Publications
Interviews
Talks & Presentations
Curriculum Vitae
Open Source Projects
PGP Key
Favorite (IT-)Books
Legal Research Toolbox
Network Security Toolbox
Favorite Movie Quotes
New York, NY

Rechtspolitische und technische überlegungen
zur Erhöhung der Sicherheit des Internets

Technische Grundlagen

Eines der wichtigsten, dem Internet, zugrunde liegenden Konzepte ist jenes der Dezentralität. Der Vorgänger des Internets war das ARPAnet - später auch DARPAnet. Es wurde sehr wesentlich vom United States Departement of Defense (DoD) entwickelt. Ziel war es ein fehlertolerantes Computernetzwerk zu entwerfen, um auch nach einem Atomangriff noch zu einem Gegenschlag in der Lage zu sein*.
Darüber hinaus erwies sich das Konzept der Dezentralität sehr geeignet um bestimmte Probleme der Administration des Internets zu lösen. So ist heute ua. in folgenden technischen Bereichen eine sehr stark dezentrale Struktur implementiert:

- IP Routing
Das Internet ist gliedert in Subnets die wiederum in Subnets gegliedert sind. Die Hierarchieebenen reichen von der Vergabe eines IP-Adressraumes für einen Kontinent bis zur Vergabe einzelner IP-Adressen an Kunden eines Providers. Auf jeder dieser Ebenen ist grundsätzlich ein Router eingerichtet, der Datenpakete zwischen den angrenzenden Netzen transportiert.

- DNS - Domain Name System
Derzeit gibt es 13 Root Name Server. Diese stellen das einzige zentralistische Moment des Domain Name Systems dar. Sie stellen die Information zur Verfügung welche Name Server für die einzelnen Top Level Domains (TLDs; com, at, de, ...) die Autorität besitzen. Die Name Server der TLDs stellen wiederum die Information zur Verfügung welche Name Server für eine konkrete Second Level Domain (z.B. lukasfeiler.com) die Autorität haben. Auf diese Art und Weise kann und wird die Autorität für eine 'Zone' immer weiter nach unter delegiert.

- Electronic Mail
Es gibt keinen zentralen Server über den alle E-Mails verschickt werden müssten. Jeder Rechner im Internet ist potentiell ein E-Mails verschickenden Server (Mail Transfer Agent, MTA). Mails werden dann idR erst über einige weitere MTAs gerouted bevor sie ihr Ziel erreichen. Es gibt zwar eine sog. 'Blacklist' von für Spam verwendeten MTAs - diese ist jedoch verständlicher Weise keine echte Lösung für das Problem.

Gründe für die Unsicherheit

Dezentral konzipierte System können nicht auf dieselbe Weise abgesichert werden, wie zentralisierte Systeme. Um die Sicherheit eines dezentralisierten Systems zu verbessern, muss die Sicherheit aller Systemkomponenten verbessert werden. Für das Internet bedeutet dies, dass es nicht ausreicht einen Server mehr und mehr 'abzusichern'. Erforderlich ist die Erhöhung der Sicherheit aller mit dem Internet verbundenen Computer. Dies lässt sich sehr anschaulich am Beispiel von Distributed Denial of Service (DDoS) Attacken zeigen. Um eine DDoS Attacke ausführen zu können 'sammelt' der Angreifer zunächst Rechner auf der ganzen Welt - ohne jedoch deren Funktionsfähigkeit zu beeinträchtigen. Hat er genügend Rechner 'gesammelt', löst er gleichsam per Fernsteuerung eine Flut von Anfragen aller übernommenen Rechner an ein bestimmtes Ziel aus. Dieses Ziel - bei MyDoom www.sco.com - ist idR dermaßen mit den Anfragen überfordert, dass es für alle anderen 'normalen' Anfragen unerreichbar ist. Da es oft Monate dauert bis die Besitzer der für die Angriffe verwendeten Rechner entsprechende Maßnahmen ergreifen, stellt eine DDoS Attacke eine sehr effektive, nicht nur kurzfristige Angriffsart dar. Die einzige Methode DDoS Attacken effektiv entgegenzuwirken, ist es dem Angreifer das 'Sammeln' von Rechner zu erschweren. Dies macht jedoch, wie bereits erwähnt die Erhöhung der Sicherheit aller mit dem Internet verbundener Computersysteme erforderlich.

