[HaBo]

fetzer

Anzeige

Hi,

http://www.ccc.de/
http://www.phenoelit.de/202/202.html
http://kismac.de/
http://thc.org/

Wer kommt als nächstes? Und vor allem: Wo soll das enden? Warum sehen die Politiker nicht, dass sich eine ganze "Szene" gegen sie und ihre Entscheidungen richtet? Haben die sich schon so weit von der Bevölkerung entfernt? So langsam reicht es auf jeden Fall. "Wer keine Ahnung hat soll einfach mal die Fresse halten" heisst es immer so schön. Das trifft es hier wohl voll auf den Punkt.
Eigentlich wollte ich hier in Deutschland studieren, jetzt muss ich mir überlegen, ob das letztendlich noch rechtlich legal ist, wenn ich mir zu Übungszwecken ein kleines Sicherheitstool programmier und es auch an andere weitergeben will.

ftx

Hiho,
so schlimm ist es in Deutschland sicherlich noch nicht. Ich gehe mal davon aus das du dich nicht ausreichend mit dem Thema "Hackerparagraph" beschäftigt hast, denn dann wüsstest du, dass Sicherheitswerkzeuge noch eingesetzt werden dürfen. Sie dürfen nur NICHT IN VERBINDUNG MIT EINER STRAFTAT EINGESETZT WERDEN.

(ACHTUNG BEISPIEL! KEINE FLAMES GEGEN MEIN BEISPIEL! es ist mir auf die schnelle nix besseres eingefallen )
Wenn jemand nmap einsetzt um zu schaun, welche Ports auf seinem Server offen sind ist dies legal! Wenn jemand aber nmap einsetzt um zu wissen welche Ports auf einem fremden Server offen sind und das dann auch ausnutzt, sprich eine Straftat begeht, ist nmap illegal.

Ich will dich mit dem Post nicht "angammeln" oder so, ich will nur darauf hinweisen, das man sich mit dem Thema tatsächlich mehr beschäftigen muss, als nur das schöne Bildchen auf "ccc.de" zu lesen.

fetzer

Ja sicher, und wer der Entwickler überwacht das? Ich kann nicht die Personen filtern, die mein Programm böswillig nutzen wollen. Das ist schlichtweg unmöglich. Und schon werde ich dann als Entwickler von Hackertools an die Wand gestellt? So kann das nicht gehen.
ich zitiere dir gerne nochmal den Absatz aus §202c:

Wenn ich ein Programm herstelle oder ein Tutorial schreibe, das gegen 202a und b verstößt mache ich mich strafbar. Und genau DAS trifft auf 90% der Hackertools und Hackertutorials zu.

Geh nicht davon aus Inwiefern sich der Hackerparagpraph letztendlich auswirkt wurde hier im übrigen schon diskutiert.

bitmuncher

Endlich mal jemand der es begriffen hat und nicht dem Schwachsinn, den der CCC verbreitet, hinterher rennt.

__________________

ftx

Natürlich überwacht kein Entwickler das. ABER der Hauptpunkt ist, wie gesagt, das es nur illegal ist wenn tatsächlich jemand damit was illegales macht.

Als Entwickler kannst du dafür nicht belangt werden.
Ich zitiere hier mal bitmuncher, der sich mit dem zuständigen Politiker in seinem Wahlbezirk in Verbindung gesetzt hatte:

Daraus kann man lesen, was ich schon erwähnte.

edit: hervorhebungen hinzugefügt

Malo

Das steht in §202, §202a und §202b. Aber in §202c wird die Herstellung und die Verbreitung solcher Software unter Strafe gestellt. Und damit befinden sich Hersteller von beispielsweise Portscannern in einer rechtlichen Grauzone: Es ist nicht verboten solange sie nicht die Absicht haben, Schaden damit anzurichten... Jetzt ist aber die Frage, wie man jemandem die Absicht nachweisen will. Reicht es als Absicht, wenn dem Entwickler bewusst ist, dass kriminelle Handlungen damit möglich sind? Ist es die Absicht, wenn sich auf dem Computersystem eines der Entwickler Emails befinden, die den Entwickler auffordern, ein Programm herzustellen, das zu illegalen Zwecken genutzt werden kann?

