- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,149
- Punkte für Reaktionen
- 1,705
- Punkte
- 113
http://heise.de/-3262684
Nicht daß ich jetzt in den Verdacht gerate, ich würde diese Initiative für notwendig oder gar für sinnvoll erachten ... ich finde in diesem Artikel nur den Absatz
Gerade angesichts der auch hier im Forum hin und wieder zu lesenden Idee "Ich habe mein Netzwerk im Griff und da gibt es niemanden, der eine unsichere Einstellung von innen ausnutzen könnte." sollte man sich vielleicht einmal die Dimension verdeutlichen (selbst wenn die Zahlen vielleicht interessenbedingt geschönt sein mögen und man sie vorsichtshalber mal halbiert). Das ist dann immer noch jedes fünfte Gerät in D, wenn man nur mal alleine von (viel zu niedrig geschätzt, ich will nur eine Hausnummer haben) 20 Mio. Smartphones ausgeht (und die fallen ja durchaus auch in diese Kategorie) - in toto sind das alleine dort 4 Mio. Geräte, wenn man 20% von diesen 20 Mio. Smartphones annimmt und da sind die "normalen" Geräte noch gar nicht betrachtet.
Jeder, der von sich behauptet, er hätte seine Geräte im Griff, verzichtet dann sicherlich generell auf die Benutzung von Tablets oder Smartphones bzw. zumindest auf die Installation zusätzlicher Apps jenseits der "Grundausstattung" der Hersteller im jeweiligen OS - wie löchrig die schon sein kann, haben die vergangenen Jahre auch gezeigt.
Aber spätestens bei einer Zusatz-App, die (richtigerweise) nur noch mit TLS-Verschlüsselung mit "ihrem" Dienst kommuniziert, kann das niemand mehr wirklich wissen ... nicht einmal die Veröffentlichung von Quelltexten kann es sicherstellen, daß App XYZ in irgendeinem Store genau auf dem veröffentlichten Stand der Quelltexte aufbaut und (auch nicht meine Zahlen) die Menge derer, die so etwas überhaupt verifizieren könnten, sinkt angeblich ... angesichts der zunehmenden Bedeutung der IT in allen Lebensbereichen eine geradezu widersinnige Entwicklung. Aber so, wie heutzutage jemand den Akkuschrauber benutzt, ohne überhaupt das Funktionsprinzip eines Elektromotors zu kennen (geschweige denn zu verstehen), so geht es mit IT-Systemen auch ... und das "Internet of things" wird das noch beschleunigen.
Ich persönlich würde schon für meine Geräte nicht automatisch die Hand ins Feuer legen (ich kann mir das Rennspiel für's Tablet auch nicht selbst erstellen ... da sitzen ganze Teams über Jahre an der Entwicklung) und wenn ich dann immer wieder lesen muß (oder darf), wie sich jemand einbildet, in sein Netz käme tatsächlich kein Fremder hinein, obwohl das sowohl mit dem Internet verbunden ist als auch mindestens ein Gerät beheimatet, für das derjenige nicht die Software selbst geschrieben oder zumindest handverlesen hat (und das geht beim Code-Review los, bevor man so ein Paket dann selbstverständlich auch selbst übersetzt), dann danke ich tatsächlich dem Bundesrat für diese Initiative ... sie verhindert einfach, daß man in die Versuchung gerät, so jemandem das Gegenteil beweisen zu wollen.
Bei Ransomware bekommt wenigstens noch der Besitzer des Gerätes die Auswirkungen (in der Regel seines Leichtsinns) zu spüren ... bei einem Zombie leiden am Ende die anderen. Sicherlich ist auch nicht jede Infektion mit Schadsoftware auf einen leichtsinnigen Umgang zurückzuführen ... oft genug sind es auch Lücken in der Software, über die eingedrungen wird. Aber wie weit sich so eine Infektion dann ausbreiten kann, das kann jeder durchaus selbst beeinflussen ... und die denkbaren (und erstaunlich wirksamen) Gegenmaßnahmen gegen solche Epidemien sind auch kein "Geheimwissen". Es muß den Nutzer nur interessieren und während es beim Akkuschrauber ziemlich egal ist, wenn der Benutzer damit nicht umgehen kann, gefährdet so ein infiziertes Gerät dann eben auch andere.
