Rootkits, Malware, Trojaner: Die Anzahl der Bedrohungen nimmt zu. Eine ganze Reihe von Strafvorschriften versucht daher den Linux-Admin und sein System zu schützen.
Eine dumme Sache: Der Earl kommt nach getaner Arbeit endlich nach Hause, will sich in die Kissen werfen – doch da liegt schon einer. Die gemeinere Variante dieser Eindringlinge treibt sich in alten schottischen Gemäuern rum. So ein Schlossgeist stiftet Unheil, vergrault die Gäste und säuft den Weinkeller leer. Spukt es auf Burg Linux, heißt das Gespenst oft Rootkit.
Wikipedia [1] definiert ein Rootkit als Sammlung von Softwarewerkzeugen, die der Einbrecher auf einem kompromittierten Computersystem installiert, um die künftigen Logins des Eindringlings zu verbergen, Prozesse zu verstecken und Daten mitzuschneiden.
Ein Rootkit fängt sich niemand zufällig ein wie einen Schnupfen in der Straßenbahn. Stets steckt böse Absicht dahinter. Irgendjemand will Schaden anrichten, sei es durch Einbruch in den Rechner, der unzureichend geschützt im Netz hängt, sei es durch perfides Unterschieben eines Binary oder Einschleusen von Code über eine Webanwendung mit einer Sicherheitslücke. Der Administrator eines befallenen Systems sucht die Schuld erst bei sich selbst, müsste er doch eigentlich wissen, dass das ganze Netz voller Feinde steckt.
Weil es aber nicht um ein paar abenteuerlustige Skriptkiddies geht, sondern um professionelle Cracker, die meist aus eindeutig wirtschaftlichen Interessen ein gerüttelt Maß an technischem Know-how und krimineller Energie einsetzen, hat der Gesetzgeber diese Untaten unter die Drohung des Strafgesetzbuchs (StGB, [2]) gestellt.
Fahrlässigkeit zählt nicht
Dem verzweifelten Admin sei gesagt: Ob er, das Opfer, fahrlässig gehandelt hat oder nicht, ist kaum von Bedeutung. Im Strafrecht geht es um – meist vorsätzliche – Handlungen des Täters, nicht des Opfers. Natürlich macht es eine nachlässig eingerichtete Firewall einem Angreifer leichter, doch Fragen des Mitverschuldens sind Fragen des Zivilrechts, nicht des Strafrechts.
Einen Unterschied machen allenfalls Tatbestandsmerkmale wie etwa die “besonders gesicherten Daten” aus § 202a StGB, der das “Ausspähen von Daten” verbietet (siehe Kasten “Paragrafen (Teil 1)”). Unterlässt es der Admin, den Fileserver vor unberechtigtem Zugriff abzusichern, ist das Tatbestandsmerkmal nicht erfüllt und der Täter zumindest nicht nach dieser Vorschrift zu bestrafen.
Eine Hand voll Vorschriften
Eine reichliche Hand voll Strafvorschriften soll alle erdenklichen Missetaten abdecken. Weil strafrechtliche Tatbestände ins System passen müssen, orientieren sich die relevanten E-Crime-Paragrafen an dem, was man an Straftaten und Tätern schon kennt. Etwa den Neugierigen, der die Briefe seiner Erbtante mit Wasserdampf öffnet: Auf den IT-Bereich umgesetzt entspricht er einem Täter, der checkt, was in den Mails der Personalabteilung Interessantes steht.
Nach § 202a StGB wird bestraft, wer fremde Daten ausspäht. Egal ob er einen Vorteil davon hat oder nicht. Es kommt nur darauf an, ob diese Daten besonders gesichert sind. Jeder Passwortzugang stellt bereits eine solche besondere Sicherung dar. Unter Windows freigegebene Ordner auf einem vernetzten Rechner sind allerdings im Sinne dieser Vorschrift nicht besonders gesichert. Vergehen nach § 202a StGB werden nur auf Antrag des Verletzten verfolgt.
Von Betrügern und Vandalen
Ein anderer Fall ist der Vandale, der aus Zerstörungstrieb Gleise manipuliert, um ein Zugunglück herbeizuführen: Der gleiche Typus schreibt Würmer, die sich übers Mailsystem verbreiten, um das Internet lahmzulegen. Nach den Paragrafen 303a und 303b (siehe Kasten “Paragrafen (Teil 1)”) sind Datenveränderung und Computersabotage verboten.
|
Paragrafen (Teil 1) |
|---|
§ 202a StGB: Ausspähen von Daten(1) Wer unbefugt Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. § 303a Datenveränderung(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Der Versuch ist strafbar. § 303b Computersabotage(1) Wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch stört, dass er 1. eine Tat nach § 303a Abs. 1 begeht oder 2. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. (2) Der Versuch ist strafbar. |
Wieder anders verhält es sich mit dem Geizhals, der Münzen am Draht in den Kaugummi-Automaten schiebt, um sich das Geld zurückzuangeln. Dieser Tätertyp manipuliert das Abrechnungsprogramm einer Kreditkartenbank, damit Überweisungen auf sein Cayman-Island-Konto laufen, oder – häufiger – gibt in die Keycode-Abfrage von VMware einen Schlüssel ein, den er von einer dubiosen Website hat, um das Programm umsonst nutzen zu können.
Nach § 263 StGB [2], dem klassischen Betrugsparagrafen, wird derjenige bestraft, der einen anderen durch Täuschung dazu bringt, sich selbst zugunsten des Täters oder anderer finanziell zu schädigen. Ob die Täuschung oder die Vermögensverfügung des Opfers EDV-gestützt erfolgt, ist dabei ohne Bedeutung. Weil aber viele Vermögensverfügungen heute automatisiert erfolgen, also nicht das Opfer, sondern sein Rechner die Onlinebuchung ausführt, gibt es den Paragrafen § 263 a StGB (siehe Kasten “Paragrafen (Teil 2)”).
Der Rootkit-Paragraf
Nach den Paragrafen 269 und 270 StGB [2] wird betraft, wer Daten manipuliert, um damit eine günstigere Rechtsposition nachzuweisen. Also etwa der Fälscher, der getürkte Gutachten vorlegt, um zu beweisen, dass das Grundstück mit der Goldader seinen Ahnen schon von Karl dem Großen zugesprochen wurde.
Das Rootkit ist ein Werkzeug, mit dem Täter gleich mehrere Tatbestände erfüllen. Die Programme täuschen normale Funktion vor, das Opfer verlässt sich darauf, nutzt sein System wie gewohnt und spielt so dem Täter in die Hände. Neben dem Ausspähen von Daten nach § 202a StGB kommt hier der “Rootkit”-Paragraf ins Spiel, der das Wesentliche in Blei zu gießen scheint: § 268 StGB (siehe Kasten “Paragrafen (Teil 2)”) bedroht alle, die technische Aufzeichnungen manipulieren, die rechtlich bedeutsam werden könnten. Das betrifft auch Protokolldateien und Prozessdarstellungen, die geeignet sind den Täter zu belangen.
Aller Nachweis ist schwer
Der Admin fragt sich, wie er unberechtigte Zugriffe und Manipulationen juristisch wasserdicht nachweisen kann. Die Antwort: Das ist schwer. Daten auf der stets beschreibbaren Platte sind nicht beständig. Die Rechtsprechung in diesem Bereich beruht meist nur auf Indizien. Am besten gelänge ein Nachweis anhand eines vollständigen Zugriffsprotokolls, inklusive des Vorher-Nachher-Zustands der Daten.
Das Protokoll müsste auf ein Medium geschrieben werden, auf das das System keinen Zugriff mehr hat. Eine Möglichkeit wäre, Protokolle über die serielle Schnittstelle an einen sonst unvernetzten Rechner zu leiten. Bei einer umfassenden Protokollierung gilt es aber, den Datenschutz zu beachten, dem personenbezogene Daten unterliegen. Die IP-Adresse, die mit keiner Person verknüpft werden kann, ist unproblematisch.
