Berufsverbot

Zugschlusbeobachtungen

Thursday, September 21. 2006

Posted by Marc 'Zugschlus' Haber in Security at 10:38 | Comments (6) | Trackbacks (4)

Berufsverbot

Das Bundesministerium der Justiz bereitet einen Gesetzentwurf vor, der den Schutz vor Computerkriminalität mit strafrechtlichen Maßnahmen verbessern soll. Und handelt Deutschland erneut den Verlust von zahlreichen hochqualifizierten Arbeitsplätzen im Hochtechnologiesektor ein.

Der Gesetzentwurf zur Änderung des StGB fügt einen neuen Paragrafen 202 c “Vorbereiten des Ausspähens und Abfangens von Daten” in das Strafgesetzbuch ein.

Wer eine Straftat nach § 202 a oder § 202 b vorbereitet, indem er

  1. Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202 a Abs. 2) ermöglichen, oder
  2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht,

wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

§ 202 a ist heute schon “Ausspähen von Daten”; § 202 b wird “Abfangen von Daten”.

Es wird also in Zukunft verboten sein,

  • Proof of Concepts für Schwachstellenausnutzung zu erstellen (“herstellen”)
  • Bugtraq, Full Disclosure oder ähnliche Mailinglisten auch nur abonniert zu haben (“sich verschaffen”)
  • Schwachstellenanalysen durchzuführen (da man sich vorher Tools entweder verschaffen oder herstellen muss)
  • “Live Hacking” als Schockeffekt in Seminaren (“sonst zugänglich machen”)
  • Linux-Distributionen, die nmap oder nessus enthalten zum Download bereitzuhalten (“verbreiten”)

Was bleibt einem Security-Consultant in Deutschland dann noch als Arbeitsmöglichkeiten offen?

Ich glaube, ich muss doch auf Schafzucht oder Lokführer umsatteln. Qualifizierte Arbeitsplätze sind in Deutschland wohl unerwünscht.

Defined tags for this entry: , , ,
Random Entry: The six dumbest ideas in Computer Security
< Odyssee in Bahn | Zugschlus' unvollständige Liste möglicher Partyfehler >
Trackbacks
Trackback specific URI for this entry
Gesetzentwurf zur Bekämpfung der Computerkriminalität
Die Bundesregierung hat heute den Entwurf eines Strafrechtsänderungsgesetzes zur besseren Bekämpfung der Computerkriminalität in Umsetzung des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme sowie des Europarat-Übereinkommens über Computerkrimi Comment (1)
Weblog: Aus dem Leben eines Szlauszafs
Tracked: Sep 21, 17:16
"StGB §202 neu - Berufsverbot für Security Consultants?"
Dies ist im Prinzip die Frage, die Marc &quot;Zugschlus&quot; Haber in seinem Artikel &quot;Berufsverbot&quot; heute vormittag aufwarf. Ich liess mich dazu hinreissen und hatte zum Auftakt der Mittagspause noch einen schnellen Kommentar hingeworfen. Grundlegend habe ich... Comment (1)
Weblog: rant machine?
Tracked: Sep 21, 19:11
Bitacle Blog Search Archive - Berufsverbot
[...] Das Bundesministerium der Justiz bereitet einen Gesetzentwurf vor, der den Schutz vor Computerkriminalität mit strafrechtlichen Maßnahmen verbessern soll. [...] Comment (1)
Weblog: bitacle.org
Tracked: Sep 22, 08:17
Informatiker, bald alle hinter Gittern
Der Gesetzentwurf zum “Hackerparagraphen” (§ 202c StGB) steht kurz davor vom Bundesrat durchgewunken zu werden. Die Gesellschaft für Informatik (GI) hat darauf hingewiesen, dass auch der Gedankenaustausch über “Sicherheitst... Comment (1)
Weblog: Michael-Seitz.org
Tracked: Jul 03, 22:35
Comments
Display comments as (Linear | Threaded)
**Ähem*

Bitte vergiss nicht das kleine doofe Wort “unbefugt” zu beachten. Speziell für §202c mit “(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem (..)” er einen unbefugten Zugriff vorbereitet, gilt das mEn massivst!

Das ist weiterhin die bisherige Situation für Security Consultants -> kein Audit ohne schriftliche Beauftragung.

Ja, das ist jetzt eine punktuelle Antwort, die sich rein auf die rechtliche Situation des Consultants bei Audits bezieht.

Dass es da massive Interpretationsprobleme für die Hersteller der Tools geben wird und auch Interessierte an der Technik/Wissenschaft eine Bärenfalle vorgelegt bekommen, ist mir klar.

Aber mal für die einzelnen, genannten Fragepunkte:
- “Proof of Concepts für Schwachstellenausnutzung zu erstellen” Ja, hier ist die Sau vergraben, da ich dafür ja an einem System wirklich herumfummeln muss. Gut, mein eigenes Testsystem, und meine Intention ist Hilfe anderer, aber das zu beweisen ist doof. Wobei - das ist Straf- nicht Zivilrecht. Da muss man mir immer noch meine Schuld beweisen.
Das Problem ist mEn aber eher erst in der Publikation des PoC zu sehen, da ich dort die Verwendung immer so schlecht kontrollieren kann. siehe Distributionen.

