Industrie zieht sich zurück

[fetzer]

Hi,

http://www.ccc.de/
http://www.phenoelit.de/202/202.html
http://kismac.de/
http://thc.org/

Wer kommt als nächstes? Und vor allem: Wo soll das enden? Warum sehen die Politiker nicht, dass sich eine ganze "Szene" gegen sie und ihre Entscheidungen richtet? Haben die sich schon so weit von der Bevölkerung entfernt? So langsam reicht es auf jeden Fall. "Wer keine Ahnung hat soll einfach mal die Fresse halten" heisst es immer so schön. Das trifft es hier wohl voll auf den Punkt.
Eigentlich wollte ich hier in Deutschland studieren, jetzt muss ich mir überlegen, ob das letztendlich noch rechtlich legal ist, wenn ich mir zu Übungszwecken ein kleines Sicherheitstool programmier und es auch an andere weitergeben will.

 

[ftx]

Hiho,
so schlimm ist es in Deutschland sicherlich noch nicht. Ich gehe mal davon aus das du dich nicht ausreichend mit dem Thema "Hackerparagraph" beschäftigt hast, denn dann wüsstest du, dass Sicherheitswerkzeuge noch eingesetzt werden dürfen. Sie dürfen nur NICHT IN VERBINDUNG MIT EINER STRAFTAT EINGESETZT WERDEN.

(ACHTUNG BEISPIEL! KEINE FLAMES GEGEN MEIN BEISPIEL! es ist mir auf die schnelle nix besseres eingefallen )
Wenn jemand nmap einsetzt um zu schaun, welche Ports auf seinem Server offen sind ist dies legal! Wenn jemand aber nmap einsetzt um zu wissen welche Ports auf einem fremden Server offen sind und das dann auch ausnutzt, sprich eine Straftat begeht, ist nmap illegal.

Ich will dich mit dem Post nicht "angammeln" oder so, ich will nur darauf hinweisen, das man sich mit dem Thema tatsächlich mehr beschäftigen muss, als nur das schöne Bildchen auf "ccc.de" zu lesen.

 

[fetzer]

Sie dürfen nur NICHT IN VERBINDUNG MIT EINER STRAFTAT EINGESETZT WERDEN.

Ja sicher, und wer der Entwickler überwacht das? Ich kann nicht die Personen filtern, die mein Programm böswillig nutzen wollen. Das ist schlichtweg unmöglich. Und schon werde ich dann als Entwickler von Hackertools an die Wand gestellt? So kann das nicht gehen.
ich zitiere dir gerne nochmal den Absatz aus §202c:

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
[...]
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet
oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit
Geldstrafe bestraft.

Wenn ich ein Programm herstelle oder ein Tutorial schreibe, das gegen 202a und b verstößt mache ich mich strafbar. Und genau DAS trifft auf 90% der Hackertools und Hackertutorials zu.

Ich gehe mal davon aus das du dich nicht ausreichend mit dem Thema "Hackerparagraph" beschäftigt hast

Geh nicht davon aus Inwiefern sich der Hackerparagpraph letztendlich auswirkt wurde hier im übrigen schon diskutiert.

 

[bitmuncher]

Original von ftx
Sie dürfen nur NICHT IN VERBINDUNG MIT EINER STRAFTAT EINGESETZT WERDEN.

Endlich mal jemand der es begriffen hat und nicht dem Schwachsinn, den der CCC verbreitet, hinterher rennt.

 

[ftx]

Natürlich überwacht kein Entwickler das. ABER der Hauptpunkt ist, wie gesagt, das es nur illegal ist wenn tatsächlich jemand damit was illegales macht.

Als Entwickler kannst du dafür nicht belangt werden.
Ich zitiere hier mal bitmuncher, der sich mit dem zuständigen Politiker in seinem Wahlbezirk in Verbindung gesetzt hatte:

Zudem muss die Tathandlung zur Vorbereitung einer Computerstraftat (§§ 202a,
202b, 303a, 303b StGB) erfolgen. Das ist nicht der Fall, wenn das
Computerprogramm ? mag es auch den sonstigen Kriterien des § 202c StGB
unterfallen ? zum Zwecke der Sicherheitsüberprüfung oder zur Entwicklung von
Sicherheitssoftware erworben oder einem anderen überlassen wurde. Wenn also
in den Fällen des Testens der Sicherheit eines Systems oder des Entwickelns
von Sicherheitssoftware auch Schadprogramme erworben werden, dann erfolgt
dies nicht zur Vorbereitung einer Computerstraftat. Durch diese Handlung
wird gerade nicht eine eigene oder fremde Computerstraftat (also § 202a,
202b, 303a, 303b StGB) ermöglicht, da die Anwendung der Schadprogramme
selbst keine Computerstraftat darstellt.?