Aber wenigstens wird ja künftig das Infizieren fremder Rechner und deren Vermietung als Botnet unter Strafe stehen ... zumindest bei ersterem hätte ich das auch heute schon "vermutet" (§§ 303a,b,c StGB) und solange das die Voraussetzung für den zweiten Teil ist, erschließt sich mir die Kausalkette da nicht so richtig.
Was ich aber so richtig spannend finde, ist die nächste Frage, die sich aus einem "digitalen Hausfriedensbruch" ergibt. Wo und wie macht man denn "den Bösen" jetzt ausfindig? "Anhand seiner IP-Adresse selbstverständlich." würden jetzt wohl die meisten spontan sagen ... aber erstens werden solche Botnetze in aller Regel über verschlüsselte Kommunikation mit irgendwelchen "Command & Control"-Servern in Ländern gesteuert, wo das ohnehin kein Schwein interessiert, was sich der Gesetzgeber hier in Deutschland in seiner unendlichen Weisheit (oder war es doch Einfalt) ausgedacht haben mag und zweitens sieht der Angegriffene eben nicht die Adresse dieses C&C-Servers, sondern die seines "Vorgängers" in der Kette der Opfer.
Kommt es hingegen tatsächlich zu einer Umsetzung dieser Gesetzesinitiative (und wir reden hier über Straf- und kein Zivilrecht), ist auch auf dieser Basis schnell mal das entsprechende Equipment von einem vollkommen Unschuldigen beschlagnahmt, bis dann nach langer Untersuchung (im besten Falle) irgendjemand feststellt, daß auch diese Geräte gar nicht die Quelle des Angriffs waren und nur "ferngesteuert" agiert haben.
Wollen wir das tatsächlich noch erweitern, daß vollkommen unzureichende Analogien aus der "normalen Welt" auf das Internet übertragen werden? Bei einem "analogen Hausfriedensbruch" kann man wenigstens den Verursacher (in aller Regel) noch eindeutig benennen und hat auch etwas für eine Untersuchung ... wie leicht es beim "digitalen Hausfriedensbruch" den Falschen treffen kann (vorausgesetzt man will überhaupt den Betreiber des Botnets und nicht den Besitzer des Zombies treffen), ist jedem wohl klar, der sich nur ein wenig mit dem Thema befaßt.
Wenn man dann noch die Zahlen für die Bot-Netze nimmt und sieht, daß der überwiegende Teil dieser Angriffe (> 70%) von außerhalb der EU stammt (von D ganz zu schweigen), dann stellt sich die Sinnfrage noch mehr ... und auch die immer wieder unterschwellig zu findende Unterstellung, solche Angriffe kämen immer aus China oder Russland oder Asien insgesamt und wären immer gezielt irgendwelche staatlichen oder kriminellen Machenschaften, ist eben oft genug Propaganda (Stichwort "false flag") bzw. nicht genug durchdacht.
Wenn China tatsächlich das bevölkerungsreichste Land der Erde ist (es gibt entsprechende Gerüchte und es soll sogar Unternehmen in D geben, die den chinesischen Markt immer noch als die größte Wachstumschance in den nächsten Jahren sehen) und es dort (nach fünf Jahre alten Erhebungen) auch in mindestens jedem zweiten Haushalt (in den "industrialisierten Gebieten" sind die Zahlen deutlich höher) einen Computer gibt, dann ist es auch vollkommen normal, wenn es in und aus diesen Regionen mehr Angriffe gibt, weil eben 20% infizierte Geräte dort noch einmal eine andere Dimension in absoluten Zahlen haben.
