'Duitse antihackwet maakt beveiligingsonderzoek illegaal'

Het Duitse parlement heeft vorige week een wet aangenomen waarvan security-onderzoekers zeggen dat die hun werkzaamheden criminaliseert. Hackersvereniging Chaos Computer Club waarschuwt bovendien voor een staatsmonopolie op hackactiviteiten.

hacker en andermans pc De nieuwe wetgeving maakt het illegaal voor ongeautoriseerde gebruikers om beveiligingen te omzeilen teneinde toegang tot computersystemen te verkrijgen. Ook wordt het verboden om beveiligingskrakende programmatuur te schrijven, te installeren en te verspreiden. De wet stelt daarnaast dos-aanvallen strafbaar, en verhoogt tevens de maximumstraffen voor reeds in het strafboek opgetekende computercriminaliteit. Volgens de Chaos Computer Club heeft het parlement bij de stemming over de wet adviezen van experts uit het bedrijfsleven en de wetenschap genegeerd, en worden activiteiten strafbaar gemaakt die tot het dagelijkse werk van veiligheidsonderzoekers behoren. Die zullen zich volgens de hackersvereniging nu in het buitenland moeten vestigen. De club waarschuwt dat de wet computersystemen onveiliger maakt, door de mogelijkheid weg te nemen om ze aan adequate beveiligingstests te onderwerpen.

De CCC stelt tevens dat de wet een nieuwe stap is op weg naar een staatsmonopolie op hacken. De Duitse regering wil het namelijk graag voor opsporingsdiensten mogelijk maken om via virussen - 'Bundestrojaner' in CCC-jargon - toegang te verkrijgen tot pc's van verdachten. Begin dit jaar werd dat nog door het Duitse Federale Hooggerechtshof verboden, waarop minister van binnenlandse zaken Wolfgang Schäuble aangaf dat er aan een wetswijziging werd gewerkt om het alsnog toe te staan.

IT-banen

Reacties (39)

Verwijderd 29 mei 2007 21:13

Tijd dat er vanuit europa ingegrepen wordt denk ik.
Je kan niet zomaar een beroep, waar in toch best wel wat mensen werken, illegaal maken.

En dat een overheid virussen mag gebruiken voor welk doel dan ook, vind ik echt belachelijk. Ze gaan toch ook niet inbreken bij een verdachte in zn huis.

humbug @Verwijderd • 29 mei 2007 21:58

Het beroep wordt helemaal niet illegaal.

De nieuwe wetgeving maakt het illegaal voor ongeautoriseerde gebruikers om beveiligingen te omzeilen teneinde toegang tot computersystemen te verkrijgen.

Oftewel: Als een bedrijf je inhuurt om de beveiliging te testen mag je dat gewoon doen. Wat niet meer kan is een netwerk kraken en dan roepen dat je dat deed uit nobele motieven. Kraak je, ongevraagt, voor wat voor reden dan ook, dan ben je strafbaar. Lijkt mij niets mis mee.

Ook het gebruik van trojans om toegang te krijgen tot computers van verdachten lijkt mij geen overbodig opsporingsmiddel.

Oftewel: Typisch geblaat van een organisatie die zichzelf heel belangrijk vind, de overheid niet wenst te vertrouwen maar een hele groep onbekende hackers graag toegang tot allerlei systemen wil laten houden omdat misschien 1 van die mensen een veiligheidsrisico bij een grote organisatie gaat vinden.

aequitas

@humbug • 29 mei 2007 22:05

Eigenlijk wel:

Ook wordt het verboden om beveiligingskrakende programmatuur te schrijven, te installeren en te verspreiden.

Je mag dus ook je eigen tools niet meer ontwikkelen of gebruiken omdat ze illegaal zijn. Een beetje van:

Een monteur mag geen grote sleutels meer gebruiken omdat die als moordwapen kunnen dienen. Probeer dan nog maar eens een auto te repareren.

humbug @aequitas • 30 mei 2007 01:29

Zo lees ik de wet eigenlijk niet.

Art 263 te vinden via de bron

Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

(2) § 263 Abs. 2 bis 7 gilt entsprechend.