Daraus kann man lesen, was ich schon erwähnte.

edit: hervorhebungen hinzugefügt

 

[Malo]

Original von ftx
Natürlich überwacht kein Entwickler das. ABER der Hauptpunkt ist, wie gesagt, das es nur illegal ist wenn tatsächlich jemand damit was illegales macht.

Das steht in §202, §202a und §202b. Aber in §202c wird die Herstellung und die Verbreitung solcher Software unter Strafe gestellt. Und damit befinden sich Hersteller von beispielsweise Portscannern in einer rechtlichen Grauzone: Es ist nicht verboten solange sie nicht die Absicht haben, Schaden damit anzurichten... Jetzt ist aber die Frage, wie man jemandem die Absicht nachweisen will. Reicht es als Absicht, wenn dem Entwickler bewusst ist, dass kriminelle Handlungen damit möglich sind? Ist es die Absicht, wenn sich auf dem Computersystem eines der Entwickler Emails befinden, die den Entwickler auffordern, ein Programm herzustellen, das zu illegalen Zwecken genutzt werden kann?

Hier ist ein rechtliches Wirrwarr. Und jetzt überlegen wir mal: Was würde sich ändern, wenn man §202c nicht eingeführt hätte? Niemand würde einen Aufstand machen, niemand müsste fürchten, einen juristische Schwierigkeiten (die meist mit viel Geld verbunden sind - Anwälte sind teuer!) und alles wär in Butter.
100%ig nachweisen kann man einem Entwickler wahrscheinlich in den aller, aller seltensten Fällen, dass eine illegale Absicht geplant war. Aber die rechtliche Unklarheit bedeutet auch, dass ein Richter das Gesetz anders deutet als es vielleicht der eine oder andere Politiker tat, der das Gesetz durchgewunken hat. Es ist einfach nicht absolut sicher, dass beispielsweise nmap vor Gericht x oder vor Gericht y als legal deklariert wird - und diese rechtliche Unklarheit ist das Problem. Dass Politiker es "nur gut meinten" reicht hier nicht. Ein Gericht wird die Sache im Zweifel deuten müssen...

 

[ftx]

Ich denke wir sind in Deutschland noch nicht da angekommen, dass man Menschen verklagen würde nur weil sie etwas wie einen Portscanner entwickelt haben. Um nochmal ein Beispiel zu bringen:
Wenn man jmd. deswegen verklagen würde, wäre es ja quasi so, als wenn man einen Messerschmied oder Jagdgewehrhersteller verklagen würde, weil sie Geräte herstellten, welche zu Straftaten missbraucht werden KÖNNTEN.

Ich traue unseren Gerichten in Deutschland eigentlich noch soviel Verstand zu, soetwas richtig zu entscheiden. Sicherlich ist das meine Subjektive Meinung, aber ehrlich gesagt kann ich mir nicht vorstellen das auch nur einer dafür verklagt werden könnte.

 

[Malo]

Ganz aktuell: http://www.heise.de/newsticker/meldung/94357/

Dort hatte ein Hacker PHP-Exploits veröffentlicht. Das passierte mit dem Ziel, andere User zu warnen und darauf hinzuweisen, damit diese entspr. beachtet werden. Was aber nun, wenn ihn jemand dafür verklagt hätte?
Das ist einfach eine rechtliche Grauzone - und die ist gefährlich. Und das ist das große Problem an der Sache.

 

[bitmuncher]

Original von Malo
Das ist einfach eine rechtliche Grauzone - und die ist gefährlich. Und das ist das große Problem an der Sache.

Wenn das Problem die rechtliche Grauzone wäre, müßte der normal denkende Mensch eigentlich ein Problem mit 2/3 unserer Gesetze haben.

