Nachdem ich mir den Vortrag eines Rechtsanwaltes zum Thema Hackerparagraph auf den Chemnitzer LinuxTagen angehört habe, ist die Lage für mich nun etwas klarer. Die ganze Situation ist im Moment etwas schwammig. Es ist zwischen Tools für die reine Sicherheitsanalyse, also den “guten Programmen”, den für beide Seiten einsetzbaren, sogenannten “Dual-Use” Programmen und den “bösen”, rein schädlichen Programmen zu unterscheiden. Ein Tool, das einzig mit dem Zweck geschrieben wurde Schaden anzurichten, wie zb. Würmer, Viren, Hacking-Scripts oder Backdoor-Bausätze sind grundsätzlich (wie früher auch schon) verboten. Diese Tools, die sogenannten DualUse Programme die zb. zum prüfen von Kennwörtern, Scannen von Sicherheitslücken und “wiederherstellen von Passwortern” erstellt wurden, dürfen, wenn die Absicht eindeutig NICHT böswillig ist, weiterhin verwendet werden. Allerdings sollte man die Verwendung dieser Tools auf jeden Fall Schriftlich festhalten und vom Arbeitgeber bestätigen lassen das diese für die Prüfung der Netzwerksicherheit unbedingt erforderlich sind. Verlinken, bereitstellen oder beschreiben sollte man diese Programme allerdings aufgrund der unklaren Rechtslage nicht. Auch Hinweise oder gut gemeinte Tips die auch nur irgendwie zum ausspähen von Daten oder anderen irgendwie erdenklichen Angriffen verwendet werden könnten sollte man vorerst unterlassen. Andere Tools, die eindeutig “gut” sind, darf man weiterhin wie gewohnt einsetzen. Auch aufpassen sollte man beim Einsatz von Netzwerksniffern, Portscannern oder Logging-Tools, da diese Informationen dieser Programme bei einem Angriff nützlich sein könnten. Auch hier gilt, unbedingt vom Arbeitgeber bestätigen lassen. Absolut unklar ist aber weiterhin was passiert, wenn man selbst durch Fehleingaben in löchrigen Anwendungen wie zb. Websites zufällig Schaden anrichtet (zb. eine versehentliche SQL-Injection). Das kann schon passieren wenn man unbedacht Steuerzeichen oder Escape-Zeichen in Beiträgen verwendet und diese von der Webanwendung falsch interpretiert werden was zu einer versehentlichen Manipulation von Daten führen könnte. Ebenfalls absolut unklar ist der Umgang mit abgefangenen Trojanern oder Viren aus EMails oder Web-Content im Isolationsordner des Mail/Proxyservers. Sollte man diese Programme weiter verwenden um seine eigenen Systeme in abgesicherten Umgebungen weiter zu Testen kann das schon ausreichen um den tatbestand zu erfüllen. Also am besten nichts mehr aufheben und sofort löschen, was allerdings gegen die gesetze der EMail-Archivierung verstoßen würde (Emails müssen vollständig Archiviert werden. Eine trennung von Spam wird dort nicht ausgegrenzt, es ist definitiv die Rede von jeglicher EMail-Kommunikation”. Wie man sieht grenzt sich nicht nur das neue Gesetz selbst in mehreren Bereichen aus, sondern kollidiert auch massiv mit anderen gesetzen. Solange das nicht alles geklärt wurde, sollte man besser überhaupt keine Tools dieser Art mehr verwenden und die Spam/Virenmails ungeprüft wegarchivieren. Was auch zu einem Problem werden könnte, sind sogenannte “Live_Hacking” Veranstaltungen. Diese sollte man allein wegen dem Wort Hacking lieber IT Sicherheitsvorführung oder ähnlich benennen. Tools, die Live Kennwörter cracken oder Userdaten ausspähen sollte man bei diesen Vorführungen grundsätzlich nicht verwenden.

Meine Meinung zu dem Thema ist, das die komplette IT-Industrie im Moment extrem gelämt und von unsicherheiten durchzogen ist. Niemand kann sich absolut sicher sein ob das Tool das er zur Analyse der Sicherheitsrisiken im Netzwerk verwendet, überhaupt legal ist. Arbeitsmethoden, Tools, Konzepte, dies alles sollte grundsätzlich geprüfe und bei Bedarf angepasst werden um keine “eventuell Illegalen” Tätigkeiten auszuführen. Die verbleibenden Tools sollte man Schriftlich festhalten, die Personen die diese verwenden dürfen benennen und die Datenträger/Speicherorte dieser Programme zusätzlich Sichern um keine versehentliche Verbreitung auszulösen. Mal sehen wie lange das noch gut geht.