#1 18. September 2007 Online-Durchsuchungen über verheimlichte Sicherheitslücken? In einem (noch nicht online verfügbaren) Aufsatz für die September-Ausgabe der Fachzeitschrift Datenschutz und Datensicherheit kommt Hartmut Pohl, Professor für Informationssicherheit am Fachbereich Informatik der FH Bonn-Rhein-Sieg, zu keinem positiven Urteil über die Online-Durchsuchung. Pohl analysierte die Informationen, die über ein Dutzend verdeckte Online-Durchsuchungen des Bundesnachrichtendienstes (BND) verfügbar sind. Sein Fazit: Genutzt würden in erster Linie unveröffentlichte Sicherheitslücken, die nicht nur der Allgemeinheit und Sicherheitsdienstleistern, sondern auch den Herstellern von Betriebssystemen oder Anwendungsprogrammen über einen längeren Zeitraum verborgen blieben. Hätten die Entdecker der Sicherheitslücken ein funktionierendes Angriffsprogramm entwickelt, würden die von Pohl "Less-Than-Zero-Day-Exploits" genannten Programme dann für viel Geld angeboten – und zwar nicht nur Sicherheitsbehörden, sondern auch Personen und Unternehmen, die damit ein kriminelles Interesse verfolgten. Pohl weist darauf hin, dass die bewusste Verheimlichung von Sicherheitslücken und ein verstärkter Ankauf dieser Less-Than-Zero-Day-Exploits im Rahmen der Ausweitung von Online-Durchsuchungen durch staatliche Behörden beim Bürger einen großen Verlust von Vertrauen in die Sicherheit des Internets verursachen. Zudem sei die juristische Bewertung fragwürdig, denn grundsätzlich sei das für die innere Sicherheit verantwortliche Bundesinnenministerium verpflichtet, Unternehmen und Bürger vor Sicherheitslücken zu warnen – und zwar eben auch vor denen, die bislang nicht öffentlich bekannt wurden. Erschwerend komme hinzu, dass die Zahl der deutschen Spezialisten, die Sicherheitslücken erkennen und Exploits erstellen könnten, "eng begrenzt" sein dürfte, schreibt Pohl, so dass die Sicherheitsbehörden auf ausländische Unterstützung angewiesen seien. "Die derzeitige Verheimlichung von Sicherheitslücken und Less-Than-Zero-Day-Exploits durch deutsche Behörden schädigt Unternehmen und Private", verdeutlicht Pohl. "Die Behörden erwerben Exploits gegen (hohes) Entgelt und "züchten" durch die intensive finanzielle Förderung eine Szene heran." Pohl fordert, dass alle den Behörden bekannt gewordenen Sicherheitslücken in IT-Systemen und damit auch die darauf aufbauenden Less-Than-Zero-Day-Exploits "unverzüglich veröffentlicht werden müssen". Der Aufsatz von Pohl diskutiert auch den neuen "Hackerparagraphen" 202c des Strafgesetzbuches, der Vorbereitungshandlungen zum Ausspähen von Daten unter Strafe stellt. Die Strafbarkeit hänge dabei nicht von den Zielen oder Aktivitäten der Handelnden ab, erläutert Pohl, sondern "vom Zweck des Tools". Es entstehe aber der Eindruck, dass zum Beispiel Online-Durchsuchungen nicht erkannt werden sollen. Damit sei etwa ausländischer Wirtschaftsspionage zum Schaden der deutschen Unternehmen Tür und Tor geöffnet. Quelle: heise.de + Multi-Zitat Zitieren
#2 19. September 2007 AW: Online-Durchsuchungen über verheimlichte Sicherheitslücken? Ich hatte mir schon gedacht, dass die Online-Durchsuchungen auf einer solchen Technik basieren würden, weshalb es mich nun weniger schockt, mit welchen Mitteln der Staat diese sinnlose Unternehmung durchführen will. Interessant ist hierbei wohl auch, dass sich der Bundestrojaner in diesem Fall wohl sehr schnell dadurch austricksen lassen wird, dass man beispielsweise eine Linux-Live-Disk anstelle des sonst installierten Windows verwendet. + Multi-Zitat Zitieren
#3 19. September 2007 AW: Online-Durchsuchungen über verheimlichte Sicherheitslücken? Mit dieser Version wäre das ja eine paradoxe Aussage zum neuen 202c Paragraphen, und der Staat würde selbst gegen das Gesetz verstossen. Hier ist noch eine andere Version, wie der Trojaner funktionieren könnte (empfehlenswert): HIER + Multi-Zitat Zitieren