# Ihr Hacker aller (Bundes)länder, outet euch

## think4urs11

viel wichtiger fände ich es ja wenn sich mal alle Hacker hier outen und sich hier eintragen würden aber deine Umfrage is ja auch wichtig also war ich mal brav und hab sie ausgefüllt  :Wink: 

*edit - herausgelöst aus Desktop Linuxumfrage, Gentoo auf Platz 4  :Very Happy: 

----------

## UTgamer

 *Think4UrS11 wrote:*   

> viel wichtiger fände ich es ja wenn sich mal alle Hacker hier outen und sich hier eintragen würden aber deine Umfrage is ja auch wichtig also war ich mal brav und hab sie ausgefüllt 

 

Diese Seite hat gerade jetzt ebenso ihre Berechtigung, etwas mehr Bekanntheit würde ihr nicht schaden.

----------

## think4urs11

 *UTgamer wrote:*   

> Diese Seite hat gerade jetzt ebenso ihre Berechtigung, etwas mehr Bekanntheit würde ihr nicht schaden.

 

Recht hast du, so machen wir das.

----------

## m.b.j.

Bin mal gespannt ob die "Internetfandung", sobald sie darauf stößt, diese Liste als Fahndungserfolg darstellt  :Wink: 

----------

## think4urs11

Ich würde eher tippen $Innenminister_auf_Rädern nimmt die Liste (so sie denn lange genug wird) als Anlaß für die Einführung einer Gedankenpolizei o.ä.

Mir egal, es soll noch/auch außerhalb von Mittelfranken/Deutschland/EU schöne Flecken zum Arbeiten und Leben geben.

----------

## ChrisJumper

Ha Ha :)

Nach dem ersten lesen deiner Bitte, Think4UrS11, dachte ich ja es sollte sowas wie StudiVZ werden *g*

Was mich schockierte da ich für den hauch einer Sekunde dachte da geben jemand seinen wirklichen Namen an :)

So ist es aber ganz nett. Und jetzt bin ich wach :) Warum lese ich solche Beiträge eigentlich nicht "morgens" nach dem aufwachen?

----------

## Vortex375

Mal ne blöde Frage: Ist ein Programm wie wireshark, das lediglich Traffic überwacht, nach dem tollen neuen Gesetz dann auch "illegal"?

----------

## UTgamer

 *Vortex375 wrote:*   

> Mal ne blöde Frage: Ist ein Programm wie wireshark, das lediglich Traffic überwacht, nach dem tollen neuen Gesetz dann auch "illegal"?

 

Kannst du damit unverschlüsselte E-Mails mitlesen, ja oder nein, oder Passwörter für ftp, ...?

Was ist wenn dein Chef dich nicht mehr will, er setzt dich an das Tool und zeigt dich danach beim BKA an das du seine E-Mails mitgelesen hast, die er ja nicht in der Lage war zu verschlüsseln.   :Evil or Very Mad: 

----------

## b3cks

 *Vortex375 wrote:*   

> Mal ne blöde Frage: Ist ein Programm wie wireshark, das lediglich Traffic überwacht, nach dem tollen neuen Gesetz dann auch "illegal"?

 

 *§202c StGB (Vorbereiten des Ausspähens und Abfangens von Daten) wrote:*   

> (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
> 
> 1. Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
> 
> 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. [...]

 

Also theoretisch ja, denn es kann nun mal sein, dass Wireshark auch Traffic aufzeichnet, in denen Passwörter oder Sichheitscodes auftauchen oder halt andere Daten, die nicht für dich bestimmt sind. Somit kann man dir natürlich unterstellen, dass du eine Straftat im Sinne von § 202a (Die Nutzung von z.B. Passwörtern, um an gesicherte Daten zu kommen, die nicht für dich bestimmt sind.) begehen möchtest und somit greift § 202c. Außer natürlich du kannst beweisen, dass du nicht vorhattest mit den ausgelesenen Daten eine Straftat zu begehen. Die Frage ist eben, wo genau die Grenze liegt zwischen der Eigennutzung eines derartigen Programms und der Vorbereitung bzw. Begehung einer Straftat. Das Gesetz definiert das eben nicht genau und das ist auch das große Problem. Kann mit Pech auch ein schönes Beispiel für die Aufhebung der Unschuldsvermutung werden. Schäuble will/wollte diese ja eh aufheben.

Problem kann aber auch § 202b machen.

 *§ 202b (Abfangen von Daten) wrote:*   

> Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

 

Die Frage, was eine nichtöffentlichen Datenübermittlung ist, kann man nur vermuten. Wahrscheinlich Datenübertragung in Netzen, zu denen man eigentlich keinen Zugang hat, z.B. ein fremdes Firmennetz oder das der Nachbarn. Ist das Internet öffentlich? Was ist mit verschlüsselter Übertragung? Mit elektromagnetischen Abstrahlung dürfte unter anderem jedes WLAN gemeint sein. Wenn du auf deinem Notebook also Wireshark hast, vielleicht auch noch ein Tool wie AirCrack und dummerweise in der Nähe eines nicht von dir administrierten WLANs bist, kann auch § 202c greifen.

Nicht umsonst hat der Autor von KisMAC (WLAN-Sniffer für MAC) die Entwicklung dessen eingestellt bzw. ins Ausland verlagert. Hier ein Berich dazu: Das Ende von Kismac

----------

## think4urs11

 *b3cks wrote:*   

> Die Frage, was eine nichtöffentlichen Datenübermittlung ist, kann man nur vermuten. Wahrscheinlich Datenübertragung in Netzen, zu denen man eigentlich keinen Zugang hat, z.B. ein fremdes Firmennetz oder das der Nachbarn. Ist das Internet öffentlich? Was ist mit verschlüsselter Übertragung? Mit elektromagnetischen Abstrahlung dürfte unter anderem jedes WLAN gemeint sein. Wenn du auf deinem Notebook also Wireshark hast, vielleicht auch noch ein Tool wie AirCrack und dummerweise in der Nähe eines nicht von dir administrierten WLANs bist, kann auch § 202c greifen.

 

Aus technischer Sicht heraus ist diese Formulierung sogar noch schlimmer.

Eine nichtöffentliche Übertragung ist erstmal nichts anderes als ein Unicast-Datenstrom von Switchport A zu Port B - und jetzt sitzt du als Admin da und hast an Port C - der als Mirrorport konfiguriert ist - einen Sniffer hängen ... gotcha  :Sad: 

Eine Datenverbindung basierend auf Unicasts ist eben per Definition 'nichtöffentlich' - im Gegensatz zu Broadcasttraffic, dieser ist zumindest auf das LAN bezogen 'öffentlich'

Multicasts wäre dann ein Grenzfall, solange der Schnüffler ebenfalls an diesen 'angemeldet' ist sollte alles ok sein aber einfach so mitsniffen is nich...

----------

## b3cks

@Think4UrS11: An Unicast hatte ich auch erst gedacht, war mir aber nicht sicher. Danke für die Info! Wie ich in dem anderen Thread schon sagte, wird man leider die ersten Urteile in dieser Richtung abwarten müssen, um ein wenig mehr Klarheit zu bekommen.

----------

## [duke]

 *Quote:*   

> Nicht umsonst hat der Autor von KisMAC (WLAN-Sniffer für MAC) die Entwicklung dessen eingestellt bzw. ins Ausland verlagert. Hier ein Berich dazu: Das Ende von Kismac

 

KisMAC war der Anfang, Stefan Esser hat letze Woche auch reagiert und seine Demonstrationen zu PHP-Sicherheitslücken von seiner Webseite entfernt.

----------

## oscarwild

 *b3cks wrote:*   

> Außer natürlich du kannst beweisen, dass du nicht vorhattest mit den ausgelesenen Daten eine Straftat zu begehen.

 

Genau das ist der springende Punkt.

Den wenigsten ist klar, dass es im Strafverfahren ausreicht, dass das Gericht zur Ansicht gelangt, der Beklagte sei schuldig, konkrete Beweise werden nicht benötigt.

Wie soll man nun beweisen, selbst keine Straftat geplant zu haben? Man kann versuchen, dies glaubhaft zu machen, aber ob einem geglaubt wird, entscheidet das Gericht.

Wenn ich mir dann Strafverfahren wie jüngst dieses hier ansehe, fällt es mir schwer, an die Objektivität, Neutralität und angemessenen Sachverstand der deutschen Justiz zu glauben und darauf zu vertrauen. Bitte unbedingt auch das Gerichtsurteil und die enthaltene Begründung lesen - das verdeutlicht nochmals, wie das mit der Beweisführung und der vermeintlich rettenden Unschuldsvermutung läuft.

Richtig "nett" außerdem - selbst wenn so ein Verfahren eingestellt wird (Freispruch erfolgt selten), gilt der Angeklagte explizit nicht als unschuldig, und bleibt in der Regel auch noch auf seinen Anwaltskosten sitzen (so er einen bemüht hat). Rechtsschutzversicherungen bezahlen beim Vorwurf einer Vorsatzstraftat nicht!

Ich weiß aktuell selbst nicht, wie ich damit umgehen soll. Ich bin derzeit gezwungen, mit Tools wie Wireshark etc. zu hantieren - perfiderweise auch noch in einem Projekt des Bundes.

 *Think4UrS11 wrote:*   

> Mir egal, es soll noch/auch außerhalb von Mittelfranken/Deutschland/EU schöne Flecken zum Arbeiten und Leben geben.

 

Schön für den, dessen Häuschen Räder hat  :Crying or Very sad: 

----------

## ChrisJumper

Off Topic:

 *oscarwild wrote:*   

> 
> 
> Wenn ich mir dann Strafverfahren wie jüngst dieses hier ansehe, fällt es mir schwer, an die Objektivität, Neutralität und angemessenen Sachverstand der deutschen Justiz zu glauben und darauf zu vertrauen. 

 

Mensch das ist ja wirklich ein starkes Stück! Allerdings ist dieser besagte Käufer, ein wenig selbst schuld. Denn aus dem Urteil geht hervor..

 *Quote:*   

> Das Gericht ist gleichwohl davon überzeugt, dass der Angeklagte es als möglich und nicht ganz fernliegend erkannte, das das Gerät aus einer rechtswidrigen Vortat stammte, und dies billigend in Kauf nahm.

 

Es geht um Auktionen...

 *Quote:*   

> Zwar werden bei einer solchen auch Waren unter ihrem Wert verkauft; hier jedoch lag das Mindestgebot bei 1 . Nach der eigenen Einlassung des Angeklagten hat er sich auch aufgrund des Hinweises im Angebot "toplegales Gerät" zumindes die Frage nach der rechtmäßigen Herkunft der Ware gestellt.

 

Und das empfinde ich dann auch als rechtmäßig.Irgendwie muss man die Hehlerei doch eingrenzen. Und grade bei Ebay sollte man sowieso immer besonders misstrauisch sein. (So ganz Allgemein).

Andererseits kann der Angeklagte für den niedrigen Preis nichts. Von daher ist und bleibt es immer noch ziemlich Absurd. Besonders das er auch in meinen Augen auch eher ein Opfer als ein Täter ist. Dennoch sollte es eine Kommission oder Art Verbraucherschutz geben an die man sich in solchen Fällen wenden kann.

Die Strafe ist eindeutig überzogen! Angemessen fände ich hier eine Erstattung des Kaufpreises an den Käufer und Beschlagnahmung des Gerätes.

Bei dem Rest deines Beitrags stimme ich dir voll und ganz zu!

Man muss halt einfach das erste Urteil abwarten/beobachten bei dem dieser Paragraf zuschlägt. Und sobald man sich hierbei in einer Art und Weise pers. Angegriffen/bedroht fühlt entsprechende Proteste lostreten. Aber dann ist es vielleicht für den ein oder anderen schon zu spät. Doch was will man anderes machen?! Ich versuch schon mal mir schöne Rollen für mein Haus auszusuchen.

----------

## oscarwild

 *ChrisJumper wrote:*   

> Und das empfinde ich dann auch als rechtmäßig.Irgendwie muss man die Hehlerei doch eingrenzen. Und grade bei Ebay sollte man sowieso immer besonders misstrauisch sein. (So ganz Allgemein).

 

Gerade mit dieser Argumentation lässt sich aber unsereins ganz leicht kriminalisieren: irgendwie muss man doch die Computerkriminalität eingrenzen. Und gerade bei Softwareentwicklern sollte man sowieso immer besonders misstrauisch sein  :Wink: 

Ohne hier auf die eBay-Sache im Detail einsteigen zu wollen - dafür gibt es andere, geeignetere Foren - hier möchte ich einfach die Gefahr aufzeigen, in der wir uns alle befinden. Auch der ehrlichste, gewissenhafteste Softwerker kann zum Verbrecher gemacht werden, wenn ein druchgeknallter Staatsanwalt oder im schlimmsten Fall Vater Staat so will. Im Recht sein und Recht bekommen sind zwei völlig getrennte Dinge, zwischen denen mitunter kein logischer, moralischer oder sonstiger Zusammenhang besteht. Mit dem Hackerparagraphen wurde ein weiterer Weg zur Staatswillkür aufgetan - mir macht diese Entwicklung ernsthaft Angst.

----------

## Knieper

So doof, wie dieser Paragraph auch ist, aber nicht jeder Admin kommt in den Bau, nur weil er solche Werkzeuge einsetzt. Auf dem Teppich bleiben sollte man schon.

----------

## m.b.j.

Aber nicht jeder Admin hat freude daran, das er überhaupt etwas mit den Staatsorganen zu tun bekommt/(bekommen könnte). Selbst wenn sich dann nachher seine "Unschuld" herausstellt.

Zeit kann man besser investieren  :Wink: 

----------

## oscarwild

 *Knieper wrote:*   

> So doof, wie dieser Paragraph auch ist, aber nicht jeder Admin kommt in den Bau, nur weil er solche Werkzeuge einsetzt.

 

Richtig, meistens triffts ja eh nur die anderen. Manchmal aber halt nicht...

 *Knieper wrote:*   

> Auf dem Teppich bleiben sollte man schon.

 

Das dachte ich mir auch, als der Gesetzgeber angefangen hat, selbigen zu verlassen.  :Evil or Very Mad: 

----------

## AROK

Hi,

Insbesondere Ethereal halte ich für viele Entwickler von Netzwerksoftware für unentbehrlich.   

Allerdings glaube ich nicht, dass man dafür belangt werden wird, wenn der Nutzen entsprechend offensichtlich ist, und keine Beweise für eine entsprechend subversive Tätigkeit vorliegen. 

Vielleicht wird es dann zukünftig auch eine art "Waffenschein" geben, wie für Pfefferspray und Schreckschusspistolen (was meiner Meinung nach genau so ein Quatsch ist). 

Insgesamt ist hier wieder der Ehrliche der Dumme. Der "böse Hacker/ Terrorist," der sich ohnehin durch Anwendung der Tools gegen andere Strafbar macht, wird sich wegen dieses Gesetzes (Vorbereiten des Ausspähens und Abfangens von Daten) keine Gedanken machen. Die Herstellung und Verbreitung der "Hackertools" wird dieses deutsche Gesetz in unserer globalisierten Welt ebenfalls nicht einschränken können. 

(Sollte man sicher nicht zu laut sagen, Herr Schäuble wird noch früh genug auf die Idee kommen Deutschland zum Schutz vor Terroristen durch Grenzgateways vom Internet zu trennen.)  Oder, wenn man die Ausrüstung für die Vorratsdatenspeicherung eh schon hat könnte man doch gleich komplett überwachen was sich die 82.309.999 potentiellen Terroristen so runterladen. Und das Verbot von Verschlüsselung ist eh schon lange überfällig. Kann ja nicht sein, dass 2 Menschen Informationen austauschen, ohne dass der Staat das mithören kann.  

Gut, dass die Ostdeutschen Bürger von der Stasi befreit wurden...

GrußLast edited by AROK on Wed Aug 15, 2007 9:39 pm; edited 2 times in total

----------

## think4urs11

 *Knieper wrote:*   

> So doof, wie dieser Paragraph auch ist, aber nicht jeder Admin kommt in den Bau, nur weil er solche Werkzeuge einsetzt. Auf dem Teppich bleiben sollte man schon.

 

Aber nicht jeder ist Admin und/oder hat entsprechend wasserdicht+detailierte Verträge mit seinen Auftraggebern, als Beispiel seien mal Securityspezialisten genannt die Penetrationtests u.ä. durchführen.

Auf deren Maschinen wird man immer Tools finden die dieser Paragraph umfasst, das liegt schon in der Natur der durchzuführenden Tätigkeit. Wie oskarwild schon schreibt genügt das (der bloße Anschein, der Verdacht) im Zweifelsfall bereits zur Einleitung eines Strafverfahrens wenn nicht gar einer Verurteilung und ich persönlich finde es wenig erstrebenswert mich weil ich meinen Job mache mit den Staatsorganen zu befassen (bzw. zu müssen), selbst dann nicht wenn ein Verfahren evtl. später 'nur' eingestellt werden wird.

Klar gilt der gute alte Grundsatz 'wo kein Kläger, da kein Richter', nur ... der Konkurrent dem man einen Auftrag weggeschnappt hat, die/der verstoßene Freund(in), der unzufriedene Kunde dessen System durch den Test auf die Nase fiel, ein versehentlich korrumpiertes System eines Dritten bei einem externen Penetrationstest, etc.

Festangestellte Admins (sollten) davon nicht wirklich betroffen sein aber sich hier nochmals explizit schriftlich beim eigenen Arbeitgeber rückzuversichern ist kein Schaden und den Aufwand wert - Zusatz zum Arbeitsvertrag; detailierte Ergänzung der Stellenbeschreibung, gesonderte beidseitig unterschriebene Vereinbarung, etwas in der Art. Es muß ja nicht gleich anwaltlich verfasst und notariell beglaubigt sein.

Man nenne mich paranoid aber bei der Richtung in die die Gesetzgebung seit einiger Zeit geht arbeite ich nur noch mit Netz, doppeltem Boden und an den Arsch gebundenem Kissen.

Und der Teppich den du meinst das ist der auf dem unser Innenminister zeitweise gen Morgenland schwebt beim Verfassen solcher 'dollen Dinger'.  :Wink: 

----------

## AROK

 *Think4UrS11 wrote:*   

> 
> 
> Festangestellte Admins (sollten) davon nicht wirklich betroffen sein aber sich hier nochmals explizit schriftlich beim eigenen Arbeitgeber rückzuversichern ist kein Schaden und den Aufwand wert - Zusatz zum Arbeitsvertrag; detailierte Ergänzung der Stellenbeschreibung, gesonderte beidseitig unterschriebene Vereinbarung, etwas in der Art. Es muß ja nicht gleich anwaltlich verfasst und notariell beglaubigt sein.
> 
> 

 

Das gilt aber nicht erst, seit dieses Gesetz in Kraft trat. Immer wenn man Datenverkehr mitschneidet sollte man eine entsprechende Legitimation haben.

----------

## AROK

Und wie steht es eigentlich damit: http://www.bsi.de/produkte/boss/index.htm

Wird BOSS jetzt eingestellt (jetzt ist ja alles Sicher)?

----------

## think4urs11

Klar prinzipiell war es auch bisher so, nur gab es bisher auf den Hackerparagraph nicht und es regierte (meist) noch der gesunde Menschenverstand.

Meine bisherigen Adminverträge waren jedenfalls nicht sooo detailiert, da steht dann etwas von 'Netzwerkadmin' o.ä. und die jeweilige Stellenbeschreibung ist eher ein Witz als ein Instrument mit dem irgendjemand arbeiten kann - war alles kein Problem... bisher...

rein theoretisch müßte das BSI wg. Verbreitung von Hackertools verklagt werden.

Und wenn diese Klage negativ beschieden würde, wäre der Umkehrschluß - aus logischen, jedoch *nicht* gesetzgeberischen - Überlegungen heraus eigentlich eindeutig der das sämtliche vom BSI in irgendeiner Form beziehbaren Tools/Anleitungen/etc. nicht von diesem Pargraphen erfasst sein können.

----------

## ChrisJumper

Mehr oder weniger zum Thema Hackertools und BOSS:

Im Linux-Magazin-online

 ist ein kurzes aber interessantes Statement zu lesen:

 *Quote:*   

> Ganz anders schätzt das das Bundesamt für Datensicherheit in der Informationstechnik (BSI) ein. Das Amt selbst gibt eine Werkzeugsammlung namens "BOSS", kurz für BSI OSS Security Suite, heraus. Sie enthält Tools wie Nessus und Snort-2, die nach derzeitiger Auffassung als "Hackertools" angesehen werden. Das BSI schätzt die Gesetzeslage wie folgt ein: "Nach § 202 c StGB neu wird das Herstellen, Überlassen, Verbreiten oder Verschaffen von "Hacker-Tools" nicht als solches unter Strafe gestellt. Nach dieser Vorschrift macht sich nur derjenige strafbar, der eine Straftat nach § 202 a oder § 202 b StGB vorbereitet, indem er sich derlei Tools verschafft.

 

--- Nur ein Auszug für den Hunger auf mehr ;) ---

----------

