Und hier sind wir also beim juristischeren Teil meiner Entdeckung der Bluetooth-Technologie und der Gefahren, denen die damit ausgestatteten Geräte ausgesetzt sind.
Nachdem die Funktionsweise des Geräts erklärt, die verwendeten Protokolle erläutert und die Gefahren vor Ort für die Person, die ein solches drahtloses Verbindungssystem nutzt, betrachtet wurden, bleibt nur noch zu versuchen, die These zu beweisen, dass ein Smartphone, ein PDA, ein Laptop und sogar ein BT-Headset zweifellos als Computersysteme anzusehen sind und daher den Bestimmungen zum unbefugten Zugriff auf ein Computersystem, insbesondere Art. 615 ter unseres Strafgesetzbuchs, unterliegen müssen. Nachdem dies bewiesen wurde, besteht das zweite Ziel darin, die möglichen schädigenden Handlungen oder generell Handlungen gegenüber solchen Geräten (vom einfachen Toothing, das inzwischen auch von Technikanfängern durchgeführt wird, bis hin zu Snarf- und Backdoor-Angriffen, die von autodidaktischen Crackern mit Hilfe im Internet leicht verfügbarer Informationen durchgeführt werden) einzuordnen. Der erste zu untersuchende Punkt ist daher die Einstufung von Bluetooth-Geräten als Computersysteme und deren Unterwerfung unter die Regelungen, die durch das Gesetz vom 23. Dezember 1993 Nr. 547 mit der Einführung von Art. 615 ter in unser Strafgesetzbuch eingeführt wurden, welcher Vorschriften über den unbefugten Zugriff auf ein Computer- oder Datennetz enthält sowie über mögliche Einbrüche nach unbefugtem Zugriff. Die betreffende Vorschrift lautet: „Wer sich unbefugt in ein durch Sicherheitsmaßnahmen geschütztes Computer- oder Datennetz einschleicht oder sich gegen den ausdrücklichen oder stillschweigenden Willen des Berechtigten darin aufhält, wird mit Freiheitsstrafe bis zu 3 Jahren bestraft.“ Aber können wir ein Gerät, das Bluetooth-Technologie verwendet, als Computersystem betrachten? Sicherlich ja! Tatsächlich ist es schon lange allgemein anerkannt, dass ein Computersystem nicht nur ein Personal Computer oder eine Datenbank ist, sondern „jede Vielzahl von Geräten, die dazu bestimmt sind, eine für den Menschen nützliche Funktion unter Verwendung zumindest teilweise von Informationstechnologien auszuführen“. In diesem Zusammenhang kann man das Urteil des Kassationshofes Nr. 3067 von 1999 heranziehen, das für den Einzelfall sogar eine normale Telefonzentrale als Computersystem einstufte. Ist das erste Zweifel bezüglich der Anwendbarkeit des Art. 615 ter auf mit Bluetooth ausgestattete Geräte geklärt, bleibt zu analysieren, ob die in der vorherigen technischen Sektion beschriebenen Handlungen und Angriffe als Straftat eingestuft werden können. Angefangen beim einfachen Toothing, das wir als das Senden einer Visitenkarte (oder eines Geschäftsberichts) von einem Smartphone zum anderen mittels Bluetooth-Verbindung gesehen haben, ist diese Praxis höchstwahrscheinlich nicht als Computerunbefugter Zugriff strafbar, da dabei kein Zugriff auf das Gerät des anderen erfolgt: Es werden lediglich die möglichen 248 Zeichen (also die Visitenkarte) an den Empfänger übertragen, ohne einen tatsächlichen Zugriff auf das fremde Computersystem und somit ohne die Möglichkeit, die auf dem Handy des Empfängers gespeicherten Daten zu manipulieren, zu entziehen oder zu verändern. Natürlich ist Vorsicht geboten, denn wie wir beim erweiterten Bluejacking gesehen haben, könnte auch dieser einfache Austausch von Visitenkarten ein Mittel sein, das Opfer zu überzeugen, einer „vertrauenswürdigen“ Verbindung zuzustimmen und so einen späteren unbefugten Zugriff zu ermöglichen. Was hingegen die Techniken des Bluesnarfing und Phone Backdoor betrifft, haben wir gesehen, dass sie dem Angreifer einen uneingeschränkten Zugriff auf das Opfergerät über das Pairing-Protokoll und die Einrichtung einer „trusted“ Verbindung ermöglichen, die es dem Cracker erlaubt, nicht nur in das System einzudringen, sondern auch volle Kontrolle über die darin enthaltenen Daten zu erlangen. Möglicherweise könnte gegen diese Sichtweise (aus Sicht einer hypothetischen Verteidigung des Angreifers) eingewendet werden, dass Schutzmaßnahmen zur Verteidigung des Computersystems gegen solche Eindringlinge fehlen. Hierzu gelten auf jeden Fall folgende Überlegungen: Erstens sind Techniken des „Sniffing“ und „Bruteforce“-Angriffe, wie sie von leicht im WEB auffindbarer Software durchgeführt werden, zweifellos darauf ausgelegt und gezielt, solche Sicherheitsmaßnahmen (Passwörter und PINs) zu umgehen oder zu überwinden. Zweitens ist es inzwischen eine allgemein anerkannte Meinung der Rechtsprechung, dass „die Verletzung von Sicherheitsvorrichtungen an sich keine Relevanz hat, sondern als Manifestation eines entgegenstehenden Willens einer Person“ zu sehen ist, wie der Kassationshof im Urteil Nr. 12.732 von 2000 festgestellt hat, wobei das Gericht außerdem bei illegalem Zugriff auf Computersysteme hinzugefügt hat, dass „das Unrecht im Verstoß gegen die Anordnungen des Berechtigten besteht, wie es auch bei Hausfriedensbruch der Fall ist.“ Bezüglich des Willens des Berechtigten spezifiziert das Gesetz ausdrücklich, dass dieser nicht zwangsläufig ausdrücklich sein muss, sondern auch stillschweigend erfolgen kann. Und es ist unzweifelhaft der Wille – wenn auch stillschweigend – eines jeden Besitzers eines Bluetooth-Gerätes, dass niemand ohne vorherige Erlaubnis das sogenannte „informationstechnische Zuhause“ verletzt. Schließlich, im Hinblick auf einen hypothetischen unbefugten Zugriff auf ein mit Bluetooth ausgestattