GESETZE ZUR IT-SICHERHEITUND ETHIK IN DER INFORMATIK

Anton Wilhelm Praktische Informatik, Prof. Dr. Lutz Wegner

Seminar: Internet-Technologie WS 2010/11

Historischer Abriss

1957: Joe Engressia (7 Jahre) 1971: John Thomas Draper / Captain Crunch

Phreaking 1973: Blue Box/ing 1981: Gründung des Chaos Computer Clubs 1982: 414s, 6 Jugendliche (16-22 Jahre)

Einbruch in ca. 60 verschiedene Computersysteme

1983: Secret Service erhält neue Abteilung für Kreditkarten- und Computerbetrug

1984: CCC veröffentlichte den BTX-Hack

2

BTX / Bildschirmtext Terminal

3

Quelle: http://de.academic.ru/dic.nsf/dewiki/205771

Gesetze4

§ 5 Schutz personenbezogener Daten (IFG BDSG)

§ 202a Ausspähen von Daten § 202b Abfangen von Daten § 202c Vorbereiten des Ausspähens und

Abfangens von Daten (Hackerparagraph) § 263a Computerbetrug § 303a Datenveränderung § 303b Computersabotage

Aussagen der Gesetze

Name Beschreibung Strafe

§ 5 Datenschutz (IFG)

Schützt von personenbezogenen Daten

5

Aussagen der Gesetze

Name Beschreibung Strafe

§ 5 Datenschutz (IFG)

Schützt von personenbezogenen Daten

§ 202a Ausspähen von Daten

Unberechtigten Zugang sich oder anderen verschaffen, der gesichert ist, unter Überwindung der Zugangssicherung

bis zu 3 Jahre

6

Aussagen der Gesetze

Name Beschreibung Strafe

§ 5 Datenschutz (IFG)

Schützt von personenbezogenen Daten

§ 202a Ausspähen von Daten

Unberechtigten Zugang sich oder anderen verschaffen, der gesichert ist, unter Überwindung der Zugangssicherung

bis zu 3 Jahre

§ 202b Abfangen von Daten

Unberechtigt sich oder anderen mit techn. Mitteln nicht für ihn best. Daten aus einer nicht öfftl. Datenübermittlung oder em. Abstrahlung verschafft

bis zu 2 Jahre

7

Aussagen der Gesetze

Name Beschreibung Strafe

§ 5 Datenschutz (IFG)

Schützt von personenbezogenen Daten

§ 202a Ausspähen von Daten

Unberechtigten Zugang sich oder anderen verschaffen, der gesichert ist, unter Überwindung der Zugangssicherung

bis zu 3 Jahre

§ 202b Abfangen von Daten

Unberechtigt sich oder anderen mit techn. Mitteln nicht für ihn best. Daten aus einer nicht öfftl. Datenübermittlung oder em. Abstrahlung verschafft

bis zu 2 Jahre

§ 263a Computerbetrug

Wer eine Datenverarbeitung beeinflusst durch unrichtige Gestaltung des Programms | Verwendung unrichtiger/unvollständiger Daten |unbefugte Verwendung von Daten |sonst unbefugte Einwirkung auf den Ablauf

bis zu 5 Jahren

8

Aussagen der Gesetze

Name Beschreibung Strafe

§ 303a Datenveränderung

Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, Versuch ist ebenfalls strafbar

bis zu 2 Jahre

9

Aussagen der Gesetze

Name Beschreibung Strafe

§ 303a Datenveränderung

Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, Versuch ist ebenfalls strafbar

bis zu 2 Jahre

§ 303b Computersabotage

Störung von Datenverarbeitung, die für andere von wesentlicher Bedeutung sindDatenverarbeitung für fremden Betrieb, Unternehmen oder Behörde Vermögensverlust im großen Ausmaß | gewerbsmäßig oder als Mitglied einer Bande | Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen | Sicherheit der Bundesrepublik Deutschland beeinträchtigt

bis zu 3/5/10 Jahre

10

§ 202c Vorbereiten des Ausspähens und Abfangens von Daten alias „Hackerparagraph“

11

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes,

die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder

2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht,

wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

Hackerparagraph12

Intention des Gesetzgebers Schutz vor Virenschreibern bzw. Hackern zu

verbessern, die in fremde Systeme eindringen Übers Ziel hinaus

Strafbar: vorbereiten, schreiben, verbreiten, besitzen

sogar das Finden und Veröffentlichen von Sicherheitslücken

Problematik des Hackerpargraphen13

Dual Use White Hats vs. Black Hats Beispiel White Hats:

Systemadministratoren Sicherheitsfirmen

Beispiel Black Hats: Kreditkartenbetrüger E-Mail Harvester / Spambot

Reaktionen auf den Hackerpargraph15

Chefredakteur des TecChannel zeigt BSI an

Chefredakteur des iX zeigt sich selbst an

Behinderung von Sicherheitsfirmen Einschränkung von Berufsgruppen

Hackerethik (Steven Levy / CCC)

16

Der Zugang zu Computern und allem, was einem zeigen kann, wie diese Welt funktioniert, sollte unbegrenzt und vollständig sein.

Alle Informationen müssen frei sein. Misstraue Autoritäten - fördere Dezentralisierung Beurteile einen Hacker nach dem, was er tut und nicht

nach üblichen Kriterien wie Aussehen, Alter, Rasse, Geschlecht oder gesellschaftlicher Stellung.

Man kann mit einem Computer Kunst und Schönheit schaffen.

Computer können dein Leben zum Besseren verändern. Mülle nicht in den Daten anderer Leute. Öffentliche Daten nützen, private Daten schützen.

Ethische Leitlinie der GI17

I Das MitgliedII Das Mitglied in einer FührungspositionIII Das Mitglied in Lehre und ForschungIV Die Gesellschaft für Informatik

Diskussionsrunde - Whistleblowing

18

Internet-Profi

Mitarbeiter

Kurt Andrea

Kunden

Aktive Versicher

ung

Diskussionsrunde - Whistleblowing

19

Internet-Profi ist auf Aktive Versicherung als Kunde angewiesen wegen schlechten Umsatz

Andrea findet Autorisierungsproblem, Ursache liegt nicht bei Internet-Profi sondern der privaten Schnittstelle des Kunden

Andrea möchte Problem melden Kurt ist anderer Meinung

„nicht unser Problem“, „Kunden haben schon viel früher Mist gebaut“

Kunde ist bereits wegen Verzögerung und Perfektionismus verärgert

Diskussionsrunde - Whistleblowing

20

Andrea hat Gewissensbisse, soll sie das Problem ansprechen oder nicht?

Aufgabe: In zwei Gruppen PRO und CONTRA Argumente sammeln

Diskussionsrunde – Argumente CONTRA21

Nicht Teil des Projektes, denn um Schnittstelle kümmert sich der Kunde selber

Keine weitere Verzögerung des Projektes Nachricht an Kunden verstößt u.U. gegen

Arbeitsrecht Mit hoher Wahrscheinlichkeit entsteht ein

Schaden für das eigene Unternehmen (weiteres Projekt mit Aktive Versicherung fällt dann weg)

Diskussionsrunde – Argumente PRO22

Treue-Service / Ehrlichkeit gegenüber dem Kunden

Selbstschutz / Verantwortungsübertragung Moral Finanzielles Interesse (evtl. ist der Kunde

dafür dankbar und wird diese Handlung honorieren)

Werbung / Selbst-Promotion („Wir haben einen Fehler bei euch gefunden“)

Diskussionsrunde - Whistleblowing

23

Wenn Andrea das Problem meldet, dann sollte sie das Problem versuchen zuerst innerhalb der Firma zu klären, wenn die

Geschäftsleitung sich weigert, könnte sie sich weiter an

die Aktive Versicherung wenden, wenn diese sich auch weigern die Sicherheitslücke zu beseitigen, könnte sie sich schließlich

an die Kunden der Aktiven Versicherung bzw. die Öffentlichkeit wenden

Quellen24

http://www.gesetze-im-internet.dehttp://bundesrecht.juris.dehttp://www.ccc.de/hackerethics

http://de.wikipedia.org/wiki/Hacker_(Computersicherheit)http://en.wikipedia.org/wiki/List_of_convicted_computer_criminals

http://www.stern.de/digital/computer/hackerparagraf-auch-die-aufpasser-muessen-aufpassen-598457.html

http://www.silicon.de/technologie/sicherheit/0,39044013,39184610,00/deutscher_hacker_paragraph_verunsichert_sicherheitsforscher.htm

http://itsicherheit.wordpress.com/2008/12/19/hackerparagraph-ix-chefredakteur-zeigt-sich-selbst-an/

Gewissensbisse – Ethische Probleme der Informatik, Debora Weber-Wulff, Christina Class, Wolfgang Coy, Constanze Kurz, David Zellhöfer

VIELEN DANK FÜR DIE AUFMERKSAMKEIT

25