(3) Wer eine Straftat nach Absatz 1 vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, feilhält, verwahrt oder einem anderen überlässt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Oftewel enkel als je computerprogramma's schrijft voor het gebruik volgens artikel 1 ben je strafbaar. Ontwikkel je tools voor het legaal testen van de beveiliging van computersystemen is daar niets mis mee. Maar goed, mijn juridisch Duits is niet al te best en het is laat, dus het kan anders liggen maar voorlopig trekt de CCC (en iedereen die dat blind overneemt) in mijn ogen onjuiste conclusies.

ronny @aequitas • 30 mei 2007 08:39

mmm.
Tja zo staat het er ook volgens mij, maar dan zit je nog wel met een probleem.
Er is juridishc verschil tussen een programma voor testdoeleinden en voor het hecken.
Maar hoe ga je daar praktisch onderscheid in maken?

Als een testprogramma lekken kan vinden dan weet dat programma toch niet of dat een test is of een hack.
Het probleem is gewoon dat als je serieus wilt beveiligen wil je dat testen met de middelen die de hackers ook hebben. Anders kan je niet goed testen.
Het is zelf zo dat je zelf zwaardere middelen wilt testen dan de hackers omdat je dan weet dat je de volgende ronde ook kan winnen. De praktijk is echter dat je altijd een stap achter loopt.
Als je straks alleen door een portscan en ping* de beveiliging mag testen heb je toch een groot probleem.

*extreem voorbeeld

humbug @aequitas • 30 mei 2007 16:24

Het probleem is gewoon dat als je serieus wilt beveiligen wil je dat testen met de middelen die de hackers ook hebben.

Eigenlijk ben ik het hier niet mee eens. Als mijn hang- en sluitwerk wordt getest voor het keurmerk veilig wonen, komt men ook niet aanzetten met glassnijder, koevoet en een baksteen. Ook voor het testen van computerbeveiliging zijn andere tools nodig dan die door hackers gebruikt worden. Zo gebruiken hackers bijvoorbaat tools om hun sporen uit te wissen. Als legitieme tester heb je die feitelijk niet nodig.

Verwijderd @aequitas • 30 mei 2007 18:12

Ook wordt het verboden om beveiligingskrakende programmatuur te schrijven, te installeren en te verspreiden.

zoals het in de door aequitas aangehaalde wettekst staat, moet het doel van de hack een vermogensdelict zijn. dat laat m.i. dus nogal wat speling bij de interpretatie over.

Verwijderd @aequitas • 31 mei 2007 09:29

Je vergelijking gaat niet helemaal op. Ik ben er van overtuigd dat bij het testen van sloten wel degelijk gekeken wordt of deze niet met een breekijzer te forceren zijn!
Het punt is echter dat een beveligingsomgeving installeren op een computer wat minder transparant is dan het inbouwen van een slot, waardoor men er niet onderuit komt om de werking ervan later te testen.

Niemand_Anders @humbug • 30 mei 2007 09:02

>> De nieuwe wetgeving maakt het illegaal voor ongeautoriseerde gebruikers om
>> beveiligingen te omzeilen teneinde toegang tot computersystemen te verkrijgen.

> Oftewel: Als een bedrijf je inhuurt om de beveiliging te testen mag je dat
> gewoon doen. Wat niet meer kan is een netwerk kraken en dan roepen
> dat je dat deed uit nobele motieven. Kraak je, ongevraagt, voor wat voor
> reden dan ook, dan ben je strafbaar. Lijkt mij niets mis mee.

Dat ligt aan de definitie van ongeauthoriseerd. Authroriseren is het bekend maken van een persoon. Als je dus via een buffer overflow 'binnen' weet te komen ben je niet geauthoriseerd.

Dat betekend dus dat beveiligings experts, ook niet met toestemming van het bedrijf zelf, een security audit mogen uitvoeren. 99% van de hacks gaat namelijk niet via de inlog procedure en omzeilt dus de authorisatie. Zelfs het veranderen van een ID in een cookie om zo informatie van iemand te bemachtigen is strafbaar.

