Informative Berichte, unter anderem auch über IT-Sicherheit, ist man aus dem heise-Verlag durchaus gewöhnt. Überraschend, wenn auch in gewisser Weise folgerichtig, kam dagegen der jüngste Schritt des iX-Chefredakteurs Jürgen Seeger. Dieser nämlich ging vor Kurzem zur Polizei – und zeigte sich kurzerhand selbst an. Das zur Last gelegte Verbrechen: Verstoß gegen den „Hackertoolparagraphen“ §202c StGB. Dessen soll sich Seeger beim Zusammenstellen der Toolsammlung auf der Heft-DVD des iX Special „Sicher im Netz“ schuldig gemacht haben.
Besagte Heft-CD beinhaltet unter anderem die Slax-basierte Linux-Live-Distribution „BackTrack 3″ – und die hat es in Sachen Hackertools ganz schön in sich. Wie heise sehr richtig schreibt, handelt es sich bei BackTrack um einen geradezu klassischen Fall sogenannter Dual-Use-Software, also Software, die legalen und nützlichen ebenso wie kriminellen Zwecken dienen kann. Eigentlicher Zweck von BackTrack ist das Security Auditing beziehungsweise Penetration Testing, also das Aufspüren von Lücken im eigenen System oder dem eines Kunden, der einen damit beauftragt hat. Aber auch Menschen, die ihrem semilegalen Spieltrieb frönen wollen, werden mit BackTrack gut bedient – nicht umsonst gilt die Distri mit dem charakteristischen roten Drachen auf schwarzem Grund als „Wardriver’s Best Friend“. Zweifellos ist es auch möglich, mit Hilfe von BackTrack ernsthafte Cyberverbrechen zu begehen – und das macht, nach aktueller Gesetzeslage, die Distri zum Problem. Daher der Schritt des Herrn Seeger.

Nun darf man getrost davon ausgehen, dass es nicht ein Überausmaß an Reue ob seiner Taten war, das den Journalisten zu seiner riskanten Kontaktaufnahme mit den Organen der Exekutive trieb. Für derartige Sinnkrisen, obwohl diese nach Einführung des §202c in der Szene durchaus nicht völlig unbekannt sind, dürfte Seeger bei weitem zu erfahren und zu sehr von seiner Tätigkeit überzeugt sein. Der Zweck dieser im ersten Moment paradox wirkenden Aktion dürfte vielmehr (neben möglicherweise der Schaffung von Öffentlichkeit) sein, endlich Rechtssicherheit herzustellen, nicht nur für sich, sondern für alle Betroffenen. Endlich wissen, woran man ist, wenn man BackTrack und ähnliche Software benutzt – das würde wohl jeder Hacker gern. Seeger könnte nun, je nachdem, wie sich sein Fall entwickelt, möglicherweise genau das erreichen. „Wir verteilen die Software, da es für Administratoren unentbehrlich ist, diese Programme zum Schutz des eigenen Systems und zur Abwehr von Angriffen zu verwenden. Gleichzeitig können wir aber nicht ausschließen, dass die Programme auch im rechtswidrigen Rahmen eingesetzt werden. Aufgrund der erheblichen Rechtsunsicherheit nicht nur bei professionellen Sicherheitsexperten, sondern auch bei Zeitschriften, bleibt uns keine andere Wahl, als die juristische Einordnung des Verteilens derartiger Programme im Rahmen einer Selbstanzeige prüfen zu lassen,“ erklärt Seeger selbst.

Jeder, der selbst schon mit diesem fragwürdigen Paragraphen und der daraus entstehenden Rechtsunsicherheit zu tun hatte, wird Seeger auf seiner Mission die Daumen drücken. Die derzeitige Situation ist für jeden, der sich mit IT-Sicherheit ernsthaft befasst, schlicht untragbar. Gewinnt Seeger vor Gericht, wissen alle, die jetzt noch verunsichert sind, dass sie sich im konstruktiven Einsatz entsprechender Tools ebenfalls vor Strafverfolgung schützen können. Verliert er dagegen (was ihm und allen Kollegen definitiv nicht zu wünschen ist) – dann ist §202c wirklich ein Paragraph, der uns auf Kosten eines verringerten Sicherheitsstandards alle an die kurze Leine nimmt und dumm hält, der Werkzeuge allein wegen der Dinge kriminalisiert, die man theoretisch damit tun könnte, und der offenbar niemandem in diesem Bereich ein Mindestmaß an Berufsethos beziehungsweise Hackerethik zutraut. Er wäre ein Paragraph, der das Konzept der Eigenverantwortung vollkommen ausschaltet. Es wäre sehr traurig, das feststellen zu müssen – umso wichtiger ist es, dass wir es nun hoffentlich bald wissen werden.

Fluggastdatenweitergabe: Darf´s ein Bisschen von uns sein? (Telepolis)
Rubber-Hose Cryptanalysis (Schneier on Security)
Vertrauen (Ravenhorst)
Bürgerjournalismus:- “Realität, die nicht verschwindet“ (Süddeutsche Zeitung)
Police collar kid for Wi-Fi pinching (The Register)
Mehr Vertrauen…(Kristian Köhntopp)
Gigantomanie (F!XMBR)
Manchen kann mans einfach nicht recht machen (Open Mind Blog)
Australia: No residency for Down syndrome son (CNN)
Hessen: Kennzeichenscanning soll abgeschafft werden (Virtuelles Datenschutzbuero)
Handy-Ortung soll erschwert werden (Virtuelles Datenschutzbuero)
Unvorteilhaft platzierte Werbung (28 Fotos) (Lupe, der Satire-Blog)
US-Wahlkampf: Johns letzte Hoffnung (Süddeutsche Zeitung)
Need a Problem?!
Sniffing: USA erheben Anklage gegen Sniffer-Programmierer (gulli news)

