25. März 2008
Telepolis hat einen schönen Artikel veröffentlicht, welche Folgen das angeblich so wertvolle Urteil des Bundesverfassungsgerichts zur Vorratsdatenspeicherung hat:
Zugriff ist nur bei „schweren Straftaten“ gestattet. Die Liste des einschlägigen § 100c StPO ist jedoch sehr umfangreich:
- Straftaten des Friedensverrats, des Hochverrats und der Gefährdung des demokratischen Rechtsstaates sowie des Landesverrats und der Gefährdung der äußeren Sicherheit
- Bildung krimineller Vereinigungen
- Geld- und Wertzeichenfälschung
- Straftaten gegen die sexuelle Selbstbestimmung
- Verbreitung, Erwerb und Besitz kinderpornografischer Schriften
- Mord und Totschlag
- Straftaten gegen die persönliche Freiheit
- Bandendiebstahl
- schwerer Raub und Raub mit Todesfolge
- räuberische Erpressung
- gewerbsmäßige Hehlerei, Bandenhehlerei und gewerbsmäßige Bandenhehlerei
- besonders schwerer Fall der Geldwäsche
- besonders schwerer Fall der Bestechlichkeit und Bestechung
- Verleitung zur missbräuchlichen Asylantragstellung
- Einschleusen von Ausländern
- Einschleusen mit Todesfolge oder gewerbs- und bandenmäßiges Einschleusen
- besonders schwerer Fall einer Straftat nach dem Betäubungsmittelgesetz
- eine Straftat aus dem Gesetz zur Kriegswaffenkontrolle
- usw.
Die Liste ist einfach extrem lang. Insbesondere im Bereich der Schleusung werden gerne auch mal Taxifahrer verfolgt und Verstöße nach dem Betäubungsmittelgesetz können schnell aus der kriminalistischen „Erfahrung“ (wer 3g Haschisch dabei hat ist ein Dealer!) begründet werden.
Ich bin sicher, das wenig mutige Urteil des Bundesverfassungsgerichts, das sich trotz erheblicher verfassunsrechtlicher Bedenken nicht zu einem klaren Verbot durchringen konnte wird den Behörden in Deutschland noch viel Freude bereiten.
19. März 2008
Der Arbeitskreis Vorratsdatenspeicherung fordert den Rücktritt von Frau Zypries:
„Frau Zypries hat die Vorratsdatenspeicherung gegen den Willen des Bundestages ausgehandelt, einer EU-Richtlinie ohne Rechtsgrundlage zugestimmt und die Datenspeicherung unter Verstoß gegen die klare Rechtsprechung des Bundesverfassungsgerichts in Deutschland durchzudrücken versucht. Dieser vorsätzliche Verfassungsbruch macht sie als Bundesjustizministerin untragbar“, erklärt Patrick Breyer vom Arbeitskreis Vorratsdatenspeicherung, einer der Beschwerdeführer in Karlsruhe. „Frau Zypries hat die Öffentlichkeit systematisch getäuscht, etwa mit der vor dem Bundestag aufgestellten Behauptung, es gehe um ’schwerste Kriminalität‘, während das Gesetz in Wahrheit jede ‚mittels Telekommunikation‘ begangene Straftat betrifft, oder mit der Aussage, man setze die EG-Richtlinie ‚in minimaler Weise um‘, während das Gesetz in Wahrheit weit über die Vorgaben aus Brüssel hinaus geht. Wir brauchen endlich wieder freiheitsfreundliche Innen- und Justizminister!“
Ich schließe mich dem vollumfänglich an.
Praktisch wird das leider nichts nützen. Die Frau klebt so an ihrem Stuhl, die kriegt man nicht einmal mehr mit Hexafluorbenzol gelöst. Und dann wundert sie sich, warum die Bürger politikverdrossen sind.
18. März 2008
Böses Zeug, dieses Phorm. Nein, nicht das, das andere Phorm.
Phorm ist der Nachfolger (sofern man eine Firma die umbenannt wurde, weil sie so einen schlechten Ruf hatte, das praktisch alle Produkte auf der Spyware- und Adware-Liste aller gängigen Schadprogrammscanner standen, als Nachfolger bezeichnen will) von 121Media, spezialisiert auf targeted Advertising. Für die Freunde von Euphemismen, targeted Advertising ist im Grunde, man forscht die Privatspähre der Nutzer solange aus, bis man ihnen gezielt Werbung unterjubeln kann, die sie vermutlich auch interessiert.
