Computerkriminalität: Rechtslage?

Internet Internet Sicherheit
1

Hallo,

folgendes ist passiert: Wir haben an unserer Schule einen
Linux-Server auf dem jeder Schüler/Schülerin (soweit gewünscht)
ein Login besitzt. Nun klopfte vor einigen Tagen eine
dänische Uni bei uns an, die einen Angriff auf ihre Server
verzeichnet hat, der über unseren Server gelaufen ist.
In unseren Log-Dateien tauchte diese Verbindung auch auf
und konnte auf das zugehörigen Benutzerkonto zurückgeführt
werden, bei dem in der betreffenden Zeitspanne ein Login
aus Israel (!) verzeichnet wurde (der Linux-Server ist per
SSH auch über das Internet erreichbar). Die Dänische Uni
macht jetzt natürlich Druck und es sieht im Moment so aus,
als würde es für den Schüler, dem der Login gehört, schlecht aussehen.
Das scheint mir jedoch eine ziemlich kurzsichtige
Vorgehensweise und daher wollte ich mal ein wenig zur
gesetztlichen Grundlage recherchieren:

  1. Kann der Schüler überhaupt nur auf Grund dieses Logeintrags
    belangt werden? Schließlich sieht es ganz danach aus, das sein
    Login geknackt (falls das passiert ist, jedoch nicht durch das
    ‚Hacken‘ unserers Servers, sondern irgendwie anderweitig…)
    und benutzt wurde. Oder hat er das dann
    trotzdem zu verantworten, weil er sein Login besser hätte
    schützen müssen?
  2. Kann die dänische Uni unsere Schule überhaupt belangen?
    Der ‚Hack‘ lief zwar über unseren Server, aber wie hätten
    wir das verhindern sollen? Unser Server wurde nicht gehackt.
    Der komplette Angriff wurde unter einem ‚normalen‘ Benutzerkonto
    durchgeführt, das nur normale Rechte besitzt. Wie sollen wir
    verhindern, dass man ein Login missbraucht? Wäre das nicht
    so, als würde jemand über seinen Telefonanschluss Telefonterror
    machen und das Opfer würde sich dann bei der Telefongesellschaft
    beschweren?
    Wer weiß mehr zum Thema oder kann mir Quellen zum Thema
    empfehlen? Vielen Dank im Voraus.

– Jan Vornberger

2

Hallo Jan!

In unseren Log-Dateien tauchte diese Verbindung auch auf
und konnte auf das zugehörigen Benutzerkonto zurückgeführt
werden, bei dem in der betreffenden Zeitspanne ein Login
aus Israel (!) verzeichnet wurde (der Linux-Server ist per
SSH auch über das Internet erreichbar). Die Dänische Uni
macht jetzt natürlich Druck und es sieht im Moment so aus,
als würde es für den Schüler, dem der Login gehört, schlecht
aussehen.
Das scheint mir jedoch eine ziemlich kurzsichtige
Vorgehensweise und daher wollte ich mal ein wenig zur
gesetztlichen Grundlage recherchieren:

  1. Kann der Schüler überhaupt nur auf Grund dieses Logeintrags
    belangt werden? Schließlich sieht es ganz danach aus, das sein
    Login geknackt (falls das passiert ist, jedoch nicht durch das
    ‚Hacken‘ unserers Servers, sondern irgendwie anderweitig…)
    und benutzt wurde.

Eines vorweg: Ich bein kein Jurist, aber nach meinen Erfahrungen reicht das nicht aus. Ein solcher Eintrag ist allenfalls ein Indiz. Ohne weitere Beweise lässt sich nicht mit Sicherheit sagen, ob der Schüler oder eine andere Person sich des Accounts bedient hat.

Oder hat er das dann
trotzdem zu verantworten, weil er sein Login besser hätte
schützen müssen?

Das denke ich nicht. Dann könnte man auch den Administrator des Servers zur Rechenschaft ziehen. Schließlich könnte er zur Vorsorge Software zur Aufdeckung schwacher Passwörter gegen die lokalen Konten laufen lassen.

Finden sich denn Einträge in den Logdateien, die auf einen Brute-Force Angriff hinweisen? Eigentlich sollte ein Konto doch nach wenigen Fehlversuchen deaktiviert werden.
Könnte es jemandem gelungen sein, die Datei mit den Hashes der Passwörter in seinen Besitz zu bringen? Auch das sollte bei einem aktuellen Linux nicht mehr ohne weiteres funktionieren. Mit der Datei könnte man nach Belieben die Passworte gegen ein Wörterbuch prüfen.

  1. Kann die dänische Uni unsere Schule überhaupt belangen?
    Der ‚Hack‘ lief zwar über unseren Server, aber wie hätten
    wir das verhindern sollen? Unser Server wurde nicht gehackt.

Nach meinem Sprachgebrauch wurde Euer Server schon gehackt. Schließlich wurde er von einer noch nicht identifizierten Person für deren Zwecke missbraucht. Wie der Angreifer Zugriff auf den Server erlangt hat, interessiert zunächst nicht. Wem Fahrlässigkeit nachzuweisen ist (z.B. Verbreitung der Anmeldedaten), den trifft jedoch eine Mitschuld.

Welcher Schaden ist der dänischen Uni denn überhaupt entstanden?

„Belangen“ kann Euch die dänische Uni nur, indem sie Strafanzeige erstattet. Ist der Schaden ausreichend, wir die Kripo die Ermittlungen aufnehmen. Ich rate Dir daher, möglichst umfangreich Beweise zu sichern.

Juristische Informationen findest Du hier:
http://www.netlaw.de/

Grundsätzliches findest Du im StGB (Computersabotage, Computerbetrug, Ausspähen von Daten, etc.).

CU
Markus

3

wir das verhindern sollen? Unser Server wurde nicht gehackt.

Nicht? Welche SSH-Version läuft? Was für Dienste werden öffentlich angeboten? Was sagt ‚tripwire‘?

Der komplette Angriff wurde unter einem ‚normalen‘
Benutzerkonto
durchgeführt, das nur normale Rechte besitzt.

Und?

Wie sollen wir
verhindern, dass man ein Login missbraucht?

Ihr solltet sicherstellen, daß niemand anders Logins mißbraucen (Euer Job).

Ansonsten kann man auch als normaler User mit einem Login anderen Kummer bereiten: wenn ihr den User als den schuldigen an dem Angriff ausmachen könnt --> LART.

Sebastian

4

Sieht gut aus, für den Schüler!
Hallo Jan,

um es kurz zu machen, nach der deutschen Rechtssprechung ist es dem Schüler in Person nachzuweisen, daß er den Hack vorgenommen hat. Es genügt nicht, zu wissen, von welchem Computer es ausging bzw. mit welchem User-Login es erfolgte.

Auch schon deshalb nicht, da der Computer offensichtlich öffentlich zugänglich war, bzw. von mehr als einer Person verwendet werden konnte.

Der Schüler - ob es er nun war oder nicht, sei dahin gestellt - muß sich strafrechtlich keinerlei Sorgen machen.

Gruß, Andreas