Say what you mean (Comic)
Neue Hoffnung für Nazi-Aussteigerprogramm „Exit“? (tagesschau)
The Disaster Recovery Items Few Consider (ZDNet)
Electoral apocalypse? E-voting woes remain as election nears (Ars Technica)
Yahoo, Hotmail, Gmail All Vulnerable to Palin-style Password Hack (CSOONLINE)
Passport Snooping Gets Fed Intelligence Analyst Up to Year in Prison (Wired)
Chaosradio sendet zum elektronischen Personalausweis (Ravenhorst)
DPolG: Finaler Rettungsschuss und Online-Durchsuchung müssen ins NRW-Polizeigesetz! (Cop2Cop)
Terrorprozesse: Wie die USA den Geist von Nürnberg nach Guantanamo holen wollen (Spiegel Online)
Has the war on terror scored a virtual victory? (The Register Security)
EU-Sicherheitspolitik:Zu sanft für diese Welt (Die Zeit)
USA: EFF verklagt die NSA in Abhöraffäre (Virtuelles Datenschutzbüro)
Radikale Zensur in Malaysia: Polit-Blogger muss ins Gefängnis (Süddeutsche Zeitung)
EU: Datenschutz und Terrorbekämpfung (ORF)
Army Anthropologist’s Controversial Culture Clash (Wired)
Gericht: TK-Anbieter muss Vorratsdatenspeicherung nicht umsetzen (heise News)
Chaos Computer Club reicht Wahlprüfungsbeschwerde in Hessen ein – Aufruf zur Wahlcomputerbeobachtung in Brandenburg (Chaos Computer Club)
Maßgaben des Bundesverfassungsgerichts (Interview mit Fredrik Roggan) (Telepolis)
Washington DC’s Primary E-Votes Still Not Adding Up Properly (Techdirt)
9/11-Prozess in Guantanamo: Terrorscheich nutzt Gerichtssaal als Propaganda-Bühne (Spiegel Online)
Little Brother, EFF and the Emperor Norton Award (Craphound)
Ganze Universitätsnetze in der Hand von Hackern (heise Security)
Skurrile Pilotendurchsagen: „Sorry, wir haben die Landebahn verfehlt“ (Spiegel Online)
Verwendung von Folteraussagen: Eine Frage der Verhältnismäßigkeit (Süddeutsche Zeitung)
Homeland Security Continues To Expand Border Searches: Now Can Copy Your Paper-Based Documents (Techdirt)
Viele WLAN-Zugänge sind immer noch ungesichert (onlinekosten.de)
Solar Wind Getting Weaker, Says NASA (Wired)
Grand jury investigates Palin e-mail hack; no charges yet (Ars Technica)
How Children Fail: angry lessons from failures to teach (BoingBoing)
Sarah Palin’s E-Mail (Schneier on Security)
Does ideology trump facts? Studies say it often does (Ars Technica)
The Star Wars Culture (Pics) (abduzeedo)
Hackers resurrect notorious attack toolkit (Hack In The Box)
Schweden ändert Abhörgesetz-Vorschlag (ORF)
Britain will make foreigners carry RFID identity cards and will put us in a huge, Orwellian database: the rest of Britain will be next (BoingBoing)
Chaosradio: Jetzt erfassen wir alle! (F!XMBR)
EU testet Interoperabilität der elektronischen Reisepässe (heise News)
Security Maxims (Schneier on Security)
Illegale Staatsauskünfte: Was hat die Telekom zu verbergen? (Daten-Speicherung)
Russland will atomare Abschreckung ausbauen (tagesschau)
New York: Officers disciplined after taser gun death (ABC Local)
Bericht: Telekom spionierte möglicherweise auch E-Mails von Gewerkschaftern aus (heise News)
UK: ID card ‘will drown in a billion mismatches’ (Silicon.com)
Deutsche Telekom hat auch Emails ausspioniert (ORF)
Schönrechnung bei Schäubles Abhörzentrum beklagt (heise News)
Browser Speed Tests: The Compiled, Up-to-Date Results (lifehacker)
Die Datensammler der Telekom (Spiegel Online)
Das Landgericht Köln und das Geheimnis der E-Mails (Telepolis)

Mit dem Sonderbus zur Demo gegen den Überwachungswahn in Berlin (heise News)
Wie Wahnsinnige mit Fingerabdrücken jonglieren (Ravenhorst)
USA: Polizei setzt verstärkt GPS-Geräte zur Überwachung Verdächtiger ein (Virtuelles Datenschutzbüro)
Hacker Reportedly Kidnaps, Tortures Informant, Posts Picture as Warning (Virtuelles Datenschutzbüro)
Tor und Mixmaster Karten (Ravenhorst)
Datenskandal-Informant verfügt über weitere Kundendaten (Yahoo News)
Konvergente Bedrohungen: Cyberkriminelle greifen verstärkt über verschiedene Medien hinweg an (IT SecCity)
Kriminalität im Netz: Spear-Phishing alarmiert IT-Sicherheitsexperten (Die Zeit)
Datenklau im Netz: Diebischer Zwilling (Süddeutsche Zeitung)
Gefährliches Sicherheitsloch in Windows (Golem)
US-Polizei soll mehr Befugnisse zur präventiven Gefahrenabwehr erhalten (heise News)
Cyberattack Against Georgia Preceded Real Attack (Schneier on Security)
Daten sind keine Bonbons (Süddeutsche Zeitung)
Poll: What Kind of „D&D“ Character Would John McCain Be? (Wired)
Der Mond ist aufgegangen (IQ-Atrophie)
Flash Attack Hijacks Your Clipboard (Wired)
42% of Web Users Sneak Onto Other Online Accounts (Slashdot)
Boston Court’s Meddling With ‘Full Disclosure’ Is Unwelcome (Security Matters)
Vorratsdatenspeicherung: Data-Mining und der “Datenraum” (Netzpolitik)
Naive Wünsche an eine Datenschutz-Gesetzgebung (Hanno Zulla)

Von mündigen Bürgern und Überwachung (Open Mind Blog)
Georgia Under Online Attack (Wired News)
Der geheimnisvolle i-Patriot Act (Ravenhorst)
Defcon „Warballoon“ Finds 1/3 of Wireless Networks Unsecured (Slashdot)
Das AMD RFID-Funknetz Projekt (Ravenhorst)
Schädlinge aus allen Richtungen (heise Security)
Regulierungsrausch: Der Kindermädchen-Staat (Süddeutsche Zeitung)
Neue Steuer-ID: Bürgerrechtler rufen Zweifler zur Klage auf (Die Zeit)
Unerlaubte Abbuchung: Datenschützer attackieren Banken (Spiegel Online)
New SQL Injection Attack Fuses Malware, Phishing (Slashdot)
Fehlstart der neuen Steuernummer: Plötzlich Multikulti (Süddeutsche Zeitung)
UK National Risk Register (Schneier on Security)
Datenschlamperei: Sicherheitsexperten fordern gesetzliche Meldepflicht bei Datenverlusten (IT SecCity)
Uncle Sam Wants Your Brain (Wired Science)

Anlässlich des Beginns der diesjährigen Olympischen Sommerspiele in China warnt die Firma Sophos (spezialisiert auf IT-Sicherheits-Produkte und -Dienstleistungen) vor „erhöhten IT-Sicherheits-Risiken in China und am heimischen Arbeitsplatz“. Um diese Risiken möglichst zu minimieren, hat die Firma eine Liste unter der Überschrift „Die zehn wichtigsten Spielregeln zum Schutz vor Datenverlust und Cyberattacken“ zusammengestellt, die Computernutzern Anhaltspunkte geben soll, wie sie sich angesichts von Cyberkriminalität und mangelndem Respekt vor der Privatsphäre anderer verantwortungs- und sicherheitsbusst verhalten.

„Risikofrei im Web surfen“, wie es die Firma vollmundig verspricht, wird man auch nach der gewissenhaften Anwendung dieser Tipps wohl kaum können – absolute Sicherheit ist im realen Leben nicht zu gewährleisten, schon gar nicht durch das Abarbeiten doch eher allgemein gehaltener Sicherheitstipps. Anderes zu suggerieren ist angesichts der professionellen Verantwortung fragwürdig. Abgesehen davon jedoch ist jede Verbesserung des Sicherheitsstandards auf Endbenutzer-PCs momentan eine gute Idee- und die Tipps selbst erscheinen durchaus sinnvoll.

1. Halten Sie ihre Anti-Viren-Software auch bei Reisen stets aktuell. Stellen Sie sicher, dass der Virenscanner aktiviert ist und sich regelmäßig aktualisiert. Nur dann sind Sie vor den neuesten Attacken geschützt.

Ein möglichst effektiver Virenscanner ist nie verkehrt, insbesondere auf Windows-Systemen, für die die Mehrzahl der Schädlinge kursiert. Dieser benötigt auch regemäßige Updates, anderenfalls sind für neue Bedrohungen keine passenden Signaturen vorhanden und diese finden unbemerkt ihren Weg auf den Rechner. Abgesehen davon, dass Sophos als Anbieter entsprechender Software hier durchaus eigennützige Interessen vertritt, ist Regel Nr. 1 auf jeden Fall sinnvoll.