 

[ftx]

@ bitmuncher: sehe ich genauso

Bei vielen Gesetzen kommt es erst auf die Gerichte an, denn da wird das Gesetz erst interprätiert und auf den vorliegen Sachverhalt angewendet. Denn man kann sogut wie nie, schon im vornherein Gesetze erstellen die auf ALLE Sachverhalte passen.
Es gibt Richtlinien und diese werden interprätiert und bei der Anwendung wird alles mögliche mit einbezogen, denn jede Straftat ist individuell und etwas für sich, jeder Täter hat eine andere Intention.
Soziales Umfeld usw. zählt ja auch noch alles mit rein.

 

[Malo]

Ihr wurdet sicherlich noch nie von der Polizei unschuldig einer Straftat bezichtigt, oder? Denn wer das schonmal war weiß i.d.R., was das für nen Stress bedeutet. Man macht sich Gedanken darüber, wie man den Anwalt finanzieren soll, welche Beweise gegen einen vorliegen, wie man mit Gegenbeweisen dagegenhalten kann. Die Leute um einen herum fangen auch leicht an zu reden, wenn die Polizei plötzlich vor der Tür steht - und wer nen Ruf zu verlieren hat (z.B. weil er eine politische Karriere macht oder weil er selbstständig ist) muss fürchten, einiges von seinem Ansehen einbußen zu müssen.
Ein großer Teil Angst schwirrt auch dabei mit. Und Angst ist auch der Grund, wieso Softwareentwickler oder Hacker aufhören, die jew. Software herzustellen oder zu verbreiten. Man kann sich eben nicht sicher sein.

 

[t3rr0r.bYt3]

man sollte vielleicht auch die veröffentlichung von exploits ansprechen. ich denke mal, diese dürften recht gut unter den paragraphen fallen, oder? schließlich ist ihr sinn ja kein anderer, als sicherheitslücken auszunutzen. (bitte hierüber diskutieren, ich hab d anicht allzulange überlegt).

herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet

demnach ist es uns deutschen ab sofort verboten, exploits zu programmieren und/oder zu verbreiten bzw. zu veröffentlichen? ehrlich gesagt, ich persönlich habe kein interesse an exploits, aber ich halte deren veröffentlichung doch für sehr wichtig für die sicherheit eines systems (eben weil die lücken dann gefixt werden müssen).

die frage ist, ob ein exploit nicht unter diesen paragraphen fällt, weil ein entwickler ihn selbst programmiert (als proof-of-concept. gut, das wird keiner machen, aber da stellt sich für mich die frage), oder weil ihn ein anderer programmiert, mit der absicht, das material dem entwickler (und meinetwegen NUR dem entwickler) zu verfügung zu stellen.

 

[Malo]

Original von t3rr0r.bYt3
man sollte vielleicht auch die veröffentlichung von exploits ansprechen. ich denke mal, diese dürften recht gut unter den paragraphen fallen, oder? schließlich ist ihr sinn ja kein anderer, als sicherheitslücken auszunutzen.

Erklärst du mir bitte mal, wie du Sicherheitslücken schließen willst, wenn du sie nicht kennst?
Man sollte lieber dankbar sein, dass es solche Leute gibt - denn diejenigen, die Exploits veröffentlichen machen das System sicherer.

 

[LX]

Hmm, ob es ein System nun sicherer macht, wenn man einen Exploit veröffentlicht statt ihn nur dem Hersteller zu melden, ist mal arg fragwürdig. Das einzige, worüber man da diskutieren könnte, ist dass ein öffentlicher Exploit eine Art Druckmittel gegen Hersteller darstellt, die's mit der Fehlerbehebung in ihrer Software nicht so eilig haben...

 

[t3rr0r.bYt3]

@Malo
ich glaube, du hast meinen post nicht verstanden - ich bin da genau deiner meinung.

@LX
ich sags mal so: eine theoretisch ausnutzbare lücke wird von vielen noch lange nicht als gefahr angesehen, eine proof-of-concept-implementierung schon. also ja, bestenfalls als druckmittel.

allerdings:

Hmm, ob es ein System nun sicherer macht, wenn man einen Exploit veröffentlicht statt ihn nur dem Hersteller zu melden,

ich stelle die frage, ob es illegal ist, einen exploit zu entwickeln und ihm dann (gerne auch ausschließich) dem entwickler zu melden. (eine beschreibung des problems scheint einwandfrei legal zu sein, eine implementierung zumindest diskussionswürdig.) die bisher zitierten textstellen lassen das eigentlich eher nicht vermuten, aber teile kommen mir wieder als interpretationssache vor / sind zu schwammig.
ich habe das gefühl, das man da sehr leicht in einen fall gerät, in dem jemandem eine absicht zur straftat nicht nachweisen kann und er deswegen freigesprochen wird. inwiefern das gesetz dann überhaupt vernünftig angewendet werden kann, ist dann auch ein wichtiges thema.

und eine anderes beispiel, ich hab das mal im chat gebracht: ich hatte mal ein kleines programm zusammengehackt, das für ein forum statistiken erstellt und gepostet hat. irgendwann hat sich die forensoftware gändert, und damit kam mein programm nicht klar: es postete andauernd, sprich spam und eine art DoS-attacke.
absicht war das natürlich nicht, zeugen dafür gäbe es wohl genug in besagtem forum
allerdings, wie sieht das hier aus? das programm in seiner derzeitigen form dient genau dazu, das forum vollzuspammen und den server zu stressen. es hat auch rein garnichts mit sicherheitsanalyse oder soetwas zutun.

und eins noch:

Endlich mal jemand der es begriffen hat und nicht dem Schwachsinn, den der CCC verbreitet, hinterher rennt.

wie das gesetz formuliert ist, wie es richterlich ausgelegt wird, und wie sich das noch ändert, bleibt mal offen. mautdaten sind ja auch nicht zur strafverfolgung gedacht gewesen *hust*.
das ganze erscheint mir wieder als purer aktionismus seitens der politik, um mithilfe von restriktiven gesetzen das allgemeine sicherheitsgefühl zu steigern, ohne wirklich sicherheit zu schaffen.
/edit: zumal in deutschland die strafverfolgung bei einem konkreten angriff ganze arbeit leistet, verbindungsdaten weren ja mitgeloggt. das ausland bleibt dann von deutschen gesetzen natürlich unbetroffen, "nur" die EU muss diese EU-richtlinie innerhalb der frisst umsetzen.

 

[Gulliver]

@Terrorbyte

Die Kollegen die das dann ausnutzen moechten behalten sowas fuer sich- damit es eben niemand mitbekommt.

 

[t3rr0r.bYt3]

dabei frage ich mich gerade, ob die vorbereitungen zu einer straftat bereits eine straftat darstellen. wenn ja, sollte der komplette gesetzesentwurf da reinfallen und damit überflüssig sein?

 

[Malo]

Original von LX
Hmm, ob es ein System nun sicherer macht, wenn man einen Exploit veröffentlicht statt ihn nur dem Hersteller zu melden, ist mal arg fragwürdig.

Dabei passiert nunmal zweierlei: Einmal werden auch Cracker damit erreicht, die solche Dinge ausnutzen wollen.
Andererseits weiß ein Administrator oder Webmaster dann allerdings, dass da etwas unsicher ist!
Wenn er es nicht wüsste, könnte jeder Cracker die Server kompromittieren und der Admin steht ratlos davor. Wenn die Exploits allerdings öffentlich sind kann der Admin daraufhin die Sicherheitslücke schließen, oder sogar von vornherein das System sicher machen, damit es gar nicht erst soweit kommt.

Aber woher sollte er denn sonst wissen, was nicht stimmt?

Das ist genauso mit dem Einbruch in der Wohnung: Wenn du weißt, dass ein Einbrecher mit einem einfachen Spezialschlüssel ein billiges Türschloss aufbekommt, dann kannst du rechtzeitig das Schloss auswechseln oder anders sichern. Wenn du es aber NICHT weißt, wird dir irgendwann vielleicht die Wohnung ausgeräumt und du merkst es erst danach.
Halbwüchsige Kleinkriminelle erfahren dann zwar, wie sie das Schloss aufbekommen, aber wenn es ordentlich gesichert wurde scheitern sie kläglich daran.

 

[LX]

Original von Malo
Andererseits weiß ein Administrator oder Webmaster dann allerdings, dass da etwas unsicher ist!