Praktisch funktioniert Phorm in etwa so:
Der Client baut eine ganz normale Verbindung zu einem Webserver im Internet auf (1), die von einem speziellen Server, ich nenne ihn hier mal „Interceptor“ beim Provider abgefangen wird. Der Interceptor leitet die Anfrage an den Ad-Server von Phorm, der ebenfalls beim Provider steht mit dem Tracker-Cookie von Webwise weiter (2). Gleichzeitig holt der Interceptor die ursprünglich angefragte Webseite (3) und schickt sie ebenfalls an den Ad-Server (4). Der Ad-Server tauscht in der Webseite enthaltene Werbung gegen eigene Werbung aus, die mit Hilfe des Tracker-Cookies speziell auf die Vorlieben des Anwenders zugeschnitten sind (5). Der Interceptor schickt die Seite mit der modifizierten Werbung zurück an den Anwender (6).
Vermutlich ist der Prozess nicht ganz korrekt dargestellt, die Webseite „Lies, Damned Lies!“ hat eine detailliertere Grafik dazu.
Die FAQ von Phorm beschreibt das Verfahren so:
„Webwise technology places a cookie on your computer. Then, as a customer searches and browses online, that behaviour is checked against general advertising categories. When the customer’s interests match one of these advertiser categories, the customer sees a relevant ad in place of a generic, untargeted ad.“
Das konkrete technische Verfahren des Austausches spielt dabei eigentlich keine große Rolle. Die Auswirkungen des Tracker-Cookies auf die Privatsphäre will ich eigentlich auch nicht weiter analysieren. Wenn das bereits ein so dramatisches Problem wäre, dann müsste man eigentlich alle Social Network Seiten schließen und Google verbieten. Es geht mir in diesem Text zum zwei andere Punkte: das Verhalten des ISPs und die Folgen für die Werbewirtschaft.
Die Rolle des Internet Service Providers
In Großbritannien haben die wichtigen Provider (darunter BT, Virgin Media und Carphone Warehouse mit zusammen 70% Marktabdeckung) mit Phorm Verträge abgeschlossen, im Land der Überwachungskameras wird das Thema gerade heftig diskutiert. Ein Knackpunkt ist, ob das Verfahren für die Kunden mittels „Opt-In“, d.h. der Kunde muss explizit zustimmen, wenn er targeted Advertising möchte oder mittels „Opt-Out“, d.h. der Kunde muss targeted Advertising explizit abwählen, wenn er das nicht möchte, eingeführt wird.
Strittig ist beispielsweise auch, ob es sich bei diesem Vorgehen um unerlaubte Datenveränderung handeln könnte. Ich weiß nicht, ob der Austausch der Werbung von den AGBs der Provider gedeckt ist (oder gar nicht in den AGBs abgehandelt werden kann, weil es sich vielleicht um eine überraschende Klausel handelt).
Unabhängig davon würde es mir persönlich nicht besonders gefallen, wenn mein Provider in dieser Form Einfluss auf meinen Datenverkehr nimmt. Ok, bestimmte Maßnahmen wie Drosselung einzelner Datenverbindungen (sehr beliebt bei P2P-Traffic) lasse ich mir noch eingehen. Das ist keine tiefergehende Analyse meiner Surfgewohnheiten. Ganz anders sieht es aber mit der konkreten Veränderung von Webseiten aus. Das entspricht ganz klar meiner Definition eines Hostile Internet Providers. Tim Berners-Lee, der Erfinder des World Wide Web hat die Nutzer sogar explizit aufgerufen, den Provider zu wechseln wenn diese Phorm einführen.
Die Rolle der Adbroker, Werbekunden und Seitenbetreiber
Geschädigt werden also viele:
Die Adbroker (z.B. Google und Co.), weil deren Werbung nicht mehr angezeigt wird, den Werbekunden aus dem gleichen Grund und der Seitenbetreiber, weil dieser an der geschalteten Werbung nicht mehr verdient.
Ich weiß nicht, ob im Phorm-Verfahren die Originalwerbung vom Server noch abgerufen wird, bevor sie ausgetauscht wird. Wenn sie abgerufen und nach „Views“ abgerechnet wird, schadet das dem Werbekunden. Wenn nach „Click-Through“ abgerechnet wird oder wenn sie nicht abgerufen wird dem Betreiber der Webseite, der von der ausgetauschten Werbung natürlich keine Einnahmen hat.
Aus meiner Sicht handelt es sich folglich um ein reines Leecher-Verfahren. Phorm und die Provider bereichern sich auf Kosten der Anbieter von Inhalten. Die Content-Produzenten, d.h. die Autoren und Betreiber von Webseiten gehen plötzlich leer aus. In den USA hat ein Blogbetreiber sogar versucht, alle Nutzer von Firefox mit Adblock Plus von seiner Seite auszusperren. Aber das ganze durch die Provider ist das gleiche nur um den Faktor 10 schlimmer.
Zusammenfassung
Als Inhaltsanbieter müsste es meine erste Maßnahme sein, den Vertrag mit einem Phorm-nutzenden Provider sofort fristlos zu kündigen. Es kann doch nicht Aufgabe meines Providers sein, mein Geschäftsmodell aktiv zu schädigen. Als Nutzer wäre meine Maßnahme die gleiche. Ich finde, ich habe Anspruch auf die Webseite so, wie sie vom Inhaltsanbieter bereitgestellt wird (Werbung herausfiltern kann ich dann schon selber). Und von beiden Seiten wäre es angebracht, den Provider ein klein wenig zu verklagen, wegen unerlaubter Datenveränderung (aus Nutzersicht) oder wegen Urheberrechtsverletzung durch unerlaubte Modifikation der von meinem Server angebotenen Inhalte (als Anbieter).
Ich bin ja gespannt, ob Phorm auch in Deutschland Provider findet, die sich dem anschließen. Vodafone traue ich das zu.
Nachtrag:
Inzwischen gehen auch im Mutterland der Überwachung ein paar kleine Alarmglöckchen an. Die Foundation for Information Policy Research (FIPR), ein regierungsnaher Think Tank hält das Phorm-Modell in einem Schreiben für nicht mit dem Gesetz vereinbar. Allerdings hält das UK Home Office (sowas wie das Innenministerium bei uns) Phorm weiterhin für legal. Die letzte Entscheidung hat nun der Information Commissioner Richard Thomas (so etwas wie bei uns der Bundesdatenschutzbeauftragte).
16. März 2008
Die China Cyber Army wird irgendwie immer erwähnt, wenn in den USA mal wieder ein paar Tausend Systeme der Airforce, Marines oder Army gehackt werden. Manchmal beschleicht einen dabei das Gefühl, die China Cyber Army wird quasi zu einer digitalen Al-Qaida aufgebaut. Die Angriffe werden sogar detailliert in Präsentationen (PDF) beschrieben, man könnte meinen man sei direkt betroffen.
Ich kann mir durchaus vorstellen, dass es in China einen Regierungsauftrag für Hacker gibt und ich wäre überrascht, wenn es in den USA, UK, Russland, Israel, Frankreich und vermutlich auch in Deutschland anders wäre. Praktisch überall wo ein fähiger Geheimdienst existiert, werden natürlich auch Cyberangriffe in Auftrag gegeben.
Andererseits ist mir nicht ganz klar, welchen Sinn es macht gerade bei den Chinesen so eine „Überorganisation“ zu verorten. In Deutschland werden die Angriffe der Chinesen z.B. auf das Bundeskanzleramt praktisch komplett geheimgehalten. In den USA kommt so etwas auch nur dann an die Öffentlichkeit, wenn der politische Wille dazu besteht. Der mediale Aufbau einer „chinesische Al-Qaida“ könnte natürlich politisch gewollt sein, um z.B. den chinesischen Einfluss auf die US-Wirtschaft begrenzen zu können. Wenn genug „terroristische Angriffe“ den Chinesen zugeordnet werden, dann darf man auch damit rechnen, dass anti-chinesische Gesetze gebastelt werden. Vermutlich vergleichbar der anti-japanischen Gesetzgebung so um 1990 herum. Die US-Drohung konventioneller Gegenschläge für Cyberangriffe deutet in die gleiche Richtung.
Und dann macht es natürlich Sinn, einen gefährlichen chinesischen Feind aufzubauen. Also behauptet in fünf Jahren nicht, ich hätte Euch nicht gewarnt wenn die USA gegen die „gelbe Gefahr“ (nein, nicht Symantec) vorgehen.
12. März 2008
Eigentlich ist das Thema Economics of Information Security, d.h. die betriebswirtschaftliche Betrachtung von IT- und Informationssicherheit kein neues Thema. Vom 25. bis 27. Juni findet in Hanover, NH (USA) der WEIS 2008 (der 7. Workshop on the Economics of Information Security) statt. Themen der letzten Jahre waren u.a.