2. Surfen Sie auch am Hotspot nur mit aktiver Personal-Firewall, die Ihnen sofort meldet, wenn unerwünschte Verbindungen ins Internet aufgebaut werden! Im Zweifelsfall die Internetverbindung lieber sofort beenden und die verdächtige Anwendung sperren. Hotspots können zudem gefälscht sein: Ähnlich zu Phishing-Websites gibt es mittlerweile gefälschte Portale, die als öffentlicher Hotspot getarnt sind und es auf Ihre Kreditkartendaten abgesehen haben. Prüfen Sie also genau, dass Sie nur vertrauenswürdige Angebote nutzen.

Über den Sinn und Unsinn von Personal Firewalls kann man sich fein trefflich streiten (was auch in diversen Foren, Newsgroups und Mailinglists mit Ausdauer getan wird). Der Rest der Aussage jedoch, nämlich die Warnung vor Angriffen über fragwürdige WLAN-Hotspots, ist richtig und wichtig, insbesondere, da sich noch kaum jemand dieses Risikos bewusst zu sein scheint.

3. Schalten Sie Drahtlos-Funktionen wie WLAN und/oder Bluetooth nur an, kurz bevor Sie sie wirklich benutzen und auch nur so lange, wie Sie sie benötigen! Reagieren Sie nur auf Geräte, denen Sie vertrauen können und lassen Sie keine unbekannten Geräte für die Kommunikation zu. Prüfen Sie, ob Sie die maximale WLAN-Sicherheit aktiviert haben bzw. wie geschützt der WLAN-Zugang ist. Sollten Sie andere Geräte im Zugriff entdecken oder sich in Datenverbindungen anderer einschalten können, gehen Sie sofort aus dem Netz.

Sicher nicht verkehrt, durch das Ausschalten der WLAN-Karte wird auch noch Strom gespart. Beim eigenen WLAN-Router sollte außerdem auf eine sinnvolle Verschlüsselung (nein, WEP ist definitiv keine) geachtet werden.

4. Lassen Sie Ihre IT-Ausrüstung und Ihr Mobiltelefon nie unbeaufsichtigt. Das schützt erstens vor Diebstahl, zweitens kann dann niemand unmittelbar Schadprogramme oder Spionage-Software auf den Geräten installieren.

Sollte selbstverständlich sein, immerhin sind solche Geräte auch teuer. Ideal natürlich: Wo das möglich ist, zusätzlich die Festplatte verschlüsseln, dann haben Datendiebe keine Chance. Mit Truecrypt ist das mittlerweile sogar unter Windows möglich.

5. Speichern Sie vertrauliche Daten immer verschlüsselt, sowohl auf Notebooks, aber auch auf Handys und Datenträgern, wie USB-Sticks oder Speicherkarten! Kleine Geräte und Datenträger können schnell verloren gehen oder gestohlen werden.

Diesem Rat kann ich mich nur uneingeschränkt anschließen- wie gesagt, idealerweise verschlüsselt man direkt das ganze Dateisystem, dann spart man sich die Mühe, zu entscheiden, welche Daten vertraulich sind, und erreicht einen gewissen Schutz des Betriebssystems vor Manipulationen.

6. Nutzen Sie keine externen Datenträger von Personen und Organisationen, denen Sie nicht voll vertrauen! Sie könnten Software enthalten, die unbemerkt auf Ihren Geräten Schad- und Spionageprogramme installiert.

Auch dem kann ich mich nur voll inhaltlich anschließen.

7. Richten Sie Ihr Betriebssystem so ein, dass Sie nur als Nutzer mit eingeschränkten Rechten im Internet unterwegs sind! Sind Sie zum Beispiel bei Windows Vista oder XP als Benutzer mit Administratorrechten angemeldet, hat ein Hacker möglicherweise vollen Zugriff auf alle Daten und Einstellungen des Rechners.

Prinzipiell ist das sicher vollkommen richtigim Falle von Windows XP sind jedoch Zweifel an der Praktikabilität angebracht. Hier sollte jeder selbst ausprobieren, ob er mit einem Benutzeraccount zurecht kommt- letztlich nutzt der beste Sicherheitsstandard wenig, wenn man den Computer nur eingeschränkt produktiv nutzen kann. Linux hat diesen Punkt besser umgesetzt; hier ist das Arbeiten mit einem normalen Benutzerkonto Standard und bereitet in der Regel keinerlei Probleme.

8. Wer Kontakt zum Unternehmen zu Hause aufbaut, sei es um Mails abzurufen oder Daten anzusehen oder herunterzuladen, sollte dafür immer eine gesicherte VPN (Virtual Private Network) Verbindung aufbauen! Nur dann ist gewährleistet, dass die Verbindung zwischen Sender und Empfänger aufgebaut wird und niemand unbemerkt den Datenverkehr ‘belauscht’.

Wenn man sieht, wie unbesorgt viele Nutzer auch wichtige und vertrauliche Daten im Klartext über das Internet schicken, kann man das wohl nicht oft genug betonen. Hier ist allerdings auch der Arbeitgeber in der Pflicht, eine entsprechende Infrastruktur bereitzustellen.

9. Erstellen Sie Sicherheitskopien Ihrer wichtigsten Daten, um im Notfall darauf zurückgreifen zu können! Denn auch wenn Sie alle Sicherheitsvorkehrungen beachten, können mobile Geräte gestohlen werden oder verloren gehen. Speichern Sie daher alle relevanten Daten nochmals auf einem anderen Datenträger, etwa einem USB-Stick oder einer CD, den Sie sicher im Hotel oder im Büro aufbewahren.

Regelmäßige Backups haben wohl selten jemandem geschadet und oft Schlimmeres verhindert. Auch hier gilt: Am besten verschlüsselt speichern, immerhin sind auch diese Daten oft vertraulich.

10. Und zu guter Letzt: Lassen Sie nur Personen Ihres Vertrauens an Ihren Computer und auch nur, wenn es wirklich nötig ist! Fremde sollten Sie gar nicht, oder, wenn unbedingt notwendig, nur unter Aufsicht mit Ihren IT-Systemen arbeiten lassen.

Hier gilt es, wie so oft, die richtige Balance zu finden zwischen sicherheitsbewusstem Verhalten und blanker, sozial schädlicher Paranoia. Letzten Endes kommt es wohl darauf an, eine möglichst gute Einschätzung potentieller Bedrohungssituationen zu entwickeln.

Insgesamt ist die von Sophos zusammengestellte Liste, auch wenn sie natürlich kaum auf Details eingehen kann, ein durchaus sinnvoller „Leitfaden“ insbesondere für unerfahrene Benutzer. Wer sich daran hält, vermeidet bereits einen Großteil der häufig gemachten Fehler im Bereich Rechner- und Datensicherheit.

Einen interessanten Kommentar veröffentlichte kürzlich der US-amerikanische Sicherheitsexperte Bruce Schneier. Unter der Überschrift Memo to Next President — How to Get Cybersecurity Right stellt Schneier in seinem Blog einige Ideen vor, wie ein Land (Schneier bezieht sich primär auf die USA, seine Ideen sind aber ohne Weiteres auf andere Länder übertragbar) eine tragfähige IT-Sicherheitspolitik für die nahe Zukunft umsetzen kann.