Mein persönlicher Eindruck: Es gibt nur wenige ebenso unnütze Gesetzesinitiativen (m.W. ging die hier mal von Hessen aus, kann mich auch irren), wie es dieser §202e im StGB werden soll. Entweder das bleibt ein Papiertiger, weil ihn niemand ernsthaft zur Anwendung bringen kann oder will - oder (im schlimmeren Falle) es entsteht ein neuer Straftatbestand, der praktisch jeden treffen kann ... wenn ich meinen Nachbarn nicht leiden kann (aber seinen IP-Adresse kenne oder sogar meinen eigenen Zombie in seinem LAN habe, weil er unvorsichtigerweise sein Netz nicht richtig abgesichert hatte - auch das ist kein wirklicher Witz, das erlebe ich auch heute noch ab und an, wenn mal wieder ein neuer Nachbar einzieht und von seinem Provider einen Router mit vorkonfiguriertem WEP in Betrieb nimmt), dann starte ich einfach einen Angriff auf irgendwelche (vorzugsweise staatlichen) Institutionen von seinem Anschluß aus?
Wie wenig beweissicher solche Angriffe selbst bei der Untersuchung durch Experten (und das meint nicht nur den "Gutachter" irgendeines Rechteverwerters - was von denen teilweise zu halten ist, wissen wir auch nicht erst seit "RedTube") eindeutig einem Verursacher angelastet werden können ("bestimmte Stellen in der Software sehen so aus wie ..." - ja, das wissen aber auch andere, die damit vielleicht nur falsche Spuren legen wollten), sollte spätestens der Bundestags-Hack auch dem letzten verdeutlicht haben. Auch da hört man (außer den üblichen Schreihälsen, die das schon vor jeder Untersuchung genau wußten) nichts wirklich Belastbares mehr von einer Untersuchung ... entweder diese "russischen Hacker" sind eben doch wesentlich professioneller als alle unsere Forensiker oder es liegt doch in der Natur der Sache, daß an einem Elektron nicht dransteht, wo es herkommt und auf den Layern darüber läßt sich eben so ziemlich alles fälschen.
Da macht mir persönlich so ein neuer Paragraph im deutschen Strafrecht (in den Händen von Staatsanwälten, die bisher auch nur selten mit tatsächlichem Verständnis für Zusammenhänge in der IT geglänzt haben - auch wenn die nachwachsende Generation wenigstens mit einem Computer umgehen können dürfte) dann fast schon wieder Angst ... und auch bei der Mehrheit der Richter braucht es wohl nur den "richtigen Sachverständigen", um da auf der Basis vollkommen unzulänglicher "Beweise" zu falschen Urteilen zu gelangen und selbst eine am Ende ergebnislose Untersuchung wäre für einen Verdächtigen nicht nur eine seelische Belastung, sondern - so ist nun mal die deutsche StPO - im schlechtesten Falle sind seine gesamten Geräte erst einmal für die Dauer so eines Verfahrens weg (und niemand möge jetzt denken, da gäbe es irgendwelche Entschädigungen für einen "Nutzungsausfall").
Wie anfällig da die Beweisführung ist, hat im Zusammenhang mit Abmahnungen durch Rechteinhaber u.a. auch heise.de ein paar Mal belegt ... und das war reines Zivilrecht, solange es um diese Abmahnungen geht (auch wenn hier das Strafrecht wohl immer wieder vorsätzlich mißbraucht wurde, um an die Namen zu irgendwelchen IP-Adressen zu gelangen).
Klar, jeder vernunftbegabte Mensch würde erst einmal so eine "Klarstellung" begrüßen ... warum auch nicht? Aber wenn man etwas genauer darüber nachdenkt, wie so ein Tatbestand dann bewiesen werden soll (und bisher gehört das noch zu den Prinzipien der deutschen Rechtssprechung), dann tauchen (meiner Meinung nach) da mehr Fragen auf, als dieser Gesetzentwurf Antworten bereithält.