Das ganze Thema ist jedoch irgendwie unbefriedigend gelaufen. Ich frage mich immer wieder, welchen Aufwand will/muss man eigentlich treiben um Systeme vernünftig abzusichern:
- Firewall (ok, sehe ich ein)
- Virenscanner (hmm, auf PCs bestimmt, aber auf Servern und für Mail?)
- VPN (sehr praktisch aber oft genügt auch SSH)
- Datenverschlüsselung (wichtig!)
- Intrusion Detection/Prevention Systeme (teuer, teilweise recht nutzlos)
Und warum eigentlich? Weil alle diese Funktionen vom Betriebssystem entweder nicht mitgebracht werden (Datenverschlüsselung und VPN wandert gerade hinein) oder damit Schwachstellen des Betriebssystems behoben werden. Von den Kosten für Patchmanagement gar nicht zu reden.
Jedenfalls wird das Thema aktuell, die ENISA, die European Network and Information Security Agency, von der ich schon mal schrieb hat das Thema Security Economics für sich entdeckt. Die ENISA hat jedenfalls einen Forschungsbericht mit dem Titel „Security Economics and the Internal Market“ (PDF) finanziert, der interessante Forderungen aufstellt:
- ein EU-weites Gesetz zur Veröffentlichung von Sicherheitsvorfällen
- Regelungen, dass neu angeschlossene Geräte per Default abgesichert sein müssen
- Hersteller sollen für ungepatchte Software verantwortlich gemacht werden
Insgesamt ein eindrucksvoller Forderungskatalog. Ich war beim Lesen wirklich überrascht und beeindruckt.
Der letzte Punkt ist natürlich ein ganz heißes Eisen. Zur Zeit stehlen sich die Anbieter von Software aus der Verantwortung, weil sie jede Haftung für Fehler in den Lizenzbedingungen ausschließen können. Microsoft hat beispielsweise noch nie für einen Software-Fehler haften müssen, egal wie hoch der Schaden war. Autohersteller zum Beispiel können von so einer Welt nur träumen. Selbst wenn die Haftung auf den Anschaffungspreis begrenzt wäre, eine sinnvolle Lösung, um z.B. freie und Open Source Software nicht zu sehr einzuschränken, wäre das Interesse des Herstellers, mehr in die Sicherheit seiner Produkte und etwas weniger in die reinen Funktionen zu investieren auf einen Schlag gewaltig.
Und das ist natürlich nicht national durchsetzbar, mit der inkompetenten Politikerkaste in Deutschland schon gar nicht. Eine Europäische Union, die gegen Microsoft ein Bußgeld von 497 Millionen Euro in der ersten und 899 Millionen Euro in der zweiten Runde verhängen konnte, ist jedoch ein ganz anderer Gesprächspartner.
Mitautor war übrigens Rainer Böhme von der TU Dresden, das ist jemand, den man in den nächsten Jahren im Auge behalten sollte.
11. März 2008
Die Zeit hat (schon vor einigen Tagen) einen sehr schönen und fundiert argumentierten Beitrag von Kai Biermann zum Grundsatzurteil des Bundesverfassungsgerichts betreffend Online-Durchsuchung veröffentlicht. Auf diesem Niveau kann man sonst höchstens noch Heribert Prantl oder Hans Leyendecker, beide bei der Süddeutschen Zeitung lesen.
Im Kern geht es um das neue „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“. Das bedeutet vermutlich mehr, als uns allen zur Zeit bewusst ist. Natürlich ist das IT-Grundrecht erst einmal ein Abwehrrecht gegen staatliche Begierde in Person eines paranoiden Rollstuhlfahrers.
Doch das neue Recht betrifft nicht nur den Staat. Grundrechte schützen beispielsweise auch vor dem Nachbarn, dem Arbeitgeber oder dem Ehepartner. Möglicherweise ist eine Folge dieses neuen Grundrechts, dass der Arbeitgeber private Daten eines Arbeitnehmers auch dann nicht mehr betrachten dürfen, wenn private Nutzung ausdrücklich verboten ist. Was ist mit Logfiles, z.B. auf Web- und Mailservern? Von all dem konnte ich bisher nur in der Zeit lesen.
Ich denke, das neue IT-Grundrecht wird noch spannend.
