DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Sturm im Wasserglas?

Nach gut 10 Jahren Hacker­pa­ra­graph folgt nun eine neue Runde zum Schutz von Pri­vat­per­sonen und Unternehmen.

 

Ich habe noch die Ein­führung des Hacker­pa­ra­graphen in Erin­nerung. Auch hier ist es eine richtige Ent­scheidung gewesen, das Know-how von Orga­ni­sa­tionen und deren Funk­ti­ons­fä­higkeit zu schützen. Wenn auch eine gefährliche.

Haupt­säch­licher „Stein des Anstoßes“ rund um das 41. Straf­rechts­än­de­rungs­gesetz ist der neue Para­graph 202c StGB. Danach soll die Vor­be­reitung einer Straftat durch Her­stellung, Beschaffung, Verkauf, Über­lassung, Ver­breitung oder Zugäng­lich­ma­chung von Pass­wörtern oder sons­tigen Sicher­heits­codes für den Daten­zugang sowie von geeig­neten Com­pu­ter­pro­grammen künftig mit Geld­strafe oder Frei­heits­entzug bis zu einem Jahr geahndet werden, so schrieb heise.de damals.

Durch diese ‑aus tech­ni­scher Sicht- sehr vage Umschreibung wurden viele gängige Tools von Admi­nis­tra­toren und Dienst­leistern für Pene­tra­ti­ons­tests kriminalisiert.

Wenn man sich mit gel­tendem Recht und dessen Aus­legung aus­ein­an­der­setzt, muss man leider fest­stellen, dass nicht immer die gute Absicht, die in Gesetze ein­ge­flossen ist auch tat­sächlich umge­setzt wird. Für den Laien: Es gibt in der Aus­legung von Gesetzen immer eine herr­schende Meinung und Mindermeinungen.

Kurzum: Ein Gesetz wird nicht von allen Juristen in der gleichen Weise aus­gelegt. Bei Recht­strei­tig­keiten kann – und hier ist in einer öffent­lichen Dis­kussion immer der aktuelle poli­tische Rahmen zu beachten – das Gesetz keine sichere Bank! Unter dem Deck­män­telchen der “öffent­lichen Sicherheit“ oder einer mehr oder weniger latenten Ter­ror­gefahr kann bei einem Not­stand ein Gesetz doch immer auch „zurecht­ge­bogen“ werden.

Doch zurück zum Thema: mit einem Verweis auf die  aktuelle Ausgabe des Magazins “der Spiegel” schreibt heise.de  Hessens Jus­tiz­mi­nis­terin Eva Kühne-Hörmann will eine Geset­zes­in­itiative in den Bun­desrat ein­bringen, der das Infi­zieren fremder Com­puter für Bot­netze unter Strafe stellt.

Dies ist sicher ein guter Ansatz. Doch wie auch schon damals ist hier Augenmaß gefragt!

Ein Bei­spiel: Ihr Com­puter wurde von einem brand­neuen Tro­janer infi­ziert, den für die ersten 12 Stunden nur sehr wenige Viren­scanner erkennen. Der Tro­janer bindet Ihren Com­puter in ein Botnetz ein. Dar­aufhin sendet Ihr Com­puter ver­seuchte E‑Mails an alle Ihre Geschäftspartner.

Und jetzt: …Nach­denken! Worin besteht nun Ihr Problem! Bei­spiels­weise könnte man Ihnen vor­werfen, Sie hätten nur eine Freeware-Version eines Viren­scanners ein­ge­setzt, die nicht über die erfor­der­lichen Mecha­nismen verfügt. Oder Sie hätten mehr Energie auf die Kon­fi­gu­ration Ihrer Firewall auf­wenden müssen. Diese läuft noch im Standard-Modus und ver­spielt so ihr Potenzial. Wie sieht es mit dem Ver­ständnis ihrer Mit­ar­beiter aus? Haben diese grund­le­gende Ein­wei­sungen in gängige Ver­hal­tens­regeln bekommen?

Und wenn Sie nun selbst Anzeige gegen Unbe­kannt erstatten? Woher kam die E‑Mail oder wem gehört die Internet-Seite, mit der sich Ihre Com­puter infi­ziert haben? Ist der Ver­sender viel­leicht selbst Opfer?

Wie ist die Beweislage? Können Sie durch Netz­werk­pro­to­kolle die His­torie über­haupt nachvollziehen?

Kam die E‑Mail aus Deutschland? Europa? Oder gar von einem Land, dem es egal ist, dass von einem seiner Com­puter andere Länder infi­ziert werden?

Ich bin gespannt, wie die Geschichte weitergeht!
 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.