- “Bugtraq, Full Disclosure oder ähnliche Mailinglisten auch nur abonniert zu haben”
Bereite ich eine Straftat vor? Nein? Get off my ass! (Intention, ich weiss. Absichten sind nicht zu beweisen... :-/ )

- “Schwachstellenanalysen durchzuführen”
Schriftlicher Auftrag -> Befugnis erteilt. Kein Problem.

- ““Live Hacking” als Schockeffekt in Seminaren”
Im Rahmen der schriftlichen Anmeldung beauftragen mich die Kunden doch damit, Ihnen sowas auf (m)einem Testsystem vorzustellen, nicht wahr?

- “Linux-Distributionen, die nmap oder nessus enthalten(...)”
Oder andere, einschlägige Tools. Ja, hier sind wir wieder beim Intentionsproblem. Hier hängt dann sicher sowas wie “Mittäterschaft” dran, wenn mit Hilfe dieser Tools es irgendwo kracht.
Hier wird hoffentlich die Industrie auch anfangen noch massiv zu heulen, denn §202c (1), 2 ist der eigentliche scheiss Knackpunkt der Änderung, die anderen beiden sehe ich tatsächlich als unkritisch an. Hier werden wirklich Arbeitsplätze und Informationsaustausch gefährdet. Zumindest mit dieser Formulierung.

Dummerweise will mir keine einfallen, die einem dort in der Intention dieses Absatzes hilft, ohne weitere Probleme aufzureissen...
Comments (3)
#1 Andreas Rauer (Homepage) on 2006-09-21 11:53 (Reply)
*Das Wörtchen “unbefugt” hilft im Zusammenhang mit § 202c Abs. 1 Nr. 2 StGB-E - um den es hier ja geht - leider nicht weiter. Denn die Vorschrift betrifft “Computerprogramme, deren Zweck die Begehung einer solchen Tat ist”, also bspw. des unbefugten Verschaffens von Zugang zu Daten oder des unbefugten Abfangens von Daten. Diese Eigenschaft eines Computerprogrammes kann diesem aber nur entweder generell anhaften oder generell nicht anhaften; es geht ja nicht darum, ob im Einzelfall dieses Programm bsp.w mit dem Einverständnis des “Opfers” (= befugt) oder ohne dessen Einverständnis verwendet wird, sondern es geht bereits um das Herstellen oder Sichverschaffen solcher Programme, also der eigentlichen Tat vorgelagerte Handlungen.

Um ein Beispiel zu bringen: ein “fertiger” Exploit, der quasi auf Knopfdruck Zugang zu besonders gesicherten Daten verschafft, wenn die “angegriffene” Software verwundbar ist, kann der Vorschrift daher nur ganz oder gar nicht unterfallen: entweder ist er ein Computerprogramm, dessen Zweck die Begehung einer Straftat des Verschaffens von unbefugtem Zugang zu Daten ist, oder er ist es nicht. Diese Frage muß man unabhängig davon beantworten können, ob nun ein “Blackhat” damit tatsächlich Angriffe ausführen will oder ein “Whitehat” einen Verwundbarkeitstest machen soll, schon deshalb, weil die ganze Vorschrift sonst sinnlos wäre, da bei dieser Auslegung erst zu prüfen wäre, ob es um ein befugtes oder unbefugtes Verschaffen von Daten geht, will sagen, ob das “Hacker-Tool” nun wirklich von einem “bösen Hacker” oder von einem “lieben Sicherheitstester” eingesetzt wird. Die Vorschrift soll ja gerade im Vorfeld der Tatbegehung eingreifen und die entsprechenden Programme generell treffen.

Natürlich ist ein Audit weiterhin zulässig, wenn die Zustimmung des “zu auditenden” vorliegt; denn dann ist eine Strafbarkeit nach §§ 202a, 202b, 303b StGB-E ausgeschlossen. *Aber*: es soll zukünftig dann nicht mehr zulässig sein, entsprechende Software (“Hacker-Tools”) herzustellen oder sich zu verschaffen. Auch nicht dann, wenn man sie bspw. nur aus wissenschaftlichem Interesse auf seiner eigenen Maschine ausprobiert. Und genau da liegt das Problem dieser Vorschrift, das sich auch durch Auslegung nicht beseitigen läßt (weil bei einer anderen Auslegung die Vorschrift leer läuft - dann müßte man nämlich die Beurteilung eines “Hacker-Tools” von der damit begangenen oder versuchten Tat abhängig machen, käme also immer nur dann zu einer Strafbarkeit nach dieser Vorschrift, wenn auch eine Strafbarkeit aus §§ 202a, 202b, 303b StGB-E schon gegeben ist; das ist gerade nicht das Ziel der Regelung, die ja u.a. gezielt Downloadseiten treffen will.)
Comments (2)
#1.1 -thh on 2006-09-21 17:32 (Reply)
*Du hast Recht. Wie ich inzwischen an anderer Stelle auch lesen konnte, ist das Problem aber, das die Änderungen nicht vollständig die Vorgaben abbilden. Dort wird afaik eine saubere Regelung für Programme getroffen (!).

