Thema: CCC warnt vor Verbot von "Hacker-Tools"

[SiLæncer]

Die Beschwerdeausschüsse des Deutschen Presserats haben bei ihrer jüngsten Tagung in Bonn (3. bis 5. März) insgesamt sechs Rügen, 16 Missbilligungen und 21 Hinweise zu redaktionellen Veröffentlichungen in Zeitungen und Zeitschriften ausgesprochen. Das härteste Sanktionsmittel – eine öffentliche Rüge, die im Medium abdruckt werden muss – wurde unter anderem gegen eine Computerzeitschrift verhängt. Die PC-Welt hatte über die "15 illegalsten Hacker-Tools" berichtet und deren Funktionsweise ausführlich dargestellt.

"Eine solche Berichterstattung über nicht legale Programme entspricht nicht den journalistischen Grundsätzen", verdeutlichte der Presserat. Das Ansehen der Presse gerate in Gefahr, wenn eine Zeitschrift "Gebrauchsanweisungen" für verbotene Software gebe. Verletzt sehen die Pressewächter Ziffer 1 des Pressekodex, der besagt: "Die Achtung vor der Wahrheit, die Wahrung der Menschenwürde und die wahrhaftige Unterrichtung der Öffentlichkeit sind oberste Gebote der Presse. Jede in der Presse tätige Person wahrt auf dieser Grundlage das Ansehen und die Glaubwürdigkeit der Medien."

Insgesamt befassten sich die Presserats-Ausschüsse diesmal mit 97 Beschwerden, von denen 32 als unbegründet erachtet wurden. In vier Fällen wurde die Beschwerde zwar als begründet angesehen, auf eine Maßnahme aber verzichtet. Künftig wird sich die Freiwillige Selbstkontrolle der Printmedien in Deutschland auch journalistischen Internet-Angeboten widmen. Denn der Pressekodex, der Grundsätze wie "gründliche und faire Recherche" sowie "klare Trennung von redaktionellem Text und Anzeigen" umfasst, gilt auch für Online-Angebote.

Quelle : www.heise.de

[SiLæncer]

Die Staatsanwaltschaft Hannover hat die Ermittlungen gegen Jürgen Seeger, Chefredakteur des Magazins 'iX', eingestellt. Das teilte der Heise-Verlag heute mit.

Seeger hatte Ende des letzten Jahres eine Selbstanzeige wegen Verstoßes gegen den so genannten "Hacker-Paragraphen" erstattet. Der § 202c des Strafgesetzbuchs (StGB) untersagt die Verbreitung von Software, die für Einbrüche in fremde Computer-Systeme genutzt werden kann.

Gegen das Gesetz gab es lange Zeit massiven Widerstand aus der IT-Branche. Immerhin verwenden Administratoren genau die gleichen Tools, um die Sicherheit von Netzwerken zu überprüfen. Eine strikte Umsetzung des Gesetzes würde entsprechende Tests auf legalem Weg praktisch unmöglich machen, wodurch die neue Regelung zu einer großen Rechtsunsicherheit führte.

Das 'iX'-Magazin verbreitete entsprechende Software im letzten Jahr auf einer beiliegenden "Sicherheits-CD". Die Staatsanwaltschaft Hannover sah nun aber keinen Grund, deshalb gegen Seeger vorzugehen. Wie der Verlag mitteilte, berief man sich dabei nicht auf den reinen Gesetzestext, sondern auch die dazugehörige Gesetzesbegründung des Bundestages.

Die Intention des Gesetzes liege in der Abwehr von weitergehenden Straftaten, die mit entsprechenden Programmen vorbereitet werden können. Deshalb ist zu berücksichtigen, mit welcher Absicht der jeweilige Anbieter die Software weitergibt. Soll sie zur Verbesserung des Schutzes von Netzen dienen, sei die Tat nicht strafbar.

Zwar ist die Entscheidung der Staatsanwaltschaft Hannover nicht für andere Gerichte bindend, eine gewisse Leitlinie dürfte sie für den zukünftigen Umgang mit dem umstrittenen Paragraphen aber durchaus darstellen. Ein Interpretationsspielraum bleibt allerdings bestehen.

Quelle : Winfuture.de

[SiLæncer]

Wenn Heise für den Vertrieb von Hackertools nicht bestraft wird, bedeutet dies automatisch ein Stück weit Rechtssicherheit für alle in Deutschland tätigen Administratoren? Wir wollten es genauer wissen, weswegen wir uns mit Rechtsanwalt Dr. Michael Stehmann eingehend über diesen Sachverhalt unterhalten haben.

Im Dezember letzten Jahres hat sich Herr Seeger bei der Staatsanwaltschaft Hannover wegen der Vorbereitung des Ausspähens und Abfangens von Daten nach § 202c StGB selbst angezeigt. Anlass der Selbstanzeige war eine DVD mit über 300 Tools, die er bereits im Oktober dem Magazin iX beigefügt hatte.

Am 7. März erhielt iX-Chefredakteur Jürgen Seeger von der zuständigen Staatsanwaltschaft die Mitteilung, dass sein Verfahren ohne strafrechtliche Konsequenzen eingestellt wurde. Herr Seeger hatte mit seiner Selbstanzeige auf die Sinnlosigkeit des juristischen Unterfangens der Hackerparagrafen aufmerksam machen wollen. Wir haben uns mit einem Fachanwalt darüber unterhalten, welche Auswirkungen diese Entscheidung auf die hiesigen Netzwerk-Administratoren und Verlage von Computerzeitschriften haben könnte. Wenn die Heise Medien Gruppe nicht strafrechtlich verfolgt wird, inwiefern hat dies Auswirkungen auf alle anderen Personen, die deutschlandweit mit diesem Thema in Berührung kommen?

Lars Sobiraj: Anfang März bekam der Chefredakteur der iX die Mitteilung der zuständi­gen Staatsanwalt­schaft, dass man sein Verfahren eingestellt hat. Welche Kon­sequenzen wird dieses Vorgehen ha­ben? Können andere Zeitschriften jetzt wie­der gefahrlos Tools, die zum Dual Use geeignet sind, veröffentlichen?

Michael Stehmann: Eine (relative) Rechtssicherheit wäre erst gegeben, wenn der Bundesgerichtshof ent­schieden hät­te. Entwarnung kann daher nicht gegeben werden. Gleichwohl ist diese erste bekann­te Entschei­dung einer Staatsanwaltschaft ein Meilenstein - auch wenn der Weg längst noch nicht zu Ende ist.

Es wäre der Rechtssicherheit dienlicher gewesen, wenn die Staatsanwaltschaft Anklage möglichst vor einer Strafkam­mer des Landgerichtes erho­ben hätte, diese Anklage dort zugelassen worden wäre, wenn dann Revision gegen das landge­richtliche Urteil eingelegt worden wäre und schließlich der Bundesgerichtshof entschieden hätte. Dabei hätten aber alle Beteiligten im Interesse eines Musterprozesses "mitspielen" müssen. Es gab etwas Ähnliches in der Vergangenheit einmal in der Zivilgerichtsbarkeit im Zusammenhang mit der Erstattungspflicht der sogenannten Fangprämie des Kaufhausdetektivs, wo man den Fall mit ein paar "Hacks" bis zum Bundesgerichtshof gebracht hat, um Rechtsklarheit zu gewinnen (BGHZ 75, 230 ff.)

Lars Sobiraj: Die Staatsanwaltschaften sind untereinander doch unabhängig, oder? Von da­her könnte der nächste Staatsanwalt doch ganz anders reagieren. Manche Benutzer des gulli:Boards glaub­ten, es würde sich um eine Gerichtsentscheidung handeln. Wie sehr ist denn damit zu rechnen, dass sich die Kollegen an dieser Entscheidung zumin­dest ein Beispiel nehmen werden?

Michael Stehmann: Die Entscheidung bindet formell niemanden. Sie kann daher zunächst einmal nur Wirkung über die Überzeugungskraft ihrer Begründung entfalten.

Allerdings kann von ihr außerdem eine "normative Kraft des Faktischen" ausgehen. Das Strafge­setzbuch kennt nämlich in § 17 den sogenannten Verbotsirrtum.

§ 17 Verbotsirrtum

Fehlt dem Täter bei Begehung der Tat die Einsicht, Unrecht zu tun, so handelt er ohne Schuld, wenn er diesen Irrtum nicht vermeiden konnte. Konnte der Täter den Irrtum vermeiden, so kann die Strafe nach § 49 Abs. 1 gemildert werden.

Jemand der einer ähnlichen Tat beschuldigt oder angeklagt wird, kann nun geltend machen, er sei von der Erlaubtheit seines Tuns ausgegangen aufgrund der erfolgten sorgfältigen Prüfung eines im Strafrecht besonders erfahrenen Juristen, nämlich des Staatsanwalts, der die in Rede stehende Entscheidung erlassen hat.

Allerdings wäre dieser Einwand zum Einen sofort wieder hinfällig, sobald eine Entscheidung publi­ziert wird, in welcher es  nur wegen § 17 Satz 1 StGB zu keiner Anklage oder Bestrafung kommt, das Verhalten aber grundsätzlich für strafbar erklärt wird.

Auch ist jeder Fall anders, so dass zum anderen schon aufgrund der konkreten Abweichungen des Einzelfalls von dem entschiedenen eine Vermeidbarkeit des Verbotsirrtums mit der Folge der Be­strafung verneint werden kann.

Lars Sobiraj: Wäre es für Netzwerk-Administratoren vielleicht auch ein gehbarer Weg, wenn sich diese wegen ihrer Tätigkeit selbst anzeigen würden? Es ist zumindest nicht unwahrscheinlich, dass es ihnen ähnlich wie Herrn Seeger ergehen wird. Ein solches Verhalten würde die Hackerparagrafen ad absurdum führen.

Michael Stehmann: Diese Gesetze sind schon absurd genug (siehe unser Interview von 2007) ;-). Derjenige, der eine Selbstanzeige in Erwägung zieht, muss die nervlichen und finanziellen Kapazitäten haben, die Sa­che gegebenenfalls bis zur letzten Instanz oder sogar bis zum Bundesverfassungsgericht "durchzu­ziehen". Hierüber verfügt ein durchschnittlicher Admin wohl eher nicht.

Hinzu kommt noch, dass eine negative Entscheidung die Berufung auf den Verbotsirrtum für künfti­ge Fälle zunichte machen kann.

Für vorsichtige Admins ist es eher ratsam, vorsorglich ihre Tätigkeit durch einen fachkundigen An­walt begutachten lassen. Folgen sie dann dessen Rat, können sie sich gegebenenfalls auf einen Verbotsirrtum berufen. Ein solches schriftliches Gutachten ist allerdings sicherlich nicht ganz billig zu haben, wenn es seriös sein soll.

Lars Sobiraj: In der Konsequenz müssen die Admins also weiterhin das im Verborgenen tun, was nötig ist, um ihre Netzwerke abzusichern. Wenn überhaupt, wann rechnest du mit einer Korrektur der Gesetze?

Michael Stehmann: Also in dieser Legislaturperiode, die ja noch in diesem Jahr zu Ende geht, nicht mehr. Und was in der nächsten geschieht, hängt wohl vom Wahlausgang ab. Alle wahlbe­rechtigten gulli-Leser sollten erstens wählen gehen und zweitens genau schau­en, welche Partei Ihre Interessen am ehesten im Bundestag vertreten wird.

Eine gewisse Korrektur können diese Gesetze schließlich auch durch die gemeinsame Überzeu­gung aller seriösen IT-Sicherheitsfachleute erfahren, dass gewisse Verhaltensweisen kein straf­würdiges Unrecht darstellen. Hierüber könnten sich Gerichte und Staatsanwaltschaften wohl nicht ohne Weiteres hinwegsetzen.

Lars Sobiraj: In dem Fall müssen Organisationen wie The Hackers Choice (THC) und viele andere weiterhin separat eine Webseite für Deutschland und eine für das internationale Publikum zur Verfügung stellen. Auch allen in der IT-Branche tätigen Personen sind dadurch in Deutschland weiterhin die Hände gebunden. Über den Sinn oder Unsinn solcher Zustände sollte sich jeder Leser selbst ein Bild machen. Michael, dir auf jeden Fall vielen Dank für deine aufklärenden Worte und das Interview!

Quelle und Links : http://www.gulli.com/news/hackerparagrafen-folgen-der-ix-2009-03-29/

[SiLæncer]

Im Interview mit Technology Review plädiert Giovanni Vigna, Organisator eines weltweiten Hacker-Wettbewerbs "Capture the flag" (ICTF), dafür, Angriffe auf Netzwerke gezielt zu üben, um Sicherheitsexperten besser auszubilden. Technology Review 06/09 ist seit dem 20.5. am Kiosk oder portokostenfrei online zu bestellen.

"Es ist wichtig zu wissen, wie man einen Service angreift, denn nur wer genau weiß, wie sich eine Schwachstelle nutzen lässt, kann auch die richtigen Schutzmaßnahmen entwickeln", sagt Vigna im Interview mit TR. "Klassisches Beispiel: Jemand, der einen Wandsafe baut. Sie glauben doch nicht, dass diese Leute nicht wüssten, wie man einen Safe knackt? Natürlich wissen sie das. IT-Mitarbeiter, die sich Sicherheitsexperten schimpfen, aber gleichzeitig einräumen, sie wissen nicht, welche Remote-Sicherheitslücken es beim Integrieren von PHP-Dateien gibt, werden mit ziemlicher Sicherheit Fehler machen und PHP-Dateien mit der falschen Konfiguration installieren, wodurch Sicherheitslücken entstehen."

Der iCTF-Wettbewerb, der einmal jährlich, meist im Dezember, stattfindet, ist in der Regel in ein fiktives Szenario eingebettet. Im vergangenen Jahr hatten die Veranstalter um Vigna eine Art Terrorübung angesetzt: Die Teilnehmer hatten sieben Stunden Zeit, um ein mit der Site Softerror.com verbundenes Netzwerk zu knacken, da sie nur so das dort laufende Steuerprogramm für "einen atomaren Sprengsatz" entschärfen konnten. TR-Redakteur Gordon Bolduan hat den Vorjahressiegern des Teams Squareroot Mannheim in dieser Nacht über die Schulter geschaut. Die Mannheimer mussten sich allerdings in diesem Jahr der Berliner Mannschaft ENOFLAG geschlagen geben.

Bedenken, die Studenten könnten die so erworbenen Kenntnisse missbrauchen, hat Vigna nicht. "Jeder kann einen Baseballschläger kaufen. Der dient dazu, Baseball zu spielen. Aber niemand kann verhindern, dass jemand den Schläger nimmt und damit einen anderen Menschen erschlägt", sagt Vigna. "Was soll man denn dann machen? Den Leuten nicht mehr beibringen, wie man Baseball spielt? Oder wie man einen Baseballschläger benutzt? In meinen Vorlesungen verwende ich übrigens eine Menge Zeit darauf, ethische Aspekte anzusprechen. Was ist legal, was ist illegal? Wie werden diese Sicherheitstests ausgeführt? Im eigenen Netzwerk, nicht in fremden. Und das ist ziemlich effektiv. Ich hatte in dieser Hinsicht noch nie irgendwelche Probleme mit meinen Studenten."

Quelle : www.heise.de

[SiLæncer]

Die seit zwei Jahren geltende Strafbarkeit des Umgangs mit sogenannter Hackersoftware ist mit dem Grundgesetz vereinbar. Das Bundesverfassungsgericht lehnte die Beschwerden eines EDV-Unternehmers, eines Wissenschaftlers und eines Computernutzers als unzulässig ab. Sie hatten gegen zwei Paragrafen geklagt, die die Herstellung und Verbreitung von Programmen zum Ausspähen und Abfangen von Daten unter Strafe stellen. Die Kläger sahen sich durch den Wortlaut der Normen bedroht, weil sie – wenn auch ohne kriminelle Absicht – mit Hackerprogrammen umgehen.

Die Karlsruher Richter dagegen sahen die Grundrechte nicht betroffen. Nach ihren Worten gelten die Vorschriften aber nur für Programme, die mit illegaler Absicht entwickelt wurden. Allein die Eignung eines Programms zur Verwendung für einen Hackerangriff mache dessen Einsatz noch nicht strafbar, heißt es in dem am Freitag veröffentlichten Beschluss (Az: 2 BvR 2233/07, 1151/08 und 1524/08, Beschluss vom 18. Mai 2009).

Die Paragrafen 202a und 202b Strafgesetzbuch, mit denen ein Übereinkommen des Europarats zur Bekämpfung der Computerkriminalität umgesetzt worden war, sollen bereits bestimmte Vorbereitungshandlungen für kriminelle Hackerangriffe unter Strafe stellen und sind deshalb relativ weit gefasst. In einer ausführlichen Entscheidung stellt eine Kammer des Zweiten Senats aber klar, dass der Bundestag damit ausdrücklich nur Software erfassen wollte, die für einen kriminellen "Zweck" hergestellt worden sind. Sogenannte "Dual use"-Produkte, die im Dienste der Computersicherheit genutzt werden, aber eben auch für Hackerangriffe taugen, sind laut Gericht nicht davon erfasst, weil sie einem legalen Zweck dienten. Zumindest aber fehle jedem, der solche Programme zu erlaubten Tätigkeiten nutze, der für eine Strafbarkeit notwendige Vorsatz.

Erst im vergangenen März stellte die Staatsanwaltschaft Hannover ein Verfahren gegen Jürgen Seeger, Chefredakteur des IT-Magazins iX, ein. Seeger hatte sich Ende 2008 selbst angezeigt. Ausgangspunkt dafür war die Veröffentlichung von Sicherheitssoftware auf der Heft-DVD des iX Special "Sicher im Netz".

Quelle : www.heise.de

[SiLæncer]

Vier Beteiligte des Hackerboards alpha-accz.ws sollen kürzlich Hausdurchsuchungen wegen Verstoßes gegen den Paragrafen 202c des Strafgesetzbuches zum Opfer gefallen sein. Im Forum geht es vor allem um Kreditkartenbetrug und den Austausch von Tipps und Software im Bereich Hacking und Faking.

Die entsprechende Information wurde uns gestern aus anonymer Quelle zugespielt. Die Privatwohnungen der beiden Admins und Co-Admins von alpha-accz.ws wurden dabei jeweils mit einer Hausdurchsuchung bedacht. Das StGB besagt: "Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, [...]", wird für eine sehr lange Zeit nicht mehr glücklich. (oder so ähnlich)

Der "Hackerparagraf" war eines der umstrittensten Gesetze, welches in jüngster Vergangenheit in das Strafgesetzbuch aufgenommen wurde. Insbesondere seine vage Formulierung führte dazu, dass er von vielen Sicherheitsexperten und IT-Verbänden überaus kritisch betrachtet und auch inhaltlich attackiert wurde. Lange Zeit war es still geworden, um die Nutzung des Paragrafen, bis uns heute morgen die vorliegende Meldung erreichte. Eine Seite des Beschlusses einer Hausdurchsuchung liegt uns in geschwärzter Form vor. Darin wird dem Durchsuchten zur Last gelegt, dass er als Administrator oder Moderator in wesentlichem Maße an der Gestaltung und Pflege der Internetseite alpha-accz.ws beteiligt ist. Einziges Ziel des Forums sei es gewesen, den Teilnehmern Software zur Verfügung zu stellen, die gegen den Paragrafen 202c verstößt. Die Betroffenen haben bewusst an dieser Seite mitgewirkt und diese gepflegt, auch mit bisher weiteren unbekannten Mittätern.

Dabei spricht der Durchsuchungsbeschluss von einem User namens "Marst", welcher am 19.12.2008 durch eine Software Zugriff auf die Festplatte eines Geschädigten nahm. Die dort erlangten Daten stellte er im Forum ein. Es bestehe deshalb auch der Verdacht, dass sich der User die hierfür benötigte Software bei alpha-accz.ws besorgt habe. Die Betreiber hätten dies gezielt gefördert.

Im weiteren wird darauf hingewiesen, dass auf der Seite seit Mitte 2008 sogenannte Trojaner zur Verfügung gestellt werden. Dabei konnten die User entsprechende Software untereinander austauschen. Aus diesen Tatsachen ergebe sich, dass die Software zur Vorbereitung von Straftaten im Sinne des §202c StGB genutzt wurde, was auch den Verantwortlichen des Forums bewusst war.

Die Tat des Betroffenen sei als Beihilfe zum Ausspähen von Daten sowie als Beihilfe zum Vorbereiten des Ausspähens und Abfangens von Daten zu bewerten, weshalb sich dieser gegen mehrere Gesetze des Strafgesetzbuches verstoßen habe.

Weitere Details zum Umfang der Ermittlungen liegen uns leider noch nicht vor.

Quelle : www.gulli.com

[SiLæncer]

Wer andern ihren Rechner hackt - fällt oft selbst hinein, wie Sicherheitsexperten feststellten. Bei ihrer Untersuchung beliebter "Hackertools" stellten die Forscher fest, dass diese oftmals selbst erhebliche Sicherheitslücken aufweisen.

Wie die BBC berichtet, sind viele der beliebten Tools, mit deren Hilfe sich Hacker, Cyberkriminelle und Scriptkiddies Zugang zu fremden Rechnern verschaffen, alles andere als sicher. Während einige Angreifer mit selbst geschriebenen Programmen vorgehen würden, bedienten sich viele andere bei im Internet verfügbaren vorgefertigten Tools. Diese Pakete würden zwar alles enthalten, was Hacker brauchten, seien aber selbst kaum gegen Angriffe geschützt, so die Ergebnisse der Untersuchung des französischen Sicherheitsexperten Laurent Oudot von Tehtri Security.

Viele der Lücken sind dabei offenbar so leicht zu finden, dass sie ohne Weiteres ausgenutzt werden können. So läßt sich oft die Identität des Angreifers herausfinden und dessen Rechner seinerseits angreifen. Mit diesen Erkenntnissen ging der Forscher bereits im Rahmen der SyScan 2010 Security Conference in Singapur an die Öffentlichkeit und nannte dabei dreizehn unterschiedliche Sicherheitslücken, die er in einigen der populärsten und meist verwendeten Programmen gefunden hatte.

Natürlich profitieren teilweise auch "White Hats" und Sicherheitsforscher von diesen Lücken. In vielen Fällen könnten Sicherheitsexperten diese Schlupflöcher dazu nutzen um Hacker wiederum selbst zu hacken, so Oudot. Das soll dazu dienen, mehr Informationen über mögliche Angreifer zu bekommen und sie auf diese Weise zu identifizieren, ihre Methoden kennenzulernen oder die Spur bis zum PC des Hackers zurückzuverfolgen. Dieses Vorgehen steht allerdings teilweise im Konflikt mit aktuellen Gesetzen. Dass dieses Vorgehen rechtlich problematisch sein könnte, gestand Oudot bei der Präsentation ein. Die praktische Anwendung stünde momentan auch nicht im Vordergrund. Die Ergebnisse der Untersuchung sollten dazu dienen, im Bereich der Internet-Sicherheit neue Möglichkeiten anzudenken.

Quelle : www.gulli.com