Keine Panik! Oder: Panik, Panik, Panik? Marc Ruef | 16.07.2007 Die Security-Branche und -Szene, diese überschneiden sich unweigerlich, ist schon ein lustiges Völkchen. Über die Jahre haben sich die Business-Men entwickelt, die in ihren schicken Anzügen irgendwelche schrottigen Produkte verkaufen wollen. Dass ihre Antiviren-Lösungen aber doch nicht 100 % der Viren entdecken können oder ihr Intrusion Prevention-System nicht automatisch alle Attacken verhindern kann, interessiert weniger. Geld steht im Mittelpunkt. Das Gegenstück dieser kapitalismusgetriebenen Zunft, buchstäblich deren Alternative, sind die paranoiden Frickler. Die meistens aus der Open-Source Ecke stammenden Figuren brillieren mit ihrer technischen Fachkompetenz, wobei sie sich weder für wirtschaftliche Aspekte begeistern noch sich ihnen überhaupt in irgendeiner Weise öffnen können. Wo Geld drauf steht, muss der Teufel oder wenigstens ein Kapitalist im Anzug drin sein. Böse Zungen würden sie also auch als Fachidioten bezeichnen. Gerade letztere sind, sind sie denn auf das Gebiet der Informationssicherheit fokussiert, für ihre allumfassende Paranoia bekannt. "Traue niemandem" und "Nichts ist wahr" sind die Slogans, die immerwieder in Foren-Signaturen und in Genre-Filmen (z.B. 23 (http://german.imdb.com/title/tt0126765/) oder The Matrix) auftauchen. Und ja, als Sicherheitsspezialist muss man vorsichtig und sich den drohenden Gefahren, seien sie auch noch so theoretisch, bewusst sein. Ich schliesse mich in der Hinsicht nicht aus. Dennoch tendieren viele Fachspezialisten dazu, die Realität aus ihrem arg beschränkten Blickwinkel zu sehen. Dabei liebt man es scheinbar, sich in seinem eigenen Mitleid suhlen zu dürfen. Mit dem Hacker-Paragraphen § 202c StGB (http://www.bmj.bund.de/media/archive/1317.pdf) soll der Computerkriminalität endgültig der Riegel vorgeschoben werden. So sieht er vor, dass jegliches unerlaubtes Manipulieren von Daten genauso geahndet wird, wie das Erstellen und Verbreiten von für kriminelle Zwecke ausgelegte Software. In der Tat, lässt sich nun darüber streiten, ob ein Portscanner wie nmap oder ein Exploiting-Framework wie MetaSploit für kriminelle Zwecke entwickelt wurde oder nicht. Dass sie sich für zwielichtige Machenschaften einsetzen lassen, sei unbestritten. Die Frage ist aber nun, ob und inwiefern derlei Mechanismen, die für effiziente Sicherheitsüberprüfungen vorausgesetzt werden, verboten werden. Ein Aufschrei der Empörung rauschte durch den Blätterwald. Foren, Blogs und Szene-Parties diskutierten die neuen Regelungen, die es nun vermeintlich unmöglich machen sollten, als Sicherheitsberater agieren zu können. Einige Freunde aus Deutschland traten an mich heran und sagten, dass sie nach der Durchsetzung der Gesetzte Deutschland den Rücken kehren und ihre Sicherheitsfirmen in der Schweiz niederlassen werden. Widerstand ist wichtig. Und gerade gegen Leute wie Herrn Wolfgang Schäuble tut diese dringendst Not am Mann. Es erstaunt nun aber vielleicht ein bisschen, dass die Gesetze dieser Art in der Schweiz schon sehr lange so etabliert sind. Auch hier ist es verboten, Software zur Umgehung von Schutzmassnahmen zu entwickeln und zu verbreiten. Und auch ich war erstaunt, als ich die besagten Gesetzesartikel so vernommen habe. Aber das war vor 10 Jahren. Aus eben diesem Grund habe ich mit verschiedenen Juristen über diesen Sachverhalt diskutiert und ihn damit auf einer nicht-technischen Ebene verstehen wollen. In einer halbwegs gescheiten Demokratie, wie sie glücklicherweise in der Schweiz dargeboten werden kann, muss man die Worte aber relativieren. Ja, es ist verboten eine Software zu erstellen, die zum einzigen Zweck hat, in Computersysteme einzubrechen und Daten zu stehlen. Es ist aber wohl so, dass es eine solche Software gar nie geben kann. Der Computer ist ein Werkzeug, dessen Bestimmung erst durch den Akteur vor der Tastatur manifestiert wird. Ob ich nun Nessus als Security Consultant einsetze, um die Sicherheit eines Kunden zu prüfen ist etwas komplett anderes, weder wenn irgendjemand damit in eine Bank einbricht und dort Kreditkarteninformationen entwendet. Das Verbot einer vermeintlich verbotenen Software tritt also erst dann in Kraft, wenn ihre Boshaftigkeit als solche zweifelsfrei nachgewiesen werden konnte. Spontan fallen mir wirklich ganz wenige Lösungen ein, die ich in diese Kategorie stecken würde. Hauptsächlich wären dies Produkte aus dem Distributed Denial of Service-Umfeld (DDoS; zum Beispiel Tribe Flood Network oder Stacheldraht). Denen kann ich nämlich nun gar keinen produktiven Nutzen abgewinnen; für niemanden. Wird sich also grossartig etwas durch den Hacker-Paragraphen ändern? Wohl eher weniger. Das Gesetz sieht zwar mehr Spielraum vor, um die bösen Jungs gar auf verschiedenen Ebenen dingfest machen zu können. Die Polizei und Staatsanwaltschaft wird aber noch immer überfordert sein, wenn es um das nachvollziehen und beweisen von Straftaten im elektronischen Bereich geht. Wirklich ändern wird sich also wenig. Das schlimmste, was passieren kann, ist meines Erachtens folgendes: Irgendein übereifriger Jurist wird sich um das Verbot einer legitimen Sicherheitssoftware bemühen. Eventuell aus politischen oder halt aus persönlichen Gründen. Die Gerichte werden sich längere Zeit damit herumschlagen und irgendwann einsehen, dass ein pauschales Verbot für Scanning-Lösungen und Exploits nicht durchsetzbar ist. Je schneller dieser unliebsame Moment eintrifft, desto schneller kann er überwunden werden. Verunsicherung, wie bezüglich der Open-Source Diskussion, die im Rahmen von SCO vs. Linux (http://www.heise.de/ct/hintergrund/meldung/44492) losgetreten wurde, stellt also die grösste Gefahr dar. Damit kann ich leben.