Schneier legt dabei drei grundlegende „Forderungen“ fest. Die erste ist, die „immense Kaufkraft“ der Regierung zu nutzen, um „die Sicherheit“ kommerzieller Produkte und Dienstleistungen zu verbessern“ indem für staatliche Verwendung nur Software gekauft wird, bei der explizite Sicherheitanforderungen erfüllt werden. Die zu diesem Zweck entwickelten Verbesserungen, so Schneier, würden danach auch kommerziell erhältlich sein und somit der Allgemeinheit zugute kommen. Dies wird um so wichtiger, je größer die Rolle ist, die Computer in unserem Leben spielen- und diese Rolle ist bereits jetzt groß genug, um die Absicherung von Computern unverzichtbar zu machen für sowohl gesellschaftliche Abläufe als auch die Wahrung individueller Rechte. Wenn der Staat hier Einfluss nimmt, ohne zu überreglementieren, einfach indem er sinnvolle Sicherheitsstandards für Software wirtschaftlich attraktiv macht, können wir davon alle nur profitieren. Wie so viele Vorschläge von Bruce Schneier hört sich auch dieser täuschend einfach und selbstverständlich an- wenn man einmal darauf gekommen ist. Sicherheit ist eben oft nicht kompliziert und unverständlich, sondern eine Frage des Blickwinkels und des Gespürs für Zusammenhänge und mögliche Beeinflussungswege.

Schneiers zweiter Grundsatz ist, von staatlicher Seite Ergebnisse, aber keine Methoden vorzugeben. So wird die genaue Umsetzung den Experten überlassen, die in der Regel eher auf sinnvolle Lösungswege kommen als Politiker, für die IT-Sicherheit nur ein Thema unter vielen ist. Zuviel „Micromanagement“ von Seiten der Regierung trägt nicht dazu bei, die Kreativität der Fachleute zu fördern- teilweise kann sie diese sogar ernsthaft behindern, trotz wahrscheinlich bester Absichten der Verantwortlichen. „Ein schlechtes Gesetz ist schlimmer als gar kein Gesetz,“ betont Schneier- vor dem Hintergrund meiner Erfahrungen mit einigen Perlen der IT-Gesetzgebung (insbesondere §202c StGb) kann ich nur sagen: „Der Mann hat sowas von recht!“ Angetreten mit dem lobenswerten Ziel, die wachsende Cyberkriminalität zu bekämpfen, schafft dieser Paragraph (beziehungsweise seine mögliche, bisher nicht verlässlich auszuschließende Auslegung als Komplettverbot bestimmter Software) es statt dessen, die professionelle Arbeit, die Forschung Nachwuchsgewinnung der „White Hats“, der konstruktiv arbeitenden Sicherheitsexperten, zu erschweren, ohne die Kriminellen nennenswert zu beeindrucken. Auch hier wird statt eines Zieles („Einschränkung bestimmter Formen der Cyberkriminalität“) eine genaue Methode („Verbot bestimmter Tools“) vorgegeben.

Last but not least fordert Schneier als dritten Teil seines „Katalogs“, dass der Staat in Forschung, insbesondere die wirtschaftlich oft eher unattraktive und daher von kommerziellen Unternehmen vernachlässigte Grundlagenforschung, investiert. Dabei plädiert er (neben einer erneuten Betonung der Wichtigkeit wissenschaftlicher Freiheit) für eine möglichst breit angelegte Verteilung der Gelder, da man „nie vorhersehen kann, was einmal wofür nützlich sein wird“- eine Aussage, die gut zu Schneiers häufigen Plädoyers für die Einbeziehung von weit mehr verschiedenen Disziplinen und Blickwinkel in die Sicherheitsforschung passt und vor dem Hintergrund oft kontraproduktiver Animositäten und/oder Kommunikationsstörungen zwischen den Experten für verschiedene Themen und Fachbereiche wichtig bis überfällig ist. Allerdings erscheint es momentan doch etwas sehr optimistisch, auf mehr Gelder für Forschungsprojekte, insbesondere solche mit Bezug zum oft misstrauisch beäugten IT-Sicherheits-Bereich, zu hoffen. Schneiers Rat erscheint sinnvoll genug- ob irgendwer in der Politik darauf hören wird, steht leider auf einem anderen Blatt, auch weil, wie Schneier selbst im abschließenden Statement schreibt, effektive Sicherheitsmaßnahmen oft unpopulär sind und sich daher bei Politikern keiner allzu großen Beliebtheit erfreuen (insbesondere wenn sie Geld kosten).

Insgesamt hat Bruce Schneier hier einen sehr sinnvoll erscheinenden Maßnahmenkatalog zusammengestellt, über den wohl nicht nur amerikanische Politiker einmal ernsthaft nachdenken sollten. So könnte der Schritt vom durch Panikmache gerechtfertigten Sicherheitstheater hin zu sinnvolleren Maßnahmen gemacht werden- wenn das Interesse und die nötige Einsicht bestünden, das zu erreichen.

Unter deutschen IT-Spezialisten (besonders natürlich Security-Experten und solchen, die es werden wollen) ist, nicht erst seit der Stellungnahme des Chaos Computer Club, immer wieder der sogenannte Hackertool-Paragraph §202c (StGb) Thema. Die Beschäftigung mit bestimmten Themen, insbesondere der Einsatz oder die Erstellung als „Hackertools“ eingestufter Software, wird durch diesen Paragraphen zu einer höchst problematischen Angelegenheit, da momentan niemand mit absoluter Sicherheit sagen kann, ob diese Software nun unter allen Umständen oder nur im Falle einer destruktiven Verwendung strafrechtlich relevant ist. Die Beschäftigung mit dieser Software aber ist, da ist sich die Mehrheit der Fachleute einig, unerlässlich für Forschung, Lehre und Dienstleistung im IT-Sicherheitsbereich und somit für die Aufrechterhaltung eines adäquaten Sicherheitsstandards. Findet diese Auseinandersetzung aus Angst vor Kriminalisierung oder falsch verstandenen moralischen Bedenken nicht statt, verliert die Gesellschaft auf Dauer den Anschluss an den Stand der Technik und kann sich nicht mehr effektiv vor den sich stetig weiter entwickelnden Bedrohungen schützen.

Ähnliche Probleme haben offenbar auch die US-amerikanischen Kollegen der deutschen Betroffenen. Auf der Hackerkonferenz „Black Hat“ nahm sich nun die Electronic Frontier Foundation (EFF) des Themas an und rief eine Kampagne ins Leben, die die Arbeitsbedingungen von IT- und insbesondere Sicherheits-Experten verbessern soll, indem sie sich dafür engagiert, die kontraproduktive Kriminalisierung bestimmter Handlungen zu bekämpfen. Dabei geht es laut heise News vor allem um Themen wie „Reverse Engineering, Veröffentlichungen von Sicherheitslücken sowie Fragen des geistigen Eigentums und der freien Meinungsäußerung“- Themen also, von denen jeder mit der Materie vertraute Mensch weiß, dass sie auch in Deutschland eine Menge Zündstoff bergen. Diejenigen, die sich mit dieser Technologie befassen, die so neu ist, dass sie bei vielen Menschen auf Unverständnis oder sogar generelles Misstrauen stößt, haben weltweit mit ähnlichen Problemen zu kämpfen- da sind wir 202c-geplagten Deutschen zwar vielleicht ein Extrem- aber kein Einzelfall.