Nicht daß ich jetzt in den Verdacht gerate, ich würde diese Initiative für notwendig oder gar für sinnvoll erachten ... ich finde in diesem Artikel nur den Absatz
bemerkenswert.heise.de schrieb:Zurzeit gehe man davon aus, dass bis zu 40 Prozent aller "internetfähigen informationstechnischen Systeme" in Deutschland mit Schadsoftware verseucht sind und damit potenzielle Bots darstellen, heißt es in der Drucksache der Initiative. Dabei sind auch kritische Infrastrukturen wie Industrieanlagen oder Elektrizitätswerke Opfer gezielter Cyberangriffe.
Gerade angesichts der auch hier im Forum hin und wieder zu lesenden Idee "Ich habe mein Netzwerk im Griff und da gibt es niemanden, der eine unsichere Einstellung von innen ausnutzen könnte." sollte man sich vielleicht einmal die Dimension verdeutlichen (selbst wenn die Zahlen vielleicht interessenbedingt geschönt sein mögen und man sie vorsichtshalber mal halbiert). Das ist dann immer noch jedes fünfte Gerät in D, wenn man nur mal alleine von (viel zu niedrig geschätzt, ich will nur eine Hausnummer haben) 20 Mio. Smartphones ausgeht (und die fallen ja durchaus auch in diese Kategorie) - in toto sind das alleine dort 4 Mio. Geräte, wenn man 20% von diesen 20 Mio. Smartphones annimmt und da sind die "normalen" Geräte noch gar nicht betrachtet.
Jeder, der von sich behauptet, er hätte seine Geräte im Griff, verzichtet dann sicherlich generell auf die Benutzung von Tablets oder Smartphones bzw. zumindest auf die Installation zusätzlicher Apps jenseits der "Grundausstattung" der Hersteller im jeweiligen OS - wie löchrig die schon sein kann, haben die vergangenen Jahre auch gezeigt.
Aber spätestens bei einer Zusatz-App, die (richtigerweise) nur noch mit TLS-Verschlüsselung mit "ihrem" Dienst kommuniziert, kann das niemand mehr wirklich wissen ... nicht einmal die Veröffentlichung von Quelltexten kann es sicherstellen, daß App XYZ in irgendeinem Store genau auf dem veröffentlichten Stand der Quelltexte aufbaut und (auch nicht meine Zahlen) die Menge derer, die so etwas überhaupt verifizieren könnten, sinkt angeblich ... angesichts der zunehmenden Bedeutung der IT in allen Lebensbereichen eine geradezu widersinnige Entwicklung. Aber so, wie heutzutage jemand den Akkuschrauber benutzt, ohne überhaupt das Funktionsprinzip eines Elektromotors zu kennen (geschweige denn zu verstehen), so geht es mit IT-Systemen auch ... und das "Internet of things" wird das noch beschleunigen.
Ich persönlich würde schon für meine Geräte nicht automatisch die Hand ins Feuer legen (ich kann mir das Rennspiel für's Tablet auch nicht selbst erstellen ... da sitzen ganze Teams über Jahre an der Entwicklung) und wenn ich dann immer wieder lesen muß (oder darf), wie sich jemand einbildet, in sein Netz käme tatsächlich kein Fremder hinein, obwohl das sowohl mit dem Internet verbunden ist als auch mindestens ein Gerät beheimatet, für das derjenige nicht die Software selbst geschrieben oder zumindest handverlesen hat (und das geht beim Code-Review los, bevor man so ein Paket dann selbstverständlich auch selbst übersetzt), dann danke ich tatsächlich dem Bundesrat für diese Initiative ... sie verhindert einfach, daß man in die Versuchung gerät, so jemandem das Gegenteil beweisen zu wollen.
Bei Ransomware bekommt wenigstens noch der Besitzer des Gerätes die Auswirkungen (in der Regel seines Leichtsinns) zu spüren ... bei einem Zombie leiden am Ende die anderen. Sicherlich ist auch nicht jede Infektion mit Schadsoftware auf einen leichtsinnigen Umgang zurückzuführen ... oft genug sind es auch Lücken in der Software, über die eingedrungen wird. Aber wie weit sich so eine Infektion dann ausbreiten kann, das kann jeder durchaus selbst beeinflussen ... und die denkbaren (und erstaunlich wirksamen) Gegenmaßnahmen gegen solche Epidemien sind auch kein "Geheimwissen". Es muß den Nutzer nur interessieren und während es beim Akkuschrauber ziemlich egal ist, wenn der Benutzer damit nicht umgehen kann, gefährdet so ein infiziertes Gerät dann eben auch andere.
Aber wenigstens wird ja künftig das Infizieren fremder Rechner und deren Vermietung als Botnet unter Strafe stehen ... zumindest bei ersterem hätte ich das auch heute schon "vermutet" (§§ 303a,b,c StGB) und solange das die Voraussetzung für den zweiten Teil ist, erschließt sich mir die Kausalkette da nicht so richtig.
Was ich aber so richtig spannend finde, ist die nächste Frage, die sich aus einem "digitalen Hausfriedensbruch" ergibt. Wo und wie macht man denn "den Bösen" jetzt ausfindig? "Anhand seiner IP-Adresse selbstverständlich." würden jetzt wohl die meisten spontan sagen ... aber erstens werden solche Botnetze in aller Regel über verschlüsselte Kommunikation mit irgendwelchen "Command & Control"-Servern in Ländern gesteuert, wo das ohnehin kein Schwein interessiert, was sich der Gesetzgeber hier in Deutschland in seiner unendlichen Weisheit (oder war es doch Einfalt) ausgedacht haben mag und zweitens sieht der Angegriffene eben nicht die Adresse dieses C&C-Servers, sondern die seines "Vorgängers" in der Kette der Opfer.
Kommt es hingegen tatsächlich zu einer Umsetzung dieser Gesetzesinitiative (und wir reden hier über Straf- und kein Zivilrecht), ist auch auf dieser Basis schnell mal das entsprechende Equipment von einem vollkommen Unschuldigen beschlagnahmt, bis dann nach langer Untersuchung (im besten Falle) irgendjemand feststellt, daß auch diese Geräte gar nicht die Quelle des Angriffs waren und nur "ferngesteuert" agiert haben.
Wollen wir das tatsächlich noch erweitern, daß vollkommen unzureichende Analogien aus der "normalen Welt" auf das Internet übertragen werden? Bei einem "analogen Hausfriedensbruch" kann man wenigstens den Verursacher (in aller Regel) noch eindeutig benennen und hat auch etwas für eine Untersuchung ... wie leicht es beim "digitalen Hausfriedensbruch" den Falschen treffen kann (vorausgesetzt man will überhaupt den Betreiber des Botnets und nicht den Besitzer des Zombies treffen), ist jedem wohl klar, der sich nur ein wenig mit dem Thema befaßt.
Wenn man dann noch die Zahlen für die Bot-Netze nimmt und sieht, daß der überwiegende Teil dieser Angriffe (> 70%) von außerhalb der EU stammt (von D ganz zu schweigen), dann stellt sich die Sinnfrage noch mehr ... und auch die immer wieder unterschwellig zu findende Unterstellung, solche Angriffe kämen immer aus China oder Russland oder Asien insgesamt und wären immer gezielt irgendwelche staatlichen oder kriminellen Machenschaften, ist eben oft genug Propaganda (Stichwort "false flag") bzw. nicht genug durchdacht.
Wenn China tatsächlich das bevölkerungsreichste Land der Erde ist (es gibt entsprechende Gerüchte und es soll sogar Unternehmen in D geben, die den chinesischen Markt immer noch als die größte Wachstumschance in den nächsten Jahren sehen) und es dort (nach fünf Jahre alten Erhebungen) auch in mindestens jedem zweiten Haushalt (in den "industrialisierten Gebieten" sind die Zahlen deutlich höher) einen Computer gibt, dann ist es auch vollkommen normal, wenn es in und aus diesen Regionen mehr Angriffe gibt, weil eben 20% infizierte Geräte dort noch einmal eine andere Dimension in absoluten Zahlen haben.
