Sonntag, 1. Februar 2009
Privatsphäre in den ICT
Daniela.Wetzelhuetter.Uni-Linz, 19:30h
Wie ich bereits auf der NIM-Page beschrieben habe, behandle ich das Thema „Privatsphäre in den ICT“. Speziell widme ich mich der staatlichen Überwachung von Privatpersonen.
1) Großbritannien
Ab dem 15. März 2009 müssen in Großbritannien, sämtliche E-Mails ein Jahr lang gespeichert und wenn nötig für Ermittlungszwecke der Polizei zur Verfügung gestellt werden – so lautet das neue, auf Basis der EU-Richtlinie zur Vorratsdatenspeicherung entworfene, Gesetz. Was die einen „innere Sicherheit“ nennen, bedeutet für die anderen eine Gefahr für die Sicherheit (vgl. derstandard.at, Großbritannien führt totale E-Mail-Überwachung ein, http://derStandard.at, 12.01.2009). Bekannterweise haben EU-Richtlinien auch eine Bedeutung für Österreich, weshalb die Richtlinie zur Vorratsdatenspeicherung interessant ist, wie sich im folgenden Abschnitt zeigt.
2) EU-Richtlinie „Vorratsdatenspeicherung“
Zum Thema "Vorratsdatenspeicherung" finden sich auf der Website internet4jurists.at wesentliche Informationen.
Dem Artikel 5 zufolge müssen die Mitgliedstaaten dezidierte Daten (aber kein Inhalt der Kommunikation) betreffend des Telefonnetzes bzw. Mobilfunks und des Internetzzugangs, Internet-E-Mail und Internet-Telefonie auf Vorrat, für die Dauer von 6 Monaten bis 2 Jahre, speichern. Zudem müssen die Daten unverzüglich an die zuständigen Behörden übermittelt werden können. Es ist auch nachzulesen, dass Österreich daraufhin erklärte, diese Richtlinie für 18 Monate zurückzustellen. (vgl. internet4jurists.at, Vorratsdatenspeicherung-Richtlinie, http://www.internet4jurists.at/gesetze/rl_vorratsdaten.htm, 13.01.2009).
Weit mehr als 18 Monaten später ist es noch relativ „still“ um die Datenspeicherung in Österreich:
Sollten die bisher angestrebten Klagen vom EuGH abgewiesen werden, ist auch Österreich verpflichtet ein dementsprechendes Gesetz, aufgrund der genannten Richtlinie, zu erlassen. Dies wiederum zieht nach sich, dass aufgrund des Sicherheitspolizeigesetzt die Polizei auch ohne richterliche Bewilligung Positions- und Verbindungsdaten von allen Österreichern zugänglich werden (Futurezone.orf.at, Vorratsdatenspeicherung, http://futurezone.orf.at/stories/314628/, 13.01.2008).
Mehr oder weniger lässt sich erahnen, dass die Datenspeicherung unaufhaltsam auf Österreich zukommt. Abgesehen von der Datenspeicherung gibt es noch weitere Möglichkeiten der Überwachung im Internet. Ähnlich wie der in Österreich erlaubte Lauschangriff könnten beispielsweise „Polizeitrojaner“ zum Einsatz kommen. Bei unserem Nachbarn in Deutschland ist diese Überlegung schon zur Praxis geworden.
3) Deutschland
Die Situation in Deutschland lässt sich wie folgt beschreiben: Seit dem 27. Februar 2008 sind in Deutschland Online-Durchsuchungen gesetzlich erlaubt. Ziel ist es, internationalen Terrorismus abwehren zu können. So gesehen also, der „Schutz“ der deutschen Bevölkerung. Mittels geeigneter Software wird eine Durchsuchung durchgeführt und nach Abschluss dieser, wird die jeweilige Person über die durchgeführten Aktivitäten informiert und hat die Möglichkeit diese Maßnahme überprüfen zu lassen (vgl. Bundesministerium des Inneren, Fragen und Antworten zum Thema Online-Durchsuchungen, http://www.bmi.bund.de/nn_122688/Internet/Content/Themen/FragenUndAntworten/Online__Durchsuchungen.html#doc1177324bodyText1, 14.01.09).
Ähnlich dazu wird auch in Österreich argumentiert, wie, im nächsten Abschnitt nachzulesen ist.
