Rechtliche Lage bei shodan.io Suchmaschine und offen zugänglichen Servern

Hallo erstmal.

Ich weiss nicht genau wo ich das hier reinstellen soll, auf diesem "Hackerboard" gibt es ja komischerweise keine Kategorie Internetrecht (?? wtf ??). Wenns falsch platziert ist bitte einfach verschieben.

Es geht um die IoT-Suchmaschine Shodan.io. Ich soll, mit 2 anderen, zwecks IT-Sec. Studium ein Referat zu dem Thema vorbereiten. Wir sollen auch Anwendungsbeispiele bringen, uns aber natürlich an geltendes Gesetz halten.
Jetzt ist mir nicht ganz klar wie weit ich gehen darf und ab wann es illegal wird. Klar ist mir dass ich keine passwortgesicherten Zugänge zu Webcams, Scada Systemen oder ähnlichem knacken darf. Aber vieles von dem was man so findet ist ja eben nicht passwortgeschützt und man kann oftmals einfach über http eine Verbindung zum Webserver aufrufen und hat einen Livestream zu einer Überwachungskamera, völlig ohne Authentifizierung. So gesehen ist das ja nicht anders als eine beliebige andere Website aufzurufen oder irre ich mich? Auch interressiert mich wie es sich mit ftp-Servern verhält auf welchen der anonymous Zugang möglich ist. Ist es legal hier eine Verbindung aufzubauen und upload/download zu betreiben? Auch interressiert mich wie es mit Ordner/Dateifreigaben per Samba/NAS ist. Man findet ja allerlei bei youtube wo gezeigt wird wie man über den Explorer plötzlich auf der Platte eines fremden landet und dessen Fotos, Videos, etc einsehen kann, natürlich auch ohne irgendein Passwort knacken zu müssen. Bei unserer Präsentation würde das natürlich super kommen wenn wir ein Büro per Kamera überwachen könnten, eine txt-Datei auf einen FTP Server eines Wasserkraftwerks hochladen könnten oder mal in den Homeordner eines Windowsusers reinschauen zu können, ohne seine Bilder anzuklicken natürlich. Es geht es uns nicht darum Schaden anzurichten. Es geht schlicht um die offensive Sicherheitsmethodik rund um Shodan und um mal zu zeigen was damit möglich ist ohne dabei eine Straftat zu begehen.

Ich habe bereits Google und die Forensuche hier befragt, habe aber nichts gefunden zur deutschen Rechtslage bezüglich Shodan.io. Über einen Link wo das Thema ausführlich behandelt wird wäre ich sehr dankbar.
Momentan sitz ich nämlich noch da und weiss nicht genau was ich machen darf und was nicht. Es kommt mir nämlich ziemlich strange vor irgendwelche Scada Anzeigen von amerikanischen Wasserkraftwerken da rauszukitzeln oder plötzlich einen Livestream zu einer Überwachungskamera eines holländischen Büromöbelherstellers zu bekommen. Meinen Offensive Security Prof. will ich nicht fragen, da es mir eigentlich möglich sein sollte selbst etwas zur rechtlichen Lage von Shodan.io recherchieren zu können:wall: Leider bin ich damit bislang auf Granit gestoßen.
Wäre dankbar für kompetente Antworten und oder Links.

MfG Der Neue :)
 
Ich weiss nicht genau wo ich das hier reinstellen soll, auf diesem "Hackerboard" gibt es ja komischerweise keine Kategorie Internetrecht (?? wtf ??). Wenns falsch platziert ist bitte einfach verschieben.
Das liegt daran, dass Internetrecht verschiedene Bereiche betreffen kann und daran, dass sich unser Board in erster Linie als Supportforum versteht.

Jetzt ist mir nicht ganz klar wie weit ich gehen darf und ab wann es illegal wird. Klar ist mir dass ich keine passwortgesicherten Zugänge zu Webcams, Scada Systemen oder ähnlichem knacken darf. Aber vieles von dem was man so findet ist ja eben nicht passwortgeschützt und man kann oftmals einfach über http eine Verbindung zum Webserver aufrufen und hat einen Livestream zu einer Überwachungskamera, völlig ohne Authentifizierung. So gesehen ist das ja nicht anders als eine beliebige andere Website aufzurufen oder irre ich mich?
Das ist für Webcams richtig. Allerdings ist es dennoch eine rechtliche Grauzone, da es sich hierbei laut Gesetz immer noch um "nicht für ihn bestimmte Daten aus einer nichtöffentlichen Datenübermittlung" handelt. Es gilt hier also eher "Wo kein Kläger, da kein Beklagter".

Auch interressiert mich wie es sich mit ftp-Servern verhält auf welchen der anonymous Zugang möglich ist. Ist es legal hier eine Verbindung aufzubauen und upload/download zu betreiben?
Hier verhält es sich ähnlich wie bei Webcams und die Frage ist, ob die Daten für die Öffentlichkeit bestimmt sind oder nicht.

Bei unserer Präsentation würde das natürlich super kommen wenn wir ein Büro per Kamera überwachen könnten, eine txt-Datei auf einen FTP Server eines Wasserkraftwerks hochladen könnten oder mal in den Homeordner eines Windowsusers reinschauen zu können, ohne seine Bilder anzuklicken natürlich.
Davon solltest du die Finger lassen. Denn es kann durchaus sein, dass der Upload von Dateien irgendwelche internen Geschäftsprozesse anstösst, die du nicht im Blick hast. Auch beim Zugriff auf Dateien eines anderen Users, selbst wenn sie durch seine eigene Dummheit frei zugänglich sind, sind dies "nicht für dich bestimmte Daten" laut Gesetz. Es muss also zumindest ein Einverständnis des Users vorliegen.

Es geht es uns nicht darum Schaden anzurichten. Es geht schlicht um die offensive Sicherheitsmethodik rund um Shodan und um mal zu zeigen was damit möglich ist ohne dabei eine Straftat zu begehen.
Wenn es um die reine Präsentation geht, solltest du entsprechende Test-Systeme (zum Beispiel in VMs) nutzen um den Zugriff vorzuführen. Dabei kannst du dann einfach auf ähnliche in Shodan gelistete Anwendungsfälle verweisen, ggf. mit den Hinweis darauf, dass es rechtlich nicht 100% gesichert ist, dass man die dortigen Informationen auch für einen Zugriff nutzen darf und dass man sich immer die Frage stellen muss, ob die Daten für die Öffentlichkeit bestimmt sind. Sind sie es nicht, dann ist eine kontaktbehaftete Analyse des Zugangs rechtlich theoretisch nicht erlaubt.

Offensive Security Prof. will ich nicht fragen, da es mir eigentlich möglich sein sollte selbst etwas zur rechtlichen Lage von Shodan.io recherchieren zu können:wall: Leider bin ich damit bislang auf Granit gestoßen.
Wäre dankbar für kompetente Antworten und oder Links.

In Sicherheit in vernetzten Systemen: 22. DFN-Konferenz - Google Books wird das Thema "rechtliche Grundlagen bei der Verwundbarkeitsanalyse" etwas angerissen. Darin wird auch aufgezeigt, dass die kontaktbehaftete Analyse rechtlich nicht ohne weiteres sauber durchführbar ist, weswegen auf Dienste wie Suchmaschinen ala Shodan zurückgegriffen wird um eine kontaktlose Analyse durchzuführen. D.h. du kannst Shodan nutzen um angreifbare Systeme zu finden, du darfst sie aber selbst nicht kontaktieren um die Schwachstelle zu verifizieren. Die dafür relevanten Gesetze sind §§ 202a - 202c StGB. Dort heisst es unter anderem:

Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft...

