Blümchenwiese

Bluemchenwiese.jpg

Per Gesetzesänderung (§202c StGB) hat die Bundesregierung das Internet wieder zur Blümchenwiese gemacht. Da es keine Sicherheitsprobleme mehr gibt, brauchen wir jetzt auch keine Sicherheitswerkzeuge mehr.

Ich hoffe ja immer noch darauf, dass unsere Regierung ein derartiges Gesetz allgemeingültig beschließt. Dann brauchen wir endlich nicht mehr unsere Autos und Wohnungen verschließen. Sicherheitsglas an Bankschaltern wäre hinfällig, man müsste sich nicht mehr die ganzen Pins für Handy oder EC-Karte merken…

Wann kommt dieses Gesetz endlich?

Tags: , , , ,

Systemadministratoren sind Verbrecher

Es ist vollbracht, unsere Regierung hat es geschafft, auf einen Schlag eine weitere große Gruppe von Menschen zu kriminalisieren: Systemadministratoren, Sicherheitsbeauftragte, IT-Dienstleister, Security-Spezialisten… all die Personen, die so genannte Hacker Tools beruflich einsetzen.

gitter.jpgDer heftig umstrittene Paragraf 202c wurde von den Abgeordneten durchgewunken und wird in der umstrittenen Form Gesetz. Damit werden auf einen Schlag eine Vielzahl von Tools illegal, mit denen oben genannte Personen in der Vergangenheit ihre Netzwerke und Systeme auf Sicherheitslücken hin geprüft haben, um das eigene Netz gegen Eindringlinge abzusichern. Beobachtet man diverse weitere Begehrlichkeiten verschiedener führender „Persönlichkeiten“ in unserem Land, dann lässt dies nur den Schluss zu, Sicherheit und Privacy sind schlichtweg nicht erwünscht. Wirtschaftsspionage? Hat es doch nie gegeben, alles nur moderne Märchen. Eindringlinge in Computernetzwerke? Ach was, sowas macht doch niemand, außerdem ist es ja ohnehin verboten.

So schnell kann man einer ganzen Berufsgruppe die Arbeitsgrundlage entziehen, einfach so, weil man keine Ahnung von der Materie hat. Und sich die Finger in die Ohren steckt, wenn Spezialisten warnen. Ausländische Sicherheitsspezialisten lachen sich schlapp und lästern bereits über die deutsche Politik, wen wunderts.

Natürlich betrifft Paragraf 202c ausschließlich Programme, die zum Beispiel ausdrücklich zum Ausspähen von Passwörtern geschaffen wurden. Sniffer? Sind die nun verboten oder nicht? Passwörter ausspähen ist damit kein Problem. Aber nur ein Bruchteil der Anwender nutzt sie tatsächlich dafür, viel wichtiger sind sie beim Aufspüren von Problemen im Netzwerk auf Protokollebene. Darf ich sie noch verwenden? Betroffen sind ebenfalls Programme, die einem potentiellen Angreifer Aufschluss über die Struktur des Zielobjektes geben. Nmap? Netzwerkscanner? Ich nutze derartige Programme, natürlich. Sie sind unumgänglich, wenn ich das Netzwerk eines Kunden kennenlernen will, wenn ich in seinem Auftrag vorhandene Geräte identifizieren und dokumentieren will. Und es ist tatsächlich nicht gerade selten, dass ein Kunde nicht exakt weiß, welche Geräte so alles in seinem Netzwerk angeschlossen sind. Es ist eher normal. In Zukunft für mich und andere hier also nur noch der Fußweg? Arp-Tables auslesen, Listen vergleichen…

So ließe sich die Aufzählung endlos lange fortführen. Es ist nun mal Fakt, dass die meisten Programme, die unter Paragraf 202c fallen, überwiegend als Werkzeuge für vollkommen legale Tätigkeiten eingesetzt werden. Oder richtiger: wurden. Aber um das Ganze abzukürzen: solange mir niemand sagen kann, welches Programm nun illegal ist, werde ich diese Tools weiter benutzen wie gewohnt. Es ist nicht mal ansatzweise klar definiert, welche unter 202c fallenden Programme nun tatsächlich illegal sind. Es kann nicht sein, dass im Ernstfall nun Richter entscheiden sollen, ob ein Werkzeug nun gut oder böse ist. Vielleicht gibt es dann ja demnächst eine BPcS (Bundesprüfstelle für computergefährdende Software), die ähnlich der BPjS Software prüfen und kategorisieren. Dann werden in Zukunft sicherlich auch Netzwerktools auf dem Index landen.

