IT Sicherheitsanalyse soll nun strafbar werden!?
Verfasst: Montag 25. September 2006, 16:57
Liebe Foren-Leser,
heute zum Thema:
"Gesetzentwurf gefährdet die Computersicherheit"
Per Gesetz soll bald Software verboten werden, die u.a. zur klaren Auseinandersetzung wie auch Analyse von Sicherheitsproblemen in Computersystemen unter Strafe gestellt werden.
Was geht mich das an? Ich bin doch kein Computerfuzzi...!...:
...kann nun jeder sagen, der nicht täl. selbst mit der Sicherung und Betrieb von IT Diensten beschäftigt ist. Aber auch das stimmt nicht ganz, weil sich JEDER in zig verschiedenen Datenbanken und -beständen wiederfiden kann - oft gar mit persönlichen o. sehr vertraulichen Daten, die man gern sicher wähnen möchte. Selbst Antivirensoftware kann nicht effizient geschrieben werden, wenn die Werkzeuge der "Bösen" (Trojaner-Fertikits wie Virenbastelkästen, die schon Kinder bedienen können) bezoen, gesammelt und ausgetestet werden können. Eigentlich jeder andere Sicherheitsdienstleiser ist ebenso auf Infos über die Bösen angewiesen.
Der Entwurf sieht etwas so vor wie in etwa:
Jemand macht einen Bankeinbruch oder einen Autodiebstahl mit einem neuen Einbruchwerkzeug. Nun darf aber niemand (usser ggf. Polizei) darüber informiert werden, wie im Detail der dies erfolgreich getan hat. Wie sollen dann Hersteller von Alarmsystemen, Auto-Schlössern, Sicherheitssystemen oder Sicherheitsdienste usw. erfolgreich vor weiteren Angriffen in der selben Art schützen?
Ist es nicht sinnvoller gerade DIE Straftat selbst härter zu bestrafen, statt nur den Besitz von Werkzeugen oder Informationen zu verbieten, ohne das dies verboten benutzt wurde?
oder besser:
Jemand stiehlt und missbraucht erfolgreich EC- oder Kreditkarten. Statt den besitzern von EC Karten zu erklären, wo und wie der Trick der Diebe ist (z.B. PIN ausspähen, Karte aus Handtasche entwenden) darf gerade hierfüber NICHT gegsprochen / informiert werden. Schöne Welt für alle Tunichtgute...
Verboten werden sollen sogenannte 'Hackertools' und damit zugleich die öffentliche Diskussion von Sicherheitslücken. Der allgemein akzeptierte Standard zur Überprüfung der Sicherheit eines Systems ist es aber, dieses mit Angriffswerkzeugen zu testen (sog. penetration testing), um die dabei gefundenen Lücken schließen zu können.
Auch ich bin im Rahmen meiner tägl. Arbeit - bei der Sicherung von IT und Internetdiensten - mit umfangreichen Sammlungen solcher Werkzeuge konfrontiert und benötige diese auch zur Analyse von Sicherheitsschwachstellen sowie zur Absicherung / Prüfung von Sicherheitsmechanismen. Werden diese Werzeuge "illegal", werden nur die "Bösen" weiter diese Werkzeuge haben, um damit Schaden anzurichten. Die "Guten" (Sicherheitsexperten, Netzwerkadmins u.a.) dürfen sich nicht mehr über die Funktionsweise der Werzeuge und Schadsoftware frei informieren (oder eben "illegal").
Auf der anderen Seite bin ich selbst für eine härtere Strafverfolgung illegaler und krimineller Datendiebstähle, Manipulationen oder Störern von Diensten - was aber gerade in diesem Entwurf nicht passiert.
Das seit vielen Jahren bewährte Vorgehen bei gefundenen Sicherheitsproblemen war und ist ja gerade, die Sicherheitslücken zu "erklären" - d.h. anhand von konkreten Angriffszenarien werden die Probleme und Ursachen aufedeckt und verständlich. Ebenso werden gefundene Schadproramme ("Hackertools", "Exploits") veröffentlicht damit Systemadmins deren Funktionsweise verstehen können und Abwehrmassnahmen gezielt einrichten / realisieren können.
Der Gesetzgeber hat hier offenbar auf die Hinzuziehung von Experten o. kompetenten IT Leuten verzichtet - sonst käme solch ein Unsinn erst gar nicht auf die Tische... Stattdessen wird hier ein Gesetz geschaffen, was den "Bösen" (also den tatsächlich strafbar / kriminell agierenden Leuten) einen dicken guten Vorsprung verschafft, weil deren Angriffstaktiken und Werkzeuge nun nicht mehr legal bekannt gemacht werden können.
"Kriminelles Hacken" per Gesetz zu verbieten, gab schon bisher allein mäßigen Erfolg. Nun will man schlicht "faulen Sysadmins" helfen, indem es nicht mehr um Ursachenbekämpfung (also das mögl. zeitige Schließen von Sicherheitslücken) sondern die Netznutzer derart "verdummen", das das Bekanntwerden von Sicherheitproblemen nicht mehr umgreifen soll. Dies klingt doch sehr nach Micro$ofts ehem. "Theologie" der "security by obscurity" ("Sicherheit durch Geheimniskrämerei..." sozusagen) aus den 80ern und 90ern, die bekanntermassen nie weit half und selbst MS - mit seinen oft über Monate "überspäten" Reaktionen auf oft schlimme gefährliche Löcher in hauseigener MS-Software hat seit paar Jahren verstanden, das dies die hauseigenen Kunden weitaus negativer traf als eine (wie heute) "offenere" Sicherheits-Informationspolitik.
Ebenso fallen mit solchen Regeln auch viele wichtige Meldungen der bekanntesten Sicherheitsteams und Institutionen weg,
(Bsp. siehe
http://www.syndicat.com/kundenbereich/n ... icherheit/ )
über die sich Sysadmins wichtigste Infos zum Sicherheitsstand benutzter Software tägl. beziehen.
http://www.ccc.de/press/releases/2006/20060925/
Vorschläge zur Verbesserung / Änderungen am Entwurf:
Details: Chaos Computer Club: Forderungen zum Regierungsentwurf Strafrechtsänderung im Zusammenhang mit Computersystemen
http://www.ccc.de/press/releases/2006/2 ... rungen.xml
Ich kann mir nicht vorstellen ohne meine Werkzeuge - wie schon nmap, tethereal, wepcrack usw. - sinnvolle, effiziente Arbeit zu leisten, wenn jedes Kiddie bessere Werkzeuge als ich benutzt. Wer hingegen ein "kaputtes" System oder Software mit bekannten Sicherheitsproblemen weiter bereibt, der braucht sich nicht wundern, wenn ihm die "Bösen" einen (bereits ja verbotenen) Besuch o. mehr abstatten. Etwas Sicherheitsbewusstsein der Beteiligten - der Nutzer wie Gesetzgeber - wäre hier allen hilfreich denke ich...
Beste Grüße,
Euer Niels.
heute zum Thema:
"Gesetzentwurf gefährdet die Computersicherheit"
So auch nun mal wieder, hat bzw. möchte der "Gesetzeswüter" zuschlagen:zuweilen raffe ich mich ja mal auf, auch selbst in diesem Brett Artikel über politische Geschehnisse oder Vorhaben zu schreiben, zu denen nach Meiner Meinung bisher zuwenig öffentliches Interesse - oft mangels öffentlicher Information und Diskussion - besteht, gerade aber eine offene Diskussion für einen richtigen Weg grundlegend wichtig wäre.
Per Gesetz soll bald Software verboten werden, die u.a. zur klaren Auseinandersetzung wie auch Analyse von Sicherheitsproblemen in Computersystemen unter Strafe gestellt werden.
Was geht mich das an? Ich bin doch kein Computerfuzzi...!...:
...kann nun jeder sagen, der nicht täl. selbst mit der Sicherung und Betrieb von IT Diensten beschäftigt ist. Aber auch das stimmt nicht ganz, weil sich JEDER in zig verschiedenen Datenbanken und -beständen wiederfiden kann - oft gar mit persönlichen o. sehr vertraulichen Daten, die man gern sicher wähnen möchte. Selbst Antivirensoftware kann nicht effizient geschrieben werden, wenn die Werkzeuge der "Bösen" (Trojaner-Fertikits wie Virenbastelkästen, die schon Kinder bedienen können) bezoen, gesammelt und ausgetestet werden können. Eigentlich jeder andere Sicherheitsdienstleiser ist ebenso auf Infos über die Bösen angewiesen.
Der Entwurf sieht etwas so vor wie in etwa:
Jemand macht einen Bankeinbruch oder einen Autodiebstahl mit einem neuen Einbruchwerkzeug. Nun darf aber niemand (usser ggf. Polizei) darüber informiert werden, wie im Detail der dies erfolgreich getan hat. Wie sollen dann Hersteller von Alarmsystemen, Auto-Schlössern, Sicherheitssystemen oder Sicherheitsdienste usw. erfolgreich vor weiteren Angriffen in der selben Art schützen?
Ist es nicht sinnvoller gerade DIE Straftat selbst härter zu bestrafen, statt nur den Besitz von Werkzeugen oder Informationen zu verbieten, ohne das dies verboten benutzt wurde?
oder besser:
Jemand stiehlt und missbraucht erfolgreich EC- oder Kreditkarten. Statt den besitzern von EC Karten zu erklären, wo und wie der Trick der Diebe ist (z.B. PIN ausspähen, Karte aus Handtasche entwenden) darf gerade hierfüber NICHT gegsprochen / informiert werden. Schöne Welt für alle Tunichtgute...
Verboten werden sollen sogenannte 'Hackertools' und damit zugleich die öffentliche Diskussion von Sicherheitslücken. Der allgemein akzeptierte Standard zur Überprüfung der Sicherheit eines Systems ist es aber, dieses mit Angriffswerkzeugen zu testen (sog. penetration testing), um die dabei gefundenen Lücken schließen zu können.
Auch ich bin im Rahmen meiner tägl. Arbeit - bei der Sicherung von IT und Internetdiensten - mit umfangreichen Sammlungen solcher Werkzeuge konfrontiert und benötige diese auch zur Analyse von Sicherheitsschwachstellen sowie zur Absicherung / Prüfung von Sicherheitsmechanismen. Werden diese Werzeuge "illegal", werden nur die "Bösen" weiter diese Werkzeuge haben, um damit Schaden anzurichten. Die "Guten" (Sicherheitsexperten, Netzwerkadmins u.a.) dürfen sich nicht mehr über die Funktionsweise der Werzeuge und Schadsoftware frei informieren (oder eben "illegal").
Auf der anderen Seite bin ich selbst für eine härtere Strafverfolgung illegaler und krimineller Datendiebstähle, Manipulationen oder Störern von Diensten - was aber gerade in diesem Entwurf nicht passiert.
Das seit vielen Jahren bewährte Vorgehen bei gefundenen Sicherheitsproblemen war und ist ja gerade, die Sicherheitslücken zu "erklären" - d.h. anhand von konkreten Angriffszenarien werden die Probleme und Ursachen aufedeckt und verständlich. Ebenso werden gefundene Schadproramme ("Hackertools", "Exploits") veröffentlicht damit Systemadmins deren Funktionsweise verstehen können und Abwehrmassnahmen gezielt einrichten / realisieren können.
Der Gesetzgeber hat hier offenbar auf die Hinzuziehung von Experten o. kompetenten IT Leuten verzichtet - sonst käme solch ein Unsinn erst gar nicht auf die Tische... Stattdessen wird hier ein Gesetz geschaffen, was den "Bösen" (also den tatsächlich strafbar / kriminell agierenden Leuten) einen dicken guten Vorsprung verschafft, weil deren Angriffstaktiken und Werkzeuge nun nicht mehr legal bekannt gemacht werden können.
"Kriminelles Hacken" per Gesetz zu verbieten, gab schon bisher allein mäßigen Erfolg. Nun will man schlicht "faulen Sysadmins" helfen, indem es nicht mehr um Ursachenbekämpfung (also das mögl. zeitige Schließen von Sicherheitslücken) sondern die Netznutzer derart "verdummen", das das Bekanntwerden von Sicherheitproblemen nicht mehr umgreifen soll. Dies klingt doch sehr nach Micro$ofts ehem. "Theologie" der "security by obscurity" ("Sicherheit durch Geheimniskrämerei..." sozusagen) aus den 80ern und 90ern, die bekanntermassen nie weit half und selbst MS - mit seinen oft über Monate "überspäten" Reaktionen auf oft schlimme gefährliche Löcher in hauseigener MS-Software hat seit paar Jahren verstanden, das dies die hauseigenen Kunden weitaus negativer traf als eine (wie heute) "offenere" Sicherheits-Informationspolitik.
Ebenso fallen mit solchen Regeln auch viele wichtige Meldungen der bekanntesten Sicherheitsteams und Institutionen weg,
(Bsp. siehe
http://www.syndicat.com/kundenbereich/n ... icherheit/ )
über die sich Sysadmins wichtigste Infos zum Sicherheitsstand benutzter Software tägl. beziehen.
Artikel beim CCC: "Gesetzentwurf gefährdet die Computersicherheit"Das Bundeskabinett hat am 20. September einen Regierungsentwurf zur Änderung des Strafrechts in Zusammenhang mit Computersystemen beschlossen. [1] Dabei soll u. a. Software kriminalisiert werden, die zur Analyse von Sicherheitslücken zwingend erforderlich ist. Der Chaos Computer Club warnt davor, dass die Umsetzung des Entwurfes die Sicherheit von Computersystemen gefährdet. Stattdessen fordert der CCC eine drastische Verschärfung der Strafen für Datenverbrechen.
http://www.ccc.de/press/releases/2006/20060925/
Vorschläge zur Verbesserung / Änderungen am Entwurf:
Details: Chaos Computer Club: Forderungen zum Regierungsentwurf Strafrechtsänderung im Zusammenhang mit Computersystemen
http://www.ccc.de/press/releases/2006/2 ... rungen.xml
Ich kann mir nicht vorstellen ohne meine Werkzeuge - wie schon nmap, tethereal, wepcrack usw. - sinnvolle, effiziente Arbeit zu leisten, wenn jedes Kiddie bessere Werkzeuge als ich benutzt. Wer hingegen ein "kaputtes" System oder Software mit bekannten Sicherheitsproblemen weiter bereibt, der braucht sich nicht wundern, wenn ihm die "Bösen" einen (bereits ja verbotenen) Besuch o. mehr abstatten. Etwas Sicherheitsbewusstsein der Beteiligten - der Nutzer wie Gesetzgeber - wäre hier allen hilfreich denke ich...
Beste Grüße,
Euer Niels.
