Am 11.01.2004 um 21:10 Uhr schrieb Michael Meyer:
*rofl* ... danke, lange nicht mehr so gelacht.
[1]
-- http://www.stud.tu-ilmenau.de/~traenk/dcsm.htm#Angriff 2. Identifikation der Dienste (Portscan) Es sei der Vollstaendigkeit halber erwaehnt, dass ein Portscan keinerlei (!) Indiz fuer einen eventuellen Angriff ist. [...]
[1] Sorry - was daran witzig ist, versteh ich nicht! Hier kurz mein Informationsstand: Kein Anwalt bzw. Richter wird eine rechtsverbindliche Auskunft dahin geben, dass portscans legal (oder auch illegal) sind. Da die entsprechenden einschlägigen Vorschriften fehlen, werden portscans als nicht strafbar eingestuft. Das hängt allerdings damit zusammen, dass die entsprechenden Paragraphen des StGB (202a, 303a und b, 263a, 269 und 270) nur zum Teil darauf angewendet werden können. Nach § 202a StGB ist der Versuch einer Straftat, die sich nur auf diesen Paragraphen bezieht, nicht strafbar - solange es nur diesen einen Paragraphen betrifft. Sobald der Täter eine Straftat begeht, die die anderen Parag. einbezieht sieht es anders aus. Bei Computerkriminalität geht man von Antragsdelikten aus (außer es liegt ein öffentlich-rechtliches Interesse an der Strafverfolgung vor). Nach den Berichten des Landeskriminalamtes Hamburg (soweit sie mir vorliegen) sind sich die Geschädigten i. d. R. nicht bewusst, dass es sich um Antragsdelikte handelt. Sollte also von Computerusern in Zukunft ein Interesse daran bestehen, portscans strafrechtlich zu verfolgen (egal, ob es tatsächlich zu einem Verfahren kommt), wird sich die rechtliche Situation verschieben (bisher hat sich der Gesetzgeber allerdings dagegen gesträubt, um nicht die Nutzer des Internets & Co unverhätnismäßig zu kriminalisieren. Das oben erwähnte LKA greift bei Unternehmen bereits ein, _bevor_ eine mögliche Straftat erfolgt ist. Dabei geht das LKA von den Definitionen aus, die das Unternehmen als strafwürdiges Verhalten deklariert, auch wenn eine strafrechtliche Prüfung erst später erfolgen sollte. (http://www.cert.dfn.de) Ein praktisches Beispiel: Vor zwei, drei Jahren war es bei freenet noch so, wenn ein Kunde portscans durchgeführt hat, dass er dann gesperrt wurde (ob es heute noch so ist, weiß ich nicht). Dabei war es unerheblich, in welchem Maße die scans durchgeführt wurden. Im Sommer 2001 (?) wurde das Zugangskontrolldiensteschutzgesetz (oder so ähnlich) beschlossen. Mit diesem Gesetz war das Herstellen von Scannern bereits verboten. Wir befinden uns, was scans betrifft, nicht in einem _rechtsfreien_ Raum, sondern in einem _rechtsunsicheren_ Raum. Wenn du einen Server hast und ich auf diesem ein exploit unterbringe, um erfolgreich root-Rechte zu erhalten, habe ich mich, wenn ich ganz streng nach dem Wortlaut der Gesetze mich richte, *keine* Straftat begangen. Ich habe nichts beschädigt, Datenverkehr nicht behindert, Daten nicht ausspioniert usw. Oder nimm 'Denial of Service Attack', wie er auf yahoo mal stattgefunden hat. Das System ist abgestürzt. Das einzige, was man hier anführen könnte, wäre § 303 StGB, wobei das sicherlich nicht vor Gericht reichen würde, da bei einer Sachbeschädigung des Servers hier die körperliche Einwirkung fehlt. Ist DoS legal? Bevor mein Sermon noch länger wird: _Noch_ finden portscans im rechtsunsicheren Raum statt, bis sich das Bewusstsein dafür bei den Usern ändert (und das könnte im Zuge der zunehmenden Viren und Würmer durchaus sehr bald sein). cu PeeGee