Das Problem ist, dass "nicht für ihn bestimmte Daten" ziemlich weit gefasst werden kann. Man kann aber zum Beispiel davon ausgehen, dass die Daten aus einer Überwachungskamera in einem Büro nicht für Leute ausserhalb des Büros bestimmt sind. Gleiches gilt für Daten auf einem Windows-Rechner eines anderen Users.

Und daher würde ich dir raten, dass du zum Vorführen von Verwundbarkeiten immer deine eigenen Systeme verwendest und lediglich auf mögliche Anwendungsfälle z.B. bei Shodan-Suchergebnissen verweist.
 
Dass man über eine IP einen Server ansteuern kann, ist in erster Linie kein Indiz dafür, dass dieser nicht für die Öffentlichkeit bestimmt ist. Einige mieten sich günstige Server und pachten Domains, die den Inhalt dieser Server verlinken oder einbinden. Generell sollte man aber bei solchen Suchen vorsichtig sein. Sind es sensible Daten, die Aufgrund von Unkenntnis nicht vor der öffentlichen Hand gesichert wurden, können trotzdem Zugriffsprotokollierungen aktiv sein. Diese lassen sich dann zurück verfolgen.

Über WHOIS Search, Domain Name, Website, and IP Tools - Who.is konnte man früher den Besitzer der Domain in Erfahrung bringen. Ich weiß nicht, ob das noch genauso ist, da sich auch hier die Gesetze im letzten Jahr ( Intervall(heute -365, heute) ) geändert haben. Du könntest netter Weise die Betreiber über die gefundene Sicherheitslücke informieren. :)
 
Hallo


Nur Not könntest du ja ansatt ne VM zu benutzen, ioT geräte kaufen und im Vortrag ein Szenario mit eben diesen Iot-Geräten demonstrieren. Intelleigfente Rolläden, Türschlösser, etc.. Du mußt ja füpr diese Sachen nciht unbedingt 1000€ oder mehr ausgeben, geht ja wohl auch billiger.

mfg
schwedenmann
 
Hallo


Nur Not könntest du ja ansatt ne VM zu benutzen, ioT geräte kaufen und im Vortrag ein Szenario mit eben diesen Iot-Geräten demonstrieren. Intelleigfente Rolläden, Türschlösser, etc.. Du mußt ja füpr diese Sachen nciht unbedingt 1000€ oder mehr ausgeben, geht ja wohl auch billiger.

mfg
schwedenmann
Raspberry Pi mit WLAN und Server, der extra Schlecht konfiguriert wurde. Gibt doch sicherlich "Test-Szenarien".. Btw. google mal nach "Uni Bremen Opferlamm"
 
Sind es sensible Daten, die Aufgrund von Unkenntnis nicht vor der öffentlichen Hand gesichert wurden, können trotzdem Zugriffsprotokollierungen aktiv sein. Diese lassen sich dann zurück verfolgen.

Das ist völlig schnurzpiepegal und es ist erstmal nicht verboten an das Netz angeschlossene Geräte zu kontaktieren.
Es gibt hier keine klare Linie. Letztendlich kommt es bei einem Straftatbestand darauf an, was du anstellst und oder vorhattest.
 
Es gibt hier keine klare Linie. Letztendlich kommt es bei einem Straftatbestand darauf an, was du anstellst und oder vorhattest.

Dachte ich auch mal, bis ich mich mit jemandem unterhielt, der rein für statistische Erhebungen Sicherheitsprobleme suchte. Derjenige machte mich darauf aufmerksam, dass es speziell in Deutschland einen Unterschied macht, ob man eine kontaktbehaftete Analyse oder eine kontaktlose Analyse durchführt. Denn die kontaktbehaftete Analyse ist bereits eine potentielle Straftat. Daher müssen Sicherheitsforscher in Deutschland darauf achten, dass sie eine kontaktlose Analyse nutzen, wenn sie solche Daten erfassen wollen.
 
Zurück
Oben