En dat zijn dus de gevolgen van politici die ICT niet begrijpen en afgaan op een zelfbenoemde expert. Doordat ICT voor de meeste mensen 'onzichtbaar' is, wordt er meestal minachtig tegen aangekeken en over gedaan. Maar ICT is overal en regelt ons leven. Security audits worden steeds belangrijker en het wordt tijd dat 'Den Haag' een spoed cursur ICT krijgt..

En dan het terrorisme punt: Ze controleren wateren, wegen. Enig idee wat de impact zal zijn als het KPN netwerk wordt platgelegd of als de AMS-IX wordt opgeblazen?

edit: nested quotes werken niet..

Skyclad @Verwijderd • 30 mei 2007 08:28

Tijd dat er vanuit europa ingegrepen wordt denk ik.

Denk je echt dat de gemiddelde EU zetelwarmhouder computers beter begrijpt?

McChouffe @Verwijderd • 29 mei 2007 21:36

Je kan niet zomaar een beroep, waar in toch best wel wat mensen werken, illegaal maken.

Laat ze maar wat naar het Westen opschuiven die werkkrachten, goed voor ons

elect-ron 29 mei 2007 21:34

Volgens mij bedoelen ze dat je niet op het web, bij onbekende mensen je hackmogelijkheden mag testen.

Zodra ccc een eigen pc op het web gebruikt voor hack-testen, mag het volgens mij wel.

Verwijderd @elect-ron • 29 mei 2007 21:39

Maar je mag dus ook geen software meer maken die gebruikt kan worden om te hacken, dat is bijna net zo'n belachelijke restrictie als dat je geen dingen mag produceren die gebruikt kunnen worden om deuren kapot te krijgen (vergeet schoenen en auto's maar

)

A4-tje @elect-ron • 29 mei 2007 21:38

klopt en ook al zou dat niet mogen dan is het pas strafbaar als er aangifte wordt gedaan...
een bedrijf dat zich laat testen op beveiligingslekken zal natuurlijk geen aangifte doen.
(op dit moment is dus trouwens ook het OM strafbaar als ze actief zoeken naar bewijsmateriaal via beveiligingslekken (tot de wet is gewijzigd)).

Verwijderd 29 mei 2007 21:16

Deze wet is nogal overbodig, hacken om criminele doeleinden was al lang strafbaar.

En wat valt precies onder "beveiligingskrakende programmatuur"? Veel programmatuur die kan worden gebruikt om beveiligingen te kraken heeft ook veel normale toepassingen. Neem bijvoorbeeld packet sniffers, om een performance probleem te vinden of een bug in een applicatie zijn die dingen onontbeerlijk.

Verwijderd @Verwijderd • 29 mei 2007 23:05

Deze wet maakt hacken om niet-criminele doeleinden ook strafbaar.

Ernie @Verwijderd • 29 mei 2007 23:17

In principe valt een simpele no-cd crack al onder beveiligingskrakende programmatuur. Dus het wordt nu onmogelijk gemaakt om een backup van het originele medium te gebruiken.

Ze hebben duidelijk elk advies in de wind geslagen en ze duperen nogal wat mensen met deze wet. De Duitsers gaan toch niet de Amerikanen achterna hoop ik.

McChouffe 29 mei 2007 21:39

Worden Distributed Computing-projecten als RC5-72 nu ook illegaal in Duitsland?

Rob 29 mei 2007 21:41

Een beveiligingsonderzoeker wordt door zijn klant geauthoriseerd om het systeem op veiligheid te controleren, "De nieuwe wetgeving maakt het illegaal voor ongeautoriseerde gebruikers om beveiligingen te omzeilen teneinde toegang tot computersystemen te verkrijgen" valt daarbij dus weg.

FiRePaTH 29 mei 2007 21:38

De Duitse regering wil het namelijk graag voor opsporingsdiensten mogelijk maken om via virussen - 'Bundestrojaner' in CCC-jargon - toegang te verkrijgen tot pc's van verdachten. Begin dit jaar werd dat nog door het Duitse Federale Hooggerechtshof verboden, waarop minister van binnenlandse zaken Wolfgang Schäuble aangaf dat er aan een wetswijziging werd gewerkt om het alsnog toe te staan.

