![[HaBo]](/styles/default/logoklein.png){kind=small}
Das ändert nichts daran, dass die Veröffentlichungen generell nicht falsch sind. Denn so können fähige Leute sich darauf vorbereiten und Gegenmaßnahmen treffen. Und wer sich mit Sicherheit nicht auskennt sollte sich entweder informieren, oder jemanden hinzuziehen, der sich auskennt.
Die Tatsache, dass die Informationen nicht öffentlich zu finden sind bedeutet nicht, dass sie nicht vorhanden sind! Cracker (und auch Scriptkiddies) können diese Exploits auch nutzen, wenn sie nicht veröffentlicht wurden.
Daher bringt das einen großen sicherheitstechnischen Effekt, weil die relativ wenigen, die die Exploits kennen eine viel kleinere Zielgruppe haben (da sich mehr Leute schützen)
Die Tatsache, dass die Informationen nicht öffentlich zu finden sind bedeutet nicht, dass sie nicht vorhanden sind! Cracker (und auch Scriptkiddies) können diese Exploits auch nutzen, wenn sie nicht veröffentlicht wurden.
Daher bringt das einen großen sicherheitstechnischen Effekt, weil die relativ wenigen, die die Exploits kennen eine viel kleinere Zielgruppe haben (da sich mehr Leute schützen)
Mal ein kleiner Seitenhieb auf die ganzen "Das interpretieren die Gerichte"-Schreier:
Im Land mit einem der Weltweit höchsten Vorkommen von versandten Abmahnungen pro Jahr ist dieses Argument sehr schwammig...
Die oben aufgeführten Anbieter hatten sehr gute Gründe zu ihren Aussagen und der CCC mag vieleicht manchmal übertreiben und polemisieren, aber im Grunde genommen hat Andy Müller Maguhn recht, wenn er sagt, dass damit die Möglichkeiten deutscher Softwarehersteller massiv eingeschränkt werden.
Imrahil
Im Land mit einem der Weltweit höchsten Vorkommen von versandten Abmahnungen pro Jahr ist dieses Argument sehr schwammig...
Die oben aufgeführten Anbieter hatten sehr gute Gründe zu ihren Aussagen und der CCC mag vieleicht manchmal übertreiben und polemisieren, aber im Grunde genommen hat Andy Müller Maguhn recht, wenn er sagt, dass damit die Möglichkeiten deutscher Softwarehersteller massiv eingeschränkt werden.
Wird eine Straftat mit einem Programm begangen das ich geschrieben habe bin ich gearscht, denn ich bin dann nach §202c zu belangen als Vorbereitungstäter.
Imrahil
G
Gulliver
Guest
ack!
Fuer die Kollegen die gerne sachen ownen aendert sich nichts- sie tun es eh, so oder so. Oder soll es soweit kommen das sich jeder $core impact leisten muss um zu wissen was derzeit alles moeglich ist?
Full disclosure ist seit jeher das einzig vernuenftige Verfahren mit Sicherheitsmaengeln in Software zu verfahren. Wer systeme verwaltet muss eben am Ball bleiben. Wers nicht tut- hat eben Pech.
Das Netz ist nunmal kein Spielplatz fuer "wenn" argumentierer.
Wenn es nicht so waere wuerde man Leute die im Rechtsraum arbeiten, und das sind u.a. systemverwalter und admins , den kuerzeren ziehen. Denn die Hacker, die cracken, bewegen sich ausserhalb dieses Rechtsraums.
Nun, ich lese keine Einschraenkung. Ein Portscanner ist nicht geschaffen mit dem Zweck schraege Dinge zu tun- Stacheldraht hingegen schon.
Insofern hat bitmuncher Recht..allerdings ist es trotzdem ein beklagenswerter Umstand.
Der Punkt ist doch der, dass allein die Absicht des Entwicklers ausschlaggebend sein soll, wer bestraft wird. Und hier ist man in einem grauen Feld von unsicherem Rechtsgebiet: Ab wann gilt der illegale Zweck als Absicht? Wie beweist man das?
Objektiv entscheiden kann man sowas nicht. Demnach ist der Punkt also völlig sinnfrei.
Aber was, wenn ein Richter aus einem subjektivem Empfinden heraus ein Programm für illegal erklärt? Das kann passieren und die Idee ist nicht besonders absurd.
Auf die Gefahr hin, mich zu wiederholen: Nur weil es auf diesem Board hier der Normalfall ist, dass Softwarebetreiber und Systemverwalter die gleiche Person sind, heißt das noch lange nicht, dass dies überall so ist. Oder möchte jemand den Leuten, die kein PHP können, das Betreiben eines Bulletin Boards auf PHP-Basis ausreden, weil sie keine Ahnung haben?
Um nicht missverstanden zu werden: Ich spreche mich nicht dagegen aus, dass Sicherheitslücken bekannt gemacht werden. Allerdings gehört für mich nicht dazu, dass man eine Schritt-für-Schritt-Anleitung mitliefert, sodass jedes Scriptkiddie die Lücke ausnutzen könnte. Stattdessen sollte die Energie lieber darin investiert werden, eine Schritt-für-Schritt-Anleitung zur Schließung der Sicherheitslücke zu erstellen, auch wenn das natürlich nicht so befriedigend fürs Ego ist =)
Bei ClosedSource verhält sich das aber auch wieder anders, da kann auch kein Administrator was reißen, wenn eine Lücke und ein Weg sie auszunutzen bekannt ist, er aber nicht die Mittel hat, die Lücke zu schließen. Die Behebung der Lücke ist Job des Entwicklers. Es ist ja nicht Aufgabe des Systemverwalters, selbst den Schlampereien der Entwickler nachzufixen, sondern die Software aktuell zu halten und mögliche Risiken im Zusammenspiel mit anderer eingesetzter Software zu minimieren.
end4win
Moderator
In dem Moment in dem sich der Zweck der Software eindeutig nur
zur Begehung einer Straftat nach §202a oder §202b eignet.
Dies trifft weder auf einen Portscanner noch auf die meisten Exploits zu, diese
impletieren in der Regel nicht den für die Straftat notwendigen Schadcode.
Ein WLAN-Sniffer ist in dieser Hinsicht wirklich problematisch, doch selbst hier
wäre dann die Höhe der Schuld zu berücksichtigen. Soll heissen solang er nicht
automatisch die Verschlüsselung knackt und mir den Datenverkehr im Klartext
ausspukt ist mein Anteil an der kriminellen Handlung zu gering.
Gruss
G
Gulliver
Guest
Natuerlich nicht, wo bliebe denn da der Spass?
bitmuncher
Senior-Nerd
Langsam frage ich mich, wann hier nicht immer nur die Halbwahrheiten des CCC zitiert werden, sondern das original Gesetz. Dort heißt es nämlich:
Es geht also darum schon die Vorbereitung einer Straftat unter Strafe zu stellen. Diese Vorbereitung findet aber nicht statt, wenn man seine eigenen Rechner mit solchen Tools überprüft und sie findet auch nicht statt, wenn man ein Tool veröffentlicht, das zum Aufspüren oder Ausnutzen von Lücken genutzt werden kann, solange man nicht explizit ranschreibt, daß Server XY diese Lücke hat oder daß man dieses Tool nutzen soll um möglichst oft bei fremden Rechnern die Lücke auszunutzen u.ä.. Ich frage mich langsam echt, wann sich endlich mal jemand die "Arbeit" macht und das Gesetz in seiner Orignal-Form liest und nicht nur den Schrott, den irgendwelche panikmachenden Kiddies verbreiten.
Es geht also darum schon die Vorbereitung einer Straftat unter Strafe zu stellen. Diese Vorbereitung findet aber nicht statt, wenn man seine eigenen Rechner mit solchen Tools überprüft und sie findet auch nicht statt, wenn man ein Tool veröffentlicht, das zum Aufspüren oder Ausnutzen von Lücken genutzt werden kann, solange man nicht explizit ranschreibt, daß Server XY diese Lücke hat oder daß man dieses Tool nutzen soll um möglichst oft bei fremden Rechnern die Lücke auszunutzen u.ä.. Ich frage mich langsam echt, wann sich endlich mal jemand die "Arbeit" macht und das Gesetz in seiner Orignal-Form liest und nicht nur den Schrott, den irgendwelche panikmachenden Kiddies verbreiten.
F
fetzer
Guest
Wo bitte steht das? Das ist das Problem! Es steht nirgens, dass man, wenn man sich von dem Nutzen des Tools distanziert oder dazu schreibt, dass man das Tool nicht für illegale Zwecke nutzen darf, dadurch nicht strafbar macht. Das wäre genauso, wenn ich MP3s anbieten und dazu schreiben würde, dass man sie nicht ohne Lizenz runterladen darf. Illegal ist es trotzdem.
So, wie das Gesetz da steht, ist es völlig unzureichend definiert!
bitmuncher
Senior-Nerd
In dieser Situation darf man sich ruhig mal auf die Gerichte verlassen. Bei der Distanzierung von verlinkten Seiten hat das OLG Hamburg (Urteil vom 12.05.98 ) auch entschieden, daß man einen verlinkten Inhalt nur dann nicht mitzuverantworten hat, wenn man sich ausdrücklich davon distanziert. Ein Urteil, daß in ähnlichen Klagen bis heute Wirksamkeit hat. Das wird daher (sollte es überhaupt jemals zu einer Klage kommen) bei Security-Tools nicht anders sein. Nach dem ersten Präzedenzfall wird sich daher auch diese Frage klären, denn auf solche Urteile kann man sich durchaus im Fall der Notwendigkeit einer Verteidigung berufen. Solange nur ein einigermaßen fähiger Verteidiger am Werk ist, könnte dieser sogar das oben genannte Urteil so nutzen, daß es auch im Bereich der Security-Tools Anwendung findet.
F
fetzer
Guest
Ich finde es dennoch Schwachsinn, sich von etwas zu distanzieren, was NICHT illegal ist, bzw nicht illegal sein sollte. Anderes Beispiel: Autos sind böse, damit kann man Menschen töten und Häuser in die Luft jagen. Trotzdem schreiben die Auto-Hersteller nirgens entwas von "das wollen wir nicht".
bitmuncher
Senior-Nerd
Weil das eh schon in unseren Gesetzen steht, daß man als Autofahrer Rücksicht zu nehmen hat und daß man sich an diverse Regeln halten muß. Und jemanden absichtlich zu überfahren ist immernoch Mord oder zumindest Todschlag.
Nehmen wir mal an, ich hätte ein Programm, das die Verschlüsselung knackt und ich probiere es aus, um die Sicherheit meines Systems zu testen.
Ist das dann illegal? Darf ich nicht ausprobieren, wie sicher mein eigenes System ist?
Das Gesetz ist absolut schwammig, unpräzise und könnte rechtsschaffende Sicherheitsexperten kriminalisieren.
Zum abermillionstenmal:
Du darfst mit Programmen die Sicherheit deines PCs/Servers testen!
Der Besitz/Die Nutzung eines solchen Programms ist nicht strafbar, bis du damit etwas illegales/verbotenes machst. Und da Sicherheitstest wichtig sind und diese nur auf eigenen Servern/PCs (bzw. auf Servern/PCs eines Kunden) ausgeführt werden, machst du dich damit nicht strafbar.
Du darfst mit Programmen die Sicherheit deines PCs/Servers testen!
Der Besitz/Die Nutzung eines solchen Programms ist nicht strafbar, bis du damit etwas illegales/verbotenes machst. Und da Sicherheitstest wichtig sind und diese nur auf eigenen Servern/PCs (bzw. auf Servern/PCs eines Kunden) ausgeführt werden, machst du dich damit nicht strafbar.
bitmuncher
Senior-Nerd
SUID:root
Member of Honour
Schadcode ist doch eine sehr treffende Definition. Dies bezieht sich besonders auf Malware, insbesondere Trojanische Pferde, Würmer, Viren. Genau da will man einen Riegel vorschieben, dass nicht jedes Kid sich das saugt und damit Unfug anstellt. Man versucht zu verhindern, dass das coden und bereitstellen dieser "Tools" möglich ist. Natürlich ist das Gesetz schwammig, aber das ist doch bei nahezu allen Gesetzen der Fall.
Glaubt hier irgendwer, ein Gericht würden den IT-Sec-Beauftragtem XY von der IT-Sec-Firma Z zu einer Haftstrafe verdonnern, weil er das System von einem Kunden mittels Pentest gecheckt hat? Oder glaubt jemand, dass die Polizei bei euch klingelt und sagt: Hallo, dürfen wie mal gucken ob sie Schadcode zu Hause haben?
Es muss doch erstmal ein Verdacht vorliegen, damit ihr ins Visier geratet und geprüft wird, was ihr getan haben könntet.
Wenn ihr im Logfile von nem Server auftaucht, der euch nicht gehört, dann liegt wohl ein Verdacht vor und dann könntet ihr auch echte Probleme bekommen. Doch die hättet ihr auch ohne dieses Gesetz, denn das Ausspähen von Daten/Computersabotage war schon lange vorher gültig, egal ob mit böser Software oder ohne.
Natürlich ist dieses Gesetz auch in meinen Augen völliger Nonsens, da es keinerlei Wirkung haben wird (man kann diese Tools weiterhin bekommen und im Ausland interessiert sowieso kein Schwein, was in D verboten ist, also kann man uns weiterhin damit angreifen), dennoch finde ich diese künstliche Panikmache in Form von "Hilfe, Hilfe, wir werden jetzt alle zu Verbrechern weil wir Ethereal und nmap verwenden) völlig überzogen und absolut unsinnig.
Mehr mag ich zu dem Thema nicht schreiben.
root
bitmuncher
Senior-Nerd
Ein Disclaimer reicht ja auch aus, wenn dieser eine hinreichend deutliche Distanzierung enthaelt.