Hier ist ein rechtliches Wirrwarr. Und jetzt überlegen wir mal: Was würde sich ändern, wenn man §202c nicht eingeführt hätte? Niemand würde einen Aufstand machen, niemand müsste fürchten, einen juristische Schwierigkeiten (die meist mit viel Geld verbunden sind - Anwälte sind teuer!) und alles wär in Butter.
100%ig nachweisen kann man einem Entwickler wahrscheinlich in den aller, aller seltensten Fällen, dass eine illegale Absicht geplant war. Aber die rechtliche Unklarheit bedeutet auch, dass ein Richter das Gesetz anders deutet als es vielleicht der eine oder andere Politiker tat, der das Gesetz durchgewunken hat. Es ist einfach nicht absolut sicher, dass beispielsweise nmap vor Gericht x oder vor Gericht y als legal deklariert wird - und diese rechtliche Unklarheit ist das Problem. Dass Politiker es "nur gut meinten" reicht hier nicht. Ein Gericht wird die Sache im Zweifel deuten müssen...

ftx

Ich denke wir sind in Deutschland noch nicht da angekommen, dass man Menschen verklagen würde nur weil sie etwas wie einen Portscanner entwickelt haben. Um nochmal ein Beispiel zu bringen:
Wenn man jmd. deswegen verklagen würde, wäre es ja quasi so, als wenn man einen Messerschmied oder Jagdgewehrhersteller verklagen würde, weil sie Geräte herstellten, welche zu Straftaten missbraucht werden KÖNNTEN.

Ich traue unseren Gerichten in Deutschland eigentlich noch soviel Verstand zu, soetwas richtig zu entscheiden. Sicherlich ist das meine Subjektive Meinung, aber ehrlich gesagt kann ich mir nicht vorstellen das auch nur einer dafür verklagt werden könnte.

Malo

Ganz aktuell: http://www.heise.de/newsticker/meldung/94357/

Dort hatte ein Hacker PHP-Exploits veröffentlicht. Das passierte mit dem Ziel, andere User zu warnen und darauf hinzuweisen, damit diese entspr. beachtet werden. Was aber nun, wenn ihn jemand dafür verklagt hätte?
Das ist einfach eine rechtliche Grauzone - und die ist gefährlich. Und das ist das große Problem an der Sache.

bitmuncher

Wenn das Problem die rechtliche Grauzone wäre, müßte der normal denkende Mensch eigentlich ein Problem mit 2/3 unserer Gesetze haben.

__________________

ftx

@ bitmuncher: sehe ich genauso

Bei vielen Gesetzen kommt es erst auf die Gerichte an, denn da wird das Gesetz erst interprätiert und auf den vorliegen Sachverhalt angewendet. Denn man kann sogut wie nie, schon im vornherein Gesetze erstellen die auf ALLE Sachverhalte passen.
Es gibt Richtlinien und diese werden interprätiert und bei der Anwendung wird alles mögliche mit einbezogen, denn jede Straftat ist individuell und etwas für sich, jeder Täter hat eine andere Intention.
Soziales Umfeld usw. zählt ja auch noch alles mit rein.

Malo

Ihr wurdet sicherlich noch nie von der Polizei unschuldig einer Straftat bezichtigt, oder? Denn wer das schonmal war weiß i.d.R., was das für nen Stress bedeutet. Man macht sich Gedanken darüber, wie man den Anwalt finanzieren soll, welche Beweise gegen einen vorliegen, wie man mit Gegenbeweisen dagegenhalten kann. Die Leute um einen herum fangen auch leicht an zu reden, wenn die Polizei plötzlich vor der Tür steht - und wer nen Ruf zu verlieren hat (z.B. weil er eine politische Karriere macht oder weil er selbstständig ist) muss fürchten, einiges von seinem Ansehen einbußen zu müssen.
Ein großer Teil Angst schwirrt auch dabei mit. Und Angst ist auch der Grund, wieso Softwareentwickler oder Hacker aufhören, die jew. Software herzustellen oder zu verbreiten. Man kann sich eben nicht sicher sein.

