§303b STGB : Computersabotage

Posted on 16. August 2014 by marius

Da wir gerade in der Firma einen aktuellen Fall bearbeiten, möchte ich Ihnen heute zeigen, wie aus einer kleinen Nachläßigkeit eine Straftat erwächst. Sie werden auch verstehen lernen, wieso Sie auch in zehn Jahren noch Spams bekommen werden.

Unser fiktives Opfer heißt Peter. Peter ist Mitte 50 und hat als selbstständiger Handwerker eine kleine Firma. Seine Kundenaufträge und Abrechnungen macht seine Frau auf dem PC. Damit Peters Firma von seinen Kunden auch gefunden wird, hat er sich eine kleine Webseite bei einem Webhostingunternehmen gemietet und dort natürlich auch ein Mailkonto eingerichtet.

Peter benutzt wie die meisten Unternehmen Windows, da es mit dem PC gekommen ist und seine Frau ja auch Microsofts Office braucht, um Ihre Aufgaben wahrzunehmen. Im Internet surft Peter mit dem Internet Explorer, der ist praktischerweise bei Windows gleich mit dabei. Peter hat auf dem PC ein Antvirenprogramm installiert, da er sehr vorsichtig ist. Das war vor 6 Jahren.

Eines Tages nimmt seine Frau bei der Recherche eine Banneranzeige in einer Webseite mit einem Seitenblick wahr, vergißt diese aber wieder, da das beworbene nichts für sie ist. Am nächsten morgen stellt Peter fest, daß er keine EMails mehr vom Mailserver abholen kann. Es erscheint immer eine Fehlermeldung, wenn er das probiert.

Im Laufe des Tages meldet sich das Hostingunternehmen bei Peter in der Firma. Einem Admin war aufgefallen, daß der Mailserver auf dem Peters Webseite liegt, so merkwürdig langsam läuft und sich die Emails in der Warteschlange des Mailserver ansammeln. Der Admin hat sich den Mailserver angesehen und dabei festgestellt, daß hunderte von IP Adressen EMails nach Russland schicken. Bei genauer Betrachtung stellte der Admin fest, daß dazu nur ein Satz an Zugangsdaten benutzt wird. Die Zugangsdaten sind zwingend notwendig um über diesen Mailserver Emails verschicken zu können. Das kompromittierte Mailkonto wird umgehend gesperrt.

Die Logfiles des Servers wurden gesichert und genau ausgewertet.

Zum jetzigen Zeitpunkt haben wir zwei Straftaten:

1. Den Einbruch in den PC von Peter, der nach §202 StGB geahndet werden könnte (siehe Beitrag Google & Co ), da hier Unbefugte gesicherte Daten abgegriffen haben.

2. Der betriebsstörende Eingriff in eine Datenverarbeitungsanlage ( Beamtisch für Computer )

Die zweite Straftat wird nach §303b StGB mit bis zu zehn Jahren Freiheitsentzug geahndet ( schwere Störung / im Auszug nicht enthalten ).

Auszug aus §303b StGB :

„(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe.“

Peter versteht derweil die Welt nicht mehr. Der Mitarbeiter der Hostingfirma hat Peter gerade eröffnet, daß Peter diesen Vorfall selbst verursacht hat und daher die Kosten für die Beseitigung der Folgen der vielen Emails geradestehen muß. Peter sieht aber gar keinen Einbruch auf seinem PC, der funktioniert bis auf die Emails ja ganz normal. Das kann ja alles nicht sein, da er ja ein Antivirenprogramm einsetzt. Der Hostingmitarbeiter empfiehlt Peter dringend einen Fachmann zu konsultieren, der seinen PC auf Schadsoftware überprüft, schliesslich können die Angreifer auf die gesamte Geschäftskommunikation zugreifen und auf alle Geschäftsgeheimnisse und Kundendaten. Bis diese Prüfung nicht stattgefunden hat, darf Peter die Dienste des Hostingunternehmens nicht mehr in Anspruch nehmen, da dies für die anderen Kunden zu gefährlich wäre. Notgedrungen ruft Peter einen Fachmann an.

In der Zwischenzeit haben die Admins des Hostingunternehmens die gefundenen Daten aufbereitet und an das Bundesamt für Sicherheit in der Informationstechnik (BSI) geschickt. Das BSI arbeitet eng mit den CERT-BUND zusammen, daß die IP Adressen nehmen wird und die beteiligten Provider ermittelt und kontaktiert. Für die betroffenen Besitzer der beteiligten Computer wird es ähnlich sein, wie bei Peter. Sie werden es zu nächst nicht glauben.

Für das Fachkomissariat Cyberkriminalität der Polizei haben die Admins einen genauen Bericht verfaßt und auf die Ermittlungen des BSI verwiesen. Ein Mitarbeiter der Hostingfirma bringt die Unterlagen selbst zum Kriminal Dauerdienst und unterschreibt die Strafanzeige im Namen der Firma. Kosten entstehen hier für keine.

Peter hat mittlerweile einen Fachmann gefunden, der direkt vor Ort eine Prüfung durchführt. Der Fachmann stößt auf einige Ungereimtheiten auf dem PC. Das nicht mehr vom Microsoft unterstützte Betriebssystem Windows XP, das Word 2004, der IE 6 und das Antivirenprogramm, daß 2009 das letzte Update gemacht hat, sind ein starkes Indiz dafür, daß es um die Sicherheit des Pcs nicht zum Besten steht. Der Fachmann führt nun einen Virenscan durch, in dem er ein passendes Programm von einer CD bootet.

Nach zwei Stunden steht fest, daß sich bereits 15 verschiedene Trojaner auf dem PC getummelt haben, bevor sich Peters Frau den Drive-by-Trojaner des verseuchten Bannerservers eingefangen hat. Da der PC auch bereits 8 Jahre alt ist, lohnt sich ein auf Stand bringen des Pcs wirtschaftlich nicht mehr. Die Viren und Trojaner kann der Fachmann leicht entfernen, aber für das XP kommt jede Hilfe zu spät. Ein neuer PC ist fällig.

Die mit dem obligatorischen Windows Wechsel verbundenen Folgekosten durch Anschaffung und Einarbeitung übertreffen die Kosten für den Fachmann, der sich bei Zeiten um den PC kümmert, bei weitem.

Da muß Peter jetzt durch. Auch der Umstand, daß Peter sich um die Fehlermeldungen des Windows XP nicht gekümmert hat, macht die Sache für ihn noch schlimmer. Auch daß die Daten nicht mehr zwischen altem und neuen PC ausgetauscht werden können, weil die Programme nach zehn Jahren inkompatibel geworden sind, macht es Peter nicht einfacher. Auch hier hätte ein kontinuierliches Update von Office das Problem verhindert.

Peter kann derweil dem Hostingunternehmen vermelden, daß er einen neuen PC anschafft und der alte nicht mehr ans Netz gehen wird. Der Mitarbeiter am Telefon informiert Peter, daß er erstmal mit seinem Handy Emails lesen kann, bis er den neuen PC eingerichtet hat. Ferner wird ihm mitgeteilt, daß er demnächst einen Brief der Staatsanwaltschaft bekommen wird, da er als Zeuge bzw. Geschädigter in der Strafanzeige des Unternehmens vorkommt und eine Zeugenaussage machen soll. Peter ist davon wenig begeistert, sieht aber ein, daß die Straftat verfolgt werden muß. Es besteht schliesslich immer die Hoffnung, daß der Täter ermittelt wird.

Leider ist Peter kein Einzelfall. Täglich werden tausende von privaten Pcs kompromittiert und in großen Botnetzen zu Sklaven ihrer neuen Meister. Ich kann nur an Sie appellieren, seien Sie schlauer als Peter, halten Sie Ihren PC auf Stand und fragen Sie einen Fachmann, wie Sie sich schützen können. Sehen Sie die Geldausgaben als Versicherung gegen zukünftige Schäden an, denn genau das ist es.

Google & Co und die E-Mailspionage

Posted on 9. August 2014 by marius

Lieber Leser,

ganz unüblich beginnt dieser Blogbeitrag mit einem Gesetzestext: §88 TKG ( Telekommunikationsgesetz )

Das Fernmeldegeheimnis

Darin heißt es in Absatz 3 :

„Den nach Absatz 2 Verpflichteten (das „Unternehmen“ A.d.R.) ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Sie dürfen Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den in Satz 1 genannten Zweck verwenden. Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an andere, ist nur zulässig, soweit dieses Gesetz oder eine andere gesetzliche Vorschrift dies vorsieht und sich dabei ausdrücklich auf Telekommunikationsvorgänge bezieht. Die Anzeigepflicht nach § 138 des Strafgesetzbuches hat Vorrang.“

Dieser Auszug ist das Fernmeldegeheimnis. Niemand darf den Inhalt oder die Beteiligten einer Kommunikation kennen, außer es ist zum Erbringen der Leistung zwingend notwenig; z.b. ein Briefträger, der muß ja die Adresse kennen wo es hin soll.

Verboten ist damit automatisch das Scannen von EMails zur Erlangung von Informationen zum Inhalt, außer Sie haben das als Kunde selbst veranlaßt. Dies kann z.b. die Antispameinstellung sein, oder eine Problemmeldung, weil eine EMail nicht angekommen ist. Im letzteren Fall muß ein Mensch wissen, wann und von dem, oder an wen, die Email gehen sollte, sonst kann man nicht nachsehen was schief ging.

Damit ist klar, daß man sich als Admin nicht einfach alle Emails der Kunden durchlesen darf, geschweige denn den Inhalt an Dritte weitergeben darf.

§ 206 StGb ( Strafgesetzbuch ) Absatz 1 stellt dafür bis zu 5 Jahre Knast in Aussicht:

„Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Post- oder Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigtem eines Unternehmens bekanntgeworden sind, das geschäftsmäßig Post- oder Telekommunikationsdienste erbringt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.“

Im §88 TKG haben wir gelesen, daß es eine Ausnahme gibt, den § 138 des StGb. Darin wird definiert, was man als guter Bürger immer den Staat melden muß, egal wie man an die Informationen gelangt ist.

Dazu zählen u.a. anstehende Kriege ( kein Witz ), Kriegsverbrechen, Hoch- und Ladesverrat, Mord oder Todschlag, Entführung, Raub und andere gemeingefährliche Straftaten. Kurz um: Kapitalverbrechen.

Wohlgemerkt aber nur dann, wenn Sie das Verbrechen dadurch verhindern könnten. D.h. wenn Sie von einem Hochverrat oder Mord lesen und der schon passiert ist, dürfen Sie das nicht mehr melden. Melden Sie es nicht rechtzeitig, können Sie für 1 Jahr einfahren.

Welche Logik dahintersteckt, mag ich nicht erkennen.

Kinderpornos werden, wenn überhaupt, erst nach der Tat als Bild oder Film verschickt und können damit nicht mehr verhindert werden. Der Argumentation folgend, dürfte man in Deutschland die Emails danach nicht durchsuchen oder von Kenntnissen berichten.

Moralisch mag es richtig erscheinen, sich in die Kommunikation aller zum Schutz eines höheren Zieles einzuklinken ( Emails scannen ), rechtlich ist aber nicht erlaubt. Mit der gleichen Argumentation wurde auch die Vorratsdatenspeicherung eingeführt und dann vom Bundesverfassungsgericht gekippt, weil man eben doch nicht alle unter Generalverdacht stellen darf. Konrad Adenauer hat bei der Frage, ob im ( damaligen ) neuen Personalausweis ein Fingerabdruck drin sein soll, damals mit Nein geantwortet: „Die Deutschen sind kein Volk von Verbrechern.“ Und damit hatte er Recht. Nur weil ein schwarzes Schaf in der Herde ist, darf man nicht die ganze Herde bestrafen.

Für Sie als Kunden eines deutschen Unternehmens, besteht also rein rechtlich keine Gefahr, daß Ihre Emails gelesen oder ausgewertet werden. Bei Google [7] und Microsoft [6] sieht das schon anders aus, wie in der letzten Woche offenbar wurde. Diese Unternehmen scannen alle Emails ihrer Kunden und prüfen dabei Bilder per Bilderkennung gegen eine Kinderpornodatenbank. Google scannt Emails zusätzlich auch auf Schlüsselbegriffe, um den Kunden dann passende Werbung einzublenden.

Bei amerikanischen Unternehmen [8] können Richter nun auch Durchsuchungsanordnungen auf europäischen Servern ausstellen, mit der aberwitzig anmutenden Begründung, dazu müßte ja kein Mitarbeiter amerikanischen Boden verlassen.

Fazit: Kündigen Sie Ihre GMail und Windows Livekonten, Google Drives und was da noch so angeboten wird als Cloudlösung und suchen Sie sich einen deutschen Provider, wenn Ihnen Ihre Bürgerrechte irgendetwas wert sind. Im Zweifel werden auch deutsche Tochterunternehmen amerikanischer Anbieter die Daten an die Mutter übermitteln, falls Schaden entstehen sollte, wenn es nicht passiert.

Notizen

Beim Durchstöbern der Gesetze habe ich diesen netten Paragrafen gefunden :

§ 202a Ausspähen von Daten

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Da Emails normalerweise keinen Schutz gegen Mitlesen haben, weil Sie wie Postkarten funktionieren, ist das Abfangen von Netzwerkströmen in Rechenzentren übrigens nicht strafbar. Das liegt an dem kleinen Wort „und“ oben, denn Emails werden in Klartext verschickt und übermittelt, wenn man keine Transportverschlüsselung aktiviert hat. Ihr Anbieter wird dies i.d.R. unterstützen, unserer tut es definitiv, aber leider aktivieren nicht alle Kunden in Ihrem Emailprogrammen die nötigen Optionen. Wer also diese Datenübertragung mitschneidet, so er denn kann und das ist einfacher als Sie glauben, ist zwar „unbefugt“, umgeht aber keine technische Sperre.

Daher können wir Ihnen nur dringend raten TLS und SSL ( ältere Methode ) zu aktivieren, wenn Sie ein Emailkonto einrichten.

Das gleiche gilt auch, wenn Sie Emails unverschlüsselt abholen, Webseiten unverschlüsselt aufrufen oder sonstige Daten zu einem Server übertragen.

§ 202b Abfangen von Daten

Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

Klingt erstmal gut, ist aber genauso schlecht formuliert, wie §202a . Nichtöffentliche Kommunikation wäre z.b. die Rohrpost in einer Firma. Das Internet ist aber selbst in einem Rechenzentrum öffentlich. Gelingt es Ihnen von einem Ihnen gehörenden Server im Rechenzentrum, die Datenströme anderer dortiger Server abzufangen, was wie gesagt, ganz einfach ist, dann kommen Sie wieder ungeschoren davon, weil es öffentliche Kommunikation war. Zumindet bei dem Paragrafen. Störung der Funktion eines anderen Servers ist auch keine Bagatelle, aber das steht woanders 🙂

Jetzt können sich Juristen darüber streiten wie sie möchten, Fakt ist leider, daß das Ausspionieren von Daten schwer in Mode und zudem noch extrem einfach ist. Daher kann ich nach bestem Gewissen nur deutsche Anbieter empfehlen, die Verschlüsselungstechniken anbieten. Bei einem guten Anbieter bekommen Sie sowas auch ohne Aufpreis mitgeliefert. Wie man es nicht macht, zeigt übrigens die Deutsche Telekom. Die hat erst vor rund 12 Monaten mitbekommen, daß irgendwann in den 90er Jahren des letzten Jahrtausends, die Transportwegverschlüsselung für Emails erfunden wurde. Andere Unternehmen waren da deutlich früher aktiv.

Quellen:

[1] http://www.gesetze-im-internet.de/tkg_2004/__88.html

[2] http://www.gesetze-im-internet.de/stgb/__138.html

[3] http://www.gesetze-im-internet.de/stgb/__202b.html

[4] http://www.gesetze-im-internet.de/stgb/__202a.html

[5] http://www.gesetze-im-internet.de/stgb/__206.html

[6] http://www.focus.de/digital/computer/internet-auch-microsoft-durchsucht-mail-konten-nach-kinderpornografie_id_4044025.html

[7] http://www.heise.de/newsticker/meldung/Kinderpornographie-Google-verteidigt-E-Mail-Scan-2284919.html

[8] http://www.computerbase.de/2014-08/microsoft-muss-us-behoerden-saemtliche-nutzerdaten-aushaendigen/

[9] http://evolution-hosting.eu/Securityprodukte#email

aus YUM ableiten, wo man ein RPM findet

Posted on 7. August 2014 by marius

Ich werde immer gern gefragt, wo ich den die Links zu den RPMs finde, wenn ich brauche, aber nicht finde. Ein Weg ist das YUM Repo direkt fragen. Zunächst einmal suchen wir uns das passende Repository aus:

# ls -la /etc/yum.repos.d/
insgesamt 68
drwxr-xr-x.   2 root root  4096 18. Jun 14:25 .
drwxr-xr-x. 172 root root 12288  4. Aug 08:35 ..
-rw-r--r--.   1 root root   179 25. Jul 2007  adobe-linux-i386.repo
-rw-r--r--.   1 root root   183  1. Apr 2011  adobe-linux-x86_64.repo
-rw-r--r--.   1 root root  1254 19. Feb 14:46 fedora.repo
-rw-r--r--.   1 root root  1213 19. Feb 14:46 fedora-updates.repo
-rw-r--r--.   1 root root  1271 19. Feb 14:46 fedora-updates-testing.repo
-rw-r--r--.   1 root root  1241 15. Dez 2013  rpmfusion-free-rawhide.repo
-rw-r--r--.   1 root root  1172 15. Dez 2013  rpmfusion-free.repo
-rw-r--r--.   1 root root  1170 15. Dez 2013  rpmfusion-free-updates.repo
-rw-r--r--.   1 root root  1230 18. Mär 2013  rpmfusion-free-updates-testing.repo

dann holen wir uns die BaseURL aus dem Repo ( was anderes macht Yum eigentlich auch nicht )

# cat /etc/yum.repos.d/rpmfusion-free.repo | grep baseurl
#baseurl=http://download1.rpmfusion.org/free/fedora/releases/$releasever/Everything/$basearch/os/
#baseurl=http://download1.rpmfusion.org/free/fedora/releases/$releasever/Everything/$basearch/debug/
#baseurl=http://download1.rpmfusion.org/free/fedora/releases/$releasever/Everything/source/SRPMS/

Die BaseURL kann mit einem normalen Browser aufgerufen werden, wenn man die Variablen ersetzt.

$releasever = Fedora Nummer z.b. 20
$basearch = Basearchitecture also i686 für 32 bit oder x86_64 für 64 bit.

Beispiel:

http://download1.rpmfusion.org/free/fedora/releases/20/Everything/x86_64/os/

Jetzt rufen Sie das noch mit dem Browser auf und siehe da, alle RPMs liegen vor Ihnen.

Es kann vorkommen, wenn die Repos besonders groß sind, daß diese in mehrere Teile aufgeteilt sind. Üblicherweise nach dem ersten Zeichen des Dateinamens also A B C usw. .

RPMFIND.net

Wenn Sie ein spezielles RPM suchen, daß nicht in Ihren Repos enthalten ist, kann http://rpmfind.net/ Ihnen helfen. Sie finden dort eine Vielzahl von Paketen, die nicht mit Fedora ausgeliefert werden, aber trotzdem benötigt werden. Oder auch einfach nur ältere Versionen.

Koji – Alte Pakete finden, die Fedora aus dem Repo gelöscht hat.

Rufen Sie mal diese URL auf : http://koji.fedoraproject.org/koji/packageinfo?packageID=280

Sie werden dort die Liste aller HTTPD Pakete finden, die jemals für Fedora gebaut wurden.

alle jemals gebauten Pakete für ein Programm

Suchen Sie sich die Version aus, die Sie gern hätten und klicken Sie auf den Link. Sie bekommen dann die Paketinformationen angezeigt. Diese enthält auch alle Downloadlinks zu den jeweiligen Architekturen.

genaue Paketinformationen und Downloadlinks

Marius Welt

Monthly Archives: August 2014