Ein zusätzlicher Faktor für die herrschende Unsicherheit ist die Tatsache, dass heutzutage wenig bis kein technisches Know-how erforderlich ist um weltweit Rechner zu übernehmen und diese dann z.B. für DDoS Attacken zu verwenden. Tatsächlich sind es oft technisch unversierte Jugendliche (sog. Script Kiddies), die Angriffe ausführen. Man benötigt nur einen sog. Exploit - ein Programm, das bekannte Sicherheitslücken ausnützt um so in ein fremdes Computersystem einzubrechen. Diese Exploits sind - wenn man weiß wo - im Internet frei verfügbar.


Technische Maßnahmen

Wie auch überall sonst ist präventiven Maßnahmen der Vorrang zu geben. Eine stärkere überwachung des Internets zwecks höherer Aufklärungswahrscheinlichkeit von Computerdelikten ist zwar denkbar, jedoch auf Grund der damit verbundenen Einschränkung der Privatsphäre mit äußerster Vorsicht zu genießen.
Geschätzte 85% aller erfolgreichen Angriffe könnten durch rechtzeitige Installation der verfügbaren Patches & Security Updates bzw. durch die Verwendung entsprechend aktuell gehaltener Anti-Viren Software verhindert werden. Darüber hinaus ist der Einsatz von Firewalls eine essenzielle Maßnahme. Jene Rechner im Internet, die nur als Clients verwendet werden - also selbst keine Dienste im Netz anbieten - sollten keine eingehenden Verbindungen ermöglichen.
Es besteht nun die Möglichkeit all diese Maßnahmen auf allen Rechnern einzeln zu implementieren - oder aber in einem gewissen Maße zentralistische Strukturen zu implementieren. So könnten viele dieser Maßnahmen zentral beim Internet Service Provider (ISP) umgesetzt werden.


Rechtliche Maßnahmen

Ziel aller rechtspolitischen überlegungen muss es sein, einen höheren Grad an Sicherheit im Internet zu bewirken - und nicht etwa nur die Verbrechensaufklärungsrate zu verbessern.

Zunächst erscheint eine Unterscheidung der verschiedenen Arten von Computersystemen in Clients und Server zweckmäßig.
Der wesentliche Unterschied zwischen einem Server und einem Client besteht darin, dass ein Server bestimmte Dienste im Netzwerk anbietet und sich somit andere Rechner mit diesem verbinden (eingehende Verbindungen). Clients haben hingegen nur ausgehende Verbindungen - sie stellen Verbindungen zu anderen Rechnern im Netzwerk her, jedoch nicht umgekehrt.

Viele Angreifer nutzen die Tatsache aus, dass die meisten Clients entgegen ihrem Verwendungszweck auch eingehende Verbindungen erlauben. Ich bin daher der Ansicht, dass es zweckmäßig wäre alle ISPs dazu zu verpflichten ihre Kunden vor eingehenden Verbindungen zu schützen. Das Einrichten einer Firewall beim Provider wäre mit nur geringem technischem Aufwand verbunden.
Dies bringt unweigerlich eine Einschränkung der Funktionalität für Kunden der ISPs, da diese nunmehr faktische keine Server mehr betreiben können (entsprechende Vertragsklauseln verbieten dies in den meisten Fällen sowieso seit Jahren).

Dies würde die theoretisch bereits bestehende Unterscheidung in Clients und Server auch faktisch umsetzen, was ihre technisch und rechtlich unterschiedliche Behandlung ermöglichen würde.

Um das Problem nicht eingespielter Patches zu umgehen, könnten Hersteller von Software eines gewissen Umfangs dazu verpflichtet werden die Funktionalität eines automatischen Updates zu implementieren (wie dies bei Windows in Form des Windows Updates bereits realisiert wurde). Diese Updates dürften sich jedoch nicht von Seiten des Benutzers unterbinden lassen.
Eine solche Maßnahme mag wie eine Einschränkung des Eigentumsrechts an Computersystemen wirken. Jedoch ist zu bedenken, dass jedes Computersystem sehr gut für Angriffe auf andere Systeme geeignet ist. Es ist ihm somit eine gewisse Gefährlichkeit innewohnend. Bei Kraftfahrzeugen hat sich die Erkenntnis schon längst durchgesetzt, dass diese gewartet sein müssen um ihre Gefährlichkeit zu verringern. Die Einschränkung des Eigentumsrechts eines Computersystems wirkt daher nicht so stark wie die dadurch erreichte Verringerung des Gefährdungspotentials.