t3rr0r.bYt3

man sollte vielleicht auch die veröffentlichung von exploits ansprechen. ich denke mal, diese dürften recht gut unter den paragraphen fallen, oder? schließlich ist ihr sinn ja kein anderer, als sicherheitslücken auszunutzen. (bitte hierüber diskutieren, ich hab d anicht allzulange überlegt).

demnach ist es uns deutschen ab sofort verboten, exploits zu programmieren und/oder zu verbreiten bzw. zu veröffentlichen? ehrlich gesagt, ich persönlich habe kein interesse an exploits, aber ich halte deren veröffentlichung doch für sehr wichtig für die sicherheit eines systems (eben weil die lücken dann gefixt werden müssen).

die frage ist, ob ein exploit nicht unter diesen paragraphen fällt, weil ein entwickler ihn selbst programmiert (als proof-of-concept. gut, das wird keiner machen, aber da stellt sich für mich die frage), oder weil ihn ein anderer programmiert, mit der absicht, das material dem entwickler (und meinetwegen NUR dem entwickler) zu verfügung zu stellen.

Malo

Erklärst du mir bitte mal, wie du Sicherheitslücken schließen willst, wenn du sie nicht kennst?
Man sollte lieber dankbar sein, dass es solche Leute gibt - denn diejenigen, die Exploits veröffentlichen machen das System sicherer.

LX

Hmm, ob es ein System nun sicherer macht, wenn man einen Exploit veröffentlicht statt ihn nur dem Hersteller zu melden, ist mal arg fragwürdig. Das einzige, worüber man da diskutieren könnte, ist dass ein öffentlicher Exploit eine Art Druckmittel gegen Hersteller darstellt, die's mit der Fehlerbehebung in ihrer Software nicht so eilig haben...

__________________
"Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better."
- Samuel Beckett

JS BB LX UP

t3rr0r.bYt3

@Malo
ich glaube, du hast meinen post nicht verstanden - ich bin da genau deiner meinung.

@LX
ich sags mal so: eine theoretisch ausnutzbare lücke wird von vielen noch lange nicht als gefahr angesehen, eine proof-of-concept-implementierung schon. also ja, bestenfalls als druckmittel.

allerdings:

ich stelle die frage, ob es illegal ist, einen exploit zu entwickeln und ihm dann (gerne auch ausschließich) dem entwickler zu melden. (eine beschreibung des problems scheint einwandfrei legal zu sein, eine implementierung zumindest diskussionswürdig.) die bisher zitierten textstellen lassen das eigentlich eher nicht vermuten, aber teile kommen mir wieder als interpretationssache vor / sind zu schwammig.
ich habe das gefühl, das man da sehr leicht in einen fall gerät, in dem jemandem eine absicht zur straftat nicht nachweisen kann und er deswegen freigesprochen wird. inwiefern das gesetz dann überhaupt vernünftig angewendet werden kann, ist dann auch ein wichtiges thema.

und eine anderes beispiel, ich hab das mal im chat gebracht: ich hatte mal ein kleines programm zusammengehackt, das für ein forum statistiken erstellt und gepostet hat. irgendwann hat sich die forensoftware gändert, und damit kam mein programm nicht klar: es postete andauernd, sprich spam und eine art DoS-attacke.
absicht war das natürlich nicht, zeugen dafür gäbe es wohl genug in besagtem forum
allerdings, wie sieht das hier aus? das programm in seiner derzeitigen form dient genau dazu, das forum vollzuspammen und den server zu stressen. es hat auch rein garnichts mit sicherheitsanalyse oder soetwas zutun.

und eins noch:
wie das gesetz formuliert ist, wie es richterlich ausgelegt wird, und wie sich das noch ändert, bleibt mal offen. mautdaten sind ja auch nicht zur strafverfolgung gedacht gewesen *hust*.
das ganze erscheint mir wieder als purer aktionismus seitens der politik, um mithilfe von restriktiven gesetzen das allgemeine sicherheitsgefühl zu steigern, ohne wirklich sicherheit zu schaffen.
/edit: zumal in deutschland die strafverfolgung bei einem konkreten angriff ganze arbeit leistet, verbindungsdaten weren ja mitgeloggt. das ausland bleibt dann von deutschen gesetzen natürlich unbetroffen, "nur" die EU muss diese EU-richtlinie innerhalb der frisst umsetzen.