollte) es nicht richtig anwenden. Erst nach Androhung von Haft und Ordnungsgeld sah sich das BMJ veranlasst, Gesetze einzuhalten. Wundert sich hier eigentlich noch irgendjemand über Steuerhinterzieher?

2. Ungelöste Rechtsfragen

Der § 202c StGB sieht insbesondere auch Strafen für denjenigen vor, der anderen die Tools zur Verfügung stellt (wörtlich: „einem anderen überlässt“). Ich kann leider die Gesinnung der Schulungsteilnehmer meiner Hacking-Seminare nicht überprüfen. Was ist, wenn ein Teilnehmer bereit ist, ein paar Tausend Euro zu investieren um später damit illegale Handlungen durchzuführen? Sozusagen den Kurs im Wissen bucht, die dadurch erlernten Techniken und die erhaltenen Programme zu illegalen Zwecken einsetzen zu wollen. Klar, jeder Teilnehmer muss unterschreiben, dass er das nicht tut aber who cares. Leider treffen die Schreiben des BMJ hierzu keine Aussage, die Rechtsunsicherheit bleibt.

Tecchannel Anzeige gegen das BSI

Die Zeitschrift Tecchannel hatte im September Strafanzeige gegen das Bundesamt für Sicherheit in der Informationstechnik wegen Verbreitung von Hackingtools (Verstoß gegen § 202c StGB) gestellt, insbesondere wird (immer noch) das Programm „John the Ripper“ auf der Webseite des BSI zum Download angeboten. Die Staatsanwaltschaft Bonn will die Anzeige gegen das BSI jedoch nicht weiter verfolgen. Die Begründung erscheint etwas hanebüchen, die Staatsanwaltschaft schreibt, dass das Setzen eines Links nicht strafbar sei. Offensichtlich verkennen die Beamten, dass das BSI nicht nur einen Link setzt sondern direkt die Software auf der eigenen Webseite vorhält und zum Download anbietet. Alternativ könnte man den Bonner Beamten auch unterstellen, dass sie sich nicht trauen, sich mit dem mächtigen BSI anzulegen. Tecchannel hat daher Beschwerde beim Leitenden Oberstaatsanwalt am Landgericht Bonn eingelegt. Bisher gab es keine weiteren Neuigkeiten.

Selbstanzeige von Michael Kubert

Der Informatiker Michael Kubert hat sich selbst wegen Verstoß gegen § 202c angezeigt, da er auf seiner Homepage „Hackertools“ veröffentlicht und verbreitet. Die Anzeige wurde von der Staatsanwaltschaft Mannheim mit Bescheid vom 13. Februar 2008 eingestellt. Als Begründung wurde angegeben, das Programm sei „lediglich zum Zwecke der Tests durch Administratoren geeignet […]“. Auch hier lässt die Begründung nach Ansicht von Michael Kubert zu wünschen übrig. Insbesondere bedauert Kubert, „dass die Einstellung mehr mit den Erkenntnissen der Kripo begründet wurde als mit dem § 202c StGB“.

Verfassungsbeschwerde der VisuKom

Die VisuKom GmbH hat Verfassungsbeschwerde (Aktenzeichen BVR 2233/07) gegen den § 202c eingelegt (PDF der Pressemitteilung). Ob sich die Firma davon wirklich was verspricht oder es sich dabei hauptsächlich um eine Marketingaktion handelt ist mir nicht ganz klar. Pressewirksam war die Aktion auf jeden Fall. Ob was sinnvolles herauskommt wage ich zu bezweifeln. In der Liste der geplanten Urteile für 2008 des BVG ist das Aktenzeichen jedenfalls nicht enthalten. Hier passiert offensichtlich in absehbarer Zeit auch nichts.

EICAR Gutachten zum § 202c

Die EICAR European Expert Group for IT-Security, die u.a. den EICAR-Testvirus entwickelte, hat auf ihrer Webseite ein Gutachten zu den Konsequenzen des § 202c (PDF, 226 KB) für Sicherheits- und Penetrationstestunternehmen veröffentlicht. Eine Rechtssicherheit kann ein solches Gutachten natürlich auch nicht herstellen, es liefert jedoch ein paar Anhaltspunkte, wie man aus der möglichen Strafbarkeit herauskommt:

1. Sorgfalt: „Im Umgang mit Hackertools und Malware, die zu Testzwecken beschafft oder erstellt wird, ist besondere Sorgfalt geboten. Solche Software sollte an niemanden weitergegeben werden, bei dem nicht sicher ist, dass er die Software zu gutartigen Testzwecken einsetzen will.“
2. Dokumentation: „Wenn ein Hackertool oder Malware beschafft „gleichgültig, ob kostenlos oder kommerziell“ oder erstellt wird, sollte nachvollziehbar protokolliert werden, für welche Test- und Sicherheitszwecke das Programm beschafft wird und welche Verwendung des Programms vorgesehen ist. Aus der Dokumentation sollte sich zweifelsfrei ergeben, dass die Software nicht beschafft wurde, um Straftaten zu begehen, sondern um gutartige Tätigkeiten auszuüben.“
3. Einwilligung: „Liegt von dem jeweils Berechtigten, auf dessen Computersysteme oder Daten zu Testzwecken Angriffe verübt werden sollen, eine Einwilligung in die Maßnahmen vor, so entfällt die Strafbarkeit der vorbereiteten Tat und mithin auch die Strafbarkeit der Vorbereitung. Die Einwilligung sollte möglichst schriftlich erfolgen und hinreichend konkret die Maßnahmen nennen, in die eingewilligt wird.“

Bei einer Beachtung dieser Punkte scheint eine konkrete Strafbarkeit weitestgehend ausgeschlossen.

KES-Artikel von Thomas Feil

[wird nachgetragen, ich habe die KES gerade nicht zur Hand]

Zusammenfassung

Offensichtlich handeln die Staatsanwaltschaften in Deutschland mit mehr Augenmaß und Sachverstand als das Bundesjustizministerium beim Schreiben der Gesetze. Im Moment sieht es jedenfalls nicht so aus, als würde die befürchtete massive Überkriminalisierung der Administratoren und IT-Sicherheitsdienstleister stattfinden. Das kann sich jedoch schnell ändern, beispielsweise falls massive Hackerangriffe auf kritische Infrastrukturen stattfinden sollten. Die benötigte Rechtssicherheit ist leider weiterhin nicht in Sicht.

Falls ich wichtige Informationen zum § 202c übersehen haben sollte, bitte ich um kurze Mitteilung in den Kommentaren, ich werden die Infos dann nachtragen.