„Programmierer, die Technologie durch Innovation und Forschung austesten, spielen eine wichtige Rolle bei der Entwicklung und Absicherung der Soft- und Hardware, die wir täglich nutzen“, erklärt die Leiterin der Kampagne, Jennifer Granick, und Eward Felten aus dem EFF-Vorstand ergänzt „Wissenschaftler aus den Bereichen Computersicherheit und Datenschutz müssten in der Lage sein, ihre Arbeit ohne Angst vor rechtlichen Bedrohungen zur Diskussion zu stellen“. Damit kommen die beiden zu den selben Schlüssen wie in Deutschland der Chaos Computer Club. Bei der EFF will man nun „eine frühe Verteidigungslinie für Entwickler aufbauen, um ihre legitimen Untersuchungen rechtlich abzusichern.“

Ebenso wie die diesbezüglichen Bemühungen deutscher Gruppen ist die Initiative der EFF für eine möglichst produktive (und angstfreie) Auseinandersetzung mit bestimmten Themen sehr lobenswert und wichtig. Eine Kriminalisierung bestimmter, mitunter (notwendigerweise) kriminellen Methoden ähnelnder, in ihren Konsequenzen und ihrer Intention aber völlig anders gearteter Tätigkeiten ist meines Erachtens weder für eine effektive Bekämpfung von Cyberkriminalität geeignet noch ohne Gefährdung zunehmend wichtiger werdender Arbeit (in der konkreten Bekämpfung bestimmter Bedrohungen, aber auch der Grundlagenforschung und der Ausbildung von Nachwuchs) möglich (eine ausführlichere Behandlung dieser Theorie und der zugrunde liegenden Argumente findet sich beispielsweise hier). Falls die EFF es schafft, dieser von der Politik so oft ignorierten Überzeugung vieler Fachleute etwas mehr Gehör zu verschaffen, ist das ein großer Schritt in die richtige Richtung.

Gestern nahm ein Team der Hochschule Niederrhein, wie bereits im letzten Jahr, am IT-Security-Wettbewerb CIPHER (dieses Jahr CIPHER 4) teil. Bei dem von der RWTH Aachen und der Uni Siegen ausgerichteten Wettbewerb bekam jedes Team ein Betriebssystem-Image, auf dem bestimmte speziell für den Contest geschriebene Dienste (in diesem Jahr beispielsweise ein Chat-Dienst, ein FTPd und eine Art Social Network nach dem Prinzip von StudiVZ) liefen. Diese Dienste hatten zahlreiche Vulnerabilities wie Programmierfehler, gefährliche Default-Settings und Hintertüren. Ziel war, die Dienste der anderen anzugreifen oder sonstige Wege in deren Server zu finden, während man die eigenen Dienste, beispielsweise durch da Schreiben und Einspielen von Patches oder durch Einstellungsänderungen, möglichst effektiv zu verteidigen versuchte.

Das Team „SAHNE“ (kurz für „Security AG Hochschule Niederrhein“) hatte sich in der vorhergehenden Woche ein paarmal für Vorbereitungen getroffen und war vorsichtig optimistsch. Allerdings galt es gegen eine sehr starke Konkurrenz zu bestehen; neben zahlreichen deutschen Teams waren im ingesamt 29 Teams starken Teilnehmerfeld auch mehrere US-amerikanische und russische, eine belgische und sogar eine indische Hochschule vertreten.

Den ersten Grund zur Freude gab es für unser Team, als sich herausstellte, dass als Betriebssystem für die Server der Teams (die sogenannte „Vulnbox“) ein aktuelles Ubuntu zum Einsatz kam, mit dem die meisten von uns aus dem täglichen Einsatz vertraut waren. Dieses System galt es erst einmal eine Stunde lang zu analysieren und abzusichern. Dabei war so ziemlich alles an Kenntnissen gefragt, was man in der IT so ansammeln kann. Neben einem allgemeinen Gespür für Sicherheitssysteme und mögliche Angriffsmethoden waren unter anderem Kenntnisse in Shell-Scripting, SQL-Datenbanken, Webanwendungen und den Programmier- bzw. Scriptsprachen C, PHP, AJAX, Perl, Python und Haskell gefragt. Auch ein bisschen Übung im Knacken von Password-Hashes erwies sich als nützlich; so konnte man die Shadow-Datei des Images auslesen und mit dem Ergebnis versuchen, Spaß auf den Rechnern der anderen Teams (die Images und damit die Passwörter waren überall identisch) zu haben. Über gefundene Sicherheitslücken konnte man außerdem sogenannte Advisories schreiben, eine Art Bug Report idealerweise mit Exploit und Patch/Workaround, die Zusatzpunkte brachten (allerdings nicht die stärkste Disziplin unseres Teams).

Nach der ersten Stunde gingen die Rechner dann live ans Netz. Jetzt galt es, sich gegen die sofort beginnenden heftigen Angriffe zur Wehr zu setzen und gleichzeitig möglichst viele der noch ungefixten Sicherheitslücken bei den Konkurrenten zu nutzen. Beweis für erfolgreiche Hacks waren dabei die sogenannten Flags, lange Zeichenketten (für Kenner: Hexwerte), die vom Gameserver alle paar Minuten an versteckten Stellen des Systems platziert wurden (beispielsweise in der Liste der Dateien oder sehr oft in Datenbanken). Diese Flags galt es zu finden und an einen zentralen Server zu schicken. Das brachte dem jeweils ersten Team (pro Flag) offensive Punkte. Defensive Punkte wurden auch vergeben, logischerweise für erfolgreiche Verteidigung des eigenen Servers und die Aufrechterhaltung der angebotenen Dienste.

Für jemanden, der die Arbeit mit Produktivsystemen gewöhnt ist, erscheint es etwas verrückt, alle paar Sekunden Dienste exploitet oder sogar den Server gerootet zu bekommen, ebenso wie man auch selbst solche Dinge nicht unter realen Bedingungen tun würde. Genau deswegen machen solche Wettbewerbe Interessierten einen Riesenspaß; man kann Dinge ausprobieren, die unter normalen Bedingungen unmöglich oder zumindest alles andere als empfehlenswert sind, und, zusammen mit seinem Team, mit anderen in einen sportlichen Wettstreit treten. Der Lerneffekt ist auch entsprechend hoch. Anfangs hatte ich bei meiner ersten aktiven Teilnahme noch etwas Probleme, mich einzufinden und einen Überblick zu bekommen, aber dann kommt man doch schnell vom Herumraten zu einem Gefühl für die Abläufe und Anforderungen eines solchen Wettbewerbs.

Unser Team schlug sich im Großen und Ganzen gar nicht schlecht. Lange Zeit konnten wir uns unter den besten Drei, eine Weile sogar auf Platz 1 halten. Gegen Ende bekamen wir dann ein paar Probleme, da einige andere Teams wohl noch potente Exploits gefunden hatten und man uns außerdem permanent viele unserer Dienste abschoss, so dass wir auch selbst mit diese Diensten keine Punkte mehr erzielen konnte (die Regeln sahen vor, dass nur Flags von Diensten zählten, die man selbst zu diesem Zeitpunkt online hatte). Letzten Endes konnten wir uns mit dem 11. Platz aber gegenüber letztem Jahr um vier Plätze verbessern, obwohl diesmal das Teilnehmerfeld etwas größer war. Fernziel für das nächste Mal sind natürlich die Top 10, insbesondere da die Tatsache, dass wir dieses Mal recht lange oben mitmischen konnten, zeigt, dass durchaus noch Reserven nach oben vorhanden sind.

Zunächst einmal danke an mein tolles Team und an die Organisatoren und Glückwunsch an die Sieger von HackerDom; es hat eine Menge Spaß gemacht. Bilder werden nachgereicht.

Vor einigen Tagen veröffentlichte der Chaos Computer Club, genauer gesagt dessen Mitglieder Constanze Kurz, Felix Lindner, Frank Rieger und Thorsten Schröder, ein Gutachten zum „Hackertoolparagraphen“ §202c StGB. Dieser lautet wie folgt:

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.