Wieviele Anwender durchforsten denn regelmäßig das Netz nach Exploits für ihre Software? Das wird wohl ein verschwindend geringer Teil sein, wo bleibt für die also der Vorteil eines Exploits, den alle Scriptkiddies kennen aber der Anwender nicht?

Wenn die Exploits allerdings öffentlich sind kann der Admin daraufhin die Sicherheitslücke schließen, oder sogar von vornherein das System sicher machen, damit es gar nicht erst soweit kommt.

Ist der Anwender denn derjenige, der für die Sicherheit der Software verantwortlich ist? Ist es beispielsweise an throjan oder Mackz dafür zu sorgen, dass eine WBB-Lücke geschlossen wird oder ist das der Job von Woltlab? Hier mag es der Fall sein, dass beide auch genug Ahnung haben, das zur Not selbst in die Hand zu nehmen, aber auch hier ist die Mehrheit unbedarft, weiß wie man ein WBB installiert, kann es aber wohl kaum selbst programmieren.

Es gäbe in diesem Fall auch keine alternativen Sicherungsmaßnahmen, wie du es darstellst. Wenn dein Türschloss nichts taugt, kannst du's austauschen. Wenn dein Forum aber unsicher ist und du nicht weißt, wie das Problem selbst zu beheben ist, kannst du's nur vom Netz nehmen. Viel anderes bleibt dir da nicht übrig.

 

[Malo]

Original von LX

Original von Malo
Andererseits weiß ein Administrator oder Webmaster dann allerdings, dass da etwas unsicher ist!

Wieviele Anwender durchforsten denn regelmäßig das Netz nach Exploits für ihre Software? Das wird wohl ein verschwindend geringer Teil sein, wo bleibt für die also der Vorteil eines Exploits, den alle Scriptkiddies kennen aber der Anwender nicht?

Du stellst es so dar, als wenn jeder Scriptkiddie die Exploits kennt und die Fachleute nicht.
Musst aber nicht die Tatsachen verdrehen

Ist der Anwender denn derjenige, der für die Sicherheit der Software verantwortlich ist? Ist es beispielsweise an throjan oder Mackz dafür zu sorgen, dass eine WBB-Lücke geschlossen wird oder ist das der Job von Woltlab? Hier mag es der Fall sein, dass beide auch genug Ahnung haben, das zur Not selbst in die Hand zu nehmen, aber auch hier ist die Mehrheit unbedarft, weiß wie man ein WBB installiert, kann es aber wohl kaum selbst programmieren.

Es ist die Aufgabe von throjan und Mackz, dafür zu sorgen, dass das System läuft, dass sich niemand unbefugt Zugriff verschafft und dass alles sicher ist. Und wenn die Software einfach fehlerhaft ist, dann ist es die Aufgabe der Admins entspr. Gegenmaßnahmen zu treffen. Das ist der Job eines Admins oder eines Programmierers oder Webmaster. Punkt.
Wenn ich jedenfalls erfahre, dass mein System unsicher ist, dann versuche ich alles, um die Sicherheit wiederherzustellen. Und da bin ich sehr dankbar, wenn ich entspr. Hinweise bekomme. Ich hab z.B. vor kurzem erfahren, dass der IE u.U. FTP-Verbindungsdaten (inkl. Passwort im Klartext) in bestimmten Situationen an andere Webseiten verschickt. Der Punkt ist jetzt:
ICH habe die Möglichkeit, darauf zu achten und aufzupassen, dass niemand an meine Verbindungsdaten kommt. Vermutlich habe ich in der Vergangenheit schon einige Male die Daten verschenkt.
Es ist nun möglich, dass sich Cracker und Scriptkiddies vermehrt auf die Jagd nach unachtsamen Usern machen, um Zugangsdaten zu klauen. Aber dafür können JETZT die Benutzer verhindern, dass die es schaffen - was vorher nicht möglich war.

Es gäbe in diesem Fall auch keine alternativen Sicherungsmaßnahmen, wie du es darstellst. Wenn dein Türschloss nichts taugt, kannst du's austauschen. Wenn dein Forum aber unsicher ist und du nicht weißt, wie das Problem selbst zu beheben ist, kannst du's nur vom Netz nehmen. Viel anderes bleibt dir da nicht übrig.

Ich weiß auch nicht, wie man ein Schloss austauscht.
Informieren, lernen, versuchen oder jemanden holen, der es für dich macht.