Thorsten Körner am Donnerstag, 23. Oktober 2003 20:39:
Hallo Matthias
Am Donnerstag, 23. Oktober 2003 20:04 schrieb Matthias Houdek:
Kristian Köhntopp am Donnerstag, 23. Oktober 2003 18:45:
On Thursday 23 October 2003 17:52, Thorsten Körner wrote:
Nochmal zum mitschreiben: es geht mir nicht um den Scan selber, sondern das gezielte ausnutzen gewonnener Informationen über Sicherheitslücken, um an Daten zu gelangen, die ganz offensichtlich nicht öffentlich zugänglich sind.
Wie ich bereits sagte, ist der Scan nicht strafbar.
Wird ein Scan vorgenommen und die so gewonnen Daten dann als Hilfsmittel für einen Einbruch benutzt, dann ist es der Einbruch, der strafbar ist, und es ist der Scan, der beweist, daß es sich um eine vorbereitete Tat an Stelle eines Gelegenheitsbruches handelt.
Interessantes Thema :-)
Gut, der Scan als solcher ist natürlich nicht strafbar. Damit werden ja noch keine Daten ausspioniert, sondern nur Zustände.
Dringt jetzt jemand über eine so festgestellten offenen Zugang (ob vergessen oder absichtlich offen gelassen, ist sogar egal) in das System ein, so ist das an sich auch noch kein Straftatbestand, denn weder § 202a noch § 303a/b StGB greifen hier, es wurden ja weder Daten ausspioniert oder verändert - die Log-Dateien hat ja das System selbst geschrieben *g*. Eventuell könnte man es als Versuch einer Datenveränderung (§ 303a (2)) rechtlich würdigen, aber auch das dürfte sich nur auf eine Vermutung stützen lassen.
Wenn allerdings darüber andere Zugänge geöffnet werden oder Daten verändert werden, so ist das eindeutig ein Straftatbestand, der auf Antrag mit Sicherheit auch verfolgt wird. Aber die Datenveränderung muss nachgewiesen werden.
Beim einfachen "Datenklau" wird es schwieriger, denn in § 202a steht: "... und die gegen unberechtigten Zugang besonders gesichert sind" - was bei einem System, das ggf. offen wie ein Scheunentor war, sicher nicht erfüllt sein wird.
Aber was ist, wenn die Datengeschützt sind, der Zugriff hierauf aber, wie in diesem Fall gemutmaßt über eine gezielt gesuchte Sicherheitslücke erfolgt?
Dann ist die Sachlage klarer. Wenn das System je nach Brisanz der Daten (nicht jeder kleine Firmenserver braucht eine mehrstufige, nach allen Reglen der Kunst konfigurierte Firewall ;-) nach dem aktuellen Stand der Technik geschützt war, das Dateisystem ggf. auch noch verschlüsselt - dann ist der Datenklau (nicht aber die (nicht-destruktive) Suche nach entsprechenden Lücken!) mit sehr großer Wahrscheinlichkeit strafbar. Wo genau die Grenze liegt - das müssen im Einzelfall die Gerichte entscheiden (wie Kristian schon schrieb). Vielleicht wäre es besser gewesen, im Gesetz nicht "gegen unberechtigten Zugang besonders gesichert" zu schreiben sondern "nicht ausdrücklich frei zugänglich". Dann wäre eine entsprechende Freigabe, ein offener Port mit dem offiziell dazugehörigen Dienst (HTTP, FTP, POP, ...) _ohne_ auch nur die simpelste Passwortabfrage IMHO ein solcher "ausdrücklich freier Zugang" und alles andere damit prinzipiell strafbar. Aber so steht es halt nicht im Gesetz. -- Gruß MaxX 8-)