9. März 2008
Google Hacking wird offensichtlich immer wichtiger. Viele angreifbare Webseiten lassen sich mit trivialen Google-Anfragen finden und auch vertrauliche Informationen tauchen gerne mal bei Google auf. Bisher war die Standardreferenz die Webseite I Hack Stuff von Johnny Long sowie sein Vortrag auf der Black Hat Europe 2005 (PDF). Von ihm stammt auch die Original Google Hacking Database.
Inzwischen gibt es auch Interfaces zur Google Hacking Database:
Das „offizielle“ Online-Portal scheint Gnucitizen zusammengestellt zu haben. Dort nennt sich die Seite GHDB v1.0a mit dem Untertitel „The online Google Hacking, Ethical Penetration Testing Tool (v1.0a)“. In der linken Menüleiste tauchen immer die neuesten Google Dorks auf. Allerdings kann man hier auch nicht mehr machen als direkt mit der Google-Webseite.
Einen anderen Ansatz verfolgt die Cult of the Dead Cow (cDc), von denen vor Jahren auch BackOrifice entwickelt wurde. Mit dem Goolag-Scanner den man sich auf der Seite Goolag.org herunterladen kann besteht die Möglichkeit, direkt Anfragen an Google zu schicken und auswerten zu lassen. Sogar Bruce Schneier ist beeindruckt.
Ebenfalls von Johnny Long gibt es Gooscan für Linux. Johnny bezeichnet das Programm als „cgi-scanner“, der jedoch nie im Logfile des untersuchten Webservers auftaucht sondern alle Anfragen via Google schickt.
Heise UK geht inzwischen sogar der Frage nach ob Google Scanning legal ist. Insbesondere das US-Recht hat gelegentlich seltsame Vorstellungen von „Trespassing“, so wurde David Ritz in North Dakota verurteilt, der unerlaubt einen DNS Zonentransfer durchgeführt hat. In Deutschland stellt sich die Frage in dieser Form nicht, der relevante § 202a StGB „Ausspähen von Daten“ verlangt, dass die Daten geschützt sind.
Die erste Runde im Kampf gegen den § 202c StGB ist offensichtlich vorbei, allerdings ist für keine Seite ein Punktsieg, geschweige denn ein K.O. ersichtlich. Da es inzwischen in der Presse recht ruhig geworden ist, möchte ich hier kurz zusammenfassen wie der Stand zur Zeit ist.
Unverbindliche Meinung des Bundesjustizministeriums
Das Bundesjustizministerium, insbesondere Frau Zypries bestätigt jedem, der es gar nicht wissen will, dass Security-Programme natürlich weiterhin legal sind und eingesetzt werden dürfen. Ich habe hier einerseits das Schreiben des Bundesministeriums der Justiz an EC-Council vertreten durch Herrn Kistemaker zur Legalität des Certified Ethical Hacker Seminars, das SSR-I für EC-Council in Europa anbietet (PDF-Schreiben, 50 KB). Außerdem bestätigt Frau Zypries persönlich dem Dachverband der IT-Revisoren in Deutschland ISACA (PDF-Schreiben, 1,5 MB), dass bei der Nutzung von Hacking-Tools zur Sicherheitsüberprüfung kein Problem vorliegt. Das klingt ja alles ganz gut, berücksichtigt aber zwei mögliche Probleme nicht.
1. Wollen wir dem BMJ wirklich vertrauen?
Hat das Bundesjustizministerium und im besonderen Frau „ich habe keine Ahnung“ Zypries überhaupt Ahnung wovon sie reden? Ich möchte hier nur mal das Beispiel der Widerrufsbelehrung bei Online-Verkäufen nennen. Da gibt es sogar eine offizielle amtliche, vom Bundesjustizministerium herausgegebene angeblich rechtssichere Widerrufsbelehrung. Aber nur angeblich rechtssicher. Das Landgericht Halle (Az. 1 S 28/05) hat geurteilt, die amtliche Widerrufsbelehrung genügt nicht den gesetzlichen Vorgaben. Oder anders ausgedrückt, das BMJ ist nicht einmal in der Lage, die eigenen Gesetze richtig zu verstehen und anzuwenden. In die Abmahnfalle ist insbesondere die Staatsanwaltschaft Magdeburg getappt. Selbst die beamteten Juristen verstehen die Gesetze nicht mehr. Und da sollen wir der unverbindlichen Aussage von Frau Zypries vertrauen? Persönliche Amtshaftung für Falschaussagen wäre hier sinnvoll und notwendig. Ein zweites Beispiel ist die Anwendung des Bundesdatenschutzgesetzes im Bundesjustizministerium. Auch hier hat das BMJ den Inhalt des selbst geschriebenen Gesetzes nicht verstanden und konnte (oder wollte) es nicht richtig anwenden. Erst nach Androhung von Haft und Ordnungsgeld sah sich das BMJ veranlasst, Gesetze einzuhalten. Wundert sich hier eigentlich noch irgendjemand über Steuerhinterzieher?
2. Ungelöste Rechtsfragen
Der § 202c StGB sieht insbesondere auch Strafen für denjenigen vor, der anderen die Tools zur Verfügung stellt (wörtlich: „einem anderen überlässt“). Ich kann leider die Gesinnung der Schulungsteilnehmer meiner Hacking-Seminare nicht überprüfen. Was ist, wenn ein Teilnehmer bereit ist, ein paar Tausend Euro zu investieren um später damit illegale Handlungen durchzuführen? Sozusagen den Kurs im Wissen bucht, die dadurch erlernten Techniken und die erhaltenen Programme zu illegalen Zwecken einsetzen zu wollen. Klar, jeder Teilnehmer muss unterschreiben, dass er das nicht tut aber who cares. Leider treffen die Schreiben des BMJ hierzu keine Aussage, die Rechtsunsicherheit bleibt.
