Berufsverbot

Zugschlusbeobachtungen

Thursday, September 21. 2006

Posted by Marc 'Zugschlus' Haber in Security at 10:38 | Comments (6) | Trackbacks (4)

Berufsverbot

Das Bundesministerium der Justiz bereitet einen Gesetzentwurf vor, der den Schutz vor Computerkriminalität mit strafrechtlichen Maßnahmen verbessern soll. Und handelt Deutschland erneut den Verlust von zahlreichen hochqualifizierten Arbeitsplätzen im Hochtechnologiesektor ein.

Der Gesetzentwurf zur Änderung des StGB fügt einen neuen Paragrafen 202 c “Vorbereiten des Ausspähens und Abfangens von Daten” in das Strafgesetzbuch ein.

Wer eine Straftat nach § 202 a oder § 202 b vorbereitet, indem er

  1. Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202 a Abs. 2) ermöglichen, oder
  2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht,

wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

§ 202 a ist heute schon “Ausspähen von Daten”; § 202 b wird “Abfangen von Daten”.

Es wird also in Zukunft verboten sein,

  • Proof of Concepts für Schwachstellenausnutzung zu erstellen (“herstellen”)
  • Bugtraq, Full Disclosure oder ähnliche Mailinglisten auch nur abonniert zu haben (“sich verschaffen”)
  • Schwachstellenanalysen durchzuführen (da man sich vorher Tools entweder verschaffen oder herstellen muss)
  • “Live Hacking” als Schockeffekt in Seminaren (“sonst zugänglich machen”)
  • Linux-Distributionen, die nmap oder nessus enthalten zum Download bereitzuhalten (“verbreiten”)

Was bleibt einem Security-Consultant in Deutschland dann noch als Arbeitsmöglichkeiten offen?

Ich glaube, ich muss doch auf Schafzucht oder Lokführer umsatteln. Qualifizierte Arbeitsplätze sind in Deutschland wohl unerwünscht.

Defined tags for this entry: , , ,
Related entries by tags:
Random Entry: MoebelTouris
< Odyssee in Bahn | Zugschlus' unvollständige Liste möglicher Partyfehler >
Trackbacks
Trackback specific URI for this entry
Gesetzentwurf zur Bekämpfung der Computerkriminalität
Die Bundesregierung hat heute den Entwurf eines Strafrechtsänderungsgesetzes zur besseren Bekämpfung der Computerkriminalität in Umsetzung des EU-Rahmenbeschlusses über Angriffe auf Informationssysteme sowie des Europarat-Übereinkommens über Computerkrimi Comment (1)
Weblog: Aus dem Leben eines Szlauszafs
Tracked: Sep 21, 17:16
"StGB §202 neu - Berufsverbot für Security Consultants?"
Dies ist im Prinzip die Frage, die Marc &quot;Zugschlus&quot; Haber in seinem Artikel &quot;Berufsverbot&quot; heute vormittag aufwarf. Ich liess mich dazu hinreissen und hatte zum Auftakt der Mittagspause noch einen schnellen Kommentar hingeworfen. Grundlegend habe ich... Comment (1)
Weblog: rant machine?
Tracked: Sep 21, 19:11
Bitacle Blog Search Archive - Berufsverbot
[...] Das Bundesministerium der Justiz bereitet einen Gesetzentwurf vor, der den Schutz vor Computerkriminalität mit strafrechtlichen Maßnahmen verbessern soll. [...] Comment (1)
Weblog: bitacle.org
Tracked: Sep 22, 08:17
Informatiker, bald alle hinter Gittern
Der Gesetzentwurf zum “Hackerparagraphen” (§ 202c StGB) steht kurz davor vom Bundesrat durchgewunken zu werden. Die Gesellschaft für Informatik (GI) hat darauf hingewiesen, dass auch der Gedankenaustausch über “Sicherheitst... Comment (1)
Weblog: Michael-Seitz.org
Tracked: Jul 03, 22:35
Comments
Display comments as (Linear | Threaded)
**Ähem*

Bitte vergiss nicht das kleine doofe Wort “unbefugt” zu beachten. Speziell für §202c mit “(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem (..)” er einen unbefugten Zugriff vorbereitet, gilt das mEn massivst!

Das ist weiterhin die bisherige Situation für Security Consultants -> kein Audit ohne schriftliche Beauftragung.

Ja, das ist jetzt eine punktuelle Antwort, die sich rein auf die rechtliche Situation des Consultants bei Audits bezieht.

