Informations- und Kommunikationstechnologien sind im Alltag nicht mehr wegzudenken. Entscheidend ist, dass sie zuverlässig funktionieren, damit der Nutzer vor Datenmissbrauch geschützt wird. Deswegen haben sich jetzt das Bundesministerium für Bildung und Forschung (BMBF) und das Bundesinnenministerium (BMI) in einer gemeinsamen Erklärung darauf geeinigt, Forschung und IT-Sicherheit noch enger zu verzahnen. So soll die IT-Sicherheit ein neuer Schwerpunkt der Forschungsförderung im Bereich der Informations- und Kommunikationstechnologien werden. „Den gesellschaftlichen und wirtschaftlichen Herausforderungen durch den Einsatz von Informations- und Kommunikationstechnologien können wir nur dann begegnen, wenn wir die Themen Forschung und IT-Sicherheit enger verzahnen, sagte Bundesforschungsministerin Annette Schavan. Gemeinsam mit Bundesinnenminister Wolfgang Schäuble machte sie in der Erklärung deutlich, wie sehr IT-Sicherheitspolitik und Innovationspolitik ineinandergreifen. So könnten beispielsweise Techniken erforscht werden, mit denen das Online-Banking sicherer gemacht oder der kriminelle Zugriff auf öffentliche Datenbanken verhindert werde, erläuterten die Minister.

Jetzt mal ernsthaft, verstehen muss man das nicht, oder? Erst wird alles kriminalisiert und verboten, und dann schmeißt man auch noch Geld hinterher? Meine Vermutung ist, dass man unter anderem nach den Trojanern in verschiedenen Ministerien im vergangenen Jahr und den vielen Daten-Skandalen in der jüngeren Vergangenheit gemerkt hat, dass es ohne IT-Sicherheit nicht geht, und diese in Deutschland gefördert werden muss um einen höheren Sicherheitsstandard für Daten und Datennetze zu erreichen. Jetzt sollen also die, die man einst kriminalisiert hat und vermutlich auch weiterhin kriminalisiert den Karren wieder aus dem Dreck ziehen.

Es ist sicherlich positiv zu bewerten, dass an einigen Stellen in der Regierung erkannt wurde wie wichtig die Sicherheit von IT-Systemen in der heutigen Zeit geworden ist und auch, dass diese gefördert werden muss. Ich denke jedoch, dass es der Verbesserung  und Förderung der IT-Sicherheit auch zu Gute kommen würde wenn die Personen die sich mit der Thematik – sowohl beruflich als auch privat – befassen nicht permanent mit mehr als einem Beim im Knast stehen würden. Hat man diese Gefahr nicht permanent im Nacken sitzen kann man wesentlich besser arbeiten, da einem so auch mehr Möglichkeiten offen stehen um Sachen auszuprobieren und zu erforschen.

Wenn BMBF und BMI also wirklich beabsichtigen die IT-Sicherheit in Deutschland zu fördern, dann sollten sich Frau Schavan und Herr Schäuble möglichst bald mit Frau Zypris in Verbindung setzen um mit ihr über eine schnelle und zeitnahe Abschaffung von §202c StGB zu reden.

Das mag alles – besonders aus Sicht eines Datenschützers – erst mal positiv klingen, aber es gibt nicht nur Datenschützer sondern auch noch andere Menschen, zum Beispiel Admins die ihre Server gerne gegen Angreifer und vor Spam schützen und gegebenenfalls auch gegen diese Vorgehen wollen. Diese Angreifer und Spambots verhalten sich aber im ersten Augeblick erst einmal wie ein gewöhnlicher User, sie rufen eine Webseite auf. Im Harmlosesten Fall entstehen nur Spampost in Foren und Blogs, aber es geht auch wesentlich schlimmer. Angreifer können auch versuchen auf Datenbanken zuzugreifen in denen sensible Daten liegen. Im Falle von privaten Webseiten dürften sich in den Datenbanken meist “nur” der Inhalt von Foren und deren Nutzern befinden, aber das Internet besteht nicht nur aus privaten Webseiten, auch große Firmen und Regierungen haben Server die an das Internet angebunden sind, und in Datenbanken die sich auf diesen Servern befinden dürften sich weitaus sensiblere Daten befinden. Wie sensibel die Daten sind spielt aber eigentlich gar keine Rolle, ob es sich nun um das Blog von Lieschen Müller handelt in dem sie Kochrezepte veröffentlicht, oder um die Datenbank eines großen Konzerns in dem alle Mitarbeiter gespeichert sind, dass ist egal. Sobald die Daten so gespeichert sind, dass man sich für den Zugriff darauf Authentifizieren muss (und sei das Passwort nur “1234546″) hat daran kein anderer was zu suchen außer den Personen die dazu berechtigt sind.