10. März 2008
Ich weiß ja nicht mehr so recht, welcher Behörde man denn in Deutschland überhaupt noch vertrauen kann. Das Bundesamt für Sicherheit in der Informationstechnik hat eigentlich immer einen recht seriösen Eindruck gemacht (auch wenn es Vermutungen und Gerüchte gibt, dass es da auch eine „Schwarze Kammer“ gibt, die z.B. Verschlüsselung bricht und für die BRD spioniert). Inzwischen bin ich mir da aber auch nicht mehr sicher.
Der konkrete Anlass sind die Vorträge des BSI auf der CeBIT zum neuen elektronischen Reisepaß. Die Kernaussage des BSI ist dabei, trotz RFID ist alles gut und sicher und da kann überhaupt nichts passieren. Immerhin habe man ja die Entropie (das ist sowas wie die Schlüssellänge bei der Verschlüsselung) von 35 auf 45 Bit erhöht.
Der Präsident des Bundeskriminalamts Jörg Ziercke, von dem ich ja glaube, dass er sich in der Bundestrojanerdiskussion dümmer stellt als er ist und der bezüglich Reisepass bestimmt sehr gut informiert ist, sieht das jedenfalls anders. Immerhin führt Ziercke seinen Pass nur in einer Schutzhülle mit, die elektromagnetische Abstrahlung z.B. von einem RFID-Chip verhindert.
Ebenfalls sehr seltsam ist, dass Diplomatenpässe, angeblich wegen der besonderen Gefährdungslage (ich frage mich ja, wieso ein Diplomat z.B. in Brüssel besonders gefährdet sein soll … und warum ein Soldat in Afghanistan das nicht sein soll …) ohne RFID-Chip ausgestellt werden. Auch hier gehe ich davon aus, dass das Auswärtige Amt nicht unnötig Panik verbreiten will sondern von einer konkreten Gefährdung weiß.
Entweder … ist BKA-Präsident Ziercke ein paranoider Spinner der sich unnötig Gedanken um Bürgerrechte macht und das Auswärtige Amt beteiligt sich an unsinniger Panikverbreitung … oder das BSI lügt.
Ihr könnt es Euch aussuchen.
9. März 2008
Die erste Runde im Kampf gegen den § 202c StGB ist offensichtlich vorbei, allerdings ist für keine Seite ein Punktsieg, geschweige denn ein K.O. ersichtlich. Da es inzwischen in der Presse recht ruhig geworden ist, möchte ich hier kurz zusammenfassen wie der Stand zur Zeit ist.
Unverbindliche Meinung des Bundesjustizministeriums
Das Bundesjustizministerium, insbesondere Frau Zypries bestätigt jedem, der es gar nicht wissen will, dass Security-Programme natürlich weiterhin legal sind und eingesetzt werden dürfen. Ich habe hier einerseits das Schreiben des Bundesministeriums der Justiz an EC-Council vertreten durch Herrn Kistemaker zur Legalität des Certified Ethical Hacker Seminars, das SSR-I für EC-Council in Europa anbietet (PDF-Schreiben, 50 KB). Außerdem bestätigt Frau Zypries persönlich dem Dachverband der IT-Revisoren in Deutschland ISACA (PDF-Schreiben, 1,5 MB), dass bei der Nutzung von Hacking-Tools zur Sicherheitsüberprüfung kein Problem vorliegt. Das klingt ja alles ganz gut, berücksichtigt aber zwei mögliche Probleme nicht.
1. Wollen wir dem BMJ wirklich vertrauen?
Hat das Bundesjustizministerium und im besonderen Frau „ich habe keine Ahnung“ Zypries überhaupt Ahnung wovon sie reden? Ich möchte hier nur mal das Beispiel der Widerrufsbelehrung bei Online-Verkäufen nennen. Da gibt es sogar eine offizielle amtliche, vom Bundesjustizministerium herausgegebene angeblich rechtssichere Widerrufsbelehrung. Aber nur angeblich rechtssicher. Das Landgericht Halle (Az. 1 S 28/05) hat geurteilt, die amtliche Widerrufsbelehrung genügt nicht den gesetzlichen Vorgaben. Oder anders ausgedrückt, das BMJ ist nicht einmal in der Lage, die eigenen Gesetze richtig zu verstehen und anzuwenden. In die Abmahnfalle ist insbesondere die Staatsanwaltschaft Magdeburg getappt. Selbst die beamteten Juristen verstehen die Gesetze nicht mehr. Und da sollen wir der unverbindlichen Aussage von Frau Zypries vertrauen? Persönliche Amtshaftung für Falschaussagen wäre hier sinnvoll und notwendig. Ein zweites Beispiel ist die Anwendung des Bundesdatenschutzgesetzes im Bundesjustizministerium. Auch hier hat das BMJ den Inhalt des selbst geschriebenen Gesetzes nicht verstanden und konnte (oder wollte) es nicht richtig anwenden. Erst nach Androhung von Haft und Ordnungsgeld sah sich das BMJ veranlasst, Gesetze einzuhalten. Wundert sich hier eigentlich noch irgendjemand über Steuerhinterzieher?