Zo zo, de Stasi is nog lang niet dood in Duitsland anno 2007!

sopsop @FiRePaTH • 29 mei 2007 22:02

Het is de Stasi, en nee die is nog niet dood. De stasi is een afkorting voor Ministerium für Staatssicherheit. En ieder zichzelfrespecterend land heeft zo'n binnenlandse veiligheidsdienst, al noemen ze het soms de Algemene Inlichtingen- en Veiligheidsdienst.

FiRePaTH @sopsop • 30 mei 2007 00:01

Shocking dat jij niet eens weet dat de Stasi (typo fixed...) al sinds 1989 niet meer bestaat...

Ook shocking dat jij het verschil niet weet tussen onze AIVD en de Stasi van Oost-Duitsland...

Btw, de moderne, niet folterende, duitse veiligheidsdienst heet Bundesnachrichtendienst...

RRRobert @FiRePaTH • 29 mei 2007 22:03

Volgens mij haal jij nazi en stasi nu door elkaar. Freudiaans zullen we maar zeggen...

On-topic, als ik zie hoeveel Duitstalige spam en andere ellende ik de laatste weken door de filters heen zie glippen, dan kan ik me de beweegredenen van de Duitse overheid op zich wel voorstellen.. Jammer alleen dat ze door het negeren van de experts-adviezen zo'n beetje het averechtse effect lijken te breiken.

flowerp 29 mei 2007 21:20

Dit is een zeer slechte zaak voor onderzoeks groepen op universiteiten. Het zet bijna een compleet vakgebied buiten spel. Ik denk dat Andy Tanenbaum van de CS groep op de VU hier dan ook niet gelukkig mee is.

Verwijderd @flowerp • 29 mei 2007 22:05

Ach zolang duitsland nederland Nederland niet binnevalt is er voor hem niets aan de hand. En dat zou duitsland nooit ....

it0 @Verwijderd • 30 mei 2007 00:24

Als jij je niet betrokken voelt tot een ander zijn misstanden, waarom zou dan een ander betrokken voelen tot jouw ongerief.

flowerp @Verwijderd • 29 mei 2007 22:14

Met de harmonisatie van de Europese wetten kan zoiets natuurlijk ook naar andere staten van Europa overslaan...

Verwijderd 29 mei 2007 21:45

Hebben ze al een doorzoekingsbevel van de rechter?

xaveriussmet 29 mei 2007 22:06

Jawadde... willkomen in die Bundesrepublik China, waar de mensen niets mogen, en de overheid uw pc's controleert.

gamepower2005 29 mei 2007 22:09

Ook wordt het verboden om beveiligingskrakende programmatuur te schrijven

Begrijp ik het nou goed dat ze het verboden willen maken om gereedschap te maken waarmee ik mijn eigen kluis zou kunnen openbreken? Jarenlang zijn er verenigingen geweest die sloten open probeerden te breken, is dit zoveel anders dan experimenteren met het kraken van computerbeveiligingen?

Wat me heel logisch lijkt is dat je dit niet - zonder toestemming - bij iemand anders een beveiliging mag doorbreken, net zoals je niet iemand anders z'n deur mag intrappen. Klassiek geval van computerfobia als je het mij vraagt..

Ernie @gamepower2005 • 29 mei 2007 23:22

Wat me heel logisch lijkt is dat je dit niet - zonder toestemming - bij iemand anders een beveiliging mag doorbreken, net zoals je niet iemand anders z'n deur mag intrappen. Klassiek geval van computerfobia als je het mij vraagt..

Het is toch iets minder logisch dan het lijkt. Als je iemand zijn deur inbeukt is dat niet toegestaan, je beschadigt namelijk spullen. Als je echter het slot openmaakt met een haarspeld laat je zien dat het huidige systeem onveilig is en dat het verbeterd dient te worden.

Hetzelfde is toe te passen op computers. Als een hacker een beveiliging kraakt en gegevens verwijderd of steelt veroorzaakt hij schade. Als deze hacker echter een beveiligingslek aantoont zonder dat hij dit misbruikt is dit in mijn ogen niet schadelijk en dus ook niet strafbaar. Er zijn zelfs bedrijven die mensen inhuren om het systeem te testen op lekken, dat mag nu dus ook niet meer in Duitsland.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (39)

Sorteer op:

Weergave: