Informatik und Recht Aufgabe 3 - Illegaler Angriff
Aufgabe 3 - Illegaler Angriff Christian Bauer, Constantin Hofstetter, Matthias Stadter
Ausgangssituation: Unsere Kundendatenbank wird gehackt, es werden einige Kundeninformationen und Konstruktionszeichungen an ein Konkurrenzunternehmen weitergegeben; zusätzlich werden personenbezogene Daten zerstört, für die es kein aktuelles Backup gibt. Der Täter kann aufgrund unserer Systemprotokolle ausgeforscht werden. Fragestellung a) Nach welchen strafrechtlichen Regeln können der Täter und das von den Kundeninformationen profitierende Konkurrenzunternehmen zur Verantwortung gezogen werden? Allgemeines: Rechtliche Grundlagen bietet in diesem Fall das Strafgesetzbuch (StGB): Siehe: http://www.ris2.bka.gv.at/GeltendeFassung.wxe? QueryID=Bundesnormen&Gesetzesnummer=10002296 Betreffend dem Zugriff auf die Daten: Falls der Eindringling auf die Daten zugegriffen hat indem er Benutzername und Passwort z.B. durch Brute-Force Attacken umgangen hat, können wir nach §118a StGB wegen “Widerrechtlichem Zugriff auf ein Computersystem” klagen:
lt. §118a (1): “Wer sich in der Absicht, sich oder einem anderen Unbefugten [in diesem Fall das Konkurrenzunternehmen] von in einem Computersystem gespeicherten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil [die Kundeninformationen sowie Konstruktionszeichnungen!] zuzuwenden oder einem anderen einen Nachteil [die Zerstörtung der personenbezogenen Daten] zuzufügen, zu einem Computersystem, über das er nicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen Zugang verschafft, indem er spezifische Sicherheitsvorkehrungen im Computersystem überwindet [z.B. Datenbanklogin mit Benutzername/Passwort], ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.” Der §119 StGB kommt zur Geltung, falls der Eindringling Benutzername und Passwort (oder auch die entwendeten Daten) durch einen Trojaner, Sniffer oder ähnlichem entwendet hat: Verletzung des Telekommunikationsgeheimnisses: lt. §119 (1): “Wer in der Absicht, sich oder einem anderen Unbefugten [in diesem Fall das Konkurrenzunternehmen] vom Inhalt einer im Wege einer Telekommunikation oder eines Computersystems übermittelten und nicht für ihn bestimmten Nachricht Kenntnis zu verschaffen, eine Vorrichtung, die an der Telekommunikationsanlage oder an dem Gruppe Bauer, Hofstetter, Stadter
Seite 1 / 5
Informatik und Recht Aufgabe 3 - Illegaler Angriff
Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.” Ähnlich lautet auch §119a StGB, welcher noch das Abfangen von Daten in einem Computersystem beinhaltet (z.B. Email, aber auch Informationen die am Bildschirm angezeigt werden (über das Abfangen der elektromagnetischen Strahlung)). Falls es sich bei dem Täter um einen Mitarbeiter unseres Unternehmens handelt, könnte auch §122 StGB zur Geltung kommen: Verletzung eines Geschäfts- oder Betriebsgeheimnisses. In unserem Fall käme auch §122 (2) zur Geltung und der Täter könnte mit Freiheitsstrafe bis zu einem Jahr bestraft werden. Eventuell auch relevant ist §123 StGB: Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses: “Wer ein Geschäfts- oder Betriebsgeheimnis [Kundendaten aber vor allem auch Konstruktionszeichnungen] mit dem Vorsatz auskundschaftet, es zu verwerten, einem anderen zur Verwertung zu überlassen oder der Öffentlichkeit preiszugeben, ist mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen. Beide Strafen können auch nebeneinander verhängt werden.” §124 StGB bezieht sich auf die Auskundschaftung eines Geschäfts- oder Betriebsgeheimnisses zugunsten des Auslands. Hier ist das Strafmaß auf bis zu drei Jahren Freiheitsstrafe beschränkt. Betreffend der Zerstörung der personenbezogenen Daten: Der Täter zerstört personenbezogene Daten irreversibel, damit haftet er nach §126 StGB: Datenbeschädigung: lt. §126a (1): “Wer einen anderen dadurch schädigt, daß er automationsunterstützt verarbeitete, übermittelte oder überlassene Daten [...] verändert, löscht oder sonst unbrauchbar macht oder unterdrückt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.” lt. §126a (2): “Wer durch die Tat an den Daten einen 3 000 Euro übersteigenden Schaden herbeiführt, ist mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bis zu 360 Tagessätzen, wer einen 50 000 Euro übersteigenden Schaden herbeiführt oder die Tat als Mitglied einer kriminellen Vereinigung begeht, mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen.” Handelt der Täter also als Mitglied einer kriminellen Vereinigung hat er ein größeres Strafmaß, mindestens aber sechs Monate Freiheitsstrafe, zu befürchten. Das Abfragen der Daten kann zu einem Systemfehler führen - damit käme auch §126b StGB zur Geltung: Störung der Funktionsfähigkeit eines Computersystems: lt. §126b (1): “Wer die Funktionsfähigkeit eines Computersystems, [...] dadurch schwer stört, dass er Daten eingibt oder übermittelt [z.B. durch SQL-/Datenbankbefehle/BruteForce Attacken, DoS/DDoS-Attacke], ist, wenn die Tat nicht nach §126a mit Strafe bedroht ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.” Gruppe Bauer, Hofstetter, Stadter
Seite 2 / 5
Informatik und Recht Aufgabe 3 - Illegaler Angriff
lt. §126b (2): Wer durch die Tat eine längere Zeit andauernde Störung der Funktionsfähigkeit eines Computersystems herbeiführt, ist mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bis zu 360 Tagessätzen, wer die Tat als Mitglied einer kriminellen Vereinigung begeht, mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen.” Dies ist jedoch unserem Fall eher unwahrscheinlich - eventuell ist das Cracken der Login Daten (evtl. §126b) getrennt vom Zerstören der Daten (§126a) zu behandeln. Der §126c StGB ist mit Sicherheit der kritischste Paragraph bzgl. Computersicherheit: Missbrauch von Computerprogrammen oder Zugangsdaten lt. §126c (1): “Wer 1. ein Computerprogramm, das nach seiner besonderen Beschaffenheit ersichtlich [Wie kann das geregelt werden? Sind Exploits die als Proof-OfConcept erstellt werden sofort strafbar? Ist es besser, die Lücke “nicht zu beachten” als aufzuklären?] zur Begehung eines widerrechtlichen Zugriffs auf ein Computersystem (§ 118a), einer Verletzung des Telekommunikationsgeheimnisses (§ 119), eines missbräuchlichen Abfangens von Daten [Ist Wireshark (vormals Ethereal), der Standard für Packet-Sniffing Software, illegal?] (§ 119a), einer Datenbeschädigung (§ 126a), einer Störung der Funktionsfähigkeit eines Computersystems (§ 126b) oder eines betrügerischen Datenverarbeitungsmissbrauchs (§ 148a) geschaffen oder adaptiert worden ist, oder eine vergleichbare solche Vorrichtung oder 2. ein Computerpasswort, einen Zugangscode oder vergleichbare Daten, die den Zugriff auf ein Computersystem oder einen Teil davon ermöglichen [fällt darunter z.B. schon ein Wörterbuch, dass zum Testen von Passwörter genutzt werden soll? Macht sich die Universität Wien schon durch das zugänglich machen von Wörterbüchern für Dictionary-Attacken strafbar? Siehe ftp://ftp.univie.ac.at/ security/dictionaries/ ], mit dem Vorsatz herstellt, einführt, vertreibt, veräußert, sonst zugänglich macht, sich verschafft oder besitzt, dass sie zur Begehung einer der in Z 1 genannten strafbaren Handlungen gebraucht werden, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.” lt §126c (2): “Nach Abs. 1 ist nicht zu bestrafen, wer freiwillig verhindert, dass das in Abs. 1 genannte Computerprogramm oder die damit vergleichbare Vorrichtung oder das Passwort, der Zugangscode oder die damit vergleichbaren Daten in der in den §§ 118a, 119, 119a, 126a, 126b oder 148a bezeichneten Weise gebraucht werden. Besteht die Gefahr eines solchen Gebrauches nicht oder ist sie ohne Zutun des Täters beseitigt worden, so ist er nicht zu bestrafen, wenn er sich in Unkenntnis dessen freiwillig und ernstlich bemüht, sie zu beseitigen.” Der Täter könnte nach §126c (1) StGB angeklagt werden, wenn er z.B. Packet-Sniffer (Wireshark), ein Programm zum knacken von Passwörtern (z.B. John The Ripper, das u.a. Brute-Force und Dictionary-Attacken anbietet) oder eigene Exploits/Tools verwendete.
Gruppe Bauer, Hofstetter, Stadter
Seite 3 / 5
Informatik und Recht Aufgabe 3 - Illegaler Angriff
Fragestellung b) Wie können wir Schadenersatz erhalten? Für Schadenersatzansprüche ist vorallem das Allgemeine bürgerliche Gesetzbuch (ABGB) relevant: http://www.ris2.bka.gv.at/GeltendeFassung.wxe? QueryID=Bundesnormen&Gesetzesnummer=10001622 Eventuell könnte Schadenersatz vom Hersteller des Datenbanksystems nach §922 ff. ABGB gefordert werden [Gewährleistung, vor allem §933a, Schadensersatz, relevant]. Es ist jedoch anzunehmen, dass der Softwarevertrag des Datenbanksystems eben solche Schäden aus der Gewährleistung ausschließt. Das dreißigste Hauptstück des ABGB befasst sich mit Schadenersatz. §1293 definiert den “Schaden” an einer Sache; §1294 definiert ein Verschulden (d.h. wenn ein Schaden eine widerrechtlichen Handlung ist, die ggf. willkürlich oder unwillkürlich ergangen worden ist). In unserem Fall war der Schaden ein vom Täter verübtes Verschulden: widerrechtlich nach §118a ff. StGB (vorsätzlich und unwillkürlich in seiner Sache als gezielter Angriff). Nach §1295 ABGB können wir vom Verursacher des Schadens, Schadenersatz verlangen. Nach §1298 ABGB sind wir jedoch in der Beweispflicht; sonst gilt §1296 (der Schaden entstand ohne Verschulden eines Anderen). Um die konkurrierende Firma auf Schadenersatz zu verklagen sollte §1301 ff. ABGB herangezogen werden: Diese Paragraphen befassen sich mit einem Verschulden durch mehrere Teilnehmer. Nach §1302 haften “Alle für Einen, und Einer für Alle” bei vorsätzlichem Verschulden. Relevant ist auch §12 StGB: Behandlung aller Beteiligten als Täter: lt. §12 StGB: “Nicht nur der unmittelbare Täter [der Cracker der die Daten beschafft hat] begeht die strafbare Handlung, sondern auch jeder, der einen anderen dazu bestimmt, sie auszuführen [die Firma die den Angriff in Auftrag gab], oder der sonst zu ihrer Ausführung beiträgt.” Eventuell sind auch die Paragraphen 13, 14 und 15 StGB relevant. Da es sich auch um personenbezogene Daten handelt, kommt eventuell auch §1328a ABGB zur Geltung: Recht auf Wahrung der Privatsphäre; demnach müssen entstandene Schäden bei der Verwertung von “Umständen aus der Privatsphäre” auch ersetzt werden.
Gruppe Bauer, Hofstetter, Stadter
Seite 4 / 5
Informatik und Recht Aufgabe 3 - Illegaler Angriff
Fragestellung c) Weshalb könnte es sein, dass wir gegen §§ 14, 15 DSG 2000 verstoßen haben, und wie verteidigen wir uns am besten? Das Datenschutzgesetz 2000 (DSG 2000): http://www.ris2.bka.gv.at/ GeltendeFassung.wxe?QueryID=Bundesnormen&Gesetzesnummer=10001597 Datensicherheitsmaßnahmen lt. §14 DSG 2000: “(1) Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters [das ist unser Unternehmen], die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit [zum Beispiel Backup der Datenbank] zu treffen. Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt [unsere Schutzmaßnahmen waren evtl. nicht ausreichend!] sind, daß ihre Verwendung ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich [die Daten waren Unbefugten evtl. zugänglich!] sind. [...] Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei der Durchführung erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen [Ein Sachverständiger muss prüfen, ob unsere Schutzmaßnahmen dem Stand der Technik entsprachen und das System ausreichend gewartet worden ist] ist.” Schützen können wir uns im Nachhinein nicht mehr - wir sollten schon vorher alles “richtig” gemacht haben, d.h. ausreichender Schutz gegen Angriffe von Außen, aktuelle Updates einspielen, CERT Listen beobachten sowie Backup Vorrichtungen gegen Datenverlust (“Secure and Distributed Storage” Paper lesen! :-) ). Als Verteidigung können wir hoffentlich (durch Protokolle, vorherige Backups etc.) nachweisen dass wir hohe Datensicherheitsmaßnahmen erbrachten. Datengeheimnis lt. §15 (1) DSG 2000: “Auftraggeber, Dienstleister und ihre Mitarbeiter - das sind Arbeitnehmer (Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis - haben Daten aus Datenanwendungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht (Datengeheimnis).” Eventuell könnte uns nachgewiesen werden, dass die Daten nicht gesichert gespeichert wurden und wir diese nicht als Datengeheimnis behandelt haben. Das wäre zum Beispiel bei einfachen SQL-Injections oder einem Datenbank-Dump auf einem öffentlich zugänglichem Server relevant (Täter hat sich ja nur “vertippt”). Wenn wir nachweisen können, dass ein wirklicher Aufwand für den Angriff nötig war (also keine einfache SQLInjection, sondern das Durchbrechen von Firewalls, exploiten von Sicherheitslücken (Buffer-Overflow o.ä.) etc.) sollten wir §15 DSG 2000 gerecht werden können.
Gruppe Bauer, Hofstetter, Stadter
Seite 5 / 5