2. Ungelöste Rechtsfragen
Der § 202c StGB sieht insbesondere auch Strafen für denjenigen vor, der anderen die Tools zur Verfügung stellt (wörtlich: „einem anderen überlässt“). Ich kann leider die Gesinnung der Schulungsteilnehmer meiner Hacking-Seminare nicht überprüfen. Was ist, wenn ein Teilnehmer bereit ist, ein paar Tausend Euro zu investieren um später damit illegale Handlungen durchzuführen? Sozusagen den Kurs im Wissen bucht, die dadurch erlernten Techniken und die erhaltenen Programme zu illegalen Zwecken einsetzen zu wollen. Klar, jeder Teilnehmer muss unterschreiben, dass er das nicht tut aber who cares. Leider treffen die Schreiben des BMJ hierzu keine Aussage, die Rechtsunsicherheit bleibt.
Tecchannel Anzeige gegen das BSI
Die Zeitschrift Tecchannel hatte im September Strafanzeige gegen das Bundesamt für Sicherheit in der Informationstechnik wegen Verbreitung von Hackingtools (Verstoß gegen § 202c StGB) gestellt, insbesondere wird (immer noch) das Programm „John the Ripper“ auf der Webseite des BSI zum Download angeboten. Die Staatsanwaltschaft Bonn will die Anzeige gegen das BSI jedoch nicht weiter verfolgen. Die Begründung erscheint etwas hanebüchen, die Staatsanwaltschaft schreibt, dass das Setzen eines Links nicht strafbar sei. Offensichtlich verkennen die Beamten, dass das BSI nicht nur einen Link setzt sondern direkt die Software auf der eigenen Webseite vorhält und zum Download anbietet. Alternativ könnte man den Bonner Beamten auch unterstellen, dass sie sich nicht trauen, sich mit dem mächtigen BSI anzulegen. Tecchannel hat daher Beschwerde beim Leitenden Oberstaatsanwalt am Landgericht Bonn eingelegt. Bisher gab es keine weiteren Neuigkeiten.
Selbstanzeige von Michael Kubert
Der Informatiker Michael Kubert hat sich selbst wegen Verstoß gegen § 202c angezeigt, da er auf seiner Homepage „Hackertools“ veröffentlicht und verbreitet. Die Anzeige wurde von der Staatsanwaltschaft Mannheim mit Bescheid vom 13. Februar 2008 eingestellt. Als Begründung wurde angegeben, das Programm sei „lediglich zum Zwecke der Tests durch Administratoren geeignet […]“. Auch hier lässt die Begründung nach Ansicht von Michael Kubert zu wünschen übrig. Insbesondere bedauert Kubert, „dass die Einstellung mehr mit den Erkenntnissen der Kripo begründet wurde als mit dem § 202c StGB“.
Verfassungsbeschwerde der VisuKom
Die VisuKom GmbH hat Verfassungsbeschwerde (Aktenzeichen BVR 2233/07) gegen den § 202c eingelegt (PDF der Pressemitteilung). Ob sich die Firma davon wirklich was verspricht oder es sich dabei hauptsächlich um eine Marketingaktion handelt ist mir nicht ganz klar. Pressewirksam war die Aktion auf jeden Fall. Ob was sinnvolles herauskommt wage ich zu bezweifeln. In der Liste der geplanten Urteile für 2008 des BVG ist das Aktenzeichen jedenfalls nicht enthalten. Hier passiert offensichtlich in absehbarer Zeit auch nichts.
EICAR Gutachten zum § 202c
Die EICAR European Expert Group for IT-Security, die u.a. den EICAR-Testvirus entwickelte, hat auf ihrer Webseite ein Gutachten zu den Konsequenzen des § 202c (PDF, 226 KB) für Sicherheits- und Penetrationstestunternehmen veröffentlicht. Eine Rechtssicherheit kann ein solches Gutachten natürlich auch nicht herstellen, es liefert jedoch ein paar Anhaltspunkte, wie man aus der möglichen Strafbarkeit herauskommt:
- Sorgfalt: „Im Umgang mit Hackertools und Malware, die zu Testzwecken beschafft oder erstellt wird, ist besondere Sorgfalt geboten. Solche Software sollte an niemanden weitergegeben werden, bei dem nicht sicher ist, dass er die Software zu gutartigen Testzwecken einsetzen will.“
- Dokumentation: „Wenn ein Hackertool oder Malware beschafft – gleichgültig, ob kostenlos oder kommerziell – oder erstellt wird, sollte nachvollziehbar protokolliert werden, für welche Test- und Sicherheitszwecke das Programm beschafft wird und welche Verwendung des Programms vorgesehen ist. Aus der Dokumentation sollte sich zweifelsfrei ergeben, dass die Software nicht beschafft wurde, um Straftaten zu begehen, sondern um gutartige Tätigkeiten auszuüben.“
- Einwilligung: „Liegt von dem jeweils Berechtigten, auf dessen Computersysteme oder Daten zu Testzwecken Angriffe verübt werden sollen, eine Einwilligung in die Maßnahmen vor, so entfällt die Strafbarkeit der vorbereiteten Tat und mithin auch die Strafbarkeit der Vorbereitung. Die Einwilligung sollte möglichst schriftlich erfolgen und hinreichend konkret die Maßnahmen nennen, in die eingewilligt wird.“
Bei einer Beachtung dieser Punkte scheint eine konkrete Strafbarkeit weitestgehend ausgeschlossen.
KES-Artikel von Thomas Feil
[wird nachgetragen, ich habe die KES gerade nicht zur Hand]
Zusammenfassung
Offensichtlich handeln die Staatsanwaltschaften in Deutschland mit mehr Augenmaß und Sachverstand als das Bundesjustizministerium beim Schreiben der Gesetze. Im Moment sieht es jedenfalls nicht so aus, als würde die befürchtete massive Überkriminalisierung der Administratoren und IT-Sicherheitsdienstleister stattfinden. Das kann sich jedoch schnell ändern, beispielsweise falls massive Hackerangriffe auf kritische Infrastrukturen stattfinden sollten. Die benötigte Rechtssicherheit ist leider weiterhin nicht in Sicht.
Falls ich wichtige Informationen zum § 202c übersehen haben sollte, bitte ich um kurze Mitteilung in den Kommentaren, ich werden die Infos dann nachtragen.
28. Februar 2008
Anmerkung: Der folgende Beitrag hat mit IT-Sicherheit eigentlich nicht mehr viel zu tun. Er zeigt jedoch, dass einfaches Footprinting d.h. ein paar Informationen von Denic und aus dem Telefonbuch zusammengesucht bereits genügen, potentielle Skandälchen aufzudecken. Falls Euch das nicht interessiert, einfach überlesen.
Hier in Bayern sind wir ja viel gewohnt, auch wenn es nach Franz-Josef schon ein wenig besser geworden ist. Aber ab und an verwechseln einzelne Mitglieder der CSU anscheinend immer noch, dass der Freistaat und die Partei nicht ganz identisch sind.
Aktueller Fall: der Regensburger Oberbürgermeister Hans Schaidinger.
Wir werfen einen Blick auf die Domain schaidinger.de, Denic hilft uns hier bestens weiter:
Domaininhaber: Hans Schaidinger, [gekürzt], Regensburg
Ich vermute, das ist die Privatadresse des Herrn Schaidinger. Dagegen ist natürlich nichts einzuwenden, wenn er eine Domain auf seinen Namen reserviert. Schauen wir jedoch mal, wer die Domain verwaltet.
Administrativer Ansprechpartner: Oberbürgermeister Hans Schaidinger, Minoritenweg 8-10, 93047 Regensburg
Sehr interessant. Im Minoritenweg 8-10 befindet sich nach meinen Informationen das neue Rathaus der Stadt Regensburg. Der Amtssitz des Bürgermeisters ist jedoch im alten Rathaus. Im Minoritenweg sitzt statt dessen das Amt 17 IuK, das u.a. für die IT der Stadt Regensburg zuständig ist. Anscheinend lässt der feine Herr Oberbürgermeister seine private Domain von der Stadt Regensburg betreiben.
Man könnte jetzt vielleicht noch einwenden, dass der Oberbürgermeister ein Amtsträger ist und auf seiner Seite nur Informationen über seine Amtsführung zu finden ist. Dem ist nur leider nicht so. Statt dessen leitet die Seite schaidinger.de direkt auf die Seite der CSU Regensburg um. Eine persönliche Wahlwerbung des Herrn Schaidinger und der CSU.