Hurra Deutschland!

Tags: , , , ,

Vertrauenswürdige Sicherheitsdienstleister

hacker.gifComputersicherheit ist nun strafbar in Deutschland.

Wichtige, für die Arbeit von uns Netzwerkadministratoren und Sicherheitsexperten essentielle Werkzeuge sind nun in Deutschland verboten. Bestraft werden soll nun unter anderem die Herstellung, Überlassen, Verbreitung oder das Verschaffen von so genannten „Hacker-Tools“, die nach Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen.

Hier nun im Detail der komplette Wortlaut des betreffenden Artikels im durch „unsere“ Regierung neu geschaffenen Paragraphen 202c StGB:

Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

Mit anderen Worten: Es wird den oben genannten Personen nahezu unmöglich gemacht, in Zukunft ihre Arbeit auszuüben. Für den Einsatz, die Herstellung oder die Überprüfung von Sicherheitslösungen im IT-Bereich ist es unumgänglich, mit der Arbeitsweise der „bösen“ Jungs vertraut zu sein, die Tools zu kennen, mit denen gearbeitet wird und diese auch zu nutzen, um die eigenen Sicherheitsvorkehrungen angemessen zu testen.

Neben der Tatsache, dass diese Einschränkungen der Möglichkeiten mich wieder in den Vermutungen bestärkt, die ich bereits vergangenes Jahr äußerte, ist hier auch der wirtschaftliche Faktor nicht zu unterschätzen. Die Sicherheitsbranche und IT-Dienstleister werden hiermit in ihrer Arbeit massivst behindert. Werkzeuge wie Nessus, die von Netzwerkadministratoren in ihrer täglichen Arbeit verwendet werden, sind ab sofort in Deutschland nicht mehr erlaubt. Das Herunterladen eines simplen Portscanners kann mich in Zukunft unter Umständen in den Knast bringen! Da mutet es fast wie Hohn an, wenn unser Bundesdatenmessi Schäuble ankündigt, für die Zukunft eine Zertifizierung „vertrauenswürdiger Sicherheitsdienstleister“ zu planen. Wie bitteschön soll ich mich in die Lage versetzen, mich auf solch eine Zertifizierung vorzubereiten? Solange ich diese Zertifizierung nicht habe, darf ich mir die Werkzeuge und Techniken nicht zulegen oder aneignen, will ich mich nicht strafbar machen. Es ist einem Administrator oder Sicherheitsdienstleister wie mir nicht mal mehr möglich, die Wirksamkeit der WLAN-Sicherheitsmechanismen zu überprüfen bzw. einem Kunden zu zeigen, wie unsicher seine Installation aktuell ist, wie leicht jemand in sein WLAN eindringen kann. Sollte ich das heimlich tun und er zeigt mich an – zack – vorbestraft!

Bin grad mehr als wütend, ganz ehrlich! Sämtliche Appelle an die Regierung wurden komplett ignoriert, mit der üblichen Arroganz wurden sämtliche Experten mit Nichtbeachtung gestraft und das Gesetz in vollem schwachsinnigen Umfang beschlossen. Das Aus für die Security-Branche in Deutschland, das Aus für Computersicherheit, das Aus für meine Toleranz. Die Regierung macht mir die Ausübung meines Berufs unmöglich, ich weiß nun, was ich zu tun habe!

Update: Der heise-Artikel zum „Hackerparagraphen“ ist ungewohnt unkritisch, enthält jedoch ein ein paar weitere Details.

via missi, Foto von Mr. President

Tags: , , , , ,

Behördliche Hacks und Hacker-Tools

Wenn ich die Meldungen der letzten Wochen jetzt zum Jahresende mal ein wenig Revue passieren lasse, dann kommt mir als erstes ein spezielles Thema in den Sinn: die Fernüberwachung privater PCs aka Online-Hausdurchsuchung. Nordrhein Westfalen hat bereits ein Gesetz verabschiedet, welches diese Handlungen erlaubt und keine Sau interessiert es. Nun will auch Niedersachsen nachziehen, weitere Bundesländer werden sicherlich folgen. Nebenbei bemerkt find ich es erstaunlich, dass diesmal nicht Bayern Vorreiter ist, aber das ist nebensächlich.