Unter Menschen, die sich (beruflich, hobbymäßig oder in der Ausbildung) mit IT-Security befassen, erfreut sich dieser im Sommer 2007 verabschiedete Paragraph keiner großen Beliebtheit, sondern steht seit seiner Einführung durchgängig in der Kritik. Insbesondere hobbymäßige, „inoffizielle“ Sicherheitsforscher befürchten durch die neue Gesetzgebung eine Kriminalisierung ihrer Tätigkeit.

In der Branche ist teilweise durchaus ein gewisser Selbstzensur-Effekt zu beobachten. Man verlegt Websites ins Ausland, löscht oder versteckt seine Sammlung entsprechender Tools und redet nicht mehr so offen wie zuvor über entsprechende Experimente. Sicher betrifft dies nicht alle mit der Materie befassten Menschen. Manch Anderer gibt sich trotzig bis fatalistisch, denkt nicht über das Thema nach oder hat das entsprechende Risiko für sich längst als akzeptabel kategorisiert. Wieso aber ist es überhaupt ein solches Thema, ob man derartige Forschung überhaupt betreiben kann und sollte? Wer sich überlegt, dass viele dieser Interessierten ihr erworbenes Wissen zum besten der Gesellschaft einsetzen, dieser nützen wollen- muss der sich nicht fragen, ob es richtig sein kann, dass das offenbar nicht mehr immer angstfrei möglichen ist? Sollte es nicht so sein, dass eine Gesellschaft, die im Bereich neuer Technologien mithalten will, diejenigen unterstützen und fördern sollte, die sich mit diesen Technologien kritisch und mit Sachverstand auseinandersetzen?

Der Chaos Computer Club, bekannt für den hervorragenden technischen Sachverstand einiger Mitglieder, aber auch sein beständiges Engagement für eine möglichst umfassende und freie Beschäftigung mit „Hackerthemen“, legt in seiner Stellungnahme nun dar, wieso und auf welche Weise er die IT-Sicherheit in Deutschland durch die aktuelle Gesetzgebung gefährdet sieht.

Der Chaos Computer Club geht, das vorab, in seiner Stellungnahme davon aus, dass es zumindest denkbar ist, §202c StGB so auszulegen, dass bereits der reine Besitz entsprechender Software (ohne zusätzliche strafbare Handlungen) zu negativen Konsequenzen führen kann. Diese Auslegung ist umstritten; nach dem Wortlaut des Gesetzes wäre es ebenso denkbar (und der zu vermutenden Intention näher), Handlungen im Zusammenhang mit Hackertools erst dann strafrechtlich zu berücksichtigen, wenn andere einschlägige Handlungen (beispielsweise im Zusammenhang mit den 303er-Paragraphen) vorliegen. Die große Problematik bei §202c StGB ist, dass beide Auslegungen denkbar sind. So wird sowohl dem Ermessen des evtl. mit einem solchen Fall befassten Richters als auch ängstlichen Spekulationen potentieller Betroffener sehr viel Raum gegeben. Folge ist die oft erwähnte Rechtsunsicherheit- niemand weiß genau, woran er ist, insbesondere, da auch aussagekräftige Grundsatzurteile bisher fehlen. Diese Konstellation hat weitreichende Folgen, vor allem für die betroffene Branche, die die Gutachter des Chaos Computer Clubs für schädlich für das IT-Sicherheitsniveau in Deutschland erachten. Hier wäre eindeutig der Gesetzgeber in der Pflicht, nachzubessern und eine eindeutigere Situation zu schaffen. Gibt es so viele verschiedene, mehr oder weniger sinnvolle und teilweise sehr problematische Auslegungen eines Gesetzes, ist eindeutig der Gesetzgeber in der Pflicht, Rechtssicherheit zu schaffen. Dabei wäre es bezogen auf den Zweck des Gesetzes schlüssiger (und auch näher am Wortlaut des entsprechenden Artikels der zugrunde liegenden Cybercrime Convention), eine Kriminalisierung des reinen Besitzes entsprechender Tools und ihrer Benutzung für nichtdestruktive Zwecke ausdrücklich auszuschließen. Von entsprechenden Plänen ist allerdings momentan nichts bekannt- mit allen negativen Folgen, die die fortgesetzte Ungewissheit hat.

Nachdem das Gesetz nun schon rund ein Jahr in Kraft ist, sollte denjenigen, denen wirklich etwas an der Verbesserung der IT-Sicherheit in Deutschland liegt, klar geworden sein, wie ungeeignet der §202c in seiner derzeitigen Version dazu ist. Falls nicht empfehle ich den betreffenden Damen und Herren Politikern dringend die Lektüre der vorliegenden Stellungnahme, in der Hoffnung, dass sie sich auch einmal mit der Perspektive der Betroffenen statt mit irgendwelchen Akten und Pseudo-Experten-Gutachten befassen.

Die Argumentation in der Stellungnahme ist meines Erachtens sehr umfassend und schlüssig, daher werde ich hier näher auf die einzelnen Punkte eingehen. In meinen Augen sind in dem Papier ein paar sehr sinnvolle Denkanstöße enthalten, die hoffentlich den einen oder anderen Politiker dazu bringen, seine Position im Bereich IT-Sicherheit doch noch einmal zu überdenken.

Einleitend führen die Autoren aus, dass eine Zweckbestimmung von Software grundsätzlich sehr schwer zu erreichen ist. Beispielhaft führen sie an, dass sonst jede Antivirus-Software die Technik nutzen würde, um erwünschte von schädlicher Software zu unterscheiden. Dass dies nicht möglich ist, liegt auf der Hand. Dementsprechend schwer ist es auch, einen Zweck für bestimmte Programme zu definieren. Viele als „Hackertools“ gebrandmarkte Programme haben auch völlig harmlose Verwendungen, während sich scheinbar harmlose und unmöglich zu verbietende Programme wie Webbrowser, Regedit oder diverse Kommandozeilen-Tools (insbesondere auf unixoiden Betriebssystemen) durchaus zur Vorbereitung, teilweise auch zur Durchführung von Angriffen eignen. Dies wird auch als “Dual Use”-Software bezeichnet und lässt sich (wie es auch der CCC in seiner Stellungnahme tut) sehr gut mit anderen, nicht IT-bezogenen Werkzeugen (denn um nichts anderes handelt es sich bei einem Computerprogramm) vergleichen. Viele Dinge in unserem Alltag können für nützliche und wichtige, ebenso aber auch für destruktive Zwecke eingesetzt werden. Ein Hammer ist dazu geeignet, ein Bücherregal zu bauen, einen Nagel für ein Bild einzuschlagen oder andere sinnvolle Dinge damit zu tun. Ebenso könnte aber auch jemand beschließen, seinem ungeliebten Mathelehrer, der Erbtante oder dem Geliebten seiner Frau mit diesem Hammer auf den Kopf zu schlagen und sie so wahrscheinlich schwer zu verletzen oder sogar zu töten. Ähnliches gilt für ein Skalpell (auch vom CCC als Beispiel verwendet), mit dem ein Arzt eine lebensrettende Operation durchführen kann, das aber ebenso als Tatwaffe für ein Gewaltverbrechen in Frage kommt, oder für ein Auto, das uns Mobilität bietet, aber auch für eine Amokfahrt genutzt werden oder bei Fehlern des Benutzers (in diesem Fall Fahrers) schwere Unfälle verursachen kann. Die Liste der Beispiele ließe sich beliebig fortsetzen.

Was haben all diese Dinge- inklusive Hackertools- gemeinsam? Sie alle haben mehrere Einsatzmöglichkeiten; einige davon sind zum Wohle der Gesellschaft, andere das genaue Gegenteil. Erst die Verwendung durch den Benutzer, dessen konkrete Handlung, entscheidet zwischen Erschaffen und Zerstören, zwischen Helfen und Schaden, zwischen Heimwerker-Gerät und Mordwaffe- oder eben zwischen verantwortungsvoller Computer-Tätigkeit und Cyberkriminalität. Allgemeiner gesprochen: Es kommt auf den Kontext an, in dem ein bestimmter Gegenstand oder eben ein Stück Software benutzt wird. Erst dieser Kontext lässt eine sinnvolle Beurteilung der Verwendung eines Gegenstandes zu, da er erlaubt, zu beurteilen, welches der verschiedenen Potentiale seines Werkzeugs jemand genutzt hat. Hackertools von vorneherein zu verbieten, hieße, nur ihr destruktives Potential zu sehen. Das ist ebenso falsch, wie Hämmer, Skalpelle oder Autos zu verbieten.

Im Zusammenhang damit gibt es eine weitere Gemeinsamkeit von “alltäglichen” Werkzeugen und den von unserer Regierung offenbar so gefürchteten Hackertools: Sie alle verlangen vom Benutzer eine bewusste Entscheidung für eine Handlungsweise- sie verlangen das Übernehmen von Verantwortung. Damit, dass wir Möglichkeiten, anderen Menschen zu schaden, nicht nutzen, übernehmen wir ein Stück weit gesellschaftliche Verantwortung. Das ist ein elementarer Teil einer freien Gesellschaft, die sich am humanistischen Menschenbild orientiert. Wir alle haben das Recht, frei zu handeln, und ebenso das Recht und die Pflicht, eigene Entscheidungen zu treffen. Das soll, ja darf uns der Gesetzgeber nicht ohne guten Grund absprechen. Nur, wer gelernt hat, Verantwortung zu übernehmen, kann positiv zum Gelingen unserer Demokratie beitragen, und nur, wer eine gewisse Handlungsfreiheit (gerade im professionellen Kontext, dort, wo er sich auskennt und sich engagieren kann und will) zugestanden bekommt, kann seine Talente wirklich einsetzen. Mit der möglichen, restriktiven Auslegung des §202c (die nun einmal von vielen als “Worst Case” angenommen wird) würde einem diese Entscheidungsfreiheit in einem bestimmten Themenbereich abgesprochen. Es wird einem nicht zugestanden (zugetraut?), diese Tools mit ihrem destruktiven Potential so einzusetzen, dass kein Schaden entsteht. Das ist eine sehr gefährliche Tendenz, hin zu einer Gesellschaft, die uns immer weniger Freiheiten zugesteht.

Die konstruktive, nicht in ihrer Intention und ihren Folgen kriminelle Verwendung solcher Tools ist nötig, ja unerlässlich. Das belegt der CCC im weiteren Verlauf seiner Stellungnahme (und es entspricht auch meiner persönlichen Überzeugung und Erfahrung).

Zunächst gehen die Autoren allgemein darauf ein, dass die Verwendung von Hackertools und Exploits wichtig für die Forschung und für die Entwicklung neuer Sicherheitssysteme ist. Sie erläutern, dass ein Fehler im Quellcode sich oft nur dann zeigt, wenn man ihn gezielt herbeizuführen oder auszunutzen versucht. Ist eine solche Handlungsweise verboten, bleiben viele Fehler unentdeckt.

Darüber hinaus versuchen viele Betreiber fehlerhafter Software oder Web-Anwendungen, Fehler geheim zu halten, um sich den finanziellen und personellen Aufwand für ihre Behebung und einen möglichen Image-Schaden zu ersparen. Da Kriminelle über einiges an Erfahrung im Aufdecken solcher Fehler verfügen, kann diese Handlungsweise unter Umständen sehr gefährlich sein. Im Interesse der Allgemeinheit ist eine möglichst zügige Behebung dieser Fehler. Diese aber wird oft nur erreicht, indem man entdeckte Sicherheitslücken veröffentlicht und so Druck auf die Firmen ausübt (“Full Disclosure”). Dies wäre natürlich höchst problematisch, wenn bereits der Besitz entsprechender Software reichen würde, um einem juristische Schwierigkeiten zu bescheren, insbesondere, wenn einige Firmen eine solche Anzeige als Druckmittel gegen ungeliebte Hacker verwenden würden.

Ebenso wird das Absichern von eigenen oder den Netzwerken und Rechnern seiner Kunden durch die derzeit herrschende Rechtsunsicherheit erschwert. Ohne wirksame Angriffstools ist es weit schwerer, oft unmöglich, eine wirklich umfassende Fehlersuche zu betreiben. Auch die Unsicherheit potentieller Kunden erschwert IT-Sicherheitsexperten die Arbeit. Ein zum Thema befragter Sicherheits-Dienstleister, Felix von Leitner, gibt in der Stellungnahme ein gutes Beispiel: Aus Sicht unserer Branche ist das ‚Hackertoolverbot‘ ein Desaster. Praktisch alle Kunden dieses Jahr haben vor Aufträgen besorgt nachgefragt, ob wir denn angesichts des ‚Hackertoolverbots‘ überhaupt noch ordentlich unsere Arbeit machen können. Wir konnten die Kunden beruhigen – die, die nachgefragt haben. Wir gehen aber davon aus, daß es hier eine Dunkelziffer an potentiellen Kunden gibt, die uns gar nicht erst angesprochen haben. Der Markt ist stark verunsichert, viele Firmen glauben, sie könnten sich juristisch angreifbar machen, wenn sie eine Sicherheitsfirma wie uns beauftragen, die dann womöglich in einer juristischen Grauzone agieren muß, und wagen daher nicht, ihre Sicherheitsprobleme offensiv anzugehen. Unter dem Strich ergibt sich hier eine deutliche Verschlechterung der Sicherheitsstandards in Deutschland. Gerade in Zeiten der Produktpiraterie und Industriespionage (die China-Trojaner seien hier beispielhaft erwähnt, die es ja sogar in diverse Ministerien geschafft haben) kann sich der Wirtschaftsstandort Deutschland das aus unserer Sicht nicht leisten. Aber auch unsere Arbeit wird durch das ‚Hackertoolverbot‘ ganz konkret beeinträchtigt. Wir hatten kürzlich einen Kunden im Ausland, eine Bank. Diese Bank betreibt einen Online-Banking-Webserver und wollte von uns wissen, ob der angreifbar ist. Auf dem Webserver lief eine alte Programmversion mit bekannten Sicherheitsproblemen. Da wir im Ausland operiert haben, konnten wir einen Exploit aus dem Internet holen und vor Ort gegen den Webserver anwenden und so nicht nur demonstrieren, daß der Webserver unsicher war, sondern sogar Spuren von früheren Einbrüchen auf dem Webserver finden. Wäre dieser Kunde eine inländische Bank gewesen, hätten wir beim Punkt ‚das ist eine alte Version mit bekannten Schwachstellen‘ aufhören müssen, die Bank hätte nie von dem ungebetenen Besuch erfahren, hätte keine Ermittlungen einleiten und die Kunden nicht warnen können. Das wäre ein großer Schaden zu Lasten der Kunden der Bank gewesen. Den angesprochenen Exploit kann man mit Hilfe von Google finden. Das kann jedes Kind.

