,

Lohnt es sich über das Thema „Internet-Sicherheit“ nachzudenken ? – Teil 2

Bildlink-Pfeil     Sie sind hier:  Startseite > Lohnt es sich über IT-Sicherheit nachzudenken – Teil 1 > Lohnt es sich über IT-Sicherheit nachzudenken – Teil 2


Wie sieht es mit dem Schutz Ihrer persönlichen Daten im Internet aus ?
Es gibt sehr umfassende und scheinbar eindeutige Datenschutzgesetze. Scheinbar deshalb, weil die tatsächliche Anwendung der jeweiligen Gesetze auf praxisrelevante Vorkommnisse, wie etwa elektronische Einbrüche oder Verbraucher- und Datenschutzverletzungen, gar nicht so eindeutig ist.

Dies hat unter anderem folgende Gründe:

  • Das Internet macht es sehr schwer, den Computer-Kriminellen zu fassen.
    Vergleichen Sie die Struktur des Internets mit einem Straßenverkehrsnetz: Um schnell ans Ziel zu kommen, würden Sie bestimmt über die kürzeste Autobahnverbindung dorthin fahren. Im Internet können Ihre Daten bzw. deren einzelne Datenpakete die verschiedensten Wege nehmen, auch Umwege über amerikanische Server sind möglich. Damit wird es sehr schwer, die Daten zurückzuverfolgen. Weitere Gründe sind kostenlose Probe-Accounts bei entsprechenden Providern und kostenlose E-Mail-Adressen, deren Besitzer sich als „Zangenbeißer“ oder mit ähnlichen Phantasienamen betiteln.
  • Die Beweisführung ist oftmals schwierig.
    Die Server-Logfiles und andere technische Protokolle können verändert und somit selten als Beweismittel anerkannt werden. Häufig werden die Protokoll-Systeme von Crackern sogar derart manipuliert, daß der Einbruch anhand der Log-Files gar nicht erkannt werden kann. Ein weiterer Grund ist der, daß sich die Technik schneller fortentwickelt, als die Gesetze an den jeweils aktuellen technischen Stand angepaßt werden können. Dies hat zur Folge, daß dadurch die Anwälte und Richter mit den technischen Details der Beweisführung oftmals überfordert sind.
  • Gesetze greifen nur dann,  wenn die Daten besonders gesichert waren.
    Im normalen Leben ist ein Einbruch ein klarer Straftatbestand, bei dessen Erfüllung der Täter, welcher überführt worden ist, dem Gesetze entsprechend für die Tat einzustehen hat.
    Im Falle eines elektronischen Einbruchs greifen die Gesetze nur, wenn die betroffenen Daten besonders gesichert waren  (§ 202 Absatz 1 des 2. Gesetzes zur Bekämpfung der Wirtschaftskriminalität). Unter besonders gesicherten Daten versteht man Daten, zu denen der Zugang nur über ein Paßwort oder mit Hilfe einer Verschlüsselung möglich ist. Kann der Datendieb beweisen, daß die Daten völlig unzureichend oder überhaupt nicht gesichert waren, hat er normalerweise keine Konsequenzen zu befürchten.