Aus meiner Sicht riecht das verdächtig nach einer möglichen Veruntreuung von Mitteln der Stadt Regensburg für private Zwecke des Herrn Schaidinger. Der Schwabe würde sagen, das hat ein „Gschmäckle“. Interessant wäre jetzt eigentlich noch herauszufinden, ob das Amt 17 auch die Denic-Gebühren für die Domain bezahlt. Dann ist das eindeutig. Als Provider und Zonenverwalter fungiert zufällig R-Kom, der städtische Internetprovider, da schließt sich dann auch der Kreis.
Andere Politiker sind mit solchen Sachen etwas vorsichtiger. Die persönliche Webseite unserer Bundeskanzlerin angela-merkel.de beispielsweise gehört der CDU und wird auch von der Partei bezahlt. Schließlich wird sie ja auch für Parteiwerbung eingesetzt. Aber aus der Regensburger CSU sind wir in letzter Zeit ja einiges gewohnt. Wirklich Schaden wird es der CSU jedoch nicht. Alles unter 50% für Schaidinger wäre im tiefschwarzen Regensburg schon eine besondere Überraschung.
Mir persönlich ist es ja egal, wer in Regensburg Oberbürgermeister wird aber vielleicht sollte man ein paar Politikern nochmal erklären wie das so ist mit dem Internet, dem Denic, den IP-Adressen und dem Ausdrucken von Webseiten.
Nachtrag:
Wie von Hans Dampf im Kommentar als erstes bemerkt, ist inzwischen (Stand: 10.03.2008) Herr Schaidinger persönlich und nicht mehr das Amt 17 als Administrativer Ansprechpartner bei Denic eingetragen.
27. Februar 2008
Das Bundesverfassungsgericht hat heute das Urteil zur Online-Durchsuchung verkündet und anscheinend sind alle begeistert und zufrieden.
Der GröIaZ Wolfgang Schäuble ist zufrieden, weil das BVG die Online-Durchsuchung nicht komplett verboten hat. Alle rechtschaffenden Demokraten in der BRD wie z.B. der CCC sind zufrieden, weil das BVG (relativ) hohe Schranken eingebaut hat. So braucht es einen konkreten Verdacht, nicht nur eine abstrakte Gefährdung und natürlich gibt es den Richtervorbehalt. Die Süddeutsche Zeitung geht sogar soweit, das Urteil des BVG mit dem „Volkszählungsurteil“ gleichzusetzen. Damals wurde die „Informationelle Selbstbestimmung“ als Grundrecht eingeführt, heute ein „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“. Die Hürde für eine Online-Durchsuchung ist faktisch damit sogar höher als für eine Hausdurchsuchung.
Ist also alles in Ordnung?
Meiner Meinung nach nein. Das Bundesverfassungsgericht bricht ohne Not mit diesem Urteil mit einem wichtigen nach 1945 eingeführten Grundsatz: Durchsuchungen dürfen nicht heimlich sein. Bei einer Hausdurchsuchung kann der Betroffene einen Zeugen hinzuziehen, in Abwesenheit ist die Durchsuchung nur in Beisein eines Zeugen zulässig. Gut, die Rechtspraxis sieht geringfügig anders aus aber immerhin. Mit dem heutigen Urteil ist zum ersten Mal in der Nachkriegsgeschichte in Westdeutschland wieder eine heimliche Durchsuchung wenn auch vorläufig nur Online zulässig. Vor der Heimlichkeit schützt auch der Richtervorbehalt nicht. Das ist ganz in der Tradition der Gestapo und der Stasi.
Natürlich werden wir erst in einigen Jahren sehen, wie sich die Online-Durchsuchung weiterentwickelt. Ich erwarte aber, da heimliche Durchsuchungen prinzipiell ja verfassungsgemäß sind, dass es zukünftig auch heimliche Hausdurchsuchungen gibt. Und für den Richtervorbehalt lässt sich bestimmt notfalls ein Geheimgericht einrichten. Die USA haben uns das mit dem „National Security Letter“ und dem „FISA Geheimgericht“ bereits vorgemacht.
Meine Vorhersage lautet: dieses Urteil wird im Rückblick trotz aller Freude, den Überwachungsirrsinn des Bundesinnenministers heute ein wenig eingedämmt zu haben als Dammbruch zur heimlichen Durchsuchung gewertet werden. Und ich fürchte, der Antidemokrat Schäuble freut sich auch deshalb weil er das sofort erkannt hat.
