Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-17

[DV-Recht] Europarat will Hackertools verbieten
(2000-11-08 18:06:27+00)

Quelle: http://conventions.coe.int/treaty/EN/projets/cybercrime22.htm

Mit seinem Entwurf zu einer Convention on Cyber-crime möchte der Europarat erstmals international festschreiben, daß das Zurverfügungstellen von sogenannten Hackertools illegal ist.

In der aktuellen Draft Convention on Cyber-crime des Europarates, der ersten internationalen Vereinbarung zur Bekämpfung der Computerkriminalität, ist Brisantes enthalten.
Neben vielen unstrittigen Themen werden im Artikel 6 dieses Dokumentes Illegal Devices definiert:

Article 6 - Illegal Devices

     Each Party shall adopt such legislative and other measures as 
     may be necessary to establish as criminal offences under its 
     domestic law when committed intentionally and without right 
     9:

         a.     the production, sale, procurement for use, import,
         distribution or otherwise making available of:

              1.     a device, including a computer program, 
              designed or adapted [specifically] [primarily] 
              [particularly] for the purpose of committing any 
              of the offences established in accordance with 
              Article 2 - 5;

              2.     a computer password, access code, or similar 
              data by which the whole or any part of a computer 
              system is capable of being accessed

         with intent that it be used for the purpose of committing 
         the offences established in Articles 2 - 5;

         b.     the possession of an item referred to in paragraphs 
         (a)(1) and (2) above, with intent that it be used for the 
         purpose of committing the offenses established in Articles 
         2 - 5. A party may require by law that a number of such 
         items be possessed before criminal liability attaches.
Diese Definition schließt Securityscanner, wie z. B. nessus oder nmap, und andere Werkzeuge ein, die von vielen Netzwerkadministratoren zur Überprüfung der eigenen Netzwerksicherheit verwendet werden.
Auch das RUS-CERT bietet einen solchen Dienst für die Teilnehmer des Netzes der Universität Stuttgart an.

Diese Scanner dienen dazu, in Netzwerken Sicherheitslücken aufzudecken und ggf. sogar in verwundbare Rechner einzudringen. Sie erfüllen also die Kriterien des Artikel 6, Abs. a, Nr. 1 , um als device, including a computer program, designed or adapted [specifically] [primarily] [particularly] for the purpose of committing any of the offences established in accordance with Article 2 - 5 zu gelten. Laut Artikel 6, Abs. b ist schon der Besitz eines solchen devices strafbar. Die Definition ist so gehalten, daß bei entsprechender Auslegung sogar Programme wie telnet-Klienten, die üblicherweise auf jedem Rechner vorhanden sind, als ein solches device gelten könnten, denn man kann mit ihnen einen Portscan 'von Hand' durchführen und ggf. in verwundbare Rechner eindringen.

Zwar regelt der Artikel, daß ein Administrator eine Anzahl dieser Produkte zu ebenjenem Zwecke besitzen darf, bevor er die Härte des Gesetzes zu spüren bekommt (a number of such items be possessed before criminal liability attaches) aber das Problem wird sein, daß besagter Administrator gar nicht legal an solche Software herankommen wird, denn die Produktion, der Verkauf, die Vermittlung zur Benutzung, der Import oder sonstige Verfügbarmachung solcher Devices ist strafbar (Art. 6, Abs. a).

Speziell frei verfügbare Securityscannersoftware, die in der free software community entwickelt wird, meistens den größten Funktionsumfang und die besten Bedienmöglichkeiten hat, würde kriminalisiert. Artikel 6, Abs. a, Nr. 1 läßt die Entwicklung von Sicherheitssoftware zu, die nicht dem Zwecke dient, in fremde Infrastrukturen einzudringen, allerdings läßt sich das bei Software, die im Quellcode vorliegt, nicht verhindern.

Darüber, daß wirklich sichere Sicherheitssoftware im Quellcode vorliegen muß, sind sich Experten einig. Nur bei Software, deren Sourcen verfügbar und übersetzbar sind, kann sich der Anwender über die Funktionsweise sicher sein. Er muß niemandem vertrauen und prinzipiell keine Unwägbarkeiten eingehen.
Diese Feststellung gilt im gleichen Maß für Anwendungs- und Betriebssoftware. Nicht umsonst basieren viele Hochsicherheitssysteme auf freien Betriebssystemen wie z. B. Linux oder OpenBSD.

Die Entwicklung von für fundierte Sicherheitsüberpüfungen absolut notwendiger und wichtiger Software im OpenSource, bei der meist viele Individuen beteiligt sind (was die Qualität des Produktes oft immens verbessert) würde effektiv in die Illegalität verbannt.
Jeder, der sich an der Entwicklung beteiligte, würde sich strafbar machen,denn er würde Software entwickeln, die zur Penetrierung fremder Infrastrukturen taugte.

Dies hätte vermutlich einen Effekt, der die Computerkriminalität eher begünstigt als erschwert:
Die Fachkompetenz solche Programme zu entwickeln geht durch Gesetze nicht verloren, die Programme aber, die bis dato Gut wie Böse verwenden können, werden zu illegalen Hilfsmitteln erklärt und ihre freie Verbreitung verboten.
Netz- und Rechnerbetreiber, die nicht mit dem Gesetz in Konflikt kommen wollen, werden nun gezwungen auf Sicherheitstests ihrer Infrastruktur mit Tools die auch illegale Dark Side Hackers (aka Crackers) verwenden, zu verzichten, da sie sich diese Programme auf illegale Weise beschaffen müssten.

Die Waagschale würde sich also - ganz entgegen der Intention des Papieres des Europarates zur Bekämpfung der Computerkriminalität - noch weiter zu Gunsten der Crackers neigen. die sich nicht um legale Beschaffungswege kümmern müssen und daher nach wie vor alles, was gut, gefährlich und nunmehr illegal ist, nutzen können. Erfahrungsgemäß ist es um Größenordnungen einfacher, erfolgreich anzugreifen als erfolgreich zu verteidigen...
Da Crackers auch heute schon illegal handeln, werden sie sich auch in Zukunft nicht um legale Beschaffungswege kümmern, und können daher nach wie vor alles, was gut, gefährlich und nunmehr illegal ist, nutzen. Und mit der exklusiven Nutzungsmöglichkeit guter Hackertools, die die Verteidiger nicht einmal studieren dürfen, um Abwehrmaßnahmen dagegen zu entwickeln, verschafft die Politik der Crackergemeinde einen unschätzbaren Vorteil.

Glücklicherweise ist das letzte Wort noch nicht gesprochen und das Generaldirektorat I des Europarates, bei dem das Papier erarbeitet wird, ist offen für Kommentare und Kritik.

Weitere Informationen und Hintergründe sind in einem Artikel auf dem Heise Newsticker nachzulesen.

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=17