4) Österreichische Polizeitrojaner?
- Frei nach dem Motto „Was noch nicht ist, kann ja noch werden“ –
Eine Maßnahme für die österreichische „Sicherheit“ - gegen „den“ Terror – scheint für die neue Bundesregierung die Einführung der Onlinedurchsuchung zu sein. (vgl. Futurzone-ORF.at, Ö-Trojaner und E-Government, http://futurezone.orf.at/stories/1500365/, 1.2.09).
Wichtig erscheinen hierbei folgende Punkte:
1) Überwacht sollen nur jene „Straftäter“ werden, für deren Verbrechen eine Gefängnisstrafe von mehr als 10 Jahren droht
2) Als Keylogger wird jede Tasteneingabe aufgezeichnte, die Festplatte untersucht uvm.
3) Ein Durchsuchungsbefehl wird Vorraussetzung sein
4) Der Polizei-Trojaner funktioniert im Prinzip wie ein „gewöhnlicher“ Trojaner (man kann sich also auch davor schützen – sofern man die Kenntnisse besitzt)
5) Kosten: rund 200.000 Euro im Jahr (vgl. oe24.at, Online-Überwachung, 10 Fragen zum geplanten Polizei-Trojaner, http://www.oe24.at/digital/10_Fragen_zum_geplanten_Polizei-Trojaner_144724.ece, 1.2.2009).
5) Planbar aber nicht umsetzbar?
„Einziges“ Problem für die Umsetzung des Trojaners ist wohl die gesetzliche Hürde. Im Paragraph 126c. StgB. ist nachzulesen, dass strafbar ist, wer:
1. „ein Computerprogramm, das nach seiner besonderen Beschaffenheit ersichtlich zur Begehung eines widerrechtlichen Zugriffs auf ein Computersystem (§ 118a), einer Verletzung des Telekommunikationsgeheimnisses (§ 119), eines missbräuchlichen Abfangens von Daten (§ 119a), einer Datenbeschädigung (§ 126a), einer Störung der Funktionsfähigkeit eines Computersystems (§ 126b) oder eines betrügerischen Datenverarbeitungsmissbrauchs (§ 148a) geschaffen oder adaptiert worden ist, oder eine vergleichbare solche Vorrichtung oder
2. ein Computerpasswort, einen Zugangscode oder vergleichbare Daten, die den Zugriff auf ein Computersystem oder einen Teil davon ermöglichen,
mit dem Vorsatz herstellt, einführt, vertreibt, veräußert, sich verschafft oder besitzt oder sonst zugänglich macht, dass sie zur Begehung einer der in Z 1 genannten strafbaren Handlungen gebraucht werden, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen“. (internet4jurists.at, http://www.internet4jurists.at/gesetze/bg_stgb01.htm#%A7_115., 1.2.2009)
Das bedeutet wohl, dass eine Gesetzesänderung notwendig ist, um einen solchen Trojaner für die Polizei zu legalisieren!
1) Großbritannien
Ab dem 15. März 2009 müssen in Großbritannien, sämtliche E-Mails ein Jahr lang gespeichert und wenn nötig für Ermittlungszwecke der Polizei zur Verfügung gestellt werden – so lautet das neue, auf Basis der EU-Richtlinie zur Vorratsdatenspeicherung entworfene, Gesetz. Was die einen „innere Sicherheit“ nennen, bedeutet für die anderen eine Gefahr für die Sicherheit (vgl. derstandard.at, Großbritannien führt totale E-Mail-Überwachung ein, http://derStandard.at, 12.01.2009). Bekannterweise haben EU-Richtlinien auch eine Bedeutung für Österreich, weshalb die Richtlinie zur Vorratsdatenspeicherung interessant ist, wie sich im folgenden Abschnitt zeigt.
2) EU-Richtlinie „Vorratsdatenspeicherung“
Zum Thema "Vorratsdatenspeicherung" finden sich auf der Website internet4jurists.at wesentliche Informationen.
Dem Artikel 5 zufolge müssen die Mitgliedstaaten dezidierte Daten (aber kein Inhalt der Kommunikation) betreffend des Telefonnetzes bzw. Mobilfunks und des Internetzzugangs, Internet-E-Mail und Internet-Telefonie auf Vorrat, für die Dauer von 6 Monaten bis 2 Jahre, speichern. Zudem müssen die Daten unverzüglich an die zuständigen Behörden übermittelt werden können. Es ist auch nachzulesen, dass Österreich daraufhin erklärte, diese Richtlinie für 18 Monate zurückzustellen. (vgl. internet4jurists.at, Vorratsdatenspeicherung-Richtlinie, http://www.internet4jurists.at/gesetze/rl_vorratsdaten.htm, 13.01.2009).
Weit mehr als 18 Monaten später ist es noch relativ „still“ um die Datenspeicherung in Österreich:
Sollten die bisher angestrebten Klagen vom EuGH abgewiesen werden, ist auch Österreich verpflichtet ein dementsprechendes Gesetz, aufgrund der genannten Richtlinie, zu erlassen. Dies wiederum zieht nach sich, dass aufgrund des Sicherheitspolizeigesetzt die Polizei auch ohne richterliche Bewilligung Positions- und Verbindungsdaten von allen Österreichern zugänglich werden (Futurezone.orf.at, Vorratsdatenspeicherung, http://futurezone.orf.at/stories/314628/, 13.01.2008).
Mehr oder weniger lässt sich erahnen, dass die Datenspeicherung unaufhaltsam auf Österreich zukommt. Abgesehen von der Datenspeicherung gibt es noch weitere Möglichkeiten der Überwachung im Internet. Ähnlich wie der in Österreich erlaubte Lauschangriff könnten beispielsweise „Polizeitrojaner“ zum Einsatz kommen. Bei unserem Nachbarn in Deutschland ist diese Überlegung schon zur Praxis geworden.
3) Deutschland
Die Situation in Deutschland lässt sich wie folgt beschreiben: Seit dem 27. Februar 2008 sind in Deutschland Online-Durchsuchungen gesetzlich erlaubt. Ziel ist es, internationalen Terrorismus abwehren zu können. So gesehen also, der „Schutz“ der deutschen Bevölkerung. Mittels geeigneter Software wird eine Durchsuchung durchgeführt und nach Abschluss dieser, wird die jeweilige Person über die durchgeführten Aktivitäten informiert und hat die Möglichkeit diese Maßnahme überprüfen zu lassen (vgl. Bundesministerium des Inneren, Fragen und Antworten zum Thema Online-Durchsuchungen, http://www.bmi.bund.de/nn_122688/Internet/Content/Themen/FragenUndAntworten/Online__Durchsuchungen.html#doc1177324bodyText1, 14.01.09).
Ähnlich dazu wird auch in Österreich argumentiert, wie, im nächsten Abschnitt nachzulesen ist.
4) Österreichische Polizeitrojaner?
- Frei nach dem Motto „Was noch nicht ist, kann ja noch werden“ –
Eine Maßnahme für die österreichische „Sicherheit“ - gegen „den“ Terror – scheint für die neue Bundesregierung die Einführung der Onlinedurchsuchung zu sein. (vgl. Futurzone-ORF.at, Ö-Trojaner und E-Government, http://futurezone.orf.at/stories/1500365/, 1.2.09).
Wichtig erscheinen hierbei folgende Punkte:
1) Überwacht sollen nur jene „Straftäter“ werden, für deren Verbrechen eine Gefängnisstrafe von mehr als 10 Jahren droht
2) Als Keylogger wird jede Tasteneingabe aufgezeichnte, die Festplatte untersucht uvm.
3) Ein Durchsuchungsbefehl wird Vorraussetzung sein
4) Der Polizei-Trojaner funktioniert im Prinzip wie ein „gewöhnlicher“ Trojaner (man kann sich also auch davor schützen – sofern man die Kenntnisse besitzt)
5) Kosten: rund 200.000 Euro im Jahr (vgl. oe24.at, Online-Überwachung, 10 Fragen zum geplanten Polizei-Trojaner, http://www.oe24.at/digital/10_Fragen_zum_geplanten_Polizei-Trojaner_144724.ece, 1.2.2009).
5) Planbar aber nicht umsetzbar?
