Wenn ich die Meldungen der letzten Wochen jetzt zum Jahresende mal ein wenig Revue passieren lasse, dann kommt mir als erstes ein spezielles Thema in den Sinn: die Fernüberwachung privater PCs aka Online-Hausdurchsuchung. Nordrhein Westfalen hat bereits ein Gesetz verabschiedet, welches diese Handlungen erlaubt und keine Sau interessiert es. Nun will auch Niedersachsen nachziehen, weitere Bundesländer werden sicherlich folgen. Nebenbei bemerkt find ich es erstaunlich, dass diesmal nicht Bayern Vorreiter ist, aber das ist nebensächlich.

Tatsächlich ist in den letzten Wochen viel Müll verbreitet worden, was die Methoden des Eindringens in PCs angeht, viele Meldungen erwecken den Anschein, es würde ein Über-Trojaner entwickelt werden, der „mal eben“ einem potentiellen Terroristen untergejubelt wird und dann auf dessen PC anschlagsvorbereitung.doc und sprengsatzkostenanalyse.xls findet und die Inhalte an die Behörden weiterreicht. Dass dies größtenteils Schwachsinn ist, konnte man mittlerweile nun ebenfalls nachlesen, wenn der gesunde Menschenverstand oder das Know How für diese Erkenntnis nicht ausreichte.

Nachdenklich macht mich in diesem Zusammenhang allerdings der zeitliche Ablauf diverser Ereignisse. Im September verabschiedete das Bundeskabinett den Regierungsentwurf eines Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität. Darin enthalten ist beispielsweise ein Passus, der den unbefugten Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen unter Strafe stellt. Gut, staatliche Behörden sind von derartigen Regelungen ausgenommen, Polizisten oder Beamte des Bundesgrenzschutzes dürfen unter bestimmten Voraussetzungen auch auf Menschen schießen. Aber interessant ist der Abschnitt, in dem Herstellung, Überlassen, Verbreitung oder das Verschaffen von „Hacker-Tools“, die bereits nach Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen, unter Strafe gestellt werden soll.

Das muss man sich nun einmal auf der Zunge zergehen lassen:
Es sollen Gesetze geschaffen werden, die „Hacker-Tool“ faktisch verbieten. Bekanntermaßen ist aber ein Werkzeug so lange ein Werkzeug, wie es nicht für illegale Handlungen eingesetzt wird. Die Geschichte mit dem Hammer, der sowohl zum Einschlagen von Nägeln als auch Köpfen verwendet werden kann, ist sicher jedem klar…
Und auch die von unseren Bundesheinis als „Hacker-Tools“ bezeichneten Werkzeuge sind vielfach nichts anderes als Werkzeuge. Die, die nötige Menge an krimineller Energie vorausgesetzt, natürlich auch missbraucht werden können. Sehr häufig werden diese Tools jedoch von Administratoren, Netzwerktechnikern und Sicherheitsbeauftragten dafür eingesetzt, Fehlkonfigurationen, Schwachstellen und Fehler im eigenen Netzwerk zu finden, um diese schließen zu können. Natürlich wäre es naiv von mir zu glauben, diese Tools würden ausschließlich dafür eingesetzt; ich bin nicht so blauäugig, so zu denken oder zu argumentieren. Allerdings werden mit diesen Gesetzesentwürfen oben genannte Personen, die tatsächlich nichts illegales tun und nur sich bzw. ihre Systeme schützen wollen, kriminalisiert. Diejenigen, die damit in Computer oder Netzwerke einbrechen wollen, kümmern sich ohnehin einen feuchten Kehricht um derartige Gesetze.

Nun stellen wir also fest: Man wird per Gesetz der Möglichkeit beraubt, seine Systeme auf Schwachstellen und Fehlkonfigurationen hin abzuklopfen. Läuft somit also unter Umständen ins offene Messer, wenn man für kriminelle Nutzer der „Hacker-Tools“ aus irgendeinem Grund zur Zielscheibe wird. Und: man hat keine (legale) Möglichkeit herauszufinden, ob man aufgrund eines Softwarebugs oder einer Fehlkonfiguration nicht zufällig ein Hintertürchen offen hält, über das entweder Scriptkiddies, Wirtschaftsspione oder aber eben auch Behörden nach Lust und Laune in den vermeintlich sicheren Daten herumwühlen. Und genau da scheint sich für mich im Augenblick der Kreis zu schließen. Ich soll nicht mehr prüfen dürfen, ob meine neuen Sicherheitsschlösser, meine Tür und mein Türrahmen sicher genug sind, damit im Fall eines Falles das Einsatzkommando sich nicht die Füße beim Eintreten der Tür bricht.