Wie man nun genau gegen Angreifer vorgeht ist jedem selbst überlassen, da gibt es verschiedene Methoden, und es hängt bei einigen vielleicht auch davon ab, ob die eingerichteten Sicherheitsmechanismen gegriffen haben oder nicht. Wenn man sich entscheidet gegen einen Angreifer vorgehen zu wollen, dann muss man diesen als ersten irgendwie identifizieren. Im Internet geschieht dies anhand der IP-Adresse. Jede Adresse existiert nur einmal auf der ganzen Welt. Sicher es gibt Dienste wie zum Beispiel Tor mit denen ein Angreifer nicht mit seiner eigenen IP-Adresse auftaucht, sondern mit einer fremden, aber dies ist nicht immer der Fall, deshalb ist die IP-Adresse der erste Ansatzpunkt um einen Angreifer zu identifizieren. Diese Identifizierung kann man jedoch nicht selber machen, dafür muss man eine Anfrage bei dem Provider machen, dem diese IP-Adresse zugewiesen wurde, und dieser gibt die Daten (zumindest wenn alles mit rechten Dingen zugeht) nur bei Vorlage einer richterlichen Anweisung heraus.

Habe ich gerade geschrieben, dass ich die IP-Adresse benötige um einen Angreifer identifizieren zu können? Ja, das habe ich. Nur gibt es seit heute ein Problem, ich darf diese IP-Adressen nicht mehr mitloggen, und kann somit auch nicht gegen Angreifer auf meinen Server vorgehen. Die einzige Möglichkeit die ich nun noch habe ist zu hoffen, dass ich mein System gut genug abgesichert habe, so dass ein Angreifer keinen Erfolg hat in mein System einzudringen. Doch wie sichert man ein System (in diesem Fall einen Webserver) am besten ab? Es gibt einige Sachen die gehören zum “kleinen ein mal eins für Admins” welche man auch problemlos durchführen kann (root-Login deaktivieren, regelmäßig auf Updates prüfen, etc.), aber das ist nur die halbe Miete, als nächstes sollte man mit speziellen Programmen einfach selber mal versuchen in sein eigenes System einzudringen um so weitere Sicherheitslücken zu finden und zu eliminieren. Halt! Da war doch was. Nur was? Richtig §202c StGB, welcher die Verwendung von genau solchen Programmen seit kurzem verbietet.

Und nun? Das ist eine sehr interessante Frage. Für viele Admins stellt sich jetzt – mal wieder – die Frage, “gehe ich mit den Gesetzen und Gerichtsentscheiden, oder ist mir die Sicherheit meiner Systeme wichtiger und riskiere ich im Notfall ein Gerichtsverfahren?” Ich hoffe, die meisten Admins treffen die richtige Entscheidung.

Ich höre die Datenschützer schon schreien “Freiheit geht vor Sicherheit”, und ich kann ihnen da prinzipiell auch zustimmen, jedoch geht es in allen Fällen um ein gesundes Mittelmaß, so auch hier. An den IP-Adressen stehen keine Namen dran, an die kommt man auch – wie oben schon erwähnt – auch nur mit einem richterlichen Beschluss, von daher kann man erst mal sagen, man bleibt trotz der Protokollierung der IP-Adresse anonym. Deshalb sehe ich auch kein Problem darinnen wenn diese IP-Adressen verwendet werden, um zum Beispiel die Besucher einer Webseite zu zählen, zu gucken, welche Inhalte werden besonders häufig aufgerufen, und welche nicht, oder auch um, wie oben schon erwähnt, im Notfall Angreifer ermitteln zu können. Wie gesagt, es geschieht alles anonym, und solange es dass auch bleibt, und die Daten nicht missbraucht werden sollte man auch weiter mitloggen dürfen.

Der ein oder andere mag hier vielleicht Parallelen zur geplanten Vorratsdatenspeicherung sehen, ich sehe sie nicht. Stellen wir die beiden Verfahren doch mal gegenüber.

VDS:

• Vom Anschluss von Frau Müller wurde die Webseite von $Mailprovider aufgerufen, dort hat sie ihre Mail gelesen und eine an ihre Schester geschickt.
• Vom Anschluss von Frau Müller wurde via $Suchmaschine nach einem Reiseanbieter gesucht der Reisen in die Türkei anbietet.
• Vom Anschluss von Frau Müller wurde die Webseite eines Fachhandels für Sexspielzeuge aufgerufen
• etc.

Mitloggen von IPs auf Servern

• Von der IP 123.456.789.321 wurde meine Webseite aufgerufen, der Besucher blieb fünf Minuten auf der Seite und hat sich die Artikel a, b, und c durchgelesen
• Von der IP 136.294.954.2 wurde meine Webseite aufgerufen, der Besucher blieb 10Minuten und hat sich die Artikel f, g und a durchgelesen
• Von der IP 79.123.456.789 wurde versucht direkt Zugriff auf meinen Datenbankserver zu nehmen, der Angreifer versuchte es 10Minuten und gab dann auf.

Ich denke der Unterschied sollte deutlich sein.

Bleibt abschließend nur noch zu sagen, dass der Amtsrichter der das Urteil gesprochen hat den Politikern die für §202c StGB gestimmt haben die Hand schütteln kann.

Siehe auch:

FreiheIT-Blog: Realitätsfern

Letzes Blog vor der Autobahn: Es darf abgemahnt werden!

rabenhorst: Per Vorratsdatenspeicherung zum Terrorverdächtigen

Jens Ferner: Datenschutz absurd

f!xmbr: Lieber AK Vorrat