„Einziges“ Problem für die Umsetzung des Trojaners ist wohl die gesetzliche Hürde. Im Paragraph 126c. StgB. ist nachzulesen, dass strafbar ist, wer:
1. „ein Computerprogramm, das nach seiner besonderen Beschaffenheit ersichtlich zur Begehung eines widerrechtlichen Zugriffs auf ein Computersystem (§ 118a), einer Verletzung des Telekommunikationsgeheimnisses (§ 119), eines missbräuchlichen Abfangens von Daten (§ 119a), einer Datenbeschädigung (§ 126a), einer Störung der Funktionsfähigkeit eines Computersystems (§ 126b) oder eines betrügerischen Datenverarbeitungsmissbrauchs (§ 148a) geschaffen oder adaptiert worden ist, oder eine vergleichbare solche Vorrichtung oder
2. ein Computerpasswort, einen Zugangscode oder vergleichbare Daten, die den Zugriff auf ein Computersystem oder einen Teil davon ermöglichen,
mit dem Vorsatz herstellt, einführt, vertreibt, veräußert, sich verschafft oder besitzt oder sonst zugänglich macht, dass sie zur Begehung einer der in Z 1 genannten strafbaren Handlungen gebraucht werden, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen“. (internet4jurists.at, http://www.internet4jurists.at/gesetze/bg_stgb01.htm#%A7_115., 1.2.2009)
Das bedeutet wohl, dass eine Gesetzesänderung notwendig ist, um einen solchen Trojaner für die Polizei zu legalisieren!
... link (8 comments) ... comment
Sonntag, 14. Dezember 2008
Umfrage zum Podcast
Daniela.Wetzelhuetter.Uni-Linz, 19:53h
Der Podcast zur LVA ist ein erster Testlauf. Da diese Möglichkeit der Wissensvermittlung unterschiedlich aufgenommen und angenommen wird interessiert mich eure Meinung. Natürlich freue ich mich über Kommentare und Feedback!
Ich finde Podcasts hilfreich, weil ich mich so über spezifische Themen zeitunabhängig bzw. auch unterwegs informieren kann
Podcasts sind hilfreich, weil ich dadurch zielgerichtete Infos bekomme
Ich finde Podcasts gut, da ich so versäumtes nachholen kann
Mit Podcasts würde ich mich gerne auf die Klausur vorbereiten
Podcasts wären auch in anderen LVA´s hilfreich
Ich nutze diese Podcasts nicht, da ich ein visueller Lerntyp bin
Podcasts helfen mir nicht, da ich mit diesem Medium nicht so gut umgehen kann
Ich lerne lieber nach einem Skrikpt/einer Mitschrift
VIELEN DANK ;-)
Ich finde Podcasts hilfreich, weil ich mich so über spezifische Themen zeitunabhängig bzw. auch unterwegs informieren kann
Podcasts sind hilfreich, weil ich dadurch zielgerichtete Infos bekomme
Ich finde Podcasts gut, da ich so versäumtes nachholen kann
Mit Podcasts würde ich mich gerne auf die Klausur vorbereiten
Podcasts wären auch in anderen LVA´s hilfreich
Ich nutze diese Podcasts nicht, da ich ein visueller Lerntyp bin
Podcasts helfen mir nicht, da ich mit diesem Medium nicht so gut umgehen kann
Ich lerne lieber nach einem Skrikpt/einer Mitschrift
VIELEN DANK ;-)
... link (0 comments) ... comment
UMFRAGE zum LVA-BESUCH
Daniela.Wetzelhuetter.Uni-Linz, 19:44h
Ich habe Aussagen formuliert, bei denen einfach die zutreffende Antwort anzuklicken ist. Die Anonymität bleibt auf diese Weise gewahrt - Kommentare sind aber ebenso erwünscht und wichtig!