Zur Bekämpfung von Viren sollten sowohl zentralisierte als auch dezentralisierte System eingeführt werden. So wäre es denkbar Anbieter von Mail Services dazu zu verpflichten Viren-Scans durchzuführen - wobei die eingesetzte Anti-Viren Software bestimmten Standards zu entsprechen hätte. Dies wäre mit einem erheblichen Kostenaufwand seitens der Provider verbunden, da solche Scans sehr viel Rechenzeit in Anspruch nehmen. Dennoch wäre eine solche Maßnahme überaus zielführend.
Als dezentrale Maßnahme könnten alle Hersteller von Betriebssystem, dazu verpflichtet werden, einen, bestimmten Standards entsprechenden, Viren-Schutz mitzuliefern. Dieser Viren-Schutz sollte grundsätzlich - die Verfügungsmacht des Eigentümers sehr wohl einschränkend - nicht deaktiviert werden können.

All diese Maßnahem sind bei Servern nicht immer in diesem Maß durchführbar. Insbesondere automatische Updates sind bei unternehmenskritischen Anwendungen nur mit Einschränkungen denkbar. Daher wäre es uU angebracht die Betreiber von Servern erweiterten Haftungsbestimmungen zu unterwerfen. Denn ohne eine ausgeweitete Haftung sehen viele Unternehmen die Absicherung ihrer Systeme nicht als notwendig an. Die Praxis zeigt, dass die Server der meisten Unternehmen überaus schlecht gewartet sind und somit eine leichte Beute für Angreifer darstellen.

Neben diesen präventiven Maßnahmen ist meiner Meinung auch eine Erweiterung der Strafbarkeit nötig. Bestimmte, heute noch als straflose Vorbereitungshandlungen betrachtete Handlungen müssen in den Bereich der gerichtlichen Strafbarkeit aufgenommen werden. So insbesondere das 'Hacking' - sei es auch ohne damit verbundene Datenbeschädigung, aber uU auch bereits das Port-Scanning. Denn in der Praxis stellt sich ein sehr wesentliches Beweisproblem: hat jemand erst einmal einen Rechner gehackt, kann er seine Spuren meist sehr effektiv vernichten. Auch darf das Hacken eines 'unbedeutenden' Privat-Rechners nicht unterbewertet werden. Denn idR gehen Hacker folgender Maßen vor: sie brechen in ein fremdes Computersystem ein und verwenden - zwecks Identitätsverschleierung - dieses um weitere 'Einbrüche' durchzuführen. So entstehen Ketten von Rechnern hinter denen sich der Angreifer verstecken kann.


Das Problem der Internationalität

Computerkriminalität ist meist internationale Kriminalität. Ein Angreifer, wohnhaft in Wien wird zweckmäßiger Weise nicht direkt einen wiener Server angreifen. Er würde zuerst in Comptersystemen in Ländern mit erheblichen rechtstaatlichen Defiziten einbrechen. Z.B könnte er in einen Rechner in Rumänien und von diesem aus in einen Rechner in Mexiko 'einbrechen'. Erst von diesem mexikanischen Rechner erfolgt der eigentliche Angriff auf den wiener Server. Die wiener Staatsanwaltschaft müsste nun ein Rechtshilfeverfahren mit Mexiko erwirken um - mit viel Glück und technischem Know-how - herauszufinden ob der mexikanische Rechner Ausgangspunkt od. nur gleichsam Zwischenstation für den Angriff war. Sollte herausgefunden werden, dass der Angriff tatsächlich von einem rumänischer Rechner stammte, muss ein ähnliches Rechtshilfeverfahren mit Rumänien eingeleitet werden. Wenn festgestellt werden kann, dass der rumänische Rechner auch nur Zwischenstation war und der Angriff eigentlich von Wien aus geführt wurde, kann anhand der IP-Adresse eine bestimmte Person ermittelt werden.
Diese kurze Schilderung macht offensichtlich, dass es einer internationalen Lösung dieses Problems bedarf. Nationale Bestimmungen sind nur in eingeschränktem Ausmaß zielführend.




*zur Wahnwitzigkeit dieser Idee: The War Game