Gesetzliche Rahmenbedingungen für anonyme Sicherheitsüberprüfungen

Transkript

1 Schriftliche Ausarbeitung Gesetzliche Rahmenbedingungen für anonyme Sicherheitsüberprüfungen Stefan Kleindl Andreas Ntaflos Sven Matner Lei Zhu 13. Januar 2011 Entwurf, Errichtung und Management von Datennetzen LU W 1 Einleitung Wann ist eine Sicherheitsüberprüfung auf ein Computersystem keine Überprüfung mehr, sondern bereits ein Angriff? Ist ein Portscan eines öffentlichen Servers strafbar? Welche Sicherheitsüberprüfungen könnten strafbar sein? Welche Voraussetzungen gelten für Strafbarkeit? Die Beantwortung dieser und ähnlicher Fragen erfordert das Studium des österreichischen Strafrechts, normiert im Strafgesetzbuch (StGB). Erst seit 2002 enthält das StGB einschlägige Cybercrime -Paragraphen, die Tatbestände wie unerlaubten Zugriff, Denial of Service oder Zerstörung oder Veränderung von Daten identifizieren und qualifizieren. Eine zentrale Aussage des Strafrechts ist, dass nur bestraft werden kann, was das Gesetz normiert: Keine Strafe ohne Gesetz. Der Gesetzgeber versucht daher, auf nationaler und EU-Ebene, den sich rasant ändernden technischen Möglichkeiten beizukommen, ist jedoch aufgrund der Natur der Sache immer im Rückstand. In dieser Arbeit sollen für die IT- und Informatikbranche wichtige rechtliche Grundlagen recherchiert werden. Ein IT-Techniker sollte nicht die Angst der Strafverfolgung im Hinterkopf haben müssen, wenn er seinem Beruf nachgeht. Dazu werden in den folgenden Abschnitten die Grundlagen der österreichischen Rechtsordnung beschrieben und besonderes Augenmerk auf das Computer-Strafrecht gelegt. Die Neuerungen des Strafrechts durch die Convention on Cybercrime (2001) und den EU-Rahmenbeschluss 2005/222/JI und die dadurch normierten Tatbestände werden untersucht und möglichst Kennzahl , Matrikelnummer , e @student.tuwien.ac.at Kennzahl , Matrikelnummer , daff@pseudoterminal.org Kennzahl , Matrikelnummer , e @student.tuwien.ac.at Kennzahl , Matrikelnummer , sirra@narf.at 1

2 2 Abgrenzung verständlich erklärt. Danach werden einige praxisnahe Anwendungsfälle und ihre etwaigen strafrechtlichen Implikationen diskutiert. Es sei bereits an dieser Stelle erwähnt, dass die Autoren dieser Arbeit keinen juristischen Hintergrund haben. Die in dieser Arbeit dargestellten Rechtsmeinungen und Interpretationen können keinen Anspruch auf Korrektheit und Vollständigkeit erheben. 2 Abgrenzung 2.1 Gesetzliche Rahmenbedingungen in Österreich Das Thema wurde anhand des österreichisches Bundesrecht behandelt. Ausgehend von den Vorgaben auf EU-Ebene (siehe Abschnitt 4.1 und Abschnitt 4.2) ist das Computerstrafrecht innerstaatlich im Strafgesetzbuch verankert. 2.2 Anonyme Sicherheitsüberprüfung Im Rahmen dieser Arbeit wurde der Begriff Anonyme Sicherheitsüberprüfung wie folgt definiert: Technische Methoden zum Auffinden von Schwachstellen in IT-Systemen, oft über ein Netzwerk, ohne Kenntnis und Zustimmung der Systembetreiber. 3 Legal Basics 3.1 Die österreichische Rechtsordnung Normen stellen Verhaltensregeln dar, die ein friedliches Zusammenleben zwischen den Menschen ermöglichen und den Rechtsstaat aufrechterhalten. In Österreich unterscheidet man verschiedene Arten von Normen (vgl. [7]). Rechtsnormen sind Normen, deren Beachtung und Einhaltung idr durch staatliche Machtmittel erzwungen werden kann. Moralische Normen, sittliche Normen und Gebräuche dienen der sozialen Kontrolle; sie stellen Pflichten dar, die der Mensch als Einzelwesen beachten soll. Die Beachtung dieser Normen kann jedoch nicht auf dem Rechtsweg erzwungen werden. Die Rechtsordnung ist die Gesamtheit der Regeln, die für das Zusammenleben der Menschen in einer Rechtsgemeinschaft (z. B. Staat) gelten. Sie sind mit verbindlicher Wirkung ausgestattet, ihre Einhaltung kann durch Staatsorgane erzwungen werden. 3.2 Stufenbau der Rechtsordnung Das Verhältnis der Normen zueinander wird im sogenannten Stufenaufbau der Rechtsordnung geregelt. Siehe dazu Bild 1. Die Gesetze sind in pyramidenform angeordnet. Die niedrigere Norm muss jeweils durch die höhere gedeckt sein. Sollte dies nicht der Fall sein, so ist diese Norm nur so lange gültig, bis sie vom Verfassungsgerichtshof aufgehoben wird. 2

3 3 Legal Basics Grundprinzipien der Bundesverfassung EU-Recht Bundesverfassung, Landesverfassung Bundesgesetz, Landesgesetz Verordnungen Bescheide, Urteile Bild 1: Stufenaufbau der Rechtsordnung Die Grundprinzipien der österreichischen Bundesverfassung stellen die wichtigsten Rechtsvorschriften in der österreichischen Rechtsordnung dar. Sie umfassen folgende Prinzipien: das demokratische Prinzip das Prinzip der Gewaltentrennung das Rechtsstaatsprinzip das republikanische Prinzip das bundesstaatliche Prinzip das liberale Prinzip Seit dem Beitritt Österreichs zur Europäischen Union geht das EU-Recht dem innerstaatlichen Recht und dem einfachen Bundesverfassungsrecht vor, nicht aber den Grundprinzipien der Bundesverfassung. Das EU-Recht beinhaltet alle Gesetze und Bestimmungen der Europäischen Union. Im Bundesverfassungsrecht ist die Verfassung (die Grundregeln eines Staates) niedergeschrieben. Es bestimmt das Gesetzgebungsverfahren, die Stellung der obersten Organe im Staat, das Verhältnis zwischen Bund und Ländern in Bezug auf Gesetzgebung und vollziehende Gewalt und die Kontrolle des staatlichen Handelns durch die Gerichte Bundesgesetze sind alle Gesetze, die üblicherweise nichts mit dem Staatsaufbau zu tun haben. 3

4 3 Legal Basics Verordnungen sind generelle Normen, die von den Verwaltungsbehörden erlassen werden und für alle Rechtsunterworfenen gleichermaßen gelten. Normalerweise füllen sie andere generelle Normen - meistens Gesetze - aus. Bescheide sind primär rechtsvollziehende Verwaltungsakte, die sich nur an die darin genannten Personen wenden. 3.3 Staatsgewalten und Gewaltentrennung Nach dem in Österreich bestehenden System der Gewaltenteilung unterscheidet man die gesetzgebende Gewalt (Legislative), die ausführende Gewalt (Exekutive) und die Recht sprechende Gewalt (Judikative). Das Konzept dieser Gewaltenteilung geht auf die Philosophen John Locke ( ) und Baron de Montesquieu ( ) zurück: Die drei Gewalten sollten in einem Staat voneinander getrennt sein. Damit werde erreicht, dass keine Gruppe innerhalb eines Staates zu viel Macht an sich ziehen könne und dass gleichzeitig die drei Gewalten einander kontrollieren würden. In Österreich gibt es die Trennung zwischen Exekutive und Legislative nicht wirklich. Hier werden die Abgeordneten des Parlaments gewählt und die Mehrheit der Abgeordneten bestimmt, wer die Regierung bildet. Weil das so ist, spricht man in diesen Systemen nicht von der klassischen institutionellen Gewaltenteilung, sondern von der zeitlichen Gewaltenteilung: Nicht das ganze Parlament übernimmt die Kontrolle der Regierung, sondern in erster Linie die Opposition. Wer diese Rolle innehat, kann sich nach jeder Wahl ändern. Die Gewaltenteilung erfolgt also auf Zeit. Die dritte Gewalt (die Judikative) muss auf jeden Fall von den beiden anderen getrennt sein. In Österreich darf jemand also z.b. nicht gleichzeitig Abgeordnete oder Abgeordneter des Nationalrates und Mitglied des Verfassungsgerichtshofes sein [6]. 3.4 Das österreichische Strafrecht Das Strafrecht bestimmt die Merkmale einer strafbaren Handlung und die dafür vorgesehen Strafen [8]. Es wird unterschieden zwischen nicht-kriminellem Strafrecht dem Verwaltungsstrafrecht und dem gerichtlichen Strafrecht. Die Unterscheidung basiert auf der Zuständigkeit der Behörden: für das Verwaltungsstrafrecht sind die Verwaltungsbehörden zuständig, für das gerichtliche Strafrecht die Gerichte. Typische strafbare Handlungen, die das gerichtliche Strafrecht beschreibt, sind Mord, Körperverletzung, Erpressung, Veruntreuung, Betrug, etc. Zweck des Strafrechts ist die Aufrechterhaltung der öffentlichen Ruhe und Ordnung. Es schützt damit die Interessen der Allgemeinheit. Die strafrechtlichen Bestimmungen (Straftatbestände) sind im Strafgesetzbuch (StGB) und in diversen Nebengesetzen (z. B. Waffengesetz) normiert. Straftatbestände werden Delikte genannt und umfassen jede mit Strafe bedrohte Handlung oder Unterlassung. Das Strafgesetzbuch in geltender Fassung ist im Rechtsinformationssystem (RIS) des Bundeskanzleramts zu finden [5]. Als Strafe wird ein gesetzliches Übel bezeichnet, das einer physische Person angedroht und im Einzelfall gegen sie verhängt wird, die schuldhaft eine strafbare Handlung begangen hat [8]. 4

5 4 Computerstrafrecht in Österreich Strafbarkeit gilt dann, wenn ein Verhalten vorliegt, das willkürlich, tatbestandsmäßig, rechtswidrig, schuldhaft und vom Gesetz mit gerichtlicher Strafe bedroht ist. Von Tatbestandsmäßigkeit wird gesprochen, wenn das Tun dem in der Gesetzesnorm beschriebenen entspricht. Rechtswidrigkeit bedeutet, ein Verhalten zu setzen, das gegen Gebote und Verbote der Rechtsordnung oder gegen die guten Sitten verstößt. Schuldhaft handelt, wer ein Verhalten setzt, das er hätte vermeiden sollen und auch hätte vermeiden können. Das bedeutet insbesondere, dass nur, was das Gesetz ausdrücklich unter Strafe stellt, auch tatsächlich strafbar ist: Keine Strafe ohne Gesetz. Eine Tat muss allen Merkmalen, die das Gesetz für den Tatbestand definiert, entsprechen. Dadurch kann das Strafrecht einen fragmentarischen Charakter annehmen. Beispielsweise ist es nach dem Buchstaben des Gesetzes nicht strafbar, in die unversperrte Wohnung eines Fremden einzutreten und dort seine Privatsachen zu durchsuchen. Weitere Begriffe, die für die Diskussion des Strafrechts wichtig sind, sind objektiver Tatbestand, subjektiver Tatbestand sowie Vorsatz und bedingter Vorsatz. Der objektive Tatbestand umschreibt im Handlung, Tatobjekt, Täterkreis und Situation eines Delikts, also deskriptive und normative Merkmale. Der subjektive Tatbestand hingegen umfasst Motive, Vorsatz und Absichten des Täters. Vorsatz beschreibt bewusst rechtswidriges Handeln bei dem der schädliche Erfolg vorhergesehen und dessen Eintritt gebilligt wird. Der bedingte Vorsatz gilt, wenn ein Täter den schädlichen Erfolg seiner Handlung nicht will, auch nicht von seinem Eintritt überzeugt ist, ihn aber ernsthaft für möglich hält und sich damit abfindet. Die Absicht ist zudem eine Form des Vorsatzes, bei der es darauf ankommt, einen bestimmten Erfolg zu erzielen. Abschließend sei die Strafprozessordnung (StPO) erwähnt. Zusammen mit diversen Nebengesetzen (Mediengesetz, Jugendgerichtsgesetz), regelt sie das Verfahren zur Feststellung der Schuld und etwaigen Strafe eines einer Straftat Beschuldigten. Hier tritt der Staatsanwalt als Organ des Staates mit Hoheitsgewalt auf und führt den Beschuldigten einer gerichtlichen Verfolgung zu. Das Gericht entscheidet über den Antraf auf Bestrafung, den der Staatsanwalt stellt. Dieses Strafverfahren endet mit einer Verurteilung (Geldoder Freiheitsstrafe) oder mit einem Freispruch des Beschuldigten [9]. 4 Computerstrafrecht in Österreich Bis zum Jahr 2002 enthielt das StGB nur zwei Paragraphen, 126a StGB und 148a StGB, die sich mit Computer- oder Cyberstrafrecht befassten. Sie wurden im Rahmen der StGB-Novelle 1987 eingeführt. In 126a StGB wurde der Tatbestand der Datenbeschädigung normiert, in 148a der des Datenverarbeitungsmissbrauchs: 126a StGB. 5

6 4 Computerstrafrecht in Österreich (1) Wer einen anderen dadurch schädigt, dass er automationsunterstützt verarbeitete, übermittelte oder überlassene Daten, über die er nicht oder nicht allein verfügen darf, verändert, löscht oder sonst unbrauchbar macht oder unterdrückt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Unter Daten im Sinn des Abs. 1 sind sowohl personenbezogene und nicht personenbezogene Daten als auch Programme zu verstehen. (3) Wer durch die Tat an den Daten einen S übersteigenden Schaden herbeiführt, ist mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bis zu 360 Tagessätzen, wer einen S übersteigenden Schaden herbeiführt, mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen. 148a StGB. (1) Wer mit dem Vorsatz, sich oder einen Dritten unrechtmäßig zu bereichern, einen anderen dadurch am Vermögen schädigt, dass er das Ergebnis einer automationsunterstützten Datenverarbeitung durch Gestaltung des Programms, durch Eingabe, Veränderung oder Löschung von Daten ( 126a Abs. 2) oder sonst durch Einwirkung auf den Ablauf des Verarbeitungsvorgangs beeinflusst, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Wer die Tat gewerbsmäßig begeht oder durch die Tat einen S übersteigenden Schaden herbeiführt, ist mit Freiheitsstrafe bis zu drei Jahren, wer durch die Tat einen S übersteigenden Schaden herbeiführt, mit Freiheitsstrafe von einem bis zu zehn Jahren zu bestrafen. Es ist klar, dass diese Tatbestände alleine nicht die vielfältigen technischen Möglichkeiten und Angriffe auf Computer- und Informationssysteme abzudecken vermögen, die sich seit dieser StGB-Novelle entwickelt haben. Beispielsweise wäre aufgrund dieser beiden Normen der unerlaubte Zugriff (Passwort cracken, SQL-Injection) auf ein Computersystem oder die Störung eines Computersystems (Denial of Service) nicht strafbar. Diese Ohnmacht der Rechtsnormen haben auch die Gesetzgeber Europas und der EU erkannt und mit der Convention on Cybercrime [1] im Jahr 2002 und dem EU- Rahmenbeschluss 2005/222/JI Angriff auf Informationssysteme [4] ein Rahmenwerk geschaffen, das das Computerstrafrecht modernisiert um den technischen Möglichkeiten zumindest einigermaßen entsprechen zu können. 4.1 Die Convention on Cybercrime Die Convention on Cybercrime ist ein internationales Abkommen, das am 8. November 2001 durch den Europarat (nicht Rat der Europäischen Union) verabschiedet wurde. Insgesamt 47 Staaten haben die Cybercrime-Convention unterzeichnet, darunter viele europäische und EU-Staaten, sowie die Schweiz, Ukraine und Rumänien aber auch nichteuropäische Staaten wie die USA, Kanada, Japan und Südafrika. Die Mitgliedsstaaten 6

7 4 Computerstrafrecht in Österreich dieses Abkommens verpflichten sich, den Inhalt der Convention binnen gewisser Fristen in nationales Recht umzusetzen. Ziel der Convention on Cybercrime ist es, eine gemeinsame Strafrechtspolitik zu schaffen, um die Zusammenarbeit zur Verfolgung von und dem Schutz vor Computerstraftaten zu fördern und zu verbessern. Vor allem Straftaten wie Verletzungen des Urheberrechts, Betrug per Computer, Kinderpornographie und Verstöße gegen die Sicherheit von elektronischen Netzen sollen behandelt werden. Die Convention ist am 1. Juli 2004 in Kraft getreten und in Österreich mit dem Strafrechtsänderungsgesetz 2002 umgesetzt. Das Gesetz (BGBl. I Nr. 134/2002) ist am 1. Oktober 2002 in Kraft getreten. Es hat einige neue Tatbestände definiert und bestehende angepasst: 126a (Datenbeschädigung) und 148a (betrügerischer Datenverarbeitungsmissbrauch) wurden angepasst Widerrechtlicher Zugriff auf ein Computersystem ( 118a StGB) Verletzung des Telekommunikationsgeheimnisses ( 119 StGB) Missbräuchliches Abfangen von Daten ( 119a StGB) Missbrauch von Tonaufnahme- oder Abhörgeräten ( 120 Abs. 2a StGB) Störung der Funktionsfähigkeit eines Computersystems ( 126b StGB) Missbrauch von Computerprogrammen oder Zugangsdaten ( 126c StGB) Datenfälschung ( 225a StGB) Die Tatbestände werden in Abschnitt 4.3 genauer diskutiert. 4.2 Rahmenbeschluss der EU: Angriff auf Informationssysteme Der Rahmenbeschluss 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme [4] wurde vom Rat der Europäischen Union verabschiedet betrifft die schwersten Formen von Kriminalität gegen Informationssysteme, wie z. B. Hacking, Verbreitung von Viren und Angriffe auf Dienste. Der Beschluss hat ähnliche Ziele, wie die Cybercrime Convention und soll dazu dienen, die europäischen Strafrechtsnormen weiter zu vereinheitlichen um gemeinsame Strafverfolgung von Computerkriminalität zu vereinfachen. Ähnlich einer EU-Richtline haben die Mitgliedsstaaten den Inhalt des Beschlusses in nationales Recht umzusetzen. In Österreich fand diese Umsetzung im Strafgesetzbuch mit dem Strafrechtsänderungsgesetz 2008 (BGBl. I Nr. 109/2007) statt jedoch zog sie keine wesentlichen Änderungen nach sich. Hauptsächlich wurden Strafmaßanpassungen und diverse Deliktsqualifikationen durchgeführt. 7

8 4 Computerstrafrecht in Österreich 4.3 Die wichtigsten Delikte erklärt Im Folgenden sollen die wichtigsten Tatbestände des Strafgesetzbuchs diskutiert und erläutert werden. Wo sinnvoll, werden Beispiele angeführt. Als Orientierung und wichtigste Quelle dient [3]. Es sei erneut darauf hingewiesen, dass die Autoren dieser Arbeit allesamt keinen juristischen Hintergrund haben und daher Diskussionen und Rechtsmeinungen laienhaft und nach bestem Wissen und Gewissen geführt und gebildet werden, ohne Anspruch auf Korrektheit und Vollständigkeit Widerrechtlicher Zugriff auf ein Computersystem 118a. (1) Wer sich in der Absicht, sich oder einem anderen Unbefugten von in einem Computersystem gespeicherten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, zu einem Computersystem, über das er nicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen Zugang verschafft, indem er spezifische Sicherheitsvorkehrungen im Computersystem überwindet, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen. (3) Wer die Tat als Mitglied einer kriminellen Vereinigung begeht, ist mit Freiheitsstrafe bis zu drei Jahren zu bestrafen. Diskussion Der objektive Tatbestand wird erfüllt, wenn sich jemand zu einem Computersystem oder einem Teil davon Zugang verschafft, über das er nicht (alleine) verfügen darf, indem er spezifische Sicherheitsvorkehrungen überwindet. Der subjektive Tatbestand beinhaltet vor allem einen Spionagevorsatz, also die Absicht, sich Kenntnis von Daten zu verschaffen, die nicht für einen bestimmt sind. Die Art des Zugangs muss also geeignet sein, diesen Spionagevorsatz zu erfüllen. Weiters gibt es einen Verwendungsvorsatz, der Täter muss in der Absicht handeln, die Daten selbst zu benützen oder einem anderen, für den sie nicht bestimmt sind, zugänglich machen. Letztlich muss der Täter noch in der Absicht handeln, sich (oder anderen) einen Vermögensvorteil zu verschaffen oder anderen einen Nachteil zuzufügen. Der Nachteil darf sich nicht bereits dadurch erschöpfen, dass der Täter sich oder anderen Kenntnis der Daten verschafft oder diese weitergegeben hat. Es sei daran erinnert, dass Strafbarkeit voraussetzt, dass alle im Tatbestand beschriebenen Merkmale erfüllt werden, nicht nur Teile davon. Daher wird die Strafbarkeit nach 118a schnell eingeschränkt. Ein Täter, der nur seine Fähigkeiten messen will aber keine Spionage-, Verwendungs- oder Nachteilzufügungsabsicht hat, kann nicht nach 118a 8

9 4 Computerstrafrecht in Österreich bestraft werden. Auch ein Angreifer, der das Computersystem kapert, etwa um es Teil eines Botnetzes zu machen, macht sich nicht nach 118a strafbar. Wohl aber können für solche Fälle 126a Abs. 1 und 126b gelten. Beispiel Person X verschafft sich Zugriff auf den internen Fileserver einer politischen Partei um Informationen zur nächsten Wahlkampfcampagne an eine gegnerische Partei zu verkaufen Verletzung des Telekommunikationsgeheimnisses 119. (1) Wer in der Absicht, sich oder einem anderen Unbefugten vom Inhalt einer im Wege einer Telekommunikation oder eines Computersystems übermittelten und nicht für ihn bestimmten Nachricht Kenntnis zu verschaffen, eine Vorrichtung, die an der Telekommunikationsanlage oder an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen. Diskussion Der objektive Tatbestand wird erfüllt, indem eine Abhörvorrichtung am Computersystem oder einer Telekommunikationsanlage empfangsbereit gemacht wird. Diese Abhörvorrichtung kann auch ein Computerprogramm sein. Ein typisches Programm, das diesen Tatbestand erfüllen kann, ist tcpdump 1. Dem Wortlaut des Tatbestandes nach muss die Abhörvorrichtung allerdings nicht zwangsweise Netzwerkverkehr abhören, sondern kann auch ein Keylogger sein, der Tastaturanschläge aufzeichnet. Der subjektive Tatbestand besteht darin, dass der Täter die Absicht hat, sich oder anderen Unbefugten Kenntnis von Nachrichten zu verschaffen, die mittels eines Computeroder Telekommunikationssystems übermittelt wurden und nicht für ihn selbst bestimmt sind. Der Begriff Nachricht beschreibt in diesem Zusammenhang laut [3] Daten, die eine Gedankenerklärung enthalten. Das ist beispielsweise bei s nicht immer der Fall, etwa, wenn es sich um automatisch generierte Nachrichten (Statistiken, Auslastung) handelt. Http-URLs hingegen enthalten im Normalfall keine Nachrichten in diesem Sinne, jedoch kann bei Verwendung der GET-Methode durchaus auch in der URL eine Nachricht enthalten sein ( Es ist also nicht möglich, allein aufgrund der technischen Beschaffenheit der Daten darauf zu schließen, ob es sich um Nachrichten handelt. Beispiel Person X installiert auf dem Computer von Person Y einen Keylogger

10 4 Computerstrafrecht in Österreich Missbräuchliches Abfangen von Daten 119a. (1) Wer in der Absicht, sich oder einem anderen Unbefugten von im Wege eines Computersystems übermittelten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, eine Vorrichtung, die an dem Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt oder die elektromagnetische Abstrahlung eines Computersystems auffängt, ist, wenn die Tat nicht nach 119 mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Der Täter ist nur mit Ermächtigung des Verletzten zu verfolgen. Diskussion Objektiver Tatbestand ist die Verwendung einer am Computersystem angebrachten oder sonstwie empfangsbereit gemachten Vorrichtung und das Auffangen der elektromagnetischen Abstrahlung des Computersystems. Der subjektiver Tatbestand setzt, wie 118a, Vorsatz/Absicht in dreifacher Hinsicht voraus. Auch hier muss Spionagevorsatz, Verwendungsvorsatz und Nachteilzufügungsvorsatz bestehen. Im Gegensatz zu 119 ist in 119a von Daten die Rede. Der Begriff darf hier sehr weit gefasst werden und bietet daher weiten strafrechtlichen Schutz. Allerdings endet der Schutz wie in 119 mit dem Abschluss der Übertragung, also dem endgültigen Speichern der übertragenen Daten Datenbeschädigung 126a. (1) Wer einen anderen dadurch schädigt, daß er automationsunterstützt verarbeitete, übermittelte oder überlassene Daten, über die er nicht oder nicht allein verfügen darf, verändert, löscht oder sonst unbrauchbar macht oder unterdrückt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Wer durch die Tat an den Daten einen Euro übersteigenden Schaden herbeiführt, ist mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bis zu 360 Tagessätzen, wer einen Euro übersteigenden Schaden herbeiführt oder die Tat als Mitglied einer kriminellen Vereinigung begeht, mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen. Diskussion Der objektive Tatbestand wird erfüllt, wenn ein Täter Daten verändert (Löschen, Überschreiben, Verunstalten,... ), über die er nicht (allein) verfügen darf und damit den Betroffenen schädigt. Das Merkmal der Schädigung ist hier besonders wichtig, 10

11 4 Computerstrafrecht in Österreich denn wenn die veränderten Daten ohne großen Aufwand wiederhergestellt werden können, etwa durch ein aktuelles Backup, dann besteht keine Strafbarkeit nach 126a. Um den subjektiven Tatbestand zu erfüllen, genügt bedingter Vorsatz. Beispiel Person X verschafft sich Zugang zu einem firmeninternen Linux-Fileserver und installiert dort einen Rootkit. Da Rootkits, um möglichst unerkannt zu bleiben, in einem System viele Ressourcen verändern müssen, etwa Systemmanagementtools wie ps, top, Shellbefehle wie ls und find und sogar den laufenden Kernel selbst, ist ein davon betroffenes System derart verseucht, dass die einzige sinnvoll Lösung das komplette Neuaufsetzen des Betriebssystems und alle Anwendungen ist. Hier entsteht dem Betroffenen eindeutig ein Schaden, der ohne Weiteres e übersteigen kann Störung der Funktionsfähigkeit eines Computersystems 126b. (1) Wer die Funktionsfähigkeit eines Computersystems, über das er nicht oder nicht allein verfügen darf, dadurch schwer stört, dass er Daten eingibt oder übermittelt, ist, wenn die Tat nicht nach 126a mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Wer durch die Tat eine längere Zeit andauernde Störung der Funktionsfähigkeit eines Computersystems herbeiführt, ist mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bis zu 360 Tagessätzen, wer die Tat als Mitglied einer kriminellen Vereinigung begeht, mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen. Diskussion Der objektive Tatbestand wird erfüllt, wenn ein Täter durch Eingabe oder Übermittlung von Daten die Funktionsfähigkeit eines Computersystems stört, über das er nicht (allein) verfügen darf. Ein subjektiver Tatbestand ist wieder durch bedingten Vorsatz bezüglich des objektiven Tatbestands erfüllt. Der 126b soll also vor Denial-of-Service-Angriffen schützen. Als schwere Störung ist dabei der Absturz des vom Angriff betroffenen Dienstes oder des Betriebssystems zu verstehen, ebenso wie eine derart hohe Belastung der Systemressourcen, dass das Verhalten des Systems einem Absturz gleichkommt. Im Gegensatz zu 126a wird in 126b nicht auf Schaden oder Schädigung abgestellt. Die Folgen eines DoS-Angriffs lassen sich in der Regel durch ein einfaches Neustarten des Dienstes oder Betriebssystems beheben, daher gilt hier keine Strafbarkeit nach 126a. Interessanterweise sind schwere Störungen von Computersystemen, die durch Unterbrechung der Energieversorgung des gesamten Netzwerks entstehen, straffrei, da nach 126a zwar Daten unzugänglich gemacht, aber nicht geschädigt werden (insbesondere beim Einsatz moderner Filesysteme, die auch bei plötzlichem Absturz oder Ausschalten von Rechnern Datenkonsistenz gewährleisten) und nach 126b keine Daten eingegeben oder übermittelt werden, um die Störung herbeizuführen. 11

12 4 Computerstrafrecht in Österreich Missbrauch von Computerprogrammen oder Zugangsdaten 126c. (1) Wer 1. ein Computerprogramm, das nach seiner besonderen Beschaffenheit ersichtlich zur Begehung eines widerrechtlichen Zugriffs auf ein Computersystem ( 118a), einer Verletzung des Telekommunikationsgeheimnisses ( 119), eines missbräuchlichen Abfangens von Daten ( 119a), einer Datenbeschädigung ( 126a), einer Störung der Funktionsfähigkeit eines Computersystems ( 126b) oder eines betrügerischen Datenverarbeitungsmissbrauchs ( 148a) geschaffen oder adaptiert worden ist, oder eine vergleichbare solche Vorrichtung oder 2. ein Computerpasswort, einen Zugangscode oder vergleichbare Daten, die den Zugriff auf ein Computersystem oder einen Teil davon ermöglichen, mit dem Vorsatz herstellt, einführt, vertreibt, veräußert, sonst zugänglich macht, sich verschafft oder besitzt, dass sie zur Begehung einer der in Z 1 genannten strafbaren Handlungen gebraucht werden, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. (2) Nach Abs. 1 ist nicht zu bestrafen, wer freiwillig verhindert, dass das in Abs. 1 genannte Computerprogramm oder die damit vergleichbare Vorrichtung oder das Passwort, der Zugangscode oder die damit vergleichbaren Daten in der in den 118a, 119, 119a, 126a, 126b oder 148a bezeichneten Weise gebraucht werden. Besteht die Gefahr eines solchen Gebrauches nicht oder ist sie ohne Zutun des Täters beseitigt worden, so ist er nicht zu bestrafen, wenn er sich in Unkenntnis dessen freiwillig und ernstlich bemüht, sie zu beseitigen. Diskussion Das Herstellen, Einführen, Vertreiben, Veräußern, Zugänglichmachen, sich Verschaffen oder Besitzen von Tools, die zur Erfüllung der Tatbestände in 118a, 119, 119a, 126a und 126b genutzt werden können oder von Authentifizierungsdaten erfüllt den objektiven Tatbestand. Diese Tools müssen (mehr oder weniger) eindeutig als Angriffstools identifiziert werden können und nicht bloß Doppelfunktionalität bieten, wie das viele Sicherheitstools tun. Exploits und Programme des Metasploit-Projekts sind in ihrer Beschaffenheit primär dazu gedacht, Angriffe durchzuführen, auch wenn man diese Angriffe zwecks Sicherheitstests auch im eigenen Netzwerk und auf eigenen Systemen verwenden kann. Netzwerksniffer wie Tcpdump oder Portscanner wie Nmap hingegen sind in erster Linie für die Analyse des Netzwerks und Diensten gedacht, auch wenn sie gern von Angreifern eingesetzt werden, um das Netzwerk zu belauschen oder mögliche Angriffsziele ausfindig zu machen. Der zweite Fall spricht von einem Computerpasswort oder Zugangscode, schränkt aber nicht ein, dass es sich dabei um Authentifizierungsdaten für ein konkretes Computersystem handeln muss. Insbesondere Default-Zugangsdaten von diversen Endusergeräten wie WLAN-Routern fallen unter diesen Punkt. 12

13 5 Fallbeispiele und Analysen Der subjektive Tatbestand enthält sowohl den bedingten Vorsatz, als auch einen erweiterten Vorsatz, nach dem sich ein Täter bewusst sein und es für ernsthaft möglich halten muss, mit den beschriebenen Tatmitteln ein Delikt gemäß 118a, 119, 119a, 126a und 126b begehen zu können. Daher müssen für Strafbarkeit auch die erweiterten Vorsätze dieser Delikte gelten. In [3] werden die Implikationen des 126c wesentlich detaillierter diskutiert und mit anderen Delikten des StGB verglichen. Eine derartige Diskussion würde den Rahmen dieser Arbeit sprengen. 5 Fallbeispiele und Analysen 5.1 SQL-Injection Bei der SQL-Injection (SQL-Einschleusung) wird mittels Sicherheitslücken in Zusammenhang mit einer SQL-Datenbank Code in ein fremdes System eingeschleust. Bei einer SQL-Injection wird versucht, in Usereingaben, die mit einer Datenbankanfrage zusammenhängen (etwa Login, Suchmaske einer Webapplikation), SQL-Statements einzuschleusen. Dabei wird vorausgesetzt, dass die Eingabe des Users ungefiltert oder nur unzureichend gefiltert direkt in die SQL-Anfrage eingesetzt wird. Ein Beispiel wäre eine Login-Funktion eines Servers, die den Usernamen und das Passwort durch ein SELECT-Statement überprüft: SELECT * FROM users WHERE user = $user and password = $password ; und die Antwort der Datenbank diese Daten für dich Durchführung des Logins benutzt. Das funktioniert solange, wie niemand auf die Idee kommt beispielsweise als Passwort das Konstrukt OR 1=1 einzusetzen: SELECT * FROM users WHERE user= admin AND password= OR 1=1; In dem Fall würde die Passwortabfrage effektiv umgangen und der User mit seinem gewählten Usernamen eingeloggt. Das Ganze funktioniert natürlich auch mit beliebigen anderen gültigen SQL-Statements, so dass vom Löschen von Tabellen bis zum Auslesen der Datenbank über Unions, die dann etwa in einer Suchmaske angezeigt werden, vieles möglich ist. Um zu überprüfen, ob eine SQL-Injection möglich ist, muss man meistens bereits eine solche durchführen, wobei ein schlecht konfigurierter Webserver auch schon durch Erzeugen eines Syntaxfehlers im SQL Statement Aufschluss darüber geben kann, ob eine Injection möglich ist. Im Allgemeinen muss aber davon ausgegangen werden, dass der Webserver so konfiguriert ist, dass SQL-Fehler dem User nicht gezeigt werden, was dazu führt, dass eine mögliche SQL-Injection erst durch erfolgreiche Durchführung des Angriffs positiv identifiziert werden kann. Des weiteren könnte der Webserver einfache Injections durch eine Blacklist filtern (die z. B. nur SELECT und OR enthält, nicht aber DELETE), so dass es bei 13

14 5 Fallbeispiele und Analysen Blackbox-Tests nur durch Ausführen destruktiver Injections möglich ist, zu erkennen ob diese erfolgreich sind. Rechtlich gesehen ist ein Angreifer mit folgenden Tatbeständen konfrontiert: 118a. StGB Widerrechtlicher Zugriff auf ein Computersystem. Einloggen als User ohne korrektes Passwort Abfrage von Datenbankinhalten 126a. StGB Datenbeschädigung Einschleusen von destruktiven Statements 126b. StGB Störung der Funktionsfähigkeit eines Computersystems Löschen von Datenbanktabellen 5.2 Dem Netzwerktraffic lauschen mit tcpdump und Konsorten Programme wie Tcpdump werden eingesetzt zum Abhören und Aufzeichnen von Netzwerktraffic. Das kann einerseitz zur Fehlersuche eingesetzt werden, andererseits kann es auch dazu verwendet werden, persönliche Informationen wie Passwörter und Benutzerdaten zu filtern. Beim Einsatz zweiter Art liegen die Tatbestände gemäß 119 StGB und 119a StGB vor. In beiden Fällen muss allerdings tatsächlich Vorsatz nachweisbar sein. Wenn danach die abgefangenen Authentifizierungsdaten eingesetzt werden, liegt zusätzlich Tatbestand 126c vor. 5.3 Portscan mit Nmap oder Nessus (nicht-destruktiv) Beim Portscan wird überprüft ob Ports des Zielsystems offen sind, sprich ob (und welche) Dienste auf dem Zielsystem auf Verbindung lauschen. Dazu wird versucht eine Verbindung zu diesem Port herzustellen und die Antworten des Servers ausgewertet. Mittels Nessus kann zusätzlich versucht werden, herauszufinden, welche Services bzw. welche Versionen der Services auf den offenen Ports lauschen. So können Sicherheitsschwachstellen ermittelt werden. Das Ergebnis ist eine Liste möglicher Schwachstellen, die für einen Angriff verwendet werden kann. Portscans sind grundsätzlich nicht strafbar, da sich kein Tatbestand darauf anwenden lässt, insbesondere, wenn kein erweiterter Vorsatz (Spionage, Verwendung, Nachteilzufügung,... ) gegeben ist. In einem besonderen Fall, wenn durch Zugriffe auf bestimmte Ports der Server in seiner Funktionsfähigkeit gestört wird, etwa das Betriebssystem oder der Dienst abstürzt, ist es diskutierbar, ob 126b StGB anwendbar ist. Allerdings muss hier bedingter Vorsatz gelten. Im Allgemeinen ist ein Portscan nicht dafür geeignet, Dienste oder Systeme in ihrer Funktionsfähigkeit zu stören, daher ist bedingter Vorsatz ohne weitere Voraussetzungen nicht argumentierbar. Wenn ein Angreifer allerdings genau weiß, dass ein Portscan Schaden anrichten oder Störungen herbeiführen kann, so kann auch 126c zur Anwendung kommen. 14

15 5 Fallbeispiele und Analysen 5.4 ÖH-Wahlen 2009: BRZ und ARGE Daten Bei der ÖH-Wahl 2009 wurde erstmals die Möglichkeit des E-Voting angeboten. Die Diskussion um E-Voting wird oft sehr emotional geführt und gerade bei dieser Wahl hat das Konzept und die Umsetzung einige Wellen geschlagen. Dieser Fall ist ein reales Beispiel für die mögliche Anwendung des Computerstrafrechts in der Praxis. Im Zuge der ÖH-Wahl bekundeten E-Voting-Kritiker, allen voran die Firma ARGE Daten unter Leitung von Hans Zeger, ihr Misstrauen gegenüber E-Voting generell und der Umsetzung bei der ÖH-Wahl im Speziellen. Zusätzlich zu verbalen Attacken wurden ein Test-Tools veröffentlicht, das prüfen soll, ob das eingesetzte E-Voting-System massentauglich ist. Der Beschreibung nach es soll es die E-Voting-Website überwachen und die Verfügbarkeit der E-Voting-Server überprüfen. Das Tool basiert auf Javaskript und umfasst 200 Programmzeilen. Es läuft im Browser des Users, der die von ARGE Daten veröffentliche Website aufruft. Jedoch ist das Tool gemäß seiner besonderen Beschaffenheit eindeutig als Distributed Denial-of-Service-Programm zu sehen. Das Tool kann mit Hilfe eines beliebigen Webbrowsers ausgeführt werden. Mit der Standardkonfiguration werden alle 1000 Millisekunden 5 iframes geöffnet und in diesen parallel das Logo der ÖH-Webseite geladen. Sprich ein einzelner Benutzer würde 5 Anfragen pro Sekunde an den Webserver schicken. Die Konfiguration lässt pro Sekunde bis zu Anfragen zu. Bei einer weiten Verbreitung und Anwendung des Tools, wie es ARGE Daten gewünscht und propagiert hatten, wäre abzusehen, dass die Zielserver unter der großen Anfragelast zusammenbrechen. Tatsächlich hat das Tool keine ausreichende Verbreitung gefunden, um tatsächlich Schaden anzurichten oder die Funktionsfähigkeit zu stören. Strafrechtlich relevant wären vor allem die Tatbestände gemäß 126b StGB, Störung der Funktionsfähigkeit eines Computersystems mit bedingtem Vorsatz. Weiters kann auch hier 126c zur Anwendung kommen, da das Tool hinsichtlich senier Beschaffenheit genau für die Störung der Funktionsfähigkeit eines Computersystems gedacht war. Es wurde im Anschluss von der Staatsanwaltschaft Anzeige erhoben gegen den zuständigen Personen der ARGE Daten, speziell Hans Zeger. Die Cybercrime-Anschuldigungen und Anschuldigen zur Wahlmanipulation, sowie die Anzeige wurden jedoch nach einer Prüfung wieder zurückgelegt. Begründung:... kein tatsächlicher Grund zur weiteren Verfolgung besteht ( 190 Z2 StPO) Weiters:... die dem Ermittlungsverfahren zu Grunde liegende Tat nicht mit gerichtlicher Strafe bedroht ist ( 190 Z1 StPO) Letzteres bezieht sich auf den Vorwurf der Wahlmanipulation, jedoch steht das Manipulieren von Hochschülerschaftswahlen nicht unter Strafe. 15

16 6 Zusammenfassung 6 Zusammenfassung Die Unterscheidung zwischen Sicherheitsüberprüfung und Angriff ist nicht immer leicht. Das österreichische Strafrecht bietet zwar kein umfassendes aber ein durchaus adäquates Rahmenwerk zur Beurteilung der Frage wann ist eine Sicherheitsüberprüfung bereits ein Angriff. Jedoch gibt es bislang nur Interpretationen und Rechtsmeinungen, aber keine tatsächlichen Urteile und Entscheidungen, die uneindeutige Aspekte des Strafrechts aufklären würden. In jedem Fall ist zu prüfen, welche Absichten und Vorsätze ein Täter hat und welche Tatbestände tatsächlich vollständig erfüllt werden. Dazu ist es sinnvoll, sich mehr als nur rudimentär mit dem österreichischen Strafrecht zu befassen, da es einen relativ fragmentarischen Charakter hat. Viele Fälle von möglicher Cyberkriminalität sind allein mit dem Cyberstrafrecht nicht eindeutig beantwortbar. Es lohnt sich, zu wiederholen: nur was das Gesetz tatsächlich verbietet, ist strafbar. Wird ein Tatbestand nicht vollständig erfüllt, etwa weil keine Absicht oder kein erweiterter Vorsatz nachweisbar sind, kann nicht gestraft werden. Eine zentrale Frage dieser Arbeit, nämlich ob ein Portscan eines im Internet erreichbaren Computersystems strafbar ist, kann jedoch sehr eindeutig negativ beantwortet werden. Literatur [1] Europarat: Convention on Cybercrime. en/treaties/html/185.htm [2] Feiler, Lukas: Hacking und Computerstrafrecht. teaching_hacking/index.html [3] Feiler, Lukas: Zur strafrechtlichen Beurteilung von IT-Sicherheitslücken. (2005/2006). Beurteilung_von_IT-Sicherheitsluecken.pdf [4] Rat der Europäischen Union: Rahmenbeschluss 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme. LexUriServ/LexUriServ.do?uri=CELEX:32005F0222:DE:NOT [5] Rechtsinformationssystem, Bundeskanzleramt: Bundesgesetz vom 23. Jänner 1974 über die mit gerichtlicher Strafe bedrohten Handlungen (Strafgesetzbuch StGB). Bundesnormen&Gesetzesnummer= [6] Reinhold Gärtner: Gewaltenteilung, Gewaltentrennung. politik-lexikon.at/print/gewaltenteilung-gewaltentrennung/ [7] Vereinigung der österreichen Richterinnen und Richter: Thema Justiz. 16

17 Literatur [8] Vereinigung der österreichen Richterinnen und Richter: Thema Justiz. [9] Recht und Gericht in Österreich. beitrag/gericht/gericht.jsp?bei=95 17