On Thursday 23 October 2003 17:37, Thorsten Körner wrote:
ACK das sehe ich auch so. Allerdings heisst das immernoch nicht, dass sich der Angreifer in diesem Falle legal verhält und nicht strafbar macht.
Das war - für destruktive Scans - genau meine Aussage.
Ein auf den Informationen, die aus einem solchen Scan gewonnen sind, basierender Angriff ist eine andere Sache und klar im schwarzen Bereich, aber eine andere Sache als ein Scan per se.
Aber genau darum geht es ja. Nicht der Scan selbst, sondern das Nutzen der gewonnenen Informationen um, offensichtlich unerwünschten zugang zu einem System zu erhalten.
Ja, und? Du wirst gescannt - viele hundert Mal am Tag, wenn Du dasselbe Internet benutzt wie ich. Ebenso gucken sich viele hundert Leute ab Tag die Videokamerinstallation und die Sensoren der Alarmanlagen an den Scheiben Deines Ladens sowie die Dicke der Eingangstür an. Beides sind nichtdestruktive Scans und die sind vollkommen normal und selbstverständlich nicht strafbar. Selbst wenn sie später für einen Einbruch genutzt werden, ist es der *Einbruch* der strafbar ist, nicht der /Scan/, der dem vorangeht. Der dem Einbruch vorangehende Scan kann aber zum Beweis der Schwere der Tat verwendet werden (Kein Gelegenheitsbruch, sondern ein geplantes Eindringen...).
Dieser kauft sich für gewöhnlich seinen Rechner bei einem Laden wie Media-Markt o.Ä. und ist froh, wenn die Kiste überhaupt irgendwie läuft. Für gewöhnlich ist die Kiste Micro$oft verseucht. Otto bringt sich stolz ins Internet und weil er's in der Computer-Bild gelesen hat, installiert er brav einen Virenscanner.
Das es etwas wie Ports gibt und wofür die gut sind, das weiss Otto nicht, weil es weder im Bedienungs-Handbuch des Rechners, noch in der Windows-"Bedienungs-Anleitung" irgendwelche Hinweise darauf gibt. Er fühlt sich durch den Viren-Scanner geschützt vor den Bösen dieser Welt.
Jetzt nutzt Otto seinen Rechner um zu surfen, eMails zu schreiben, Musik zu hören evtl. und evtl downzuloaden und mit Word ein paar Liebsbriefe bunt zu gestalten, bzw. seine Korrespondenz mit dem Steuerberater zu erledigen.
Jeder der diesen Umstand kennt, weiss wie einfach es ist auf die Dateien von aussen zuzugreifen, es wäre aber fatal davon auszugehen, dass es legal ist, dies zu tun und Otto's Liebesbriefe zu lesen, oder seine Online-Banking-Daten zu durchsuchen.
Ja. Ottos Dateien sind Ottos Dateien. Jedoch: Sind Ottos Dateien von außen ohne Paßwort zugreifbar, greifen die üblichen Hackerparagraphen nicht, denn sie sind nicht besonders gesichert. Jemand, der Ottos Rechner mit einem "Windows-R \\p37452.dip.t-online.de" browsed (oder auf eine file://p37452.dip.t-online.de/" klickt) und dann einfach so auf die Dinger zugreifen kann, muß davon ausgehen, daß Otto diese Dateien absichtlich öffentlich gemacht hat und daß dies ein legales Angebot ist. Schließlich kann ich als Nutzer dieses Dienstes nicht wissen, ob Ottos Betriebssystem ihm erst einen Kurs verpaßt hat, der ihn bei der ersten Freigabe über Ports, die Risiken von Dienstangeboten und die Notwendigkeit von Paßworten aufgeklärt hat oder ob sein System C$ einfach so ohne Paßwort freigibt. Da besteht überhaupt kein Unterschied zwischen einem Webserver, einem NFS-Fileshare, einem Anon-FTP-Server oder einem SMB-Gastshare. Jedoch: Sind Ottos Dateien von außen mit Paßwort zugreifbar, ist dies eine besondere Sicherung und ein illegitimer Zugriff auf diese Daten wäre Hacking nach den einschlägigen Paragraphen. Wobei man sich darüber streiten kann, ob die Paßworte "otto", "geheim", "passwort", "*****" oder <return> als besondere Sicherung gelten können - damit verdienen Anwälte und Richter ihr Geld. Jedoch: Betreibt Otto einen Rechner im Internet, kann man vernünftigerweise heutzutage davon ausgehen, daß Otto weiß, daß "das Internet" ein "gefährlicher Ort" ist und man bestimmte Dinge tun muß, damit man sich dort aufhalten kann. Insbesondere da Otto durch die Installation eines Virenscanners bewiesen hat, daß ihm die Existenz solcher Gefahren bewußt ist. Zum Herstellen der Minimalsicherheit gehört aber nicht nur ein Virenscanner auf dem Rechner, sondern - wie man in wirklich *jeder* PC-Zeitung nachlesen kann - auch das Einspielen von Patches des Herstellers und die Installation einer Firewall mit einer geeigneten Minimalpolicy. Man kann also billigerweise annehmen, daß Otto, wenn er das eine kennt, auch das andere weiß. Wird Ottos Rechner also gehackt, und dann als Basis für weitere Angriffe auf andere Rechner verwendet, kann man diskutieren ob Otto durch seine Nachlässigkeit Mitschuld an den entstandenen Schäden hat (Meiner Meinung nach: Ja und das wird viel zu wenig gemacht!). Es ist inzwischen allgemein bekannt, daß das Internet von 2003 nicht mehr das Internet von 1993 ist und daß man sich im Internet von 2003 nicht mehr ohne Schutzmechanismen aufhalten kann. Man kann also sogar erwarten, daß Otto entweder über solche Schutzmechanismen Bescheid weiß oder sich vor Inbetriebnahme des Rechners entsprechend ausbilden läßt (-> ECDL, Computerführerschein). Leider ist der Nachweis einer solchen Ausbildung vor der Inbestriebnahme oder gar dem Kauf eines Computers oder Internetanschlusses immer noch nicht verpflichtend.
Die Verwendung von Windows98 oder ME wäre noch viel schlimmer, weil diese keine Brechtigungen kennen. So könnte man argumentieren, weil Otto Windows98 verwendet, dachte ich ich darf all seine Daten löschen. Das kann es ja wohl nicht sein.
Jedoch: Stellt ein Hersteller Programme (auch Betriebssysteme) so her, daß sie Daten defaultmäßig ohne Paßwort weltweit ins Netz exportieren, ohne daß Otto vorher die bewußte Entscheidung getroffen hat (eine einwilligende Handlung die mindestens den Level hat wie die einwilligende Handlung, mit der Otto den EULA zugestimmt hat) dies zu tun, kann man sich überlegen, ob man den Hersteller des Programmes dafür am Arsch bekommt. Von außen kann ich jedenfalls nicht erkennen, ob Windows verwendet wird, und ob das Fehlen von Zugriffsbeschränkungen ein Ausdruck der Öffentlichkeit der Daten oder ein Defizit in der verwendeten Software ist.
Die Analogie ist in jedem Fall falsch, weil vollkommen andere Gesetze gelten.
So völlig anders können sie nicht sein, sonst sind sie eine Farce und kein Gesetz.
Dann lies aktuelle Urheberrechts-Gesetze, die Werke von Autoren unterschiedlich behandeln, je nachdem ob es sich um Texte, Filme oder Musikstücke handelt. Kristian -- http://www.amazon.de/exec/obidos/wishlist/18E5SVQ5HJZXG