Ich besuche die LVA, da ich mir so den Lehrinhalt einfacher aneigne
Ich besuche die LVA, wenn ich ohnehin an dem betreffenden Tag an der Uni bin
Der LVA-Besuch ist mir wichtig, weil sich dieser positiv auf meine Note auswirkt
Ich besuche die LVA nur, wenn mich die Themen interessieren
Ich besuche die LVA nur für die Klausurvorbereitung
Ich bleibe der LVA fern, weil sich diese mit anderen Kursen überschneidet
Ich bleibe fern, da ich mir den Stroff zu Hause aneigne
Ich bleibe fern, wenn ich mit dem Inhalt bereits umfassend vertraut bin
Ich bleibe der LVA immer fern
VIELEN DANK ;-)
Ich besuche die LVA, da ich mir so den Lehrinhalt einfacher aneigne
Ich besuche die LVA, wenn ich ohnehin an dem betreffenden Tag an der Uni bin
Der LVA-Besuch ist mir wichtig, weil sich dieser positiv auf meine Note auswirkt
Ich besuche die LVA nur, wenn mich die Themen interessieren
Ich besuche die LVA nur für die Klausurvorbereitung
Ich bleibe der LVA fern, weil sich diese mit anderen Kursen überschneidet
Ich bleibe fern, da ich mir den Stroff zu Hause aneigne
Ich bleibe fern, wenn ich mit dem Inhalt bereits umfassend vertraut bin
Ich bleibe der LVA immer fern
VIELEN DANK ;-)
... link (0 comments) ... comment
Freitag, 21. November 2008
Sicherheit im Netz
Daniela.Wetzelhuetter.Uni-Linz, 00:22h
Ich habe mich mit den Thema Sicherheit bzw. speziell mit Whois-Abfragen, Portscans, Nslookup und Traceroute auseinandergesetzt. Im Folgenden fasse ich die Ergebnisse zusammen:
1) Whois- Abfrage
Mittels dieser Abfrage kann ganz einfach der Verantwortliche für eine bestimmte Website ermittelt werden. Aus unterschiedlichen (rechtlichen, wirtschaftlichen, privaten) Gründen kann dies durchaus nützlich sein. Für die "idv.edu-Webseite" erhält man folgende Auskunft:
Für dies Abfrage habe ich den Whois-Dienst von Networksolutions genutzt.
2) Portscans:
Grundsätzlich sind Portscans legal, solange es beim scannen bleibt. (vgl. Feiler, Zur strafrechtlichen Beurteilung von IT-Sicherheitslücken, Rechtsprobleme, http://www.rechtsprobleme.at/doks/Zur_strafrechtlichen_Beurteilung_von_IT-Sicherheitsluecken.pdf, 20.11.2008).
Durch allgemeine Geschäftsbedingungen kann ein Portscan aber auch untersagt werden.
Beispielsweise ist es an der BOKU Wien „einfachen“ Anwendern untersagt einen Portscan durchzuführen (vgl. o.V., Universität für Bodenkultur Wien, http://www.boku.ac.at/zid-sec-richt1.html, 20.11.2008).
Bewegt man sich mittels Portscans in einem „Graubereich“?
Dieser Frage bin ich nachgegangen und konnte mehr oder weniger überrascht feststellen, dass solch ein Vorhaben
a) gut durchdacht sein soll
b) mit dem „richtigen“ Werkzeug durchgeführt werden sollte
c) am besten nur um seine eigenen Sicherheitslücken aufzuspüren
Mit der Anpassung des österreichischen Strafgesetzes an die Cyber-Crime-Konvention trat u.a. folgendes Gesetz in Kraft: „Widerrechtlicher Zugriff auf ein Computersystem § 118a. (1) Wer sich in der Absicht, sich oder einem anderen Unbefugten von in einem Computersystem gespeicherten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, zu einem Computersystem, über das er nicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen Zugang verschafft, indem er spezifische Sicherheitsvorkehrungen im Computersystem verletzt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.“ (o.V., internet4jurists, http://www.internet4jurists.at/strafrecht/straf0.htm, 20.111.2008)
Bedeutet dies: solange ich nur einen Scan durchführe kann mir „nichts“ passieren? Genau da wird es knifflig. Wie kann ich beweisen, keine Absicht gehabt zu haben? Aus welchem Grund führe ich den Portscan an einer fremden Website durch? „Ich wollte nur gucken ob eh alle Ports zu sind“ = „sehr vertrauenswürdig“? Dies liegt dann wohl im ermessen des Richters.
Sollte man also unabsichtlich das „falsche“ Werkzeug verwenden, wird zum Beispiel automatisch ein Einlogversuch gestartet. Siehe dazu http://www.nessus.org/nessus/. Hier handelt es sich um ein Tool, das sich hervorragend zum Aufspüren der eigenen Schwachstellen eignet – eine andere Verwendung sollte also gut überlegt sein.
Für Penetrationtests gibt es somit noch kein eigenes Gesetz - es ist also reine Auslegungssache. Die folgende zwei Aspekte sollten daher Beachtung finden:
a) Grundsätzlich werden Portscans zur Vorbereitung einer Straftat verwendet, da man damit versucht Informationen über ein Computersystem und dessen unbefugte Nutzung zu erlangen.
b) Bei unsachgemäßer Verwendung eines Portscans kann man damit eine Denial of Service Attacke (DOS) auf das zu scannende System durchführen. Somit kommt §126 zu tragen, da hier die Funktionsfähigkeit des Computersystems gestört wird.
„Störung der Funktionsfähigkeit eines Computersystems § 126b. Wer die Funktionsfähigkeit eines Computersystems, über das er nicht oder nicht allein verfügen darf, dadurch schwer stört, dass er Daten eingibt oder übermittelt, ist, wenn die Tat nicht nach § 126a mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.“ (o.V., internet4jurits, http://www.internet4jurists.at/gesetze/bg_stgb01.htm#%A7_118a.
FAZIT: Die Rechtslage ist aus meiner Ansicht nach nicht eindeutig geklärt – was bedeutet – es ist reine Auslegungssache.
Inspiriert von der letzten LVA habe ich einen Portscan des Webserver meiner Homepage durchgeführt, und kam zu folgendem Ergebnis:
So gesehen ist alles im Grünen bereich ;-)
3) NSlookup
Welche IP-Adresse hinter dem Collabor-Server steht, konnte ich ganz einfach mit NSlookup herausfinden.
4) Traceroute
Mittels Traceroute habe ich den Weg von meinem Laptop zuhause bis zum Collabor-Server verfolgt. Hier mein Ergebnis:
Alles in Allem lässt sich Online vieles herausfinden. So gesehen sollte SICHERHEIT auch wirklich groß geschrieben werden. Als Anwender sind einem mögliche „Löcher“ im Sicherheitsnetz oftmals nicht bewusst. Daher sollte mit einem „Klick“ im WWW nicht leichtfertig umgegangen werden.
1) Whois- Abfrage
Mittels dieser Abfrage kann ganz einfach der Verantwortliche für eine bestimmte Website ermittelt werden. Aus unterschiedlichen (rechtlichen, wirtschaftlichen, privaten) Gründen kann dies durchaus nützlich sein. Für die "idv.edu-Webseite" erhält man folgende Auskunft:
Für dies Abfrage habe ich den Whois-Dienst von Networksolutions genutzt.
2) Portscans:
Grundsätzlich sind Portscans legal, solange es beim scannen bleibt. (vgl. Feiler, Zur strafrechtlichen Beurteilung von IT-Sicherheitslücken, Rechtsprobleme, http://www.rechtsprobleme.at/doks/Zur_strafrechtlichen_Beurteilung_von_IT-Sicherheitsluecken.pdf, 20.11.2008).
Durch allgemeine Geschäftsbedingungen kann ein Portscan aber auch untersagt werden.
Beispielsweise ist es an der BOKU Wien „einfachen“ Anwendern untersagt einen Portscan durchzuführen (vgl. o.V., Universität für Bodenkultur Wien, http://www.boku.ac.at/zid-sec-richt1.html, 20.11.2008).
Bewegt man sich mittels Portscans in einem „Graubereich“?
Dieser Frage bin ich nachgegangen und konnte mehr oder weniger überrascht feststellen, dass solch ein Vorhaben
a) gut durchdacht sein soll
b) mit dem „richtigen“ Werkzeug durchgeführt werden sollte
c) am besten nur um seine eigenen Sicherheitslücken aufzuspüren
Mit der Anpassung des österreichischen Strafgesetzes an die Cyber-Crime-Konvention trat u.a. folgendes Gesetz in Kraft: „Widerrechtlicher Zugriff auf ein Computersystem § 118a. (1) Wer sich in der Absicht, sich oder einem anderen Unbefugten von in einem Computersystem gespeicherten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, zu einem Computersystem, über das er nicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen Zugang verschafft, indem er spezifische Sicherheitsvorkehrungen im Computersystem verletzt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen.“ (o.V., internet4jurists, http://www.internet4jurists.at/strafrecht/straf0.htm, 20.111.2008)
Bedeutet dies: solange ich nur einen Scan durchführe kann mir „nichts“ passieren? Genau da wird es knifflig. Wie kann ich beweisen, keine Absicht gehabt zu haben? Aus welchem Grund führe ich den Portscan an einer fremden Website durch? „Ich wollte nur gucken ob eh alle Ports zu sind“ = „sehr vertrauenswürdig“? Dies liegt dann wohl im ermessen des Richters.
Sollte man also unabsichtlich das „falsche“ Werkzeug verwenden, wird zum Beispiel automatisch ein Einlogversuch gestartet. Siehe dazu http://www.nessus.org/nessus/. Hier handelt es sich um ein Tool, das sich hervorragend zum Aufspüren der eigenen Schwachstellen eignet – eine andere Verwendung sollte also gut überlegt sein.
Für Penetrationtests gibt es somit noch kein eigenes Gesetz - es ist also reine Auslegungssache. Die folgende zwei Aspekte sollten daher Beachtung finden:
a) Grundsätzlich werden Portscans zur Vorbereitung einer Straftat verwendet, da man damit versucht Informationen über ein Computersystem und dessen unbefugte Nutzung zu erlangen.
b) Bei unsachgemäßer Verwendung eines Portscans kann man damit eine Denial of Service Attacke (DOS) auf das zu scannende System durchführen. Somit kommt §126 zu tragen, da hier die Funktionsfähigkeit des Computersystems gestört wird.
„Störung der Funktionsfähigkeit eines Computersystems § 126b. Wer die Funktionsfähigkeit eines Computersystems, über das er nicht oder nicht allein verfügen darf, dadurch schwer stört, dass er Daten eingibt oder übermittelt, ist, wenn die Tat nicht nach § 126a mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.“ (o.V., internet4jurits, http://www.internet4jurists.at/gesetze/bg_stgb01.htm#%A7_118a.
FAZIT: Die Rechtslage ist aus meiner Ansicht nach nicht eindeutig geklärt – was bedeutet – es ist reine Auslegungssache.
Inspiriert von der letzten LVA habe ich einen Portscan des Webserver meiner Homepage durchgeführt, und kam zu folgendem Ergebnis:
So gesehen ist alles im Grünen bereich ;-)
3) NSlookup
Welche IP-Adresse hinter dem Collabor-Server steht, konnte ich ganz einfach mit NSlookup herausfinden.
4) Traceroute
Mittels Traceroute habe ich den Weg von meinem Laptop zuhause bis zum Collabor-Server verfolgt. Hier mein Ergebnis:
Alles in Allem lässt sich Online vieles herausfinden. So gesehen sollte SICHERHEIT auch wirklich groß geschrieben werden. Als Anwender sind einem mögliche „Löcher“ im Sicherheitsnetz oftmals nicht bewusst. Daher sollte mit einem „Klick“ im WWW nicht leichtfertig umgegangen werden.
... link (3 comments) ... comment
... older stories
Online for 5888 days
Last update: 2009.02.12, 20:03
Last update: 2009.02.12, 20:03
status
You're not logged in ... login
menu
search
calendar
November 2024 |
||||||
Mo |
Di |
Mi |
Do |
Fr |
Sa |
So |
1 |
2 |
3 |
||||
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15 |
16 |
17 |
18 |
19 |
20 |
21 |
22 |
23 |
24 |
25 |
26 |
27 |
28 |
29 |
30 |
|
recent updates
manchmal
denke ich mir, dass es besser wäre sich nicht...
denke ich mir, dass es besser wäre sich nicht...
by Renate.Mitzner.Uni-Linz (2009.02.12, 20:03)
wie gehts weiter?
Gerade noch "rechtzeitig"... so hat Österreich...
Gerade noch "rechtzeitig"... so hat Österreich...
by Daniela.Wetzelhuetter.Uni-Linz (2009.02.12, 12:11)
der EU-GH
hat die Vorratsdatenspeicherung heute bestätigt....
hat die Vorratsdatenspeicherung heute bestätigt....
by Renate.Mitzner.Uni-Linz (2009.02.10, 19:39)
1984
ist gar nicht mehr so weit entfernt... Ich habe mich...
ist gar nicht mehr so weit entfernt... Ich habe mich...
by Renate.Mitzner.Uni-Linz (2009.02.03, 12:19)
Polizeitrojaner
Ich denke auch, dass ein Polizeitrojaner die falsche...
Ich denke auch, dass ein Polizeitrojaner die falsche...
by Daniela.Wetzelhuetter.Uni-Linz (2009.02.02, 20:31)