Aber selbst dieses Vorgehen zeichnet nur den konkreten Zugriff und die Manipulation auf. Offen bleibt, woher der Zugriff kam. Ein geschickter Angreifer nutzt kein Dial-in-Konto bei der Telekom, sondern in der Regel einen bereits kompromittierten Fremdrechner. Und ob der wiederum vorher gesichert protokolliert hat, ist unwahrscheinlich.
|
Paragrafen (Teil 2) |
|---|
§ 263a StGB: Computerbetrug(1) Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, dass er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflusst, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. (2) § 263 Abs. 2 bis 7 gilt entsprechend. (3) Wer eine Straftat nach Absatz 1 vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, feilhält, verwahrt oder einem anderen überlässt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. § 268 Fälschung technischer Aufzeichnungen(1) Wer zur Täuschung im Rechtsverkehr 1. eine unechte technische Aufzeichnung herstellt oder eine technische Aufzeichnung verfälscht oder 2. eine unechte oder verfälschte technische Aufzeichnung gebraucht, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. (2) Technische Aufzeichnung ist eine Darstellung von Daten, Mess- oder Rechenwerten, Zuständen oder Geschehensabläufen, die durch ein technisches Gerät ganz oder zum Teil selbsttätig bewirkt wird, den Gegenstand der Aufzeichnung allgemein oder für Eingeweihte erkennen lässt und zum Beweis einer rechtlich erheblichen Tatsache bestimmt ist, gleichviel ob ihr die Bestimmung schon bei der Herstellung oder erst später gegeben wird. (3) Der Herstellung einer unechten technischen Aufzeichnung steht es gleich, wenn der Täter durch störende Einwirkung auf den Aufzeichnungsvorgang das Ergebnis der Aufzeichnung beeinflusst. |
Nützliche Ermittlungen
Strafandrohungen sollen nicht nur die bösen Geister abschrecken: Der Geschädigte hat – neben dem Schaden – zumindest den Vorteil, dass der Apparat von Staatsanwaltschaft und Polizei ermittelt und ihm die Ergebnisse daraus zugute kommen. Zum einen lässt sich ein zivilrechtlicher Schadenersatzanspruch auf eine solche Strafakte stützen – wenn der Täter bekannt ist. Zum anderen kostet die Ermittlung das Opfer nichts. Im besten Fall zeigt ein Gutachten auf, wo die eigenen Schwachstellen lagen.
Nicht strafbare Versuche
In den Vorschriften heißt es oft “Der Versuch ist strafbar”. Deshalb sollte der Admin die IPs aller Zugriffsversuche protokollieren. Aber was ist mit dem Benutzer, der gerne am Rechner experimentiert? Befürchtungen, dass er sich ungewollt, beim bloßen Experimentieren, eines solchen Versuchs schuldig macht, sind unbegründet: Ein einfacher Portscan zum Beispiel ist – obwohl einige Hardliner schon hierbei anders denken – zunächst straflos.
Der Versuch einer Straftat ist nach Meinung der meisten Juristen erst gegeben, wenn das geschützte Rechtsgut bereits in konkreter Gefahr ist. Zudem muss der Täter Tatbestandsvorsatz haben, er muss also wissen, was er tut.
Wer auf einem vernetzten Rechner einen Nmap (siehe Artikel im Heft-Schwerpunkt) mit falschen Parametern absetzt und so nicht nur das eigene System, sondern die ganze Welt checkt, ist zwar dumm, bleibt aber straflos – selbst aus Sicht derer, die einen Portscan verdammen. Wer keine kriminelle Energie hat, macht sich nicht strafbar. Ein Freibrief ist das nicht: Experimentierfreude schließt kriminelle Energie nicht aus. Wer “nur mal sehen will, was er alles anstellen kann” handelt kriminell. Außerdem: Unwissen schützt vor Strafe nicht – Gesetze hat jeder zu kennen.
Bleibt das Problem, herauszufinden, wer hinter dem Angriff steckt. Dies zu verhindern ist das Wesentliche am Rootkit: Die eigene Verschleierung. Deshalb freut sich nicht nur der Staatsanwalt, wenn der Admin seine Protokolldateien löschungssicher nach draußen schreibt. Ist das Kettengerassel erst auf Band festgehalten, kann es nur Sir Percival gewesen sein, der alte Poltergeist. (uba)
Abbildung 1: Wenn Angreifer eindeutige Fingerabdrücke im System hinterlassen, ist das ein Glücksfall. Die Spurensuche nach einem Angriff ist mühsam und führt nicht immer zum Täter.
|
Infos |
|---|
|
[1] Rootkit:[http://de.wikipedia.org/wiki/Rootkit] [2] Strafgesetzbuch online: [http://bundesrecht.juris.de/bundesrecht/stgb/] |
|
Der Autor |
|---|
|
RA Fred Andresen ist Mitglied der Rechtsanwaltskammer München und der Arbeitsgemeinschaft Informationstechnologie im Deutschen Anwaltverein (DAVIT). |