Neben dem Aufdecken von Fehlern und der Arbeit von Sicherheitsfirmen werden auch Publikationen zum Thema erschwert. Fachzeitschriften und andere Leitmedien beschränken sich oft selbst in der Wahl ihrer Themen und verwendeter Test- und Forschungsmethoden, um Schwierigkeiten zu vermeiden. Vorsichtig agierende Rechtsabteilungen, die Schaden von der eigenen Publikation abwenden wollen, erhalten so das letzte Wort beim Beantworten der Frage, was veröffentlicht wird und was nicht. Nun ist den Rechtsabteilungen, die nur (unter erschwerten Bedingungen) ihre Arbeit tun, sicher kein Vorwurf zu machen. Trotzdem kann eine solche Entwicklung nur dem Informationsinteresse der Leser entgegen laufen.

Ebenso wie die Forschung, der Support und die Publikation zum Thema wird auch die Lehre erschwert. Teilnehmer und Dozenten von Weiterbildungsveranstaltungen und Schulungen sind ebenso z.T. verunsichert wie Professoren und Studenten an Hochschulen, oft werden auch die vermittelten Inhalte entsprechend angepasst. Mitunter haben die Lernenden sogar Angst, sich auf das sogenannte “Security Mindset” (so bezeichnet vom bekannten US-Sicherheitsexperten Bruce Schneier, er meint damit die Mentalität, sich in die Perspektive eines Angreifers zu versetzen, um Sicherheitslücken eines Systems zu entdecken) einzulassen, weil dies genau der Denkweise entspricht, die mit dem §202c (beziehungsweise seiner möglichen Auslegung) implizit verurteilt wird. Genau diese Denkweise aber ist unerlässlich für einen wirklich guten Sicherheitsexperten.

In besonderem Maße beeinträchtigt sind natürlich sogenannte “Livehacks”, bei denen (beispielsweise auf Messen) publikumswirksam bestimmte unsichere Systeme angegriffen werden, um die Zuschauer auf die Problematik aufmerksam zu machen. Man mag diesen Veranstaltungen angesichts des offensichtlichen Show-Effekts einen eher geringen inhaltlichen Wert beimessen. In meinen Augen verkennt das jedoch die Notwendigkeit einer verständlichen, breit angelegten Aufklärungsarbeit bei der “normalen”, nicht übermäßig IT-orientierten Bevölkerung (zu diesem Thema habe ich bereits einige gesonderte Beiträge geschrieben und werde das auch in Zukunft tun, hier nur soviel: Wer es nicht schafft, die Menschen auf eine interessante und nicht von oben herab belehrende Weise anzusprechen, wird sie nie wirklich erreichen- und er wird damit unserer Gesellschaft auf lange Sicht erheblich schaden). Wer sich jemals mit Laptop und aircrack-ng neben einen WEP-verschlüsselten WLAN-AP gesetzt, dem staunenden Publikum anschließend den zuvor eingestellten Key präsentiert und dann deren nachdenkliche Mienen gesehen hat, denkt möglicherweise anders über solche Veranstaltungen- mir geht es jedenfalls so. Für mich sind auch solche Demonstrationen Teil unseres gesellschaftlichen Auftrags als Experten.

Dabei bietet der neue Paragraph noch nicht einmal die zusätzliche Sicherheit, die man sich davon verspricht. Schadsoftware kommt oft aus dem Ausland, ebenso wie eine Mehrzahl der Angriffe, und ein Abdrängen möglicherweise mit problematischen Tools und Handlungsweisen experimentierender Jugendlicher in die kriminelle Szene erhöht eher die Gefahr, dass diese zu wirklichen Kriminellen werden. Man schwächt mit dieser Gesetzgebung eher seine Verteidigung, als die Angriffe zu minimieren. Weniger Freiheit? Definitiv. Mehr Sicherheit? Dafür spricht aus meiner Sicht als “Fachfrau” (und auch aus der der Gutachter) nichts.

Auch eine angeblich angedachte Zertifizierung “vertrauenswürdiger” Experten lehnt der CCC ab. Einerseits ließe eine solche Regelung die oft wichtige Impulse liefernden “Hobby-Hacker” und die Ausbildung von Nachwuchs außer acht. Andererseits würden viele typischerweise individualistisch eingestellte Sicherheitsexperten ein solches Vorgehen ohnehin ablehnen.

Zusammenfassend lässt sich die Feststellung treffen, die der CCC folgendermaßen umschreibt: “Für die tiefgehende Beschäftigung mit Fragen der IT-Sicherheit ist es unbedingt notwendig, sich auch mit diversen Techniken auseinanderzusetzen, die in Verbindung mit krimineller Energie tatsächlich einen großen Schaden hervorbringen könnten.” Geht man aber von dieser Notwendigkeit aus, dass bestimmte Menschen sich mit solcher Software auseinandersetzen, muss man diesen im Umkehrschluss auch gewährleisten, dass sie das ohne Sanktionen tun können, solange sie sich zum Besten der Allgemeinheit verhalten und ihre Verantwortung sinnvoll wahrnehmen.

Gründe, ein möglichst hohes IT-Sicherheitsniveau in Deutschland zu wollen, gibt es viele. Da ist einerseits natürlich der Schutz der Menschen vor Cyberkriminalität, die momentan ein großes (und noch im Wachsen begriffenes) Problem darstellt, der keineswegs einfacher wird, wenn man die Beschäftigung mit möglichen Gegenmaßnahmen erschwert. Auch der Wirtschaftsstandort Deutschland würde logischerweise davon profitieren, wenn die Ausbildung von Fachkräften und die spätere professionelle Arbeit von Sicherheitsfirmen problemloser möglich wären.

Nicht zuletzt wirkt sich die IT-Sicherheit, in einer zunehmend vernetzten und technisierten Welt, auch auf sehr viele andere wichtige Bereiche aus. Der CCC nennt hier exemplarisch die Raumfahrt und die Landesverteidigung, die von einem möglichst hohen Sicherheitsniveau profitieren, ja, die darauf angewiesen sind. Hinzufügen ließe sich beispielsweise noch das Gesundheitssystem, die Kriminalitätsbekämpfung und das Sozialsystem.

Ein weiterer wichtiger Aspekt ist die Tatsache, dass jeder deutsche Bürger das vor Kurzem vom Bundesverfassungsgericht definierte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systems besitzt, was vereinfacht gesagt bedeutet, dass er das Recht hat, dass die Daten auf seinem Computer von Unbefugten weder gelesen noch verändert werden. Daraus leitet sich nach Ansicht des CCC unter Umständen ein Recht auf Selbstschutz ab, das womöglich nur mit Hilfe entsprechender Software ausgeübt werden kann (womit unter Umständen sogar die Verfassungsmäßigkeit des fraglichen Paragraphen in Zweifel gezogen werden muss).

Man kann nur noch einmal an den Gesetzgeber appellieren, Rechtssicherheit zu schaffen und die Eigenverantwortung der in diesem Bereich tätigen Menschen zu stärken. Das würde die Sicherheitslage in Deutschland eher verbessern und Menschen, die als Fachkräfte zu einer positiven Entwicklung in unserem Land beitragen können, die Arbeit sehr erleichtern und ihnen einige Ängste nehmen. Man kann nur hoffen, dass hier, endlich einmal, auf die Experten gehört wird.

PS: Wer glaubt, dass dies allein die IT-Branche betrifft- hier gibt es ein Beispiel dafür, dass diese Mentalität durchaus auch in anderen Fachgebieten mitunter einzugreifen versucht.