IT-Sicherheitswerkzeuge wurden verboten

[rusty-spoon]

Der Bundestag hat heute das Verbot von Computersicherheitswerkzeugen unverändert durchgewunken (Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität, neuer § 202 StGB). Bestraft werden soll insbesondere das Herstellen, Programmieren, Überlassen, Verbreiten oder Verschaffen von Software, die für die tägliche Arbeit von Netzwerkadministratoren und Sicherheitsexperten dringend notwendig ist.

quelle: http://www.ccc.de/updates/2007/paragraph-202c

ich denke das ist nur ein weiterer Schritt um das Internet näher unter die staatliche Obhut zu stellen. Aus dem Artikel geht auch noch hervor, das nur noch staatlich verifizierte Sicherheitsexperten für den bereich der IT-Security eingesetzt werden soll.

Ich denke da reibt sich schäuble mal wieder die Finger. Was hat der Mensch (??) vor ?

was haltet ihr von der ganzen Sache ?


mfg
rusty-spoon

 

[Serow]

Wow, Sicherheit ist also verboten ... Man kann sich nur noch wundern in diesem Land! (Muss ich jetzt auch auf die Autobahn spielen gehen?)

In den guten alten Zeiten wurden noch Regierungen gestürzt bei solch hartem Fehlverhalten

 

[bitmuncher]

Panikmache vom CCC. Hab eben schon auf dem Unixboard folgenden Brief des Zuständigen meines Wahlbezirks veröffentlich, bei dem ich schon vor einiger Zeit deswegen nachfragte:

Sehr geehrter Herr ...,

das in Ihrer Email kritisierte Gesetz zur Bekämpfung der
Computerkriminalität (?Strafrechtsänderungsgesetz zur Bekämpfung der
Computerkriminalität?) geht auf eine Übereinkunft des Europarates zur
Bekämpfung von Computerkriminalität zurück. Der von Ihnen beanstandete Teil
zu dem Verbot von ?Hackertools? ist aufgrund der rasant angestiegenen Zahl
von Computereinbrüchen durch Nicht-Profis, auch bekannt unter den Szenenamen
?Script Kiddies?, vorgeschlagen worden. Ob es dadurch tatsächlich zu einer,
wie von Ihnen beschrieben, Beeinträchtigung von Sicherheitsunternehmen und
Systemadministratoren kommt, wird unterschiedlich beurteilt.

Das Bundesministerium für Justiz, mit dem ich mich in Verbindung gesetzt
habe, geht von keiner Beeinträchtigung aus, da zwei Merkmale erfüllt werden
müssen, die einen objektiven Tatbestand rechtfertigen. Einerseits muss es
sich objektiv um ein Schadprogramm handeln und anderseits muss sich die
Tathandlung ? also das Herstellen, Verschaffen, Verkaufen, Überlassen,
Verbreiten oder sonst Zugänglichmachen ? auf eine Computerstraftat beziehen.

Weiter schreibt das Bundesjustizministerium: ?Durch die Beschränkung auf
Computerprogramme, deren Zweck die Begehung einer Computerstraftat ist, wird

bereits auf Tatbestände sichergestellt, dass keine Computerprogramme erfasst
werden, die der Überprüfung der Sicherheit dienen. Unter Strafe gestellt
werden lediglich solche Programme, denen die illegale Verwendung immanent
ist, die also nach Art und Weise des Aufbaus oder Ihrer Beschaffenheit auf
die Begehung von Computerstraftaten angelegt sind. Hierunter fallen nicht
solche Programme, die lediglich zur Begehung von Computerstraftaten
missbraucht werden können.

Zudem muss die Tathandlung zur Vorbereitung einer Computerstraftat (§§ 202a,
202b, 303a, 303b StGB) erfolgen. Das ist nicht der Fall, wenn das
Computerprogramm ? mag es auch den sonstigen Kriterien des § 202c StGB
unterfallen ? zum Zwecke der Sicherheitsüberprüfung oder zur Entwicklung von
Sicherheitssoftware erworben oder einem anderen überlassen wurde. Wenn also
in den Fällen des Testens der Sicherheit eines Systems oder des Entwickelns
von Sicherheitssoftware auch Schadprogramme erworben werden, dann erfolgt
dies nicht zur Vorbereitung einer Computerstraftat. Durch diese Handlung
wird gerade nicht eine eigene oder fremde Computerstraftat (also § 202a,
202b, 303a, 303b StGB) ermöglicht, da die Anwendung der Schadprogramme
selbst keine Computerstraftat darstellt.?

Das heißt, Programme wie cracklib, nessus, kismet, snort etc. können
weiterhin völlig legal eingesetzt werden, um Sicherheitstests auf eigenen
Rechnersystemen durchzuführen.

Behauptungen, man dürfe zukünftig die Sicherheit seiner Passwörter nicht
mehr testen, sind falsch.

Für mich als Bundestagsabgeordneter stellt sich allerdings noch die Frage,
wo die Grenze der ?objektiven Beschränkung? der Computerprogramme auf
Straftaten liegt. Dazu werde ich engen Kontakt zu den Fachsprechern im
Rechtsausschuss und im Unterausschuss Neue Medien suchen, um mich für einen
Ausgleich zwischen den berechtigten Sicherheitsinteressen von Unternehmen,
Privatanwendern und IT-Sicherheitsunternehmen einzusetzen..

Ich hoffe, Ihre Bedenken zum neuen ?Strafrechtsgesetz Computerkriminalität?
ausgeräumt zu haben.

Mit freundlichen Grüßen

Dr. Ditmar Staffelt

Der CCC hat hier mal wieder wunderbar bewiesen, daß sie nichts als Panikmache betreiben. Diese Kiddies sollte man allein deswegen schon wegsperren.

 

[rusty-spoon]

oha, nach dem brief ändert sich mein bild völlig. ich sollte das nächste mal wohl wieder quellen vergleichen aber bis jetzt habe ich grade vom ccc eigentlich gedacht das die sich so mit dem thema auseinandersetzen das deren news auch stimmen.

bzw ich hätte nicht gedacht das gerade dort panikmache betrieben wird

 

[bitmuncher]

Das tun sie aber seit einigen Jahren schon. Genau deswegen halte ich von dem Verein nicht mehr sonderlich viel. Der CCC ist nicht mehr das, was er früher mal war. Mittlerweile besteht der zu 90% aus Kiddies, die sich im Ruhm des Namens "sonnen, und die 10% fähigen Leute wollen auch immer weniger mit denen zu tun haben. Jeder Idiot, der die Mitgliedsbeiträge zahlt, wird bei denen aufgenommen und darf seinen Stuß verbreiten.

 

[rusty-spoon]

oha,

ich hab bis jetzt eigentlich nur gutes von denen gehört aber dann muss ich deren infos in zukunft wohl ein wenig kritischer betrachten.

edit// hier ist der artikel von heise zu dem thema der ist dann nochmal ausführlicher und ist glaub ich eine mehr als notwendige ergänzung zu oben genannten artikel

http://www.heise.de/security/news/meldung/90223/from/atom10

edit2// und der golem artikel der gerade über meinen rss-feeder reinkam bezieht sich nur auf die meldung vom ccc:

http://www.golem.de/0705/52505.html

 

[menace]

Was weder natürlich das Justizministerium, noch dein Bezirksabgeordneter wissen oder erwähnen, ist, daß durch dieses Gesetz definitiv Rechtsunsicherheit geschaffen wird. Wenn ich ein Programm zur Umgehung von Sicherheitsrichtlinien von Windows schreibe, dieses auf meiner Webseite im Sourcecode anbiete und damit zu verschiedenen Zeitschriften gehe (oder auch an die Uni, um es zu publizieren), dann bewege ich mich zwar noch nicht explizit im Bereich des Hackerparagraphen, aber es kann mir so ausgelegt werden, daß ich Systeme damit mißbrauchen will, oder anderen durch den Download (also die Verbreitung) dies ermöglicht habe.

Weiterhin stellt es der Hackerparagraph auch unter das Verbot sich mit der Sicherheit von Programmen auseinander zu setzen, wo man nicht "das Recht" dazu hat (wozu MS-Programme gehören). Ob ich das per ReverseEngineering mache, oder per fuzzing/injection.

Daher, lieber Panikmache vom CCC, denn wer kümmert sich denn sonst um die Belange der weit zu eng gesetzen Grenzen? Dein Bezirksabgeordneter, bitmuncher, der sich brav an das Justizministerium hält, sicher nicht.
Der CCC ist die einzige Lobby (und jede Lobby übertreibt, das "gehört dazu") die das Internet und an Sicherheit interessierte Leute haben.

 

[bitmuncher]

Verboten ist das Herstellen von Programmen, die ausschließlich dem Angriff von Rechnern dienen. Sind diese Programme also für Sicherheit-Checks geeignet, ist es nicht verboten diese zu entwickeln oder zu verbreiten. Außerdem darf man sie für private Zwecke entwickeln um z.B. den eigenen Rechner/Server damit anzugreifen, darf sie dann aber nicht weiter verbreiten. Kurz gesagt: Man nimmt Skript-Kiddies ihre Klicki-Bunti-Tools weg, erlaubt es aber weiterhin Admins ihre Server auf Lücken zu checken und Programme dafür zu entwickeln. In Zukunft ist also etwas mehr Wissen/Können notwendig als die Benutzung von Google, wenn man einen Rechner hacken will. Wo ist also das Problem? Mir als Admin ist es absolut Recht, daß man Skript-Kiddy-Tools damit einschränkt. Diese verursachen mir nämlich mehr Arbeit (Auswertung von IDS-Logs usw.), verbrauchen unnötig Rechenleistung, weil das IPS "dagegen arbeiten" muß und verbrauchen unnötig Traffic und Speicherplatz (Logs des IDS, der Firewall usw.). Außerdem habe ich dann endlich eine rechtliche Grundlage um gegen DoS-Angriffe vorzugehen, da auch DoS-Tools unter dieses Gesetz fallen und somit entstandene Kosten durch Traffic usw. einzuklagen.
Im übrigen umfassen die Gesetzesänderungen nicht das Reverse Engineering, denn das ist schon seit geraumer Zeit verboten. Schutz von geistigem Eigentum nennt man sowas. Natürlich erschwert das auch das Finden von Sicherheitslücken in Closed-Source-Programmen, aber wer die benutzt ist meiner Meinung nach selbst Schuld. Mit diesem Verbot wird lediglich OpenSource geholfen.

 

[fetzer]

Ich weiss nicht, was ich dazu sagen soll. Wer bestimmt, was Angreiffen bedeutet? Zählt ein einfacher Portscan schon als Angriff? Zählt es als Angriff, wenn ich eine Website auf SQL Injections teste - auch wenn es einfach nur zum Spaß war?

Verboten ist das Herstellen von Programmen, die ausschließlich dem Angriff von Rechnern dienen.

Durch das Gesetz wird dem Staat die letztendliche Frage nach der Definition gestellt. Schreibst du selbst einen kleinen Portscanner und die Polizei findet ihn möglicherweise bei einem, der einen "Angriff" damit durchgeführt hat, somit wirst du auch mit einbezogen, weil dein Programm plötzlich als Angriffsprogramm definiert wird.

Außerdem darf man sie für private Zwecke entwickeln um z.B. den eigenen Rechner/Server damit anzugreifen, darf sie dann aber nicht weiter verbreiten.

Ein Angriff gegen OpenSource? Wenn ich meine Programme schreibe, dann würde ich sie auch gerne veröffentlichen. Das kann ich ja jetzt scheinbar vergessen....

Mir als Admin ist es absolut Recht, daß man Skript-Kiddy-Tools damit einschränkt.

Ach, du glaubst, es wird wegen einem popligen Gesetz nun weniger Skript Kiddies geben? Das wag ich schwer zu bezweifeln. Das Angreiffen von Firmen wurde schon früher unter Strafe gestellt und trotzdem ist es öfters vorgekommen. Dazu kommt, das viel Software einfach im Ausland produziert wird.

Wer entscheidet, wann ein Programm gefährlich ist und wann nicht? Wer entscheidet, ob auf einmal mein kleines Portscanner Skript für Server gefährlich sein kann, nur weil es einige Daten mehr sendet, als normale Portscanner? Das alles ist Definition und die wird vom Staat erstellt. Und genau das nenne ich staatliche Willkür!

 

[menace]

Verboten ist das Herstellen von Programmen, die ausschließlich dem Angriff von Rechnern dienen. Sind diese Programme also für Sicherheit-Checks geeignet, ist es nicht verboten diese zu entwickeln oder zu verbreiten. Außerdem darf man sie für private Zwecke entwickeln um z.B. den eigenen Rechner/Server damit anzugreifen, darf sie dann aber nicht weiter verbreiten. Kurz gesagt: Man nimmt Skript-Kiddies ihre Klicki-Bunti-Tools weg, erlaubt es aber weiterhin Admins ihre Server auf Lücken zu checken und Programme dafür zu entwickeln. In Zukunft ist also etwas mehr Wissen/Können notwendig als die Benutzung von Google, wenn man einen Rechner hacken will. Wo ist also das Problem? Mir als Admin ist es absolut Recht, daß man Skript-Kiddy-Tools damit einschränkt. Diese verursachen mir nämlich mehr Arbeit (Auswertung von IDS-Logs usw.), verbrauchen unnötig Rechenleistung, weil das IPS "dagegen arbeiten" muß und verbrauchen unnötig Traffic und Speicherplatz (Logs des IDS, der Firewall usw.). Außerdem habe ich dann endlich eine rechtliche Grundlage um gegen DoS-Angriffe vorzugehen, da auch DoS-Tools unter dieses Gesetz fallen und somit entstandene Kosten durch Traffic usw. einzuklagen.

Wenn ich ein ProofofConcept (welches zeigt, dass SicherheitsAussage Blafoo nicht stimmt oder Tool xy nicht funktioniert) schreibe, das aus Uni/publizierungsGründen veröffentliche, und das jemand benutzt, mache ich mich strafbar. Also wird mein Recht als Forscher/unabhängiger Entwickler definitiv eingeschränkt.
Und tschuldigung, es gibt noch andere Sichtweisen und Gründe, als Admins, die Angst vor Skriptkids und ihren Tools haben (müssen..).

Mit diesem Verbot wird lediglich OpenSource geholfen

Okay, und jetzt überzeuge doch bitte jede Firma (oder die Firmen wo ich arbeite/n werde), dass sie nur OpenSource einsetzen. Denn sonst bin ich als Sicherheitsbeauftragter dran, weil mir es nicht erlaubt war (weil die Firma natürlich an Developerlizenzen sparen, die es mir eventuell(!) ermöglicht hätten, die Programme zu testen).
Der Gedanke ist zwar nett und schön, aber in der Praxis so nicht verwirklichbar.

 

[bitmuncher]

Original von fetzer
Durch das Gesetz wird dem Staat die letztendliche Frage nach der Definition gestellt. Schreibst du selbst einen kleinen Portscanner und die Polizei findet ihn möglicherweise bei einem, der einen "Angriff" damit durchgeführt hat, somit wirst du auch mit einbezogen, weil dein Programm plötzlich als Angriffsprogramm definiert wird.

Es geht hier nicht um den Scan von Rechnern, sondern um den Versuch des Eindringens in das System. Da gibt es himmelweite Unterschiede, die dir sicherlich klar sind, soweit ich dich bisher kenne.

Original von fetzer
Ein Angriff gegen OpenSource? Wenn ich meine Programme schreibe, dann würde ich sie auch gerne veröffentlichen. Das kann ich ja jetzt scheinbar vergessen....

Wenn diese Programme ausschließlich für das Eindringen in ein System konzipiert, für Sicherheitschecks aber unbrauchbar sind, kannst du das vergessen und da bin ich froh drüber. Ich denke, daß es nicht notwendig ist irgendwelche Kiddies, die zu dumm sind selbst solche Programme zu schreiben auch noch Werkzeuge in die Hand zu geben, womit sie ohne das notwendige Hintergrundwissen Schaden anrichten können. Sollen die ihren Kopf mal selbst anstrengen.

Original von fetzer
Ach, du glaubst, es wird wegen einem popligen Gesetz nun weniger Skript Kiddies geben? Das wag ich schwer zu bezweifeln. Das Angreiffen von Firmen wurde schon früher unter Strafe gestellt und trotzdem ist es öfters vorgekommen. Dazu kommt, das viel Software einfach im Ausland produziert wird.

Es wird nicht weniger geben, aber ich habe endlich eine rechtliche Handhabe um entstandene Kosten bei denen einzuklagen. Allein das kann schon abschreckend wirken.

Original von fetzer
Wer entscheidet, wann ein Programm gefährlich ist und wann nicht? Wer entscheidet, ob auf einmal mein kleines Portscanner Skript für Server gefährlich sein kann, nur weil es einige Daten mehr sendet, als normale Portscanner? Das alles ist Definition und die wird vom Staat erstellt. Und genau das nenne ich staatliche Willkür!

Das Gesetz definiert klar, daß ein Programm zum Einbruch in ein System benutzt werden muß, bevor der Besitz dem Angreifer als Straftat unterstellt werden kann. Und wohl bemerkt, dem Angreifer, nicht dem Programmierer, der es ursprünglich mal für Sicherheits-Checks geschrieben hat.

@menace: Und das gilt auch für dein ProofofConcept. Derjenige, der es ausnutzt wird bestraft, nicht du als Entwickler desselben.

Außerdem kann man derzeit einen eindeutigen Trend zu OpenSource in Firmen sehen, die Wert auf Sicherheit legen.

 

[menace]

Es geht hier nicht um den Scan von Rechnern, sondern um den Versuch des Eindringens in das System. Da gibt es himmelweite Unterschiede, die dir sicherlich klar sind, soweit ich dich bisher kenne.

Na, da habe ich aber von einigen Gerichtsurteilen gehört, die das anders auslegen.

@menace: Und das gilt auch für dein ProofofConcept. Derjenige, der es ausnutzt wird bestraft, nicht du als Entwickler desselben.

Ich baue ein Programm, das mir root-Rechte verschafft, obwohl Sicherheitsmechanismus xy das verhindern sollte, aber ich kann ihn umgehen. Da gibt es durchaus Interpretationen (auch von Juristen), wo solche Programme als etwas angesehen wird, dass "illegale Verwendung immanent" beinhaltet.
Es sind ja nicht nur Fachfremde, die das Gesetz kritisieren.

Es entsteht eine Grauzone, wodurch man als Laie einfach nicht weiß, ob das noch "recht"ens ist. und das wird die Sicherheit in Deutschland in Forschung und Entwicklung definitiv hemmen. Wodurch wir vor Leuten aus anderen Ländern dann nen Nachteil haben.

Außerdem kann man derzeit einen eindeutigen Trend zu OpenSource in Firmen sehen, die Wert auf Sicherheit legen.

Zeig mir eine Firma mit mehr als 100 Beschäftigten, die kein Windows einsetzt (auch Sekretärinnen-PCs sind durchaus sicherheitskritisch), oder wo im nächsten Jahr komplett auf Linux umgestellt wird.

 

[fetzer]

Original von bitmuncher

Original von fetzer
Durch das Gesetz wird dem Staat die letztendliche Frage nach der Definition gestellt. Schreibst du selbst einen kleinen Portscanner und die Polizei findet ihn möglicherweise bei einem, der einen "Angriff" damit durchgeführt hat, somit wirst du auch mit einbezogen, weil dein Programm plötzlich als Angriffsprogramm definiert wird.

Es geht hier nicht um den Scan von Rechnern, sondern um den Versuch des Eindringens in das System. Da gibt es himmelweite Unterschiede, die dir sicherlich klar sind, soweit ich dich bisher kenne.

Das ist jedoch der Punkt: Mir werden die Unterschiede klar sein, sind sie das jedoch auch einem Oberstaatsanwalt, der vielleicht nur seinen PC bedienen kann um Word zu nutzen? Ich glaube nicht. Bestimmte Arten des Scannen sind dazu auch ein Versuch des Eindringens. Wenn ich ein Programm schreibe, dass einen Port und den dazugehörigen Dienst genau untersucht, beispielsweise Banner ausliesst, daraufhin bestimmte, standardmäßig fehleranfällige Daten sendet ( beispielsweise ein \n an einen FTP Server, wo keins hinsollte... ) kann das schon als Angriffsversuch des Administrators gewertet werden. Und es ist bei weiterm nicht so schlimm, als würde ich bestimmte Fehler mittels eines Exploits testen. Nmap in Verbindung mit mmap wäre hier als Beispiel zu nennen. Passives und Aktives Informationssammeln wird dir dabei sicherlich auch ein Begriff sein.
Ich bin wirklich kein Black-Hat oder sowas. Aber wenn ich genau dieses Programm dann zur freien Verfügung stelle kann ich - laut dem Gesetz - als Hersteller dafür belangt werden. Das gleiche gilt meiner Meinung nach für Exploits.
So habe ich das Gesetz verstanden. Ich glaube langsam nicht mehr irgendwelchen Politikern. Dabei habe ich (leider) zu oft schlechte Erfahrungen gemacht, also nehms mir bitte nicht persönlich, wenn ich den Brief oben nicht anerkenne.

Original von fetzer
Ein Angriff gegen OpenSource? Wenn ich meine Programme schreibe, dann würde ich sie auch gerne veröffentlichen. Das kann ich ja jetzt scheinbar vergessen....

Wenn diese Programme ausschließlich für das Eindringen in ein System konzipiert, für Sicherheitschecks aber unbrauchbar sind, kannst du das vergessen und da bin ich froh drüber.

Ich würde meine Programme auch gerne den Leuten zur Verfügung stellen, die sie wirklich brauchen. D.h. Leuten, die es beruflich machen oder eben auch Serveradminstratoren. Ob nun auch Skript-Kiddies darunter sind kann ich nicht beurteilen, allerdings sollte es nicht meine Schuld sein, wenn ein Programm, das für den Angriff auf einen Rechner definiert und programmiert wurde, von diesen Leuten für einen Angriff auf einen fremden Rechner genutzt wird. Beispielsweise hatte ich vor kurzer Zeit einen Fuzzer für einen kleinen Dienst, der diesen mit alle möglichen Fehleranfälligen Daten bombadiert hat. Er war frei verfügbar - wohl gemerkt: Bis heute war er es, da dadurch Dienste zum Absturz gebracht werden konnten, wenn man das Programm missbraucht oder falsch verwendet.

Es wird nicht weniger geben, aber ich habe endlich eine rechtliche Handhabe um entstandene Kosten bei denen einzuklagen. Allein das kann schon abschreckend wirken.

Da geb ich dir Recht. Diesen Vorteil hattest du davor allerdings auch schon, da durch DoS-Angriffe der Betrieb des Servers geschädigt wird. Der Angriff auf einen Firmenserver war auch schon durch das Gesetz geschützt, meines Wissens. Korrigiert mich, sollte ich falsch liegen.

Derjenige, der es ausnutzt wird bestraft, nicht du als Entwickler desselben.

Das würde ich gerne nochmal offiziell lesen. Hättest du da ggf. die Stelle im Gesetz gerade parat?

 

[bitmuncher]

Zitat von fetzer
Da geb ich dir Recht. Diesen Vorteil hattest du davor allerdings auch schon, da durch DoS-Angriffe der Betrieb des Servers geschädigt wird. Der Angriff auf einen Firmenserver war auch schon durch das Gesetz geschützt, meines Wissens. Korrigiert mich, sollte ich falsch liegen.

Ich habe aber auch 11 private Server am Netz? Was ist mit denen? Dort entstandenen Schaden durch Flooder/DoS mußte ich bisher immer hin nehmen, da ich keine Firma bin.

Um die Auszüge aus dem Gesetz rauszusuchen fehlt mir momentan die Zeit, da ich auch noch zu arbeiten haben nebenbei. Aber siehe dazu die Antwort von Dr.Staffelt:

Zudem muss die Tathandlung zur Vorbereitung einer Computerstraftat (§§ 202a,
202b, 303a, 303b StGB) erfolgen. Das ist nicht der Fall, wenn das
Computerprogramm ? mag es auch den sonstigen Kriterien des § 202c StGB
unterfallen ? zum Zwecke der Sicherheitsüberprüfung oder zur Entwicklung von
Sicherheitssoftware erworben oder einem anderen überlassen wurde. Wenn also
in den Fällen des Testens der Sicherheit eines Systems oder des Entwickelns
von Sicherheitssoftware auch Schadprogramme erworben werden, dann erfolgt
dies nicht zur Vorbereitung einer Computerstraftat. Durch diese Handlung
wird gerade nicht eine eigene oder fremde Computerstraftat (also § 202a,
202b, 303a, 303b StGB) ermöglicht, da die Anwendung der Schadprogramme
selbst keine Computerstraftat darstellt.?

Was mich allerdings bei euch beiden wundert... Warum regt ihr euch im Forum auf? Warum schreibt ihr eure Bedenken nichtmal an den Bundestagsabgeordneten eures Wahlbezirks und tragt ihm diese vor? Solange niemand fachliche Einwände vorbringt, werden auch in Zukunft Laien solche Gesetze erlassen ohne die Hintergründe zu verstehen. Genau deswegen hatte ich mich ja an Dr.Staffelt gewendet und meine Bedenken vorgetragen und wie man sieht, werden diese auch durchaus ernst genommen. Sollte das bei dem bei euch zuständigen Abgeordneten nicht der Fall sein, darf er wohl (hoffentlich) damit rechnen, bei der nächsten Wahl eure Stimmen nicht mehr zu bekommen. Und es gibt kaum etwas wichtigeres für Politiker als Wählerstimmen.

 

[fetzer]

Original von bitmuncher
Was mich allerdings bei euch beiden wundert... Warum regt ihr euch im Forum auf? Warum schreibt ihr eure Bedenken nichtmal an den Bundestagsabgeordneten eures Wahlbezirks und tragt ihm diese vor? Solange niemand fachliche Einwände vorbringt, werden auch in Zukunft Laien solche Gesetze erlassen ohne die Hintergründe zu verstehen. Genau deswegen hatte ich mich ja an Dr.Staffelt gewendet und meine Bedenken vorgetragen und wie man sieht, werden diese auch durchaus ernst genommen. Sollte das bei dem bei euch zuständigen Abgeordneten nicht der Fall sein, darf er wohl (hoffentlich) damit rechnen, bei der nächsten Wahl eure Stimmen nicht mehr zu bekommen. Und es gibt kaum etwas wichtigeres für Politiker als Wählerstimmen.

Hatte ich vor einigen Monaten schon einmal wegen einer anderen Sache gemacht. 2 Briefe, keine Antwort. Ein Anruf dort brachte mir nur die Ausrede, man könne sich nicht mit Fragen und Beschwerden von "unwichtigen" ( Zitat... ) Leuten herumschlagen. Seit dem hab ich mein Vertrauen in diesen/diese Politiker/in verloren.

Zum Herstellen:

http://www.bmj.bund.de/media/archive/1317.pdf ; Gesetzentwurf
§202c:
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. [....]
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet
oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit
Geldstrafe bestraft.

Da ich nirgends gelesen habe, dass der Antrag abgeändert wurde, halte ich diesen Ausschnitt für entscheidend.

Paragraph 303b spricht dabei nur vom Missbrauch der Software:

?(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung
ist, dadurch erheblich stört, dass er
1. eine Tat nach § 303a Abs. 1 begeht,
2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen,
eingibt oder übermittelt oder
3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt,
unbrauchbar macht, beseitigt oder verändert,
wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein
fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die
Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe.?

Unrecht hat der Politiker ( mir ist der Name leider entfallen ) somit nicht, ganz Recht würde ich ihm jedoch nicht geben und ich denke §202c ist ziemlich eindeutig, was das erstellen von "Sicherheitssoftware" betrifft.

@fetzer: Dann mach das öffentlich. Zeige den Leuten in deinem Wahlbezirk, daß dieser Politiker sich einen Sch... um seine Wähler kümmert. Mal schauen, wie er dann reagiert.

Entsprechende Schritte wurden eingeleitet

 

[bitmuncher]

@fetzer: Dann mach das öffentlich. Zeige den Leuten in deinem Wahlbezirk, daß dieser Politiker sich einen Sch... um seine Wähler kümmert. Mal schauen, wie er dann reagiert. Sich aber in Foren aufregen bringt garnichts, oder glaubst du, daß jemals etwas von dem hier geschriebenen von irgendeinem Politiker gelesen wird? However... das wird jetzt doch etwas offtopic.

 

[thyrael.lu]

Die Sache zeigt mir schlicht und ergreifend, dass man sich offenbar die falschen Experten ins Boot geholt hat. Das Problem ist weniger der Inhalt des Paragraphen, sondern das Prinzip. Man kann Straftaten nicht präventiv verhindern, und schon gar nicht so.

 

[bitmuncher]

@fetzer: Der Zweck eines Scanners oder Security-Checkers wie Nessus u.a. ist aber nicht die Begehung einer Straftat. Darunter fallen wohl eher DoS-Tools u.ä., die für nichts anderes benutzt werden können. Hier ist wieder (wie eigentlich ja schon immer) die Findigkeit des Entwicklers bei der Veröffentlichung gefragt. Ein Absatz der Art

"Dieses Programm wurde veröffentlich, damit Systemadministratoren und Benutzer ihre eigenen Rechner auf Sicherheitslücken überprüfen können. Die Benutzung des Programms zum Eindringen in fremde Systeme ist strafbar und wird von dem Entwickler ausdrücklich mißbilligt."

auf der Seite, wo das Tool veröffentlicht wird, reicht da völlig aus. Ähnliches hatten wir ja schonmal, als beschlossen wurde, daß jemand für verlinkte Inhalte auf seiner Website zur Verantwortung gezogen werden kann. Wie ich bereits sagte: Ich sehe hier eine reine Panikmache des CCC.

 

[menace]

Darunter fallen wohl eher DoS-Tools u.ä., die für nichts anderes benutzt werden können.

auch DoS-Tools können PoC sein. wie will man sonst überprüfen, ob die behauptung stimmt.
Oft genug wird gerade in der IT behauptet, dass etwas der Fall ist, was eigentlich gar nicht der Wahrheit entspricht.

bzgl der Abgeordneten"sache": ich habe auch mal 2-3 Mails verschickt. Fazit:ich werde ähnlich gut vertreten. Und die Leute hier interessiert es einen Scheissdreck.

Es ist halt nicht alles idealiter oO

 

[fetzer]

Original von bitmuncher
@fetzer: Der Zweck eines Scanners oder Security-Checkers wie Nessus u.a. ist aber nicht die Begehung einer Straftat.

Ich weiss nicht. Ich denke, ein einfaches Programm, dass einen Dienst zur Beendigung zwingen kann, sollte nicht unter Strafe gestellt werden. Siehe jegliche Fuzzer Programme oder mein kleines Beispiel oben. Auch ein Scanner konnte - wenn auch vor langer Zeit - einen Server überlasten und ihn "down bringen". Ein einfaches Beispiel, wie ein Programm, das als legal deklariert wird auch für illegale Zwecke genutzt werden konnte. Natürlich wurden sie zu einem anderen Zweck entwickelt, aber sag das mal der Polizei, die nicht weiß, wie ein Scanner überhaupt funktioniert. Die sehen nur, dass du damit Schaden angerichtet hast und mehr müssen sie ja auch nicht sehen. Es mag sein, dass ich den Zweck des Programms bestimmen kann - die ermittelnden Beamten sind jedoch nicht immer gleicher Meinung. Somit kann jedes Programm, dass für den Angriff genutzt wurde, und sei es nur ein kleiner Portscanner, schon als Angriffswerkzeug und somit als illegales Programm gehandhabt werden.

Letztendlich würde ich mich auch nicht auf solche Sätze verlassen. Disclaimer sind im Prinzip nichts anderes, rechtlich ist das jedoch auch eher schlecht als recht.