[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] Brigitte Zypries (BMJ): "Waffenschein" für Hacker-Tools und: verdeckte Ermittler im Netz


>> SPIEGEL ONLINE - 15. Mai 2000, 12:37

>> Von Christiane Schulzki-Haddouti 

>> Hacker und Virenschreiber verursachten in der ersten
>> Hälfte dieses Jahres weltweit angeblich mehr als 15
>> Milliarden Dollar Schaden.

Wau dazu:

> CSH schreibt angeblich saugroben Unfug.

> Wer mit einem Auto ohne Bremsen gegen einen Baum
> faehrt, ist selbst schuld. Entsprechendes gilt fuer
> Betreiber einer ans Internet angeschlossenen
> Datenmaschine, die im Default-Extremfall ganz von
> alleine laeuft (Voreinstellung bei Windows2000:
> VBS-Skripts werden auch *ohne* Mausklick ausgefuehrt).

> Dafuer "Hacker und Virenschreiber" (rpt: SCHREIBER)
> verantwortlich zu machen (ohne diesen Schwachfug als
> solchen zu brandmarken), ist intellektuell kaum noch
> satisfaktionsfaehig.

Christiane:

> Schon in der Antike hat man den Boten mit einer
> schlechten Botschaft getoetet. Wau, du verkennst die
> politischen Realitaeten. Damit aenderst du sie nicht.

Lesen soll ungemein hilfreich sein, liebe Leute.


Waus Kritik hängt sich an dem Satz auf, daß "Hacker und
Virenschreiber" angeblich die genannten Schäden
verursachten.  Um beim Auto-Beispiel zu bleiben: Dieser
Satz ist in etwa so sinnvoll, wie zu behaupten, daß Bäume
so und so viele Verkehrsunfälle mit soundsoviel Toten
verursacht hätten - auch wenn das Auto, das da am Baum
klebt, vielleicht ein ausgebrochener Audi TT (Cabrio) ist,
der Fahrer keinen Gurt trug und mit zermatschtem Gehirn
zehn Meter weiter im Graben liegt.


Was ich damit sagen will?  Schäden entstehen zu einem ganz
großen Teil durch schlechte Systembetreuung, schlechte
Software, dumme Nutzer und mangelhaftes bis
nichtexistentes technisches Risikomanagement.  Erst unter
diesen Bedingungen können "Hacker und Virenschreiber"
blühen und gedeihen und Schäden anrichten.  Das fehlte in
Deinem Artikel.


Um nur ein Beispiel zu nennen: Da wurde sich im Kontext
von ILOVEYOU (wieviele Bounces gibt das?) beklagt, daß
Agenturen größere Bildersammlungen verloren hätten.
Zeitungen mußten in Notausgaben erscheinen.  Da muß dann
doch die Frage erlaubt sein, wie man wohl auf eine
gecrashete Festplatte oder einen Blitzeinschlag im
Stromnetz reagiert hätte - oder auf einen dummen
Benutzerfehler mit anschließender Zerstörung der Daten auf
der Serverplatte?

Um wieder zum Verkehrsunfall zurückzukehren: Ohne Baum
wäre der Wagen vielleicht an die Böschung zwei Meter
weiter geknallt.  Und der Fahrer läge immer noch mit
zermatschtem Gehirn zehn Meter weiter im Graben.


Oder: Wem soll ich den Schaden zurechnen, wenn ein
Unternehmen mit funktionierender Firewall und einem
Mailfilter, der ILOVEYOU abfängt, noch bevor das erste
Exemplar vorbeikommt, komplett off-line geht - aus purer
Panik?


Folgerung: An erster Stelle muß stehen, das allgemeine
Risikomanagement im IT-Bereich auf ein anständiges Niveau
zu bekommen.  Damit bekommt man, wenn's denn funktioniert,
ganz automatisch Viren und einfache Hacker-Angriffe unter
Kontrolle - schließlich sind Viren meistens von
Insider-Angriffen (der immer noch größten Gefahr) nicht
wirklich unterscheidbar und folglich durch Maßnahmen gegen
solche Angriffe bekämpfbar.  Script-Kiddies sind durch den
Einsatz elementarer Firewalls oder auch nur aktueller
Software unter Kontrolle zu bekommen - eine gewisse
Grundqualität der Software mal vorausgesetzt.  Ganz recht:
Die Abwehr von Script-Kiddies ist eigentlich Kinderkram.


Natürlich würde einem solchen angemessenen
Risikomanagement auch die eine oder andere heilige Kuh der
heutigen Büroautomation zum Opfer fallen - Word-Makros in
ausgetauschten Dokumenten zum Beispiel oder der Austausch
von Bildschirmschonern per E-Mail.



Nachdem das geklärt wäre, stellt sich die Frage nach den
verbliebenen Angriffen auf Systeme, die z.B. neue Lücken
ausnutzen und nicht mit Trivialmaßnahmen bekämpfbar sind.
Zunächst einmal: Diese verbliebenen Angreifer benötigen
keine allgemein im Netz erhältlichen oder gar
allgemeinverkäuflichen Tools (Späßle g'macht, Frau
Zypries?).  Sie suchen vielmehr nach Fehlern im Zielsystem
und nutzen diese danach gezielt zu ihren Zwecken aus.
Folgerung, wie Kristian schon schrieb: Fortgeschrittene
Angreifer benötigen Werkzeuge zur Fehlerermittlung und zum
Testen, die identisch auch von den Betreibern und
Entwicklern von Systemen eingesetzt werden. Tatsächlich
sind gerade die hier so viel diskutierten dual-use-Tools
die mächtigsten Angriffswerkzeuge. Wir waren uns im
übrigen schon einig, daß Diagnose- und Testtools auch
weiterhin allgemein verfügbar werden sein müssen -
andernfalls können wir die berühmt-berüchtigte
Informationsgesellschaft gleich wieder einpacken.



Was bleibt da noch von der Waffenscheindebatte übrig?
Wenig Realitätsnahes.  Diese Debatte macht in der Form, in
der sie hier geführt wurde, einfach keinen Sinn.

Die Forderung, "verkäufliche Hacker-Werkzeuge" (wenn sie
denn existieren würden, von den dual-use-Gütern abgesehen)
nur noch bei "berechtigtem Interesse" zu verkaufen, ist so
sinnlos wie eine Kontrolle von Meißeln, Schraubenziehern
oder einfachen Brecheisen bei Obi mit der Begründung, daß
man damit Vorhängeschlösser für drei Mark fuffzig
aufbrechen kann, und diese Werkzeuge daher gefährlich
sind.



Ein letztes: Das, was Du, liebe Christiane, hier so schön
als politische Realität bezeichnest, ist bestenfalls
realitätsfernes Geschwafel von Politikern, die wie
aufgescheuchte Hühner auf ein Liebesbrief-"Virus"
reagieren, das zu seiner Verbreitung Fehlkonfigurationen
verbreiteter Software und/oder eine beinahe sträfliche
Blödheit der Nutzer brauchte.  Es ist die Reaktion darauf,
etwas nicht zu verstehen.

Mit politischer oder gar rechtlicher Realität hat das
aktuelle Geblubber aber nicht das mindeste zu tun.  Vor
einer Strafbarkeit für den Besitz von Diagnosetools oder
die Veröffentlichung von Sicherheitsproblemen stehen
nämlich eherne rechtsdogmatische Grundsätze wie etwa das
Bestimmtheitsge- und Analogieverbot im Strafrecht, auf die
Sierk Hamann in diesem Thread schon hingewiesen hat.

Anstelle des sommertheatralischen Waffenscheins wird daher
wohl eher - wie schon von früher skizziert - eine
Strafverschärfung für bestehende Straftatbestände treten,
die sich auch schon im Europaratstext andeutet. (Stichwort
Vorsatz.)

Die Konstruktion wird, behaupte ich mal, der im § 243 StGB
(bes. schwerer Diebstahl) nicht unähnlich sein.  Da heißt
es:

	... Ein besonders schwerer Fall liegt in der Regel
	vor, wenn der Täter

		1. zur Ausführung der Tat in ein Gebäude,
		eine Wohnung, einen Dienst- oder
		Geschäftsraum oder in einen anderen
		umschlossenen Raum einbricht, einsteigt,
		mit einem falschen Schlüssel oder einem
		anderen nicht zur ordnungsmäßigen Öffnung
		bestimmten Werkzeug eindringt oder sich in
		dem Raum verborgen hält.

	...

Ich bitte, bei dem Begriff des "falschen Schlüssels"
aufzuhorchen.  Ein "falscher Schlüssel" ist einer, der
nicht zum Öffnen des Raumes genutzt werden _soll_.  

Das kann genausogut der Originalschlüssel sein, der mir
aus der Tasche gefallen ist, und den keiner von Euch zum
Öffnen meiner Wohnung nutzen solll, wie die Kopie mit
Kerzenwachshilfe - bestimmendes Kriterium ist weder die
Herstellungsweise des Schlüssels, noch seine Herkunft,
sondern _allein_ seine _Verwendung_.  (Tatsächlich findet
sich in gewissen französischsprachigen Gesetzesentwürfen
zum Thema durchaus schon die Formulierung von « fausses
clefs électroniques ».)

Sierk, Axel: Korrigiert mich, wenn ich Stuß verzapfe.
Danke.

-- 
http://www.guug.de/~roessler/