Mein persönlicher Eindruck: Es gibt nur wenige ebenso unnütze Gesetzesinitiativen (m.W. ging die hier mal von Hessen aus, kann mich auch irren), wie es dieser §202e im StGB werden soll. Entweder das bleibt ein Papiertiger, weil ihn niemand ernsthaft zur Anwendung bringen kann oder will - oder (im schlimmeren Falle) es entsteht ein neuer Straftatbestand, der praktisch jeden treffen kann ... wenn ich meinen Nachbarn nicht leiden kann (aber seinen IP-Adresse kenne oder sogar meinen eigenen Zombie in seinem LAN habe, weil er unvorsichtigerweise sein Netz nicht richtig abgesichert hatte - auch das ist kein wirklicher Witz, das erlebe ich auch heute noch ab und an, wenn mal wieder ein neuer Nachbar einzieht und von seinem Provider einen Router mit vorkonfiguriertem WEP in Betrieb nimmt), dann starte ich einfach einen Angriff auf irgendwelche (vorzugsweise staatlichen) Institutionen von seinem Anschluß aus?
Wie wenig beweissicher solche Angriffe selbst bei der Untersuchung durch Experten (und das meint nicht nur den "Gutachter" irgendeines Rechteverwerters - was von denen teilweise zu halten ist, wissen wir auch nicht erst seit "RedTube") eindeutig einem Verursacher angelastet werden können ("bestimmte Stellen in der Software sehen so aus wie ..." - ja, das wissen aber auch andere, die damit vielleicht nur falsche Spuren legen wollten), sollte spätestens der Bundestags-Hack auch dem letzten verdeutlicht haben. Auch da hört man (außer den üblichen Schreihälsen, die das schon vor jeder Untersuchung genau wußten) nichts wirklich Belastbares mehr von einer Untersuchung ... entweder diese "russischen Hacker" sind eben doch wesentlich professioneller als alle unsere Forensiker oder es liegt doch in der Natur der Sache, daß an einem Elektron nicht dransteht, wo es herkommt und auf den Layern darüber läßt sich eben so ziemlich alles fälschen.
Da macht mir persönlich so ein neuer Paragraph im deutschen Strafrecht (in den Händen von Staatsanwälten, die bisher auch nur selten mit tatsächlichem Verständnis für Zusammenhänge in der IT geglänzt haben - auch wenn die nachwachsende Generation wenigstens mit einem Computer umgehen können dürfte) dann fast schon wieder Angst ... und auch bei der Mehrheit der Richter braucht es wohl nur den "richtigen Sachverständigen", um da auf der Basis vollkommen unzulänglicher "Beweise" zu falschen Urteilen zu gelangen und selbst eine am Ende ergebnislose Untersuchung wäre für einen Verdächtigen nicht nur eine seelische Belastung, sondern - so ist nun mal die deutsche StPO - im schlechtesten Falle sind seine gesamten Geräte erst einmal für die Dauer so eines Verfahrens weg (und niemand möge jetzt denken, da gäbe es irgendwelche Entschädigungen für einen "Nutzungsausfall").
Wie anfällig da die Beweisführung ist, hat im Zusammenhang mit Abmahnungen durch Rechteinhaber u.a. auch heise.de ein paar Mal belegt ... und das war reines Zivilrecht, solange es um diese Abmahnungen geht (auch wenn hier das Strafrecht wohl immer wieder vorsätzlich mißbraucht wurde, um an die Namen zu irgendwelchen IP-Adressen zu gelangen).
Klar, jeder vernunftbegabte Mensch würde erst einmal so eine "Klarstellung" begrüßen ... warum auch nicht? Aber wenn man etwas genauer darüber nachdenkt, wie so ein Tatbestand dann bewiesen werden soll (und bisher gehört das noch zu den Prinzipien der deutschen Rechtssprechung), dann tauchen (meiner Meinung nach) da mehr Fragen auf, als dieser Gesetzentwurf Antworten bereithält.
Zuletzt bearbeitet: