2012-03-29

Offener Brief an Frau Hohlmeier

Sehr geehrte Frau Hohlmeier,

heute veröffentlichte das EU-Parlament die Pläne zur Umsetzung einer neuen Cybercrime-Richtlinie

http://www.europarl.europa.eu/news/de/pressroom/content/20120326IPR41843/html/Hacking-IT-systems-to-become-a-criminal-offence

Darin wird auch explizit das Verbot der Herstellung und des Einsatzes von "Cyber-attack tools" gefordert (in der offiziellen Mitteilung des EU-Parlaments):

Cyber-attack tools

The proposal also targets tools used to commit offences: the production or sale of devices such as computer programs designed for cyber-attacks, or which find a computer password by which an information system can be accessed, would constitute criminal offences.

..., die Sie auf Ihrer Homepage ausdrücklich begrüßen:

http://www.monika-hohlmeier.de/eu-strafrecht-cyber-angriffe-sind-kein-kavaliersdelikt-konsequente-strafen-gegen-hacker-attacken-unternehmen-muessen-ihre-it-systeme-besser-schuetzen-ep-innenausschuss-zu-neuer-eu-richtlinie/

Sie schreiben:

Kein Autobauer darf es sich leisten einen Wagen ohne Sicherheitsgurte in den Verkehr zu schicken. Und wenn er dies doch tut, so muss er für möglichen Schaden haften. Diese Regeln müssen auch in der virtuellen Welt gelten.

Um bei ihrem schönen Auto-Vergleich zu bleiben: Ein solches Verbot von "Cyber-attack tools" käme einem Verbot von Crashtests in der Automobilindustrie gleich. Auf der einen Seite fordern Sie -- sinnvollerweise -- "(...) dass IT-Anbieter künftig stärker in die Pflicht genommen werden müssen.", gleichzeitig wollen sie aber genau die Werkzeuge illegalisieren, die genau dafür notwendig sind.

Man kann IT-Systeme nicht absichern, ohne sie durch aktive Angriffe auf Schwachstellen zu Überprüfen. Genauso wie man die Sicherheit von Automobilen nicht ohne Crashtests ermitteln kann.

Hackertools/Cyber-attack tools sind die Crashtests der IT. Man muss dabei auch ganz klar feststellen, dass man nicht zwischen guten und bösen Cyber-attack tools unterscheiden kann. Es spielt für den eigentlichen Angriff keine Rolle ob man zu Demonstrationszwecken mittels eines Angriffs den Windows-Taschenrechner startet (die Standard-Demonstration bei einer gefundenen Sicherheitslücke), oder stattdessen ein Spionage- oder Schadprogramm installiert und startet. Für das angegriffene Computersystem besteht darin kein Unterschied, es handelt sich in beiden Fällen um den selben Code. Der Unterschied besteht in weniger als ~25 Buchstaben Programmtext. Angenommen man würde Werkzeuge für die Überprüfung der Sicherheit von Systemen von den Verboten ausnehmen. Genau diese Werkzeuge ließen sich in böswillige Angriffswerkzeuge wandeln, durch den bloen Austausch von nur ein paar Zeichen.

Dazu weise ich Sie auch auf StGB ยง202c hin, der schon im Jahr seiner Einführung, 2007 war das, zu einigem Unmut in der IT-Sicherheitsbranche geführt hat.

Als Dienstleister im Bereich der IT-Sicherheit suche ich aktiv solche Sicherheitslücken und entwickle auch die Werkzeuge um sie zu Demonstrationszwecken auszunutzen. Es geht nicht anders. Man kann nur das Vorhandensein von Sicherheitslücken zeigen. Es ist aber nicht möglich für ein Programm zu sagen, dass es keine Sicherheitslücken hat. Dies wurde 1936 von Alan Turing in seinem Aufsatz zum sog. "Entscheidungsproblem" mathematisch bewiesen.

Der Rest der Mitteilung vom EU-Parlament zeugt leider von weitergehender Unkenntnis: So wird u.a. immer noch die IP-Adresse eines Geräts im Internet mit der Identität des Geräts und/oder des Benutzers davon gleichgesetzt. Dies ist schlichtweg falsch: So gibt es viele Netzwerke, u.a. die meisten mobilen Internet-Zugänge über GSM oder UMTS, bei denen sich mehrere Netzteilnehmer eine einzelne IP teilen. Bei Festnetzanschlüssen (z.B. DSL oder Einwahl über ISDN) wechselt die IP-Adresse bei jeder Einwahl, oder spätestens nach 24 Stunden.

Bei IP-Spoofing handelt es sich auch nicht um eine Form von "Identitätsdiebstahl" sondern allenfalls um die Falsch-, oder Nichtangabe eines Absenders. Vor allem aber stellt IP-Spoofing schon seit Jahren kein ernst zu nehmendes Sicherheitsproblem mehr dar; heutige Kommunikationsprotokolle im Netz sichern die Verbindung mit Hilfe kryptographischer Methoden wirksam ab.

Als IT-Dienstleister im Sicherheitsbereich sehe ich den aktuellen Vorstoß des EU-Parlaments mit einem sehr unguten Gefühl. Mir erscheint das Ganze vor allem als blinder Netzpolitik-Aktionismus angesichts der aktuellen Erfolge der Piratenpartei.

Ich möchte mit einem Zitat von Alexander Pope schließen, das gerade angesichts der Komplexität bezüglich des Internet und von IT-Systemen mehr als angebracht ist:

"A little learning is a dangerous thing;
Drink deep, or taste not the Pierian spring."

Mit freundlichen Grüßen

Wolfgang Draxinger


PGP Key:479F 96E1 2B49 8B0D 69F1 94EE F11B E194 2E6C 2B5E (last 32 bit of fingerprint are ID).

Impressum

This is a noncommercial private webpresence / weblog (blog), of
Dies ist eine nicht-kommerzielle Webpräsenz / Weblog (Blog), von

Wolfgang Draxinger

Please obtain the technical and administrative contact information from the WHOIS data of this domain. Technische und administrative Kontaktdaten sind bitte den WHOIS-Daten dieser Domain zu entnehmen.