Gesetze zur IT-Sicherheit und Ethik in der Informatik

1. Gesetze zur IT-Sicherheitund Ethik in der Informatik Anton Wilhelm Praktische Informatik, Prof. Dr. Lutz Wegner Seminar: Internet-Technologie WS 2010/11

2. Historischer Abriss • 1957: Joe Engressia (7 Jahre) • 1971: John Thomas Draper / Captain Crunch • Phreaking • 1973: Blue Box/ing • 1981: Gründung des Chaos Computer Clubs • 1982: 414s, 6 Jugendliche (16-22 Jahre) • Einbruch in ca. 60 verschiedene Computersysteme • 1983: Secret Service erhält neue Abteilung für Kreditkarten- und Computerbetrug • 1984: CCC veröffentlichte den BTX-Hack

3. BTX / Bildschirmtext Terminal Quelle: http://de.academic.ru/dic.nsf/dewiki/205771

4. Gesetze • § 5 Schutz personenbezogener Daten (IFG BDSG) • § 202a Ausspähen von Daten • § 202b Abfangen von Daten • § 202cVorbereiten des Ausspähens und Abfangens von Daten (Hackerparagraph) • § 263aComputerbetrug • § 303a Datenveränderung • § 303b Computersabotage

5. Aussagen der Gesetze

6. Aussagen der Gesetze

7. Aussagen der Gesetze

8. Aussagen der Gesetze

9. Aussagen der Gesetze

10. Aussagen der Gesetze

11. § 202c Vorbereiten des Ausspähens und Abfangens von Daten alias „Hackerparagraph“ • (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er • 1. Passwörteroder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder • 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

12. Hackerparagraph • Intention des Gesetzgebers • Schutz vor Virenschreibern bzw. Hackern zu verbessern, die in fremde Systeme eindringen • Übers Ziel hinaus • Strafbar: vorbereiten, schreiben, verbreiten, besitzen • sogar das Finden und Veröffentlichen von Sicherheitslücken

13. Problematik des Hackerpargraphen • Dual Use • White Hats vs. Black Hats • Beispiel White Hats: • Systemadministratoren • Sicherheitsfirmen • Beispiel Black Hats: • Kreditkartenbetrüger • E-Mail Harvester/ Spambot

14. Reaktionen auf den Hackerpargraph • Chefredakteur des TecChannel zeigt BSI an • Chefredakteur des iX zeigt sich selbst an • Behinderung von Sicherheitsfirmen • Einschränkung von Berufsgruppen

15. Hackerethik (Steven Levy/ CCC) • Der Zugang zu Computern und allem, was einem zeigen kann, wie diese Welt funktioniert, sollte unbegrenzt und vollständig sein. • Alle Informationen müssen frei sein. • Misstraue Autoritäten - fördere Dezentralisierung • Beurteile einen Hacker nach dem, was er tut und nicht nach üblichen Kriterien wie Aussehen, Alter, Rasse, Geschlecht oder gesellschaftlicher Stellung. • Man kann mit einem Computer Kunst und Schönheit schaffen. • Computer können dein Leben zum Besseren verändern. • Müllenicht in den Daten anderer Leute. • Öffentliche Daten nützen, private Daten schützen.

16. Ethische Leitlinie der GI I Das Mitglied II Das Mitglied in einer Führungsposition III Das Mitglied in Lehre und Forschung IV Die Gesellschaft für Informatik

17. Diskussionsrunde - Whistleblowing

18. Diskussionsrunde - Whistleblowing • Internet-Profi ist auf Aktive Versicherung als Kunde angewiesen wegen schlechten Umsatz • Andrea findet Autorisierungsproblem, Ursache liegt nicht bei Internet-Profi sondern der privaten Schnittstelle des Kunden • Andrea möchte Problem melden • Kurt ist anderer Meinung • „nicht unser Problem“, „Kunden haben schon viel früher Mist gebaut“ • Kunde ist bereits wegen Verzögerung und Perfektionismus verärgert

19. Diskussionsrunde - Whistleblowing • Andrea hat Gewissensbisse, soll sie das Problem ansprechen oder nicht? • Aufgabe: In zwei Gruppen PRO und CONTRA Argumente sammeln

20. Diskussionsrunde – Argumente CONTRA • Nicht Teil des Projektes, denn um Schnittstelle kümmert sich der Kunde selber • Keine weitere Verzögerung des Projektes • Nachricht an Kunden verstößt u.U. gegen Arbeitsrecht • Mit hoher Wahrscheinlichkeit entsteht ein Schaden für das eigene Unternehmen (weiteres Projekt mit Aktive Versicherung fällt dann weg)

21. Diskussionsrunde – Argumente PRO • Treue-Service / Ehrlichkeit gegenüber dem Kunden • Selbstschutz / Verantwortungsübertragung • Moral • Finanzielles Interesse (evtl. ist der Kunde dafür dankbar und wird diese Handlung honorieren) • Werbung / Selbst-Promotion („Wir haben einen Fehler bei euch gefunden“)

22. Diskussionsrunde - Whistleblowing • Wenn Andrea das Problem meldet, dann sollte sie das Problem versuchen zuerst • innerhalb der Firma zu klären, wenn die Geschäftsleitung sich weigert, könnte sie sich weiter an • die Aktive Versicherung wenden, wenn diese sich auch weigern die Sicherheitslücke zu beseitigen, könnte sie sich schließlich • an die Kunden der Aktiven Versicherung bzw. die Öffentlichkeit wenden

23. Quellen http://www.gesetze-im-internet.de http://bundesrecht.juris.de http://www.ccc.de/hackerethics http://de.wikipedia.org/wiki/Hacker_(Computersicherheit) http://en.wikipedia.org/wiki/List_of_convicted_computer_criminals http://www.stern.de/digital/computer/hackerparagraf-auch-die-aufpasser-muessen-aufpassen-598457.html http://www.silicon.de/technologie/sicherheit/0,39044013,39184610,00/deutscher_hacker_paragraph_verunsichert_sicherheitsforscher.htm http://itsicherheit.wordpress.com/2008/12/19/hackerparagraph-ix-chefredakteur-zeigt-sich-selbst-an/ Gewissensbisse – Ethische Probleme der Informatik, Debora Weber-Wulff, Christina Class, Wolfgang Coy, Constanze Kurz, David Zellhöfer

24. Vielen Dank für die Aufmerksamkeit