Nur wie so üblich, wenn ich mal ne Quelle für ‘nen Kommentar brauche, finde ich es nicht mehr *gnarf*
Comments (3)
#1.1.1 Andreas Rauer (Homepage) on 2006-09-21 19:17 (Reply)
*Das Problem wird nicht nur Deutschland treffen, da der Gesetzentwurf lt. Begründung auch insoweit der Umsetzung europäischer Vorgaben dient ...
Comments (2)
#2 -thh on 2006-09-21 17:35 (Reply)
*... nur dummerweise grosse (relevante) Teile der Vorgabe ignoriert.
In der wird nämlich auch eine saubere Regelung bzgl. der durch 202c (neu) inkriminierten Programme getroffen.
Comments (3)
#2.1 Andreas Rauer (Homepage) on 2006-09-21 19:13 (Reply)
die abgrenzung von wirtschaftsrecht und freiheit der wissenschaft wäre zu diskutieren. es muss dem wirtschaftsstaat grundsätzlich auch wirtschaftsrechtlich fortschritt und wissensgenerirung willkommen sein.

layday
Comment (1)
#3 layday on 2006-09-22 14:55 (Reply)
Add Comment

HTML-Tags will be converted to Entities.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Gravatar/Favatar supported
 
 

Quicksearch

Blog Administration

Open login screen

Categories



All categories

Comments

Dietz Proepper about Kater Paul, 2001 - 2010-03-02
Tue, 2010-03-09 00:10
*Ebenfalls herzliches Beileid. Ich habe meinen Tiger vor ein em guten halben Jahr beerdigt. Und weiß leider inzwisc [...]Comments ()
Nicole about Kater Paul, 2001 - 2010-03-02
Thu, 2010-03-04 22:31
*Ohje, das tur mir leid...ich k ann mit Euch fühlen. Meine Kat ze musste drei Wochen vor unse rer Hochzeit eingeschläf [...]Comments ()
Princess about Kater Paul, 2001 - 2010-03-02
Thu, 2010-03-04 11:31
*Ach Mensch, auch als Nicht-Hau stier-Halterin kann ich nachfü hlen, wie sehr ihr an ihm geha ngen habt. Es tut mir ec [...]Comments ()
Treibholz about Kater Paul, 2001 - 2010-03-02
Thu, 2010-03-04 08:54
Mir schießt heute noch das Was ser in die Augen, wenn ich ein Bild von meinem Stanislaus fi nde. Und das ist immerhi [...]Comments ()
Monica about Kater Paul, 2001 - 2010-03-02
Wed, 2010-03-03 20:15
Oh Marc, Sandra, das tut mir fürchterlich leid. :-( Ich fühle mit Euch, um diesen off enbar sehr besonderen Katz.Comments ()

Syndicate This Blog

Show tagged entries

6310 xml
öffnungszeiten xml
öpnv xml
admintipp xml
aide xml
akku xml
alice xml
alpgrüm xml
alsa xml
alturo xml
ansagen xml
anwalt xml
apache xml
arbeit xml
arbeitsplatzrechner xml
arcor xml
artikelreihe xml
augenarzt xml
auto xml
bahn xml
bahnhof xml
bank xml
baumarkt xml
berlin xml
best-of-mailing-list xml
bilder xml
blasenentzündung xml
blog xml
blogsignal xml
bluetooth xml
blutzuckermessung xml
bohrmaschine xml
boot xml
booten xml
brille xml
browser xml
bts xml
bugs xml
bus xml
callcenter xml
chat xml
citynightline xml
clamav xml
cnl xml
cold call xml
computer xml
console xml
cookies xml
cron-apt xml
dänemark xml
datenschutz xml
db xml
dbag xml
debian xml
debian-english xml
debugging xml
deppen xml
deutsche bahn xml
deutschland xml
dhl xml
dienstleistung xml
disco xml
dns xml
domain xml
drivers xml
dsl xml
durchhilfe xml
dvb-s xml
e-mail xml
e90 xml
einkauf xml
elektrik xml
elektro xml
englisch xml
english xml
essen xml
ethernet xml
exchange xml
exim xml
exim4 xml
exploit xml
föhr xml
fahrkarten xml
fahrrad xml
fdi xml
fernsehen xml
fernseher xml
firewall xml
firewalls xml
firstdedicated xml
flitterwoche xml
foto xml
fotos xml
freenet xml
freizeit xml
fremdblog xml
freunde xml
fundsache xml
geburtstag xml
geschenk xml

Template dropdown

Technorati