Um die Problematik noch mehr zu verdeutlichen, soll folgendes Beispiel dienen: Sie können sich beispielsweise beim Download und der anschließenden Installation von Free- und Sharewareprogrammen ein darin verstecktes trojanisches Pferd einfangen. Die darin programmierten Spionagefunktionen haben meist die Aufgabe, Ihre vertraulichen Daten offline zu sammeln, um sie dann, wenn Sie online sind, an den Datendieb zu versenden. Das größte Problem daran ist, daß diese Spionageattacken in der Regel von Ihnen völlig unbemerkt im Hintergrund ablaufen. Das liegt zum einen daran, daß sich diese Spionageprogramme gut auf Ihrem System verstecken und nur mit speziellen Hilfsprogrammen sichtbar werden und zum anderen, daß Ihre vertraulichen Daten nur kopiert werden, so daß Sie deren Verlust nicht bemerken. Auch Sicherungsmaßnahmen wie das Verschlüsseln der Anwendungsdaten sind hier in der Regel nicht wirksam, da Sie diese zur Bearbeitung ja entschlüsseln müssen und sie dann auch vom Spionageprogramm gelesen werden können.
Ein großes Problem ist, daß Sie als Opfer solcher Spionageattacken nur sehr begrenzte strafrechtliche Möglichkeiten besitzen, mit denen Sie gegen den Datendieb vorgehen können. Als Straftat kommt hierfür in erster Linie das „Ausspähen von Daten“ (§ 202 a StGB) in Betracht, wobei nur die vollendete Tat, nicht aber der Versuch strafbar ist. Wird eine vollendete Tat nachgewiesen, so muß der Datendieb mit bis zu drei Jahren Haft rechnen. Der Tatbestand ist bereits dann erfüllt, wenn die Daten auf dem Bildschirm des Datendiebs erscheinen. Dazu muß allerdings, wie bereits erwähnt, sichergestellt sein, daß die Daten gegen einen unberechtigten Zugang besonders gesichert waren. Um von besonders gesicherten Daten zu sprechen, reicht bereits eine Sicherung auf niedrigster Stufe aus, das bedeutet Zugangskontrollen durch Passwörter oder Schutz der Daten vor dem Zugriff von Unbefugten durch Verschlüsselung. Ein trojanisches Pferd hat aber in der Regel die gleichen Zugriffsrechte auf Dateien wie das Opfer.
Auch die Straftat der Datenveränderung (§ 303 a StGB) kann dem Entwickler eines trojanischen Pferds, das nur zur Datenspionage dient, nicht unterstellt werden. Laut dieser Vorschrift macht sich nämlich jeder strafbar, der rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert. Ein spionierender Trojaner protokolliert und kopiert die Daten; das bedeutet, daß er sie weder löscht, unterdrückt noch unbrauchbar macht. Auch die  Datenveränderung auf der Festplatte oder im Arbeitsspeicher (RAM) durch die Installation des Trojaners ist zwar prinzipiell erfüllt, erfolgt aber nicht durch den Datendieb, sondern dadurch, daß der Anwender diesen (unbewußt) installiert. Auch eine Computersabotage nach § 303 b StGB liegt nicht vor, da sie eine Störung des Betriebs voraussetzt. Da der Anwender den Trojaner aber nicht wahrnimmt, während dessen Spionagebefehle ausgeführt werden, kann ihn dieser nicht stören.
Eine Straftat, nämlich ein Verstoß gegen das Gesetz gegen den unlauteren Wettbewerb (§ 17 UWG), liegt unter bestimmten Umständen vor. Dazu muß es sich allerdings bei den ausspionierten Daten um Betriebs- oder Geschäftgeheimnisse handeln und der Datendieb muß diese zum Zwecke des Wettbewerbs, aus Eigennutz, zu Gunsten eines Dritten oder in Schädigungsabsicht verwenden.
Ob eine Straftat vorliegt oder nicht, könnte erst konkret entschieden werden, wenn das Spionageprogramm entdeckt und seine Arbeitsweise analysiert wurde. Gerade dies dürfte vor allem weniger versierten Anwendern sehr schwer fallen, da diese Programme versteckt im Hintergrund arbeiten und nur wenige Anwender über ein entsprechendes programmiertechnisches Hintergrundwissen verfügen. Aber selbst wenn der Trojaner ausfindig gemacht wird, liegt häufig noch keine Straftat vor, wie Sie den vorangegangenen Ausführungen entnehmen konnten.
Die beste Schutzmaßnahme ist, daß Sie keine Programme aus unbekannten Quellen herunterladen und installieren oder, wenn es aus irgendwelchen Gründen unbedingt sein muß, diese zumindest vorher mit einem aktuellen Virenscanner überprüfen.


Fazit:

Jeder sollte einmal darüber nachdenken, welche Folgen es hätte, wenn sein Computer für einige Tage oder gar länger ausfällt und/oder wichtige Informationen unwiederbringlich verloren gehen.

Workshop - das Basis-Sicherheitskonzept

Ganz besonders lohnt es sich einmal über die folgenden Argumente nachzudenken: 

  • Viele verlassen sich blind auf die vorhandenen Schutztechnologien. Nach der Installation der Firewall, des Virenscanners und des Backup-Programms ist das Thema „IT-Sicherheit“ abgeschlossen – ohne darüber nachzudenken, daß jeder Technologie Grenzen gesetzt sind. So lassen sich Zugriffe auf P2P- oder Instant Messaging-Dienste und die dabei ausgetauschten Daten nicht mit Firewalls überwachen, genauso wenig wie ein Virenscanner unbekannte Viren (von denen jeden Tag neue in Umlauf gebracht werden) erkennen kann. Was nützt ein Backup, bei dem der Virus mitgesichert wurde ?

  • Die Sicherheit eines IT-Systems hängt ganz wesentlich vom Gefahrenbewußtsein des Benutzers ab. Für viele Sicherheitsrisiken gibt es nur begrenzte oder (noch) gar keine technischen Schutzmöglichkeiten. Diese Risiken können nur durch gefahrenbewußte Anwender, die entsprechende Schutzmaßnahmen konsequent treffen, vermindert bzw. vermieden werden.

  • Falls Ihr IT-System nicht oder nur ungenügend gesichert ist, können Sie keinesfalls sicher behaupten, daß Ihre Daten/Informationen nicht ausspioniert werden.
    Bei einem gestohlenen Papierdokument fällt der Verlust wenigstens noch auf, bei digitalen Medien geschieht der Diebstahl in der Regel völlig unbemerkt. Wie soll ein Anwender, der die Gefahrenquellen, die bei IT-Systemen mit Internetzugang ohne Zweifel vorhanden sind, nicht kennt, beispielsweise wissen, daß beim Öffnen eines E-Mail-Anhangs ein trojanisches Pferd installiert werden kann, geschweige denn, ob ein solches Spionageprogramm unbemerkt im Hintergrund abläuft, vertrauliche Daten ausspäht, kopiert und an den Angreifer versendet ?

  • Sie haben als Opfer von elektronischen Schad- und Spionageattacken nur sehr begrenzte strafrechtliche Möglichkeiten, mit denen Sie gegen den Angreifer vorgehen können.

  • Wenn Sie Ihren Einzelplatzrechner innerhalb eines lokales Netzwerks ohne Zugang zu öffentlichen Netzwerken wie das Internet benutzen, können allenfalls Ihre Arbeitskollegen unerlaubt auf Ihren Rechner zugreifen; verwenden Sie den Rechner zuhause, so sind es Familienmitglieder oder vielleicht noch Freunde oder Bekannte; dies können Sie jedoch relativ leicht durch entsprechende Zugangskontrollen verhindern.
    Nehmen Sie diesen Rechner aber und verbinden ihn mit dem Internet, dann ist die Zahl der möglichen Täter im Millionenbereich, und diese können jederzeit von jedem beliebigen Ort aus angreifen. 
    Hierbei sind speziell Unternehmen mit sicherheitsrelevanten Daten, die der Konkurrenz sehr nützlich sein könnten, durch Industriespionage gefährdet. Gingen vor wenigen Jahren die Angriffe hauptsächlich von Studenten oder häufig noch jugendlichen Crackern aus, die allein aus Neugier in fremde Systeme eindrangen, sind durch die weitere Verbreitung des Internets heute auch professionelle Datendiebe tätig, die beispielsweise für Industriespionage von der Konkurrenz bezahlt werden.

Bildlink-Pfeil     Sie sind hier:  Startseite  > Lohnt es sich über IT-Sicherheit nachzudenken – Teil 1 > Lohnt es sich über IT-Sicherheit nachzudenken – Teil 2