Gesetze zur IT-Sicherheit und Ethik in der Informatik Anton Wilhelm Praktische Informatik, Prof. Dr. Lutz Wegner Seminar: Internet-Technologie WS 2010/11

Historischer Abriss 1957: Joe Engressia (7 Jahre) 1971: John Thomas Draper / Captain Crunch Phreaking 1973: Blue Box/ing 1981: Gründung des Chaos Computer Clubs 1982: 414s, 6 Jugendliche (16-22 Jahre) Einbruch in ca. 60 verschiedene Computersysteme 1983: Secret Service erhält neue Abteilung für Kreditkarten- und Computerbetrug 1984: CCC veröffentlichte den BTX-Hack 1. Mit 7 Jahren Pfeifton -> Telefon unterbrechen (Kommunikation zwischen Vermittlungsstellen) 1. Richtig eingesetzt, konnte dieser Pfeifton ein kostenlosen Anruf erzeugen 2. Name: Frühstücksflocken-Marke Cap’n Crunch => beiliegende Spielzeugpfeife, mit dem sich der Ton erzeugen lies CCC: Recht auf weltweite, ungehinderte Kommunikation“, setzt sich grenzüberschreitend für Informationsfreiheit ein, Auswirkungen von Technologien auf die Gesellschaft 3. Forschungseinrichtung der US Regierung, Klinik New York, Security Pacific Bank 3. Erste überregionale Benutzung des Wortes „Hacker“ in den Medien, aufgrund der damaligen Gesetzeslage, werden die meisten aber nicht angeklagt 5. BTX Hack / Haspa = Sparkkasse

BTX / Bildschirmtext Terminal Quelle: http://de.academic.ru/dic.nsf/dewiki/205771

Gesetze § 5 Schutz personenbezogener Daten § 202a Ausspähen von Daten (IFG BDSG) § 202a Ausspähen von Daten § 202b Abfangen von Daten § 202c Vorbereiten des Ausspähens und Abfangens von Daten (Hackerparagraph) § 263a Computerbetrug § 303a Datenveränderung § 303b Computersabotage Koflikt zwischen InformaitonsFreiheitsGesetz vs. BundesDatenSchutzGesetz 303, etc. im Jahr 1986? Hackerparagraph im Jahr 2007

Aussagen der Gesetze Name Beschreibung Strafe § 5 Datenschutz (IFG) Schützt von personenbezogenen Daten §5 Beispiel: Buchbestellung bei Amazon über Dritthändler, Daten wie Anschrift für Bestellvorgang okay. Daten für Werbung oder Vermittlung der Daten an US Regierung aber nicht Konflikt zwischen IFG und BDSG Einkommenssteuererklärung in Schweden öffentlich, weil IFG übergeordnet, in Deutschland BDSG übergeordnet

Aussagen der Gesetze Name Beschreibung Strafe § 5 Datenschutz (IFG) Schützt von personenbezogenen Daten § 202a Ausspähen von Daten Unberechtigten Zugang sich oder anderen verschaffen, der gesichert ist, unter Überwindung der Zugangssicherung bis zu 3 Jahre §202a (1) unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt, gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, => Freiheitsstrafe bis zu drei Jahren | Geldstrafe (2) nur solche, die elektronisch, magnetisch, sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden

Aussagen der Gesetze Name Beschreibung Strafe § 5 Datenschutz (IFG) Schützt von personenbezogenen Daten § 202a Ausspähen von Daten Unberechtigten Zugang sich oder anderen verschaffen, der gesichert ist, unter Überwindung der Zugangssicherung bis zu 3 Jahre § 202b Abfangen von Daten Unberechtigt sich oder anderen mit techn. Mitteln nicht für ihn best. Daten aus einer nicht öfftl. Datenübermittlung oder em. Abstrahlung verschafft bis zu 2 Jahre §202b Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

Aussagen der Gesetze Name Beschreibung Strafe § 5 Datenschutz (IFG) Schützt von personenbezogenen Daten § 202a Ausspähen von Daten Unberechtigten Zugang sich oder anderen verschaffen, der gesichert ist, unter Überwindung der Zugangssicherung bis zu 3 Jahre § 202b Abfangen von Daten Unberechtigt sich oder anderen mit techn. Mitteln nicht für ihn best. Daten aus einer nicht öfftl. Datenübermittlung oder em. Abstrahlung verschafft bis zu 2 Jahre § 263a Computerbetrug Wer eine Datenverarbeitung beeinflusst durch unrichtige Gestaltung des Programms | Verwendung unrichtiger/unvollständiger Daten |unbefugte Verwendung von Daten | sonst unbefugte Einwirkung auf den Ablauf bis zu 5 Jahren § 263a Computerbetrug Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt, mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

Aussagen der Gesetze Name Beschreibung Strafe § 303a Datenveränderung Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, Versuch ist ebenfalls strafbar bis zu 2 Jahre § 303b Computersabotage Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er eine Tat nach § 303a Abs. 1 begeht, 2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder 3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. (3) Der Versuch ist strafbar. (4) In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter1. einen Vermögensverlust großen Ausmaßes herbeiführt,2. gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat,3. durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt. (5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

Aussagen der Gesetze Name Beschreibung Strafe § 303a Datenveränderung Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, Versuch ist ebenfalls strafbar bis zu 2 Jahre § 303b Computersabotage Störung von Datenverarbeitung, die für andere von wesentlicher Bedeutung sind Datenverarbeitung für fremden Betrieb, Unternehmen oder Behörde Vermögensverlust im großen Ausmaß | gewerbsmäßig oder als Mitglied einer Bande | Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen | Sicherheit der Bundesrepublik Deutschland beeinträchtigt bis zu 3/5/10 Jahre § 303b Computersabotage Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er eine Tat nach § 303a Abs. 1 begeht, 2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder 3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. (3) Der Versuch ist strafbar. (4) In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter1. einen Vermögensverlust großen Ausmaßes herbeiführt,2. gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat,3. durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt. (5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

§ 202c Vorbereiten des Ausspähens und Abfangens von Daten alias „Hackerparagraph“ (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. Wer aufgibt, macht sich nicht strafbar Wer das Fälschungsmittel wieder zerstört, macht sich ebenfalls nicht strafbar § 149 Vorbereitung der Fälschung von Geld und Wertzeichen (2) Nach Absatz 1 wird nicht bestraft, wer freiwillig die Ausführung der vorbereiteten Tat aufgibt daß andere die Tat weiter vorbereiten oder sie ausführenoder die Vollendung der Tat verhindert die Fälschungsmittel, soweit sie noch vorhanden und zur Fälschung brauchbar sind, vernichtet, unbrauchbar macht, ihr Vorhandensein einer Behörde anzeigt oder sie dort abliefert.

Hackerparagraph Intention des Gesetzgebers Übers Ziel hinaus Schutz vor Virenschreibern bzw. Hackern zu verbessern, die in fremde Systeme eindringen Übers Ziel hinaus Strafbar: vorbereiten, schreiben, verbreiten, besitzen sogar das Finden und Veröffentlichen von Sicherheitslücken parlamentarische Anhörung mit verschiedenen Fachexperten, die gewarnt haben, dass es mit diesen Formulierungen nicht akzeptabel ist, wurden ignoriert

Problematik des Hackerpargraphen Dual Use White Hats vs. Black Hats Beispiel White Hats: Systemadministratoren Sicherheitsfirmen Beispiel Black Hats: Kreditkartenbetrüger E-Mail Harvester / Spambot Den „echten“ Hackern, die eigentlich gemeint sind, ist es völlig egal. Die wird dieses Gesetzt nicht interessieren Black Hats: Handeln bewusst kriminell und beabsichtigen beispielsweise eine Beschädigung oder einen Diebstahl auf dem Zielsystem

Nicht nur Tools, auch Passwörter (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder [...] also sind alle Arten von Passwortlisten verboten, somit sind sämtliche Programme verboten, die die Sicherheitsstärke eines Passworts überprüfen ebenso alle UNIX System, denn simple Passwörter werden verglichen mit den Einträgen aus einem Wörterbuch

Reaktionen auf den Hackerpargraph Chefredakteur des TecChannel zeigt BSI an Chefredakteur des iX zeigt sich selbst an Behinderung von Sicherheitsfirmen Einschränkung von Berufsgruppen BSI = Bundesamt für Sicherheit in der Informationstechnik Chefredakteur ix: weil diese Sicherheits-Tools angeboten haben weil in einer Ausgabe der Zeitschrift Tools angeboten waren: Linux Distri: BackTrack - dürfen laut Gesetzt keine Tools mehr benutzen, müssen sie aber, sonst können sie ihrer Arbeit nicht nachgehen. müssen dadurch nämlich prüfen ob ein System sicher ist - Server ins Ausland - Behinderung von Berufsgruppen - keine Sicherheitslücken werden mehr veröffentlich, Bsp: Stefan Esser, Spezialist für PHP

Hackerethik (Steven Levy / CCC) Der Zugang zu Computern und allem, was einem zeigen kann, wie diese Welt funktioniert, sollte unbegrenzt und vollständig sein. Alle Informationen müssen frei sein. Misstraue Autoritäten - fördere Dezentralisierung Beurteile einen Hacker nach dem, was er tut und nicht nach üblichen Kriterien wie Aussehen, Alter, Rasse, Geschlecht oder gesellschaftlicher Stellung. Man kann mit einem Computer Kunst und Schönheit schaffen. Computer können dein Leben zum Besseren verändern. Mülle nicht in den Daten anderer Leute. Öffentliche Daten nützen, private Daten schützen. Ironisch, gesetzeskritisch die ethische Pflicht eines Hackers besteht darin, sein Wissen durch das Schreiben von Software und technischer Dokumentation weiterzugeben

Ethische Leitlinie der GI I Das Mitglied II Das Mitglied in einer Führungsposition III Das Mitglied in Lehre und Forschung IV Die Gesellschaft für Informatik Erwartungen 1)Fachkompentenz ständig verbessert Sachkompetenz und Kommunikative Kompetenz erweitern, verstehen Rechtliche Regelungen kennen Urteilsfähigkeit entwickeln, Handeln, Beziehung in gesell. Setzen und bewerten 2)Arbeitsbedingungen und Weiterbildungsmöglichkeiten nach dem Stand der Technik (Java BlackBelt) 8. 3)Gemeinschaftliche Verantwortung und Vorbild Offenheit und Transparenz, Äußerung, Akzeptanz, Kritik, Bereitschaft Auswirkungen in der eigenen wiss. Arbeit im Forschungsprozess zu thematisieren 10.4) Zivilcourage gegenüber Arbeitgebern oder Kundenorganisationen in Konflikt mit der Verantwortung gegenüber anderweitig Betroffenen stehen 12. Mediation: neutrale Vermilttlungsfunktionen 13. GI initiiert und fördert interdisziplinäre Diskurse zu ethischen und sozialen Problemen der Informatik, Ergebnisse davon werden veröffentlicht

Diskussionsrunde - Whistleblowing Internet-Profi Mitarbeiter Kurt Andrea Kunden Aktive Versicherung Ein Whistleblower (abgeleitet vom englischen „to blow the whistle“, auf deutsch wörtlich „die Pfeife blasen“) bzw. Hinweisgeber ist ein Informant, der Missstände an die Öffentlichkeit bringt, wie illegales Handeln (z. B. Korruption, Insiderhandel) oder allgemeine Gefahren, von denen er an seinem Arbeitsplatz oder auch beispielsweise bei einer medizinischen Behandlung erfährt.

Diskussionsrunde - Whistleblowing Internet-Profi ist auf Aktive Versicherung als Kunde angewiesen wegen schlechten Umsatz Andrea findet Autorisierungsproblem, Ursache liegt nicht bei Internet-Profi sondern der privaten Schnittstelle des Kunden Andrea möchte Problem melden Kurt ist anderer Meinung „nicht unser Problem“, „Kunden haben schon viel früher Mist gebaut“ Kunde ist bereits wegen Verzögerung und Perfektionismus verärgert

Diskussionsrunde - Whistleblowing Andrea hat Gewissensbisse, soll sie das Problem ansprechen oder nicht? Aufgabe: In zwei Gruppen PRO und CONTRA Argumente sammeln

Diskussionsrunde – Argumente CONTRA Nicht Teil des Projektes, denn um Schnittstelle kümmert sich der Kunde selber Keine weitere Verzögerung des Projektes Nachricht an Kunden verstößt u.U. gegen Arbeitsrecht Mit hoher Wahrscheinlichkeit entsteht ein Schaden für das eigene Unternehmen (weiteres Projekt mit Aktive Versicherung fällt dann weg)

Diskussionsrunde – Argumente PRO Treue-Service / Ehrlichkeit gegenüber dem Kunden Selbstschutz / Verantwortungsübertragung Moral Finanzielles Interesse (evtl. ist der Kunde dafür dankbar und wird diese Handlung honorieren) Werbung / Selbst-Promotion („Wir haben einen Fehler bei euch gefunden“)

Diskussionsrunde - Whistleblowing Wenn Andrea das Problem meldet, dann sollte sie das Problem versuchen zuerst innerhalb der Firma zu klären, wenn die Geschäftsleitung sich weigert, könnte sie sich weiter an die Aktive Versicherung wenden, wenn diese sich auch weigern die Sicherheitslücke zu beseitigen, könnte sie sich schließlich an die Kunden der Aktiven Versicherung bzw. die Öffentlichkeit wenden

Quellen http://www.gesetze-im-internet.de http://bundesrecht.juris.de http://www.ccc.de/hackerethics http://de.wikipedia.org/wiki/Hacker_(Computersicherheit) http://en.wikipedia.org/wiki/List_of_convicted_computer_criminals http://www.stern.de/digital/computer/hackerparagraf-auch-die-aufpasser-muessen-aufpassen-598457.html http://www.silicon.de/technologie/sicherheit/0,39044013,39184610,00/deutscher_hacker_paragraph_verunsichert_sicherheitsforscher.htm http://itsicherheit.wordpress.com/2008/12/19/hackerparagraph-ix-chefredakteur-zeigt-sich-selbst-an/ Gewissensbisse – Ethische Probleme der Informatik, Debora Weber-Wulff, Christina Class, Wolfgang Coy, Constanze Kurz, David Zellhöfer

Vielen Dank für die Aufmerksamkeit