On Thursday 23 October 2003 15:40, Thorsten Körner wrote:
Ich würde nicht von "offenem Export ohne Paßwort" sprechen in so einem Fall. Wir reden ja davon, dass der Zugriff über eine Sicherheitslücke in irgendeiner Software stattfindet.
Nessus scannt per default nicht-destruktiv, d.h. es findet eine potentielle Sicherheitslücke (etwa durch Analyse der Banner eines Servers), nutzt diese aber nicht aus. Das ist kein Angriff und klar nicht strafbar (IANAL). Schaltet man destruktive Scans an, versucht nessus die Existenz der Sicherheitslücke zu bestätigen, indem es möglichst unschädlichen Exploit-Code ausführt. Hier wird die Sicherheitslücke ausgenutzt, jedoch nicht mit der Absicht einzubrechen, sondern lediglich ihre Existenz zu bestätigen. Dabei kann es jedoch zu schadbringenden Seiteneffekten kommen (Absturz des betroffenen Dienstes, damit verbundene Folgeschäden und Verdienstausfälle). Dies ist mehr oder weniger weit in der Grauzone (teilweise, je nach Folgen, eher weit drin), und bei Verdienstausfällen mindestens zivilrechtlich verfolgbar (again IANAL). Wenn dem Betreiber des angreifbaren Dienstes jedoch besondere Verpflichtungen auferlegt sind, die die Qualität, Verfügbarkeit oder Sicherheit des Dienstes betreffen (Datenschutzgesetz, Bankengesetz, Verschwiegenheitspflichten), dann hat der Betreiber des angreifbaren Dienstes ebenfalls ein Problem, so ihm mit dem Scan eine Angreifbarkeit nachgewiesen wird oder der Scan alleine schon zu Ausfällen führt (Nessus ist ein Standardtool, mithin Stand der Technik, und ein Dienstanbieter, dem besondere Verpflichtungen auferlegt sind, muß mit einem Nessus-Scan rechnen und darf durch einen solchen Scan keine Ausfälle haben).
Wenn jemand gezielt nach solchen Lücken sucht und dann zuschlägt, wenn er eine findet, dann ist es mit Sicherheit strafbar, weil der Täter ja nicht nach frei zugänglichen Informationen gesucht hat, sondern nach (wenn auch durch Sicherheits-Lücken in der Software fehlerhaft) geschützten Daten.
Ein auf den Informationen, die aus einem solchen Scan gewonnen sind, basierender Angriff ist eine andere Sache und klar im schwarzen Bereich, aber eine andere Sache als ein Scan per se. Wenn Du schon eine Wohnungstür-Analogie haben willst: Jemand der an Deiner Klinke rüttelt bricht nicht ein (Nichtdestruktiver Scan). Jemand, der Deine offenstehende Tür aufmacht und einen Schritt in Deine Wohnung macht, bricht auch noch nicht ein - er könnte immer noch Nachbar sein oder "Hallo, ist jemand da?" rufen (Nichtdestruktiver Scan, mit anschließender Information des Servereigners). Jemand, der Deine offenstehende Tür aufmacht und anfängt, Deine Schränke auszuräumen bricht ein (Angriff folgt auf den Scan) und Deine Hausratversicherung zahlt nicht, weil Du der Verpflichtung zum Abschließen nicht nachgekommen bist (Besondere Verpflichtungen zum Betrieb des Servers wurden nicht eingehalten und der Serverbetreiber hat ein Problem). Die Analogie ist in jedem Fall falsch, weil vollkommen andere Gesetze gelten. Kristian