Tecchannel Anzeige gegen das BSI
Die Zeitschrift Tecchannel hatte im September Strafanzeige gegen das Bundesamt für Sicherheit in der Informationstechnik wegen Verbreitung von Hackingtools (Verstoß gegen § 202c StGB) gestellt, insbesondere wird (immer noch) das Programm „John the Ripper“ auf der Webseite des BSI zum Download angeboten. Die Staatsanwaltschaft Bonn will die Anzeige gegen das BSI jedoch nicht weiter verfolgen. Die Begründung erscheint etwas hanebüchen, die Staatsanwaltschaft schreibt, dass das Setzen eines Links nicht strafbar sei. Offensichtlich verkennen die Beamten, dass das BSI nicht nur einen Link setzt sondern direkt die Software auf der eigenen Webseite vorhält und zum Download anbietet. Alternativ könnte man den Bonner Beamten auch unterstellen, dass sie sich nicht trauen, sich mit dem mächtigen BSI anzulegen. Tecchannel hat daher Beschwerde beim Leitenden Oberstaatsanwalt am Landgericht Bonn eingelegt. Bisher gab es keine weiteren Neuigkeiten.
Selbstanzeige von Michael Kubert
Der Informatiker Michael Kubert hat sich selbst wegen Verstoß gegen § 202c angezeigt, da er auf seiner Homepage „Hackertools“ veröffentlicht und verbreitet. Die Anzeige wurde von der Staatsanwaltschaft Mannheim mit Bescheid vom 13. Februar 2008 eingestellt. Als Begründung wurde angegeben, das Programm sei „lediglich zum Zwecke der Tests durch Administratoren geeignet […]“. Auch hier lässt die Begründung nach Ansicht von Michael Kubert zu wünschen übrig. Insbesondere bedauert Kubert, „dass die Einstellung mehr mit den Erkenntnissen der Kripo begründet wurde als mit dem § 202c StGB“.
Verfassungsbeschwerde der VisuKom
Die VisuKom GmbH hat Verfassungsbeschwerde (Aktenzeichen BVR 2233/07) gegen den § 202c eingelegt (PDF der Pressemitteilung). Ob sich die Firma davon wirklich was verspricht oder es sich dabei hauptsächlich um eine Marketingaktion handelt ist mir nicht ganz klar. Pressewirksam war die Aktion auf jeden Fall. Ob was sinnvolles herauskommt wage ich zu bezweifeln. In der Liste der geplanten Urteile für 2008 des BVG ist das Aktenzeichen jedenfalls nicht enthalten. Hier passiert offensichtlich in absehbarer Zeit auch nichts.
EICAR Gutachten zum § 202c
Die EICAR European Expert Group for IT-Security, die u.a. den EICAR-Testvirus entwickelte, hat auf ihrer Webseite ein Gutachten zu den Konsequenzen des § 202c (PDF, 226 KB) für Sicherheits- und Penetrationstestunternehmen veröffentlicht. Eine Rechtssicherheit kann ein solches Gutachten natürlich auch nicht herstellen, es liefert jedoch ein paar Anhaltspunkte, wie man aus der möglichen Strafbarkeit herauskommt:
- Sorgfalt: „Im Umgang mit Hackertools und Malware, die zu Testzwecken beschafft oder erstellt wird, ist besondere Sorgfalt geboten. Solche Software sollte an niemanden weitergegeben werden, bei dem nicht sicher ist, dass er die Software zu gutartigen Testzwecken einsetzen will.“
- Dokumentation: „Wenn ein Hackertool oder Malware beschafft – gleichgültig, ob kostenlos oder kommerziell – oder erstellt wird, sollte nachvollziehbar protokolliert werden, für welche Test- und Sicherheitszwecke das Programm beschafft wird und welche Verwendung des Programms vorgesehen ist. Aus der Dokumentation sollte sich zweifelsfrei ergeben, dass die Software nicht beschafft wurde, um Straftaten zu begehen, sondern um gutartige Tätigkeiten auszuüben.“
- Einwilligung: „Liegt von dem jeweils Berechtigten, auf dessen Computersysteme oder Daten zu Testzwecken Angriffe verübt werden sollen, eine Einwilligung in die Maßnahmen vor, so entfällt die Strafbarkeit der vorbereiteten Tat und mithin auch die Strafbarkeit der Vorbereitung. Die Einwilligung sollte möglichst schriftlich erfolgen und hinreichend konkret die Maßnahmen nennen, in die eingewilligt wird.“
Bei einer Beachtung dieser Punkte scheint eine konkrete Strafbarkeit weitestgehend ausgeschlossen.
KES-Artikel von Thomas Feil
[wird nachgetragen, ich habe die KES gerade nicht zur Hand]
Zusammenfassung
Offensichtlich handeln die Staatsanwaltschaften in Deutschland mit mehr Augenmaß und Sachverstand als das Bundesjustizministerium beim Schreiben der Gesetze. Im Moment sieht es jedenfalls nicht so aus, als würde die befürchtete massive Überkriminalisierung der Administratoren und IT-Sicherheitsdienstleister stattfinden. Das kann sich jedoch schnell ändern, beispielsweise falls massive Hackerangriffe auf kritische Infrastrukturen stattfinden sollten. Die benötigte Rechtssicherheit ist leider weiterhin nicht in Sicht.
Falls ich wichtige Informationen zum § 202c übersehen haben sollte, bitte ich um kurze Mitteilung in den Kommentaren, ich werden die Infos dann nachtragen.