Schlagwort-Archive: Urteil

So einfach ist das nicht mit der Sicherheitstechnik

Als ich Auszüge aus dem Urteil 23 U 38/05 des Oberlandesgerichtes Frankfurt ins Blog stellte, hielt ich mich zunächst mit Kommentaren zurück. Jetzt diskutiert ein Telepolis-Artikel das Urteil im Zusammenhang mit der Kameraüberwachung in Supermärkten und der Möglichkeit, damit Kunden bei der PIN-Eingabe zu beobachten.

Der Artikel endet mit der anscheinend unvermeidlichen Forderung nach besserer Sicherheitstechnik. So einfach ist das aber nicht. Das Grundproblem des EC-Karten-Urteils ist ja gerade die Überschätzung der Sicherheitstechnik. Grob gesagt ist das Gericht der Ansicht, alle möglichen und aus Sicht des Sicherheitsingenieurs erforderlichen Betrachtungen nicht anstellen zu müssen, sondern System und Verfahren dem Anschein nach für sicher halten zu dürfen. Bessere oder auch nur für besser gehaltene Sicherheitstechnik kann die Richter in dieser Sicht nur bestärken. Einwände hätten dann noch weniger Chancen auf Gehör und ernsthafte Berücksichtigung.

Das könnte man hinnehmen, gäbe es eine mehr oder weniger perfekte Technik, die alle Probleme angemessen löst. So eine Sicherheitstechnik ist jedoch nicht in Sicht. Einige Anregungen, was sich mit Karten und Terminals noch alles anstellen lässt, gibt die Truppe um Ross Anderson in ihrem Blog:

Wenn man solche Gedanken zu Ende spinnt, kommt man zu dem Schluss, dass vorerst in jedem System mit Schwachstellen zu rechnen ist, gerade an der Schnittstelle zum Benutzer. Was wir wirklich brauchen, ist deshalb nicht bessere Sicherheitstechnik, sondern klügere Gerichte. Sie müssen klären, welche Einwände gegen die Sicherheitsvermutung gerechtfertigt sind und welche nicht, und das geht nur auf der Grundlage einer detaillierten technischen Betrachtung des Gesamtsystems. Die ist mühsam und aufwändig, aber notwendig. Nach Augenschein kann man Sicherheit nicht sinnvoll beurteilen.

Derzeit hat man als Geschädigter die besten Karten, wenn ein Verfahren Sicherheitsmängel hat, die auch ein Richter versteht, und wenn man außerdem erklären kann, was diese Sicherheitsmängel mit dem konkreten Fall zu tun haben oder zu tun haben könnten. Solche Fälle landen allerdings oft gar nicht erst vor Gericht, weil die Banken so böse dann doch nicht sind. Das Urteil des Oberlandesgerichts macht uns also letztlich nicht schlauer, sondern folgt implizit einer perversen Logikeinem Zirkelschluss: wäre eine echte Schwachstelle ausgenutzt worden, wäre der Fall gar nicht vor Gericht gelandet, deshalb wird die Klage abgewiesen. Das kann vollkommen richtig sein, aber die Begründung ist falsch.

OLG Frankfurt, Az. 23 U 38/05

»Geldautomaten sind sicher«, schreiben die Zeitungen und fassen damit ein Urteil des Oberlandesgerichts Frankfurt vom 30. Januar 2008 zusammen. Geklagt hatte eine Verbraucherzentrale, es ging um Abhebungen mit geklauten Karten. Unter den Tisch fiel manchmal dieser Satz:

»Das Gericht lehnte weitere Beweiserhebungen ab, die die Verbraucherschutzzentrale zur Möglichkeit von anderen Manipulationsmöglichkeiten beantragte, z.B. zur Frage der Verwendung von auf der Karte gespeicherten Daten zur PIN-Verfikation.«

(gesehen z.B. hier.) Spontanreaktion: Aber genau auf solche Manipulationsmöglichkeiten kommt es doch an! OLG Frankfurt, Az. 23 U 38/05 weiterlesen

Hackertool Kommandozeile?

Der Heise-Ticker berichtet unter der Überschrift 60.000 Dollar Strafe für DNS-Abruf:

»Das Gericht stellte fest, dass Ritz dabei seine „Identität hinter Proxies verbarg, ein UNIX-Betriebssystem verwendete und neben anderen Methoden Shell Accounts einsetzte. Außerdem gab er sich als Mail-Server aus.“ Die auf diese Weise gewonnenen Informationen machte Ritz publik. Diese Information, stellte das Gericht fest, sei nicht öffentlich verfügbar gewesen. Damit habe Ritz die Datensicherheit von Sierra gefährdet, Ritz sei also als Hacker einzustufen, schließlich sei der Befehl „host -l“ dem normalen Anwender nicht bekannt.«

Offenbar ist dem Richter alles suspekt, was er nicht kennt. Und das ist erfahrungsgemäß ziemlich viel, wenn es um Informationstechnik geht und man die Gefühlswelt eines Juristen zum Maßstab nimmt.

Tatsächlich aber ist weder am Kommando host noch an einem Shell-Account irgend etwas ungewöhnlich. Sogar mein iBook, Inbegriff des Schickimickiklickiwerkzeugs und damit juristentauglich, verfügt über beides. Ein Maßstab dafür, ob jemand unlauter gehandelt hat, ist die Benutzung nicht. Zumal das Kommando host ausgesprochen harmlos ist: es fragt öffentlich verfügbare Informationen aus den öffentlichen Servern eines öffentlichen Dienstes ab, denn DNS ist nichts weiter als eine Art automatische Telefonauskunft für das Internet. Nur hat das dem Richter offenbar keiner erklärt, wenn der meint, die Information sei nicht öffentlich zugänglich gewesen. Doch, das war sie.

Bullshit ist die Behauptung des Klägers, er habe aufgrund der Abfrage seine interne Kommunikationsstruktur ändern müssen. Erstens wäre nämlich an dieser Kommunikationsstruktur etwas sehr kaputt, wenn sie auf die Vertraulichkeit öffentlicher Informationen angewiesen wäre. Zweitens wäre anderenfalls das Sicherheitsproblem bereits durch die Veröffentlichung auf dem DNS-Server entstanden, und dafür kann man kaum denjenigen verantwortlich machen, der lediglich hinschaut.

Hoffentlich fragen deutsche Richter jemanden, der sich damit auskennt, bevor sie jemanden verknacken, dessen Werkzeuge sie nicht verstehen.

Nachtrag: Und so finden Kommandozeilenganoven ihre KompliziInnen.