Wann wird hier in Deutschland eigentlich Verschlüsselung unter Strafe gestellt?

Auf dem marketing-blog (und inzwischen auch auf dem Saftblog) wurde heute eine Stellungnahme von Michael Shirp, seines Zeichens Pressesprecher des DOSB, zur Abmahnung des Saftblogs veröffentlicht.

Ich kann mir nicht helfen, aber irgendwie sagt dieser Text garnix aus. Ich sehe in dieser Mitteilung weder ein Zurückrudern noch eine wirklich stichhaltige Erklärung für diese Abmahnung. Für mich liest sich das ganze sehr überheblich, es liest sich eben wie das Schreiben eines Vereins, der ein eigenes, privates Gesetz im Rücken hat (bei dem, wie bereits berichtet, nicht unumstritten ist, ob es überhaupt verfassungsgemäß ist). Auf mich wirkt diese Mitteilung so, als sei man sich seiner Sache vollkommen sicher und hege weder Zweifel an der Rechtmäßigkeit der Abmahnung noch an der Frage, ob die Verwendung der Begriffe „Olympia„, „Olympische Spiele“ und der Olympischen Ringe in dieser Form der Berichterstattung nicht doch zulässig wären.

Klar, man fühlt sich sicher, bei so einem kleinen Unternehmen angesichts der Höhe des Streitwertes keinerlei Risiko einzugehen. Man geht schlicht und ergreifend davon aus, dass das Unternehmen es sicherlich nicht auf eine gerichtliche Auseinandersetzung ankommen lassen würde. Aber wie ein Versuch, die Wogen zu glätten, wirkt dieses Schreiben nicht auf mich. Wäre ich der Betroffene in dieser Situation, würde ich mich irgendwie ein wenig verarscht fühlen.

Geht es nur mir so?

Bei Udo Vetter lese ich gerade, dass das Saftblog abgemahnt wurde. Nach Angaben der Betreiber wirft der Deutsche Olympische Sportbund, gegründet im Mai dieses Jahres, dem Saftblog unter anderem Rufausbeutung, Urheberrechtsverletzung, Irreführung und Markenrechtsverletzung vor. Weil das Saftblog in 2 Artikeln über die Olympischen Spiele berichtet hat.

17 Seiten umfasst das Schreiben der Anwälte und es beinhaltet so abgedrehte Feststellungen wie beispielsweise dieses Zitat:

„Beide Slogans sind von Ihrem Geschäftspartner Jörg Holzmüller verfasst und dienen offensichtlich als „Meta-Tag“ um potentielle Kunden auf Ihr Angebot aufmerksam zumachen.“

Ja, klingt schön wichtig und technisch, auch wenn man da offenbar keine Ahnung hat, worüber man da eigentlich schreibt. Wirkt zumindest so auf mich. Das komplette Anschreiben ist leider (noch) nicht verfügbar. Denn mich würde tatsächlich schwer interessieren, welche Markenrechte da bspw. verletzt wurden. Ist die Bezeichnung „Olympische Spiele“ etwa eine eingetragene Marke dieses Verbandes? Keine Ahnung, aber diese Abmahnung ist mehr als nur unsportlich.

Die Folge der Aktion ist übrigens: Die Firma Walther will nun das Saftblog schließen. Zitat:

Dieses Blog wollten wir nutzen um mit Kunden, Interessenten und anderen zu kommunizieren. Wenn wir nicht über Dinge reden/schreiben dürfen, die uns über das Geschäft hinaus beschäftigen, dann wird dies hier zu einer Walthers-Werbeveranstaltung – und das ist nicht Sinn der Sache.

Es tut uns sehr leid, aber ein Kundendialog in Form eines Weblogs durch ein Unternehmen ist in Deutschland nicht möglich. Es lebe die Freiheit!

Traurige Sache, armes Deutschland.

Nachtrag: Zumindest die Verwendung der Olympischen Ringe in einem der beiden abgemahnten Beiträge könnte eventuell zu einem Problem werden. Die Verwendung im geschäftlichen Verkehr ist seit 2004 ausschließlich dem NOK und dem IOC gestattet. Ob die illustrierende Darstellung dieses seit 1913 existierenden Symbols im Saftblog nun jedoch eine Verwendung im geschäftlichen Verkehr darstellt…die Beantwortung dieser Frage kann durchaus zu einer haarspalterischen Auseinandersetzung führen. Ich finds nur wieder einmal äußerst erschreckend, dass man heutzutage eigentlich tatsächlich alles anwaltlich absegnen lassen sollte, um nicht in den finanziellen Ruin getrieben werden zu können…

Gestern haben wir bemerkt, dass einer unserer Webserver mehr als träge auf Anfragen reagierte und zum Teil nicht mehr antwortete. Eine Analyse der Logs zeigte mir irgendwann: der Server wurde mit tausenden von Anfragen auf mein altes Weblog bombardiert. Es handelte sich dabei um HTTP-POSTs auf die Dateien wp-comments-post.php und wp-trackback.php.
Mein altes Blog habe ich irgendwann einmal umgestellt, Kommentare, sofern noch welche ankamen, landeten in der Moderationsschleife. Und diese war gestern abend ca. 260.000 Einträge groß!

Da ein Restart des Serverdienstes nur für ca. 2min Entspannung brachte, habe ich weiter analysiert. Die Anfragen kamen von extrem vielen unterschiedlichen IP-Adressen, insofern kam eine Sperrung dieser Adressen nicht in Frage. Deshalb hab ich es zunächst leicht angesäuert mit einer kleinen Gemeinheit versucht und Anfragen auf die beiden Dateien in der .htaccess per 301-Redirect auf den Host 127.0.0.1 umgeleitet. Ergebnis: Keins. Des Spam-Tool schickt offenbar seine POSTs ab, ohne sich um eine Antwort zu kümmern. Wurde der HTTP-Request abgeschickt, war es das, das Tool interessiert sich nicht dafür, ob und wie der Webserver darauf antwortet. Demzufolge brachte auch eine Umbenennung der beiden Dateien garnichts. Die Anfragen kamen weiterhin zu tausenden hinein und blockierten den Server.

Letzten Endes half dann nur noch eine einzige Maßnahme: Wir haben auf der Firewall einen Filter eingerichtet, der für die URL meines alten Blogs Zugriffe auf wp-comments-post.php und wp-trackback.php blockiert. Seitdem herrscht Ruhe, zumindest hinter der Firewall.

Diese Maßnahme konnte ich ergreifen, weil mir reichlich egal ist, ob in dem alten Blog noch Kommentare und Trackbacks eingehen. Es ist einfach nur noch da, aber nicht mehr wirklich aktiv. Für aktive Blogs ist diese Maßnahme so nicht denkbar, Kommentare oder Trackbacks wären nicht mehr möglich. Hier hilft dann nur ein etwas tieferer Eingriff: die Dateien wp-comments-post.php und wp-trackback.php müssen umbenannt werden und Aufrufe dieser beiden Dateien im WordPress-Code entsprechend angepasst werden. Wenn ich etwas Zeit habe, werde ich diese Anpassungen vornehmen und die geänderten Dateien dann hier zum Download anbieten. Dann dürfte zumindest für einige Zeit Ruhe sein – bis die Spammer ihre Tools entsprechend angepasst haben.

Für mich handelt es sich hier um eine vollkommen neue Qualität von Kommentarspam, in diesem Umfang hab ich es bisher noch nie erlebt und damit stehe ich nicht allein da. In der Größenordnung, wie hier dem Server die Requests um die Ohren gehauen werden – da wird wohl so ziemlich jedes System über kurz oder lang das Handtuch werfen. Den Spammern ist das vollkommen egal, es interessiert sie nicht, ob die Zieldateien überhaupt vorhanden sind oder ob es Umleitung gibt etc., ihre Bot-Netzwerke ballern die HTTP-Requests einfach hinaus und fertig. Es ist den Spammern auch vollkommen egal, ob die Einträge überhaupt in irgendeiner Form auf den betroffenen Blogs auftauchen. Bei der Masse, die hier ins Netz geblasen wird, wird sicher das eine oder andere „tote“ System dabei sein, welches die zigtausend Einträge einfach veröffentlicht und somit die gewünschten Backlinks produziert. Insofern scheint mir im Augenblick die oben beschriebene Maßnahme der einzig gangbare Weg zu sein, um die Webserver zu entlasten und diesen Spam wirkungsvoll zu filtern.

Sollte dieser Trend so anhalten, dann ist es für mich ohnehin auch nur noch eine Frage der Zeit bis die ersten Provider beginnen, Requests auf diese Dateien zu filtern, um ihre Server zu schützen.