Hinweis: Dieser Artikel ist älter als 3 Jahre
Inhalte, Quelltexte oder Links können zwischenzeitlich überholt sein.

Im letzten Webinar zu IT-Risikoermittlung und Informationssicherheit kam bei den Teilnehmern nach der etwa 15-minütigen Live-Hacking-Session die Frage auf: Ist das nicht verboten?

Wir haben Einblick in die Server einer ambulanten Pflegestation und zwei Unternehmen genommen. Gefunden habe ich diese zufällig aus einer Menge von 28 Mio Hosts¹ aus Deutschland anhand spezifischer Suchbegriffe. Die Suche hat nur wenige Sekunden benötigt und kurz darauf bewegten wir uns durch die zahlreichen Verzeichnisse mit Patientendaten und ärztlichen Rezepten.

Im zweiten Beispiel lagen die Buchhaltungsdaten eines Unternehmens in Gestalt von Datensicherungen der letzten 5 Jahre vor uns. Darüber hinaus konnten wir private .PFX Schlüssel für die Elster-Software sehen sowie aktuelle Rechnungen mit den Firmennamen der Empfänger im Dateinamen. Dazwischen der Schriftverkehr mit den eigenen Mitarbeitern. Die DSGVO lässt grüßen!

Schauen wir uns den Hackerparagrafen² “Ausspähen von Daten” im Detail an:

Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Ich habe formal betrachtet noch nicht mal richtig “gehackt”. Die Server sind ohne Authentifizierung für jeden mit Bordmitteln zugänglich gewesen. Auf die analoge Welt übertragen: Wir standen in der offenen Eingangstür und haben einen Blick in die Wohnung geworfen, stets dabei bedacht mit beiden Füßen außerhalb zu bleiben denn es wurden keine Dateien geöffnet oder heruntergeladen.

Interessanterweise ist der Versuch des Ausspähens von Daten selbst nicht strafbar. Auch der misslungene virtuelle Einbruchsversuch bleibt folgenlos selbst dann, wenn dieser massenhaft praktiziert wird. Das aber nur solange kein Server in seiner Funktion³ beeinträchtigt wird.

Warum informierst Du nicht die Betreiber?

Aktuell zähle ich über 64.000 Rechner aus Deutschland, die alle mit ihrem SMB-Port im Internet lauschen. Über 7.000 davon sind offen und ohne Authentifizierung⁴. Wenn der Betreiber nicht durch Server- oder WHOIS-Eintrag ersichtlich wird bleibt dieser unbekannt. Ich müsste diesen aus den Daten ermitteln. Das allerdings ist weder mein Job noch wird mir das bezahlt. Gleichzeitig würde ich mich genau damit strafbar machen und könnte als Überbringer der schlechten Nachricht belangt werden. Kill the Messenger!

Und wenn das nicht durch den Betroffenen geschieht, dann spätestens durch dessen Dienstleister, der das Desaster distributiert hat. Er steckt in Erklärungsnot und statt einfach nur den Job richtig zu machen entscheiden sich viele dazu, die Schuld einem bösen Hacker zu geben. Am besten wird zusätzlich noch eine extra Lage an Schlangenöl verkauft und Umsatz generiert, alles zu Lasten des Kunden.

Ein anderer Aspekt gerade bei Dienstleistern: Auch wenn straf- oder zivilrechtlich kein Weiterkommen ist, so besteht ein wettbewerbsrechtlicher Hebel, da ich ebenfalls Server für andere einrichte und absíchere.

Zuletzt kommt meine persönliche Erfahrung, dass es eher einen Glücksfall darstellt am anderen Ende der Leitung auch jemanden anzutreffen, der die Tragweite eines offenen SMB-Ports versteht. Frei nach Carlo Cipolla und seinen Prinzipien⁵.

Von daher vertraue ich auf die regulierende Kraft des Internets und helfe mit meiner knappen Zeit lieber jenen, die wirklich sichere IT haben möchten und in Informationssicherheitsmanagment investieren.

Disclaimer: Alle Angaben ohne Anspruch auf Richtigkeit oder Vollständigkeit. Ich betone ausdrücklich, dass ich kein Jurist bin und dieser Blog lediglich meine persönliche Meinung und Verständnis der Rechtslage in Deutschland darstellt.