Seit Donnerstag Nacht ist es beschlossen:
§ 202c Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt,
sich oder einem anderen verschafft, verkauft, einem anderen überlässt, ver- breitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
Hackertools sind also illegal geworden, das schreiben, verbreiten und runterladen der Tools wird mit bis zu einem Jahr Knast bestraft. In diesem Preis ist der Einsatz übrigens noch nicht vorgesehen, allein das Schreiben reicht. Natürlich hat der Bundestag fleissig Rücksicht auf die IT-Branche genommen und so stellt jeder Beteiligte klar, dass damit niemals der beauftragte Sicherheitscheck eines Unternehmens oder die Selbstüberprüfung der eigenen Rechner gemeint ist. Deshalb steht "unbefugt" im § 202a und ausserdem ist das Ganze ein Antragsdelikt, der Geschädigte muss also die Strafverfolgung wünschen. So richtig glücklich ist allerdings die
Branche nicht damit, anscheinend trauen die dem Frieden auch nicht wirklich.
Was anscheinend völlig vergessen oder verdrängt wurde, oder auch absichtlich unterdrückt wurde ist, dass Netzwerksicherheit vor allem von unprofessionellen Hackern vorangetrieben wird. Wenn ich als Privatmann z.B. darauf hinweisen möchte, dass wirklich jeder, der Zugang zum Netzwerk hat mit einfachsen Mitteln Passwörter ausspähen kann, tu ich mir schwer. Ich würde dann gerne anhand eines Beispiels zeigen, wie ungeschützt normale Passwörter im http-Protokoll rumschwirren und zeigen, wie leicht die rauszubekommen sind:
tcpdump -s 1500 -w - port 80 | \
perl -MMIME::Base64 -e \
'while(<stdin>) {
if ($_=~ s/Authorization: Basic //)
{print decode_base64($_)."\n"; }}'
(Das heisst soviel wie "Lausche an der Leitung jedes Paket mit, das auf Port 80 rein- oder rausgeht. Such Dir da alles raus, was mit "Authorization Basic" anfängt, nimm davon den Rest der Zeile und decodiere das nach dem Base64-Verfahren)
Auf so ein anschauliches Beispiel, wie einfach das ist, würde ich da nur ungern verzichten. Alternativ könnte ich natürlich auch Tools wie "dsniff" empfehlen, oder statt "tcpdump" auch "etherreal" mit schon eingebautem base64-decoder, aber gerade die Einfachheit des Selberbastelns macht die Unsicherheit des Protokolls deutlich.
Ich finde soetwas sollte jeder der mit Computern und Netzwerken zu tun hat, ruhig ausprobieren. Auch wenn er nicht im Sicherheitsbereich arbeitet und das ganze nur als Hobby betreibt, sollte er sein eigenes Passwort schonmal auf dem Bildschirm im Klartext gesehen haben. Das bringt ihn zu ganz neuen Ansichten in Bezug auf Sicherheit im Datenverkehr und ist vielleicht zumindest langfristig auch der Sicherheit im Internet insgesamt zuträglich.
Das funktioniert aber nur, wenn wir die Nicht-Sicherheitsprofis nicht von den Informationen abschneiden, die ja in Zukunft nur noch von Druidenmund zu Druidenohr weitergegeben werden. Es haut nur hin, wenn auch irgendwelche Schüler sich mal ein Hackertool runterladen können, noch besser selberschreiben, und ausprobieren.
Berichte über
entdeckte Sicherheitslücken in Programmen, Online-Shops und Banken werden wir auch nicht mehr viele bekommen (ausser vielleicht im Ausland). Die könnten ja nur noch beauftrage Unternehmen veröffentlichen und in deren Auftrag wird sicher irgend eine Klausel dem entgegenstehen. Für die Bank ist das natürlich eine feine Sache, wenn Störenfriede die die Sicherheit des Online-Bankens in Frage stellen automatisch straffällig werden. Für den Kunden ist das eher ein Verlust, langfristig auch für das ganze System, wenn Lücken nicht mehr veröffentlicht werden, sondern erst die Schäden.
Interessant sind auch die
Augenzeugenberichte über die letzte Lesung des Gesetzes. Ich dachte ja bisher immer, die Vorarbeit würde im verborgenen stattfinden, die Plenarsitzungen aber live. Ist aber garnicht so. Einige Beschlüsse werden nachts in kleiner Besetzung in einer Art Simulation mit vorher zu Protokoll gegebenen Reden einfach durchgespielt. War aber auch leicht. CDU, CSU, FTP, Grüne waren einer Meinung. SPD ausser Jörg Tauss (
seine Gründe) ebenfalls. Die Linke war dagegen. In so klaren Fällen gilt es sicher als unkollegial, nachzählen zu lassen,
wie viele so spät noch da sind.
Nachtrag: Ab 11.8. ist das
Gesetz gültig.