Informatik und Recht

Aufgabe 3 - Illegaler Angriff

Aufgabe 3 - Illegaler Angriff

Christian Bauer, Constantin Hofstetter, Matthias Stadter

Ausgangssituation:

Unsere Kundendatenbank wird gehackt, es werden einige Kundeninformationen und

Konstruktionszeichungen an ein Konkurrenzunternehmen weitergegeben; zusätzlich
werden personenbezogene Daten zerstört, für die es kein aktuelles Backup gibt. Der Täter
kann aufgrund unserer Systemprotokolle ausgeforscht werden.

Fragestellung a)

Nach welchen strafrechtlichen Regeln können der Täter und das von den
Kundeninformationen profitierende Konkurrenzunternehmen zur Verantwortung gezogen
werden?

Allgemeines:

Rechtliche Grundlagen bietet in diesem Fall das Strafgesetzbuch (StGB):

Siehe: http://www.ris2.bka.gv.at/GeltendeFassung.wxe?
QueryID=Bundesnormen&Gesetzesnummer=10002296

Betreffend dem Zugriff auf die Daten:

Falls der Eindringling auf die Daten zugegriffen hat indem er Benutzername und Passwort
z.B. durch Brute-Force Attacken umgangen hat, können wir nach §118a StGB wegen
“Widerrechtlichem Zugriff auf ein Computersystem” klagen:

lt. §118a (1):
“Wer sich in der Absicht, sich oder einem anderen Unbefugten [in diesem Fall das
Konkurrenzunternehmen] von in einem Computersystem gespeicherten und nicht für ihn
bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt,
einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich
oder einem anderen einen Vermögensvorteil [die Kundeninformationen sowie
Konstruktionszeichnungen!] zuzuwenden oder einem anderen einen Nachteil [die
Zerstörtung der personenbezogenen Daten] zuzufügen, zu einem Computersystem, über
das er nicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen Zugang
verschafft, indem er spezifische Sicherheitsvorkehrungen im Computersystem
überwindet [z.B. Datenbanklogin mit Benutzername/Passwort], ist mit Freiheitsstrafe bis
zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.”

Der §119 StGB kommt zur Geltung, falls der Eindringling Benutzername und Passwort
(oder auch die entwendeten Daten) durch einen Trojaner, Sniffer oder ähnlichem
entwendet hat: Verletzung des Telekommunikationsgeheimnisses:

lt. §119 (1):

“Wer in der Absicht, sich oder einem anderen Unbefugten [in diesem Fall das
Konkurrenzunternehmen] vom Inhalt einer im Wege einer Telekommunikation oder eines
Computersystems übermittelten und nicht für ihn bestimmten Nachricht Kenntnis zu
verschaffen, eine Vorrichtung, die an der Telekommunikationsanlage oder an dem
Gruppe Bauer, Hofstetter, Stadter Seite 1 / 5
 Informatik und Recht
Aufgabe 3 - Illegaler Angriff
Computersystem angebracht oder sonst empfangsbereit gemacht wurde, benützt, ist mit
Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu
bestrafen.”

Ähnlich lautet auch §119a StGB, welcher noch das Abfangen von Daten in einem
Computersystem beinhaltet (z.B. Email, aber auch Informationen die am Bildschirm
angezeigt werden (über das Abfangen der elektromagnetischen Strahlung)).

Falls es sich bei dem Täter um einen Mitarbeiter unseres Unternehmens handelt, könnte
auch §122 StGB zur Geltung kommen: Verletzung eines Geschäfts- oder
Betriebsgeheimnisses. In unserem Fall käme auch §122 (2) zur Geltung und der Täter
könnte mit Freiheitsstrafe bis zu einem Jahr bestraft werden.

Eventuell auch relevant ist §123 StGB: Auskundschaftung eines Geschäfts- oder
Betriebsgeheimnisses: “Wer ein Geschäfts- oder Betriebsgeheimnis [Kundendaten
aber vor allem auch Konstruktionszeichnungen] mit dem Vorsatz auskundschaftet, es zu
verwerten, einem anderen zur Verwertung zu überlassen oder der Öffentlichkeit
preiszugeben, ist mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bis zu 360
Tagessätzen zu bestrafen. Beide Strafen können auch nebeneinander verhängt werden.”

§124 StGB bezieht sich auf die Auskundschaftung eines Geschäfts- oder
Betriebsgeheimnisses zugunsten des Auslands. Hier ist das Strafmaß auf bis zu drei
Jahren Freiheitsstrafe beschränkt.

Betreffend der Zerstörung der personenbezogenen Daten:

Der Täter zerstört personenbezogene Daten irreversibel, damit haftet er nach §126 StGB:
Datenbeschädigung:

lt. §126a (1): “Wer einen anderen dadurch schädigt, daß er automationsunterstützt
verarbeitete, übermittelte oder überlassene Daten [...] verändert, löscht oder sonst
unbrauchbar macht oder unterdrückt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit
Geldstrafe bis zu 360 Tagessätzen zu bestrafen.”

lt. §126a (2): “Wer durch die Tat an den Daten einen 3 000 Euro übersteigenden Schaden
herbeiführt, ist mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bis zu 360
Tagessätzen, wer einen 50 000 Euro übersteigenden Schaden herbeiführt oder die Tat als
Mitglied einer kriminellen Vereinigung begeht, mit Freiheitsstrafe von sechs Monaten bis
zu fünf Jahren zu bestrafen.”

Handelt der Täter also als Mitglied einer kriminellen Vereinigung hat er ein größeres
Strafmaß, mindestens aber sechs Monate Freiheitsstrafe, zu befürchten.

Das Abfragen der Daten kann zu einem Systemfehler führen - damit käme auch §126b
StGB zur Geltung: Störung der Funktionsfähigkeit eines Computersystems:

lt. §126b (1): “Wer die Funktionsfähigkeit eines Computersystems, [...] dadurch schwer
stört, dass er Daten eingibt oder übermittelt [z.B. durch SQL-/Datenbankbefehle/Brute-
Force Attacken, DoS/DDoS-Attacke], ist, wenn die Tat nicht nach §126a mit Strafe bedroht
ist, mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen
zu bestrafen.”

Gruppe Bauer, Hofstetter, Stadter Seite 2 / 5

 Informatik und Recht
Aufgabe 3 - Illegaler Angriff

lt. §126b (2): Wer durch die Tat eine längere Zeit andauernde Störung der
Funktionsfähigkeit eines Computersystems herbeiführt, ist mit Freiheitsstrafe bis zu zwei
Jahren oder mit Geldstrafe bis zu 360 Tagessätzen, wer die Tat als Mitglied einer
kriminellen Vereinigung begeht, mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren
zu bestrafen.”

Dies ist jedoch unserem Fall eher unwahrscheinlich - eventuell ist das Cracken der Login
Daten (evtl. §126b) getrennt vom Zerstören der Daten (§126a) zu behandeln.

Der §126c StGB ist mit Sicherheit der kritischste Paragraph bzgl. Computersicherheit:
Missbrauch von Computerprogrammen oder Zugangsdaten

lt. §126c (1):

“Wer
1. ein Computerprogramm, das nach seiner besonderen Beschaffenheit
ersichtlich [Wie kann das geregelt werden? Sind Exploits die als Proof-Of-
Concept erstellt werden sofort strafbar? Ist es besser, die Lücke “nicht zu
beachten” als aufzuklären?] zur Begehung eines widerrechtlichen Zugriffs auf ein
Computersystem (§ 118a), einer Verletzung des Telekommunikationsgeheimnisses
(§ 119), eines missbräuchlichen Abfangens von Daten [Ist Wireshark (vormals
Ethereal), der Standard für Packet-Sniffing Software, illegal?] (§ 119a), einer
Datenbeschädigung (§ 126a), einer Störung der Funktionsfähigkeit eines
Computersystems (§ 126b) oder eines betrügerischen
Datenverarbeitungsmissbrauchs (§ 148a) geschaffen oder adaptiert worden ist,
oder eine vergleichbare solche Vorrichtung oder
2. ein Computerpasswort, einen Zugangscode oder vergleichbare Daten, die den
Zugriff auf ein Computersystem oder einen Teil davon ermöglichen [fällt
darunter z.B. schon ein Wörterbuch, dass zum Testen von Passwörter genutzt
werden soll? Macht sich die Universität Wien schon durch das zugänglich machen
von Wörterbüchern für Dictionary-Attacken strafbar? Siehe ftp://ftp.univie.ac.at/
security/dictionaries/ ],
mit dem Vorsatz herstellt, einführt, vertreibt, veräußert, sonst zugänglich macht, sich
verschafft oder besitzt, dass sie zur Begehung einer der in Z 1 genannten strafbaren
Handlungen gebraucht werden, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit
Geldstrafe bis zu 360 Tagessätzen zu bestrafen.”

lt §126c (2): “Nach Abs. 1 ist nicht zu bestrafen, wer freiwillig verhindert, dass das in Abs. 1
genannte Computerprogramm oder die damit vergleichbare Vorrichtung oder das
Passwort, der Zugangscode oder die damit vergleichbaren Daten in der in den §§ 118a,
119, 119a, 126a, 126b oder 148a bezeichneten Weise gebraucht werden. Besteht die
Gefahr eines solchen Gebrauches nicht oder ist sie ohne Zutun des Täters beseitigt
worden, so ist er nicht zu bestrafen, wenn er sich in Unkenntnis dessen freiwillig und
ernstlich bemüht, sie zu beseitigen.”

Der Täter könnte nach §126c (1) StGB angeklagt werden, wenn er z.B. Packet-Sniffer
(Wireshark), ein Programm zum knacken von Passwörtern (z.B. John The Ripper, das u.a.
Brute-Force und Dictionary-Attacken anbietet) oder eigene Exploits/Tools verwendete.

Gruppe Bauer, Hofstetter, Stadter Seite 3 / 5

 Informatik und Recht
Aufgabe 3 - Illegaler Angriff
Fragestellung b)

Wie können wir Schadenersatz erhalten?

Für Schadenersatzansprüche ist vorallem das Allgemeine bürgerliche Gesetzbuch (ABGB)

relevant: http://www.ris2.bka.gv.at/GeltendeFassung.wxe?
QueryID=Bundesnormen&Gesetzesnummer=10001622

Eventuell könnte Schadenersatz vom Hersteller des Datenbanksystems nach §922 ff.
ABGB gefordert werden [Gewährleistung, vor allem §933a, Schadensersatz, relevant].
Es ist jedoch anzunehmen, dass der Softwarevertrag des Datenbanksystems eben solche
Schäden aus der Gewährleistung ausschließt.

Das dreißigste Hauptstück des ABGB befasst sich mit Schadenersatz.

§1293 definiert den “Schaden” an einer Sache; §1294 definiert ein Verschulden (d.h.
wenn ein Schaden eine widerrechtlichen Handlung ist, die ggf. willkürlich oder unwillkürlich
ergangen worden ist).

In unserem Fall war der Schaden ein vom Täter verübtes Verschulden: widerrechtlich nach
§118a ff. StGB (vorsätzlich und unwillkürlich in seiner Sache als gezielter Angriff).

Nach §1295 ABGB können wir vom Verursacher des Schadens, Schadenersatz
verlangen. Nach §1298 ABGB sind wir jedoch in der Beweispflicht; sonst gilt §1296 (der
Schaden entstand ohne Verschulden eines Anderen).

Um die konkurrierende Firma auf Schadenersatz zu verklagen sollte §1301 ff. ABGB
herangezogen werden: Diese Paragraphen befassen sich mit einem Verschulden durch
mehrere Teilnehmer. Nach §1302 haften “Alle für Einen, und Einer für Alle” bei
vorsätzlichem Verschulden. Relevant ist auch §12 StGB: Behandlung aller Beteiligten
als Täter:

lt. §12 StGB: “Nicht nur der unmittelbare Täter [der Cracker der die Daten beschafft hat]
begeht die strafbare Handlung, sondern auch jeder, der einen anderen dazu bestimmt, sie
auszuführen [die Firma die den Angriff in Auftrag gab], oder der sonst zu ihrer Ausführung
beiträgt.”

Eventuell sind auch die Paragraphen 13, 14 und 15 StGB relevant.

Da es sich auch um personenbezogene Daten handelt, kommt eventuell auch §1328a

ABGB zur Geltung: Recht auf Wahrung der Privatsphäre; demnach müssen
entstandene Schäden bei der Verwertung von “Umständen aus der Privatsphäre” auch
ersetzt werden.

Gruppe Bauer, Hofstetter, Stadter Seite 4 / 5

 Informatik und Recht
Aufgabe 3 - Illegaler Angriff
Fragestellung c)

Weshalb könnte es sein, dass wir gegen §§ 14, 15 DSG 2000 verstoßen haben, und wie
verteidigen wir uns am besten?

Das Datenschutzgesetz 2000 (DSG 2000): http://www.ris2.bka.gv.at/

GeltendeFassung.wxe?QueryID=Bundesnormen&Gesetzesnummer=10001597

Datensicherheitsmaßnahmen
lt. §14 DSG 2000: “(1) Für alle Organisationseinheiten eines Auftraggebers oder
Dienstleisters [das ist unser Unternehmen], die Daten verwenden, sind Maßnahmen zur
Gewährleistung der Datensicherheit [zum Beispiel Backup der Datenbank] zu treffen.
Dabei ist je nach der Art der verwendeten Daten und nach Umfang und Zweck der
Verwendung sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten
und auf die wirtschaftliche Vertretbarkeit sicherzustellen, daß die Daten vor zufälliger
oder unrechtmäßiger Zerstörung und vor Verlust geschützt [unsere
Schutzmaßnahmen waren evtl. nicht ausreichend!] sind, daß ihre Verwendung
ordnungsgemäß erfolgt und daß die Daten Unbefugten nicht zugänglich [die Daten
waren Unbefugten evtl. zugänglich!] sind. [...] Diese Maßnahmen müssen unter
Berücksichtigung des Standes der Technik und der bei der Durchführung
erwachsenden Kosten ein Schutzniveau gewährleisten, das den von der Verwendung
ausgehenden Risiken und der Art der zu schützenden Daten angemessen [Ein
Sachverständiger muss prüfen, ob unsere Schutzmaßnahmen dem Stand der Technik
entsprachen und das System ausreichend gewartet worden ist] ist.”

Schützen können wir uns im Nachhinein nicht mehr - wir sollten schon vorher alles “richtig”
gemacht haben, d.h. ausreichender Schutz gegen Angriffe von Außen, aktuelle Updates
einspielen, CERT Listen beobachten sowie Backup Vorrichtungen gegen Datenverlust
(“Secure and Distributed Storage” Paper lesen! :-) ).

Als Verteidigung können wir hoffentlich (durch Protokolle, vorherige Backups etc.)
nachweisen dass wir hohe Datensicherheitsmaßnahmen erbrachten.

Datengeheimnis
lt. §15 (1) DSG 2000: “Auftraggeber, Dienstleister und ihre Mitarbeiter - das sind
Arbeitnehmer (Dienstnehmer) und Personen in einem arbeitnehmerähnlichen
(dienstnehmerähnlichen) Verhältnis - haben Daten aus Datenanwendungen, die ihnen
ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder
zugänglich geworden sind, unbeschadet sonstiger gesetzlicher
Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für
eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht
(Datengeheimnis).”

Eventuell könnte uns nachgewiesen werden, dass die Daten nicht gesichert gespeichert
wurden und wir diese nicht als Datengeheimnis behandelt haben. Das wäre zum Beispiel
bei einfachen SQL-Injections oder einem Datenbank-Dump auf einem öffentlich
zugänglichem Server relevant (Täter hat sich ja nur “vertippt”). Wenn wir nachweisen
können, dass ein wirklicher Aufwand für den Angriff nötig war (also keine einfache SQL-
Injection, sondern das Durchbrechen von Firewalls, exploiten von Sicherheitslücken
(Buffer-Overflow o.ä.) etc.) sollten wir §15 DSG 2000 gerecht werden können.

Gruppe Bauer, Hofstetter, Stadter Seite 5 / 5