Dass es da massive Interpretationsprobleme für die Hersteller der Tools geben wird und auch Interessierte an der Technik/Wissenschaft eine Bärenfalle vorgelegt bekommen, ist mir klar.

Aber mal für die einzelnen, genannten Fragepunkte:
- “Proof of Concepts für Schwachstellenausnutzung zu erstellen” Ja, hier ist die Sau vergraben, da ich dafür ja an einem System wirklich herumfummeln muss. Gut, mein eigenes Testsystem, und meine Intention ist Hilfe anderer, aber das zu beweisen ist doof. Wobei - das ist Straf- nicht Zivilrecht. Da muss man mir immer noch meine Schuld beweisen.
Das Problem ist mEn aber eher erst in der Publikation des PoC zu sehen, da ich dort die Verwendung immer so schlecht kontrollieren kann. siehe Distributionen.

- “Bugtraq, Full Disclosure oder ähnliche Mailinglisten auch nur abonniert zu haben”
Bereite ich eine Straftat vor? Nein? Get off my ass! (Intention, ich weiss. Absichten sind nicht zu beweisen... :-/ )

- “Schwachstellenanalysen durchzuführen”
Schriftlicher Auftrag -> Befugnis erteilt. Kein Problem.

- ““Live Hacking” als Schockeffekt in Seminaren”
Im Rahmen der schriftlichen Anmeldung beauftragen mich die Kunden doch damit, Ihnen sowas auf (m)einem Testsystem vorzustellen, nicht wahr?

- “Linux-Distributionen, die nmap oder nessus enthalten(...)”
Oder andere, einschlägige Tools. Ja, hier sind wir wieder beim Intentionsproblem. Hier hängt dann sicher sowas wie “Mittäterschaft” dran, wenn mit Hilfe dieser Tools es irgendwo kracht.
Hier wird hoffentlich die Industrie auch anfangen noch massiv zu heulen, denn §202c (1), 2 ist der eigentliche scheiss Knackpunkt der Änderung, die anderen beiden sehe ich tatsächlich als unkritisch an. Hier werden wirklich Arbeitsplätze und Informationsaustausch gefährdet. Zumindest mit dieser Formulierung.

Dummerweise will mir keine einfallen, die einem dort in der Intention dieses Absatzes hilft, ohne weitere Probleme aufzureissen...
Comments (3)
#1 Andreas Rauer (Homepage) on 2006-09-21 11:53 (Reply)
*Das Wörtchen “unbefugt” hilft im Zusammenhang mit § 202c Abs. 1 Nr. 2 StGB-E - um den es hier ja geht - leider nicht weiter. Denn die Vorschrift betrifft “Computerprogramme, deren Zweck die Begehung einer solchen Tat ist”, also bspw. des unbefugten Verschaffens von Zugang zu Daten oder des unbefugten Abfangens von Daten. Diese Eigenschaft eines Computerprogrammes kann diesem aber nur entweder generell anhaften oder generell nicht anhaften; es geht ja nicht darum, ob im Einzelfall dieses Programm bsp.w mit dem Einverständnis des “Opfers” (= befugt) oder ohne dessen Einverständnis verwendet wird, sondern es geht bereits um das Herstellen oder Sichverschaffen solcher Programme, also der eigentlichen Tat vorgelagerte Handlungen.

Um ein Beispiel zu bringen: ein “fertiger” Exploit, der quasi auf Knopfdruck Zugang zu besonders gesicherten Daten verschafft, wenn die “angegriffene” Software verwundbar ist, kann der Vorschrift daher nur ganz oder gar nicht unterfallen: entweder ist er ein Computerprogramm, dessen Zweck die Begehung einer Straftat des Verschaffens von unbefugtem Zugang zu Daten ist, oder er ist es nicht. Diese Frage muß man unabhängig davon beantworten können, ob nun ein “Blackhat” damit tatsächlich Angriffe ausführen will oder ein “Whitehat” einen Verwundbarkeitstest machen soll, schon deshalb, weil die ganze Vorschrift sonst sinnlos wäre, da bei dieser Auslegung erst zu prüfen wäre, ob es um ein befugtes oder unbefugtes Verschaffen von Daten geht, will sagen, ob das “Hacker-Tool” nun wirklich von einem “bösen Hacker” oder von einem “lieben Sicherheitstester” eingesetzt wird. Die Vorschrift soll ja gerade im Vorfeld der Tatbegehung eingreifen und die entsprechenden Programme generell treffen.

Natürlich ist ein Audit weiterhin zulässig, wenn die Zustimmung des “zu auditenden” vorliegt; denn dann ist eine Strafbarkeit nach §§ 202a, 202b, 303b StGB-E ausgeschlossen. *Aber*: es soll zukünftig dann nicht mehr zulässig sein, entsprechende Software (“Hacker-Tools”) herzustellen oder sich zu verschaffen. Auch nicht dann, wenn man sie bspw. nur aus wissenschaftlichem Interesse auf seiner eigenen Maschine ausprobiert. Und genau da liegt das Problem dieser Vorschrift, das sich auch durch Auslegung nicht beseitigen läßt (weil bei einer anderen Auslegung die Vorschrift leer läuft - dann müßte man nämlich die Beurteilung eines “Hacker-Tools” von der damit begangenen oder versuchten Tat abhängig machen, käme also immer nur dann zu einer Strafbarkeit nach dieser Vorschrift, wenn auch eine Strafbarkeit aus §§ 202a, 202b, 303b StGB-E schon gegeben ist; das ist gerade nicht das Ziel der Regelung, die ja u.a. gezielt Downloadseiten treffen will.)
Comments (2)
#1.1 -thh on 2006-09-21 17:32 (Reply)
*Du hast Recht. Wie ich inzwischen an anderer Stelle auch lesen konnte, ist das Problem aber, das die Änderungen nicht vollständig die Vorgaben abbilden. Dort wird afaik eine saubere Regelung für Programme getroffen (!).

Nur wie so üblich, wenn ich mal ne Quelle für ‘nen Kommentar brauche, finde ich es nicht mehr *gnarf*
Comments (3)
#1.1.1 Andreas Rauer (Homepage) on 2006-09-21 19:17 (Reply)
*Das Problem wird nicht nur Deutschland treffen, da der Gesetzentwurf lt. Begründung auch insoweit der Umsetzung europäischer Vorgaben dient ...
Comments (2)
#2 -thh on 2006-09-21 17:35 (Reply)
*... nur dummerweise grosse (relevante) Teile der Vorgabe ignoriert.
In der wird nämlich auch eine saubere Regelung bzgl. der durch 202c (neu) inkriminierten Programme getroffen.
Comments (3)
#2.1 Andreas Rauer (Homepage) on 2006-09-21 19:13 (Reply)
*die abgrenzung von wirtschaftsrecht und freiheit der wissenschaft wäre zu diskutieren. es muss dem wirtschaftsstaat grundsätzlich auch wirtschaftsrechtlich fortschritt und wissensgenerirung willkommen sein.

layday
Comment (1)
#3 layday on 2006-09-22 14:55 (Reply)
Add Comment

HTML-Tags will be converted to Entities.
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Pavatar, Pavatar, Pavatar, Pavatar, Pavatar, Pavatar author images supported.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA
 
 

Quicksearch

Blog Administration

Open login screen

Categories



All categories

Comments

Hans Bonfigt about Warum eigentlich nur ein Haus?
Wed, 2012-05-16 16:57
*Je antizipativer Du möglichen späteren Problemen zuleibezurü chen versuchst, desto größer wird die Gefahr, daß die [...]Comments ()
Alex Lovell about Haller Wilhelm
Mon, 2012-05-14 14:10
*Ist zwar eine Weile her, aber dennoch eine Antwort meinersei ts: Halle(Westf) hatte reine M echanik. Bis vor 9 Tagen [...]Comments ()
Marc 'Zugschlus' Haber about Elektrik, Leitungen, Kabelschächte
Fri, 2012-05-11 23:35
*Das ist mir dann doch noch ein wenig zu heiß und heikel. Ant ennenkabel kommen rein, auch w enn sie nur für fünf Jah [...]Comments ()
-stm about Bauen, aber wie?
Fri, 2012-05-11 22:47
*[quote]Was sind die ältesten H äuser, die heute noch stehen? Richtig: Fachwerkhäuser.[/quot e] hm, für geeignete [...]Comments ()
anon about Elektrik, Leitungen, Kabelschächte
Fri, 2012-05-11 17:23
Warum sollte man im Zeitalter von *overIP noch Antennenkabel legen? Dort wo das HF Fernseh signal ins Gebaeude eint [...]Comments ()

Syndicate This Blog

Show tagged entries





































































































Template dropdown

Technorati

Twitter Timeline