Tatsächlich ist in den letzten Wochen viel Müll verbreitet worden, was die Methoden des Eindringens in PCs angeht, viele Meldungen erwecken den Anschein, es würde ein Über-Trojaner entwickelt werden, der „mal eben“ einem potentiellen Terroristen untergejubelt wird und dann auf dessen PC anschlagsvorbereitung.doc und sprengsatzkostenanalyse.xls findet und die Inhalte an die Behörden weiterreicht. Dass dies größtenteils Schwachsinn ist, konnte man mittlerweile nun ebenfalls nachlesen, wenn der gesunde Menschenverstand oder das Know How für diese Erkenntnis nicht ausreichte.

Nachdenklich macht mich in diesem Zusammenhang allerdings der zeitliche Ablauf diverser Ereignisse. Im September verabschiedete das Bundeskabinett den Regierungsentwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität. Darin enthalten ist beispielsweise ein Passus, der den unbefugten Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen unter Strafe stellt. Gut, staatliche Behörden sind von derartigen Regelungen ausgenommen, Polizisten oder Beamte des Bundesgrenzschutzes dürfen unter bestimmten Voraussetzungen auch auf Menschen schießen. Aber interessant ist der Abschnitt, in dem Herstellung, Überlassen, Verbreitung oder das Verschaffen von „Hacker-Tools“, die bereits nach Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen, unter Strafe gestellt werden soll.

Das muss man sich nun einmal auf der Zunge zergehen lassen:
Es sollen Gesetze geschaffen werden, die „Hacker-Tool“ faktisch verbieten. Bekanntermaßen ist aber ein Werkzeug so lange ein Werkzeug, wie es nicht für illegale Handlungen eingesetzt wird. Die Geschichte mit dem Hammer, der sowohl zum Einschlagen von Nägeln als auch Köpfen verwendet werden kann, ist sicher jedem klar…
Und auch die von unseren Bundesheinis als „Hacker-Tools“ bezeichneten Werkzeuge sind vielfach nichts anderes als Werkzeuge. Die, die nötige Menge an krimineller Energie vorausgesetzt, natürlich auch missbraucht werden können. Sehr häufig werden diese Tools jedoch von Administratoren, Netzwerktechnikern und Sicherheitsbeauftragten dafür eingesetzt, Fehlkonfigurationen, Schwachstellen und Fehler im eigenen Netzwerk zu finden, um diese schließen zu können. Natürlich wäre es naiv von mir zu glauben, diese Tools würden ausschließlich dafür eingesetzt; ich bin nicht so blauäugig, so zu denken oder zu argumentieren. Allerdings werden mit diesen Gesetzesentwürfen oben genannte Personen, die tatsächlich nichts illegales tun und nur sich bzw. ihre Systeme schützen wollen, kriminalisiert. Diejenigen, die damit in Computer oder Netzwerke einbrechen wollen, kümmern sich ohnehin einen feuchten Kehricht um derartige Gesetze.

Nun stellen wir also fest: Man wird per Gesetz der Möglichkeit beraubt, seine Systeme auf Schwachstellen und Fehlkonfigurationen hin abzuklopfen. Läuft somit also unter Umständen ins offene Messer, wenn man für kriminelle Nutzer der „Hacker-Tools“ aus irgendeinem Grund zur Zielscheibe wird. Und: man hat keine (legale) Möglichkeit herauszufinden, ob man aufgrund eines Softwarebugs oder einer Fehlkonfiguration nicht zufällig ein Hintertürchen offen hält, über das entweder Scriptkiddies, Wirtschaftsspione oder aber eben auch Behörden nach Lust und Laune in den vermeintlich sicheren Daten herumwühlen. Und genau da scheint sich für mich im Augenblick der Kreis zu schließen. Ich soll nicht mehr prüfen dürfen, ob meine neuen Sicherheitsschlösser, meine Tür und mein Türrahmen sicher genug sind, damit im Fall eines Falles das Einsatzkommando sich nicht die Füße beim Eintreten der Tür bricht.

Wann wird hier in Deutschland eigentlich Verschlüsselung unter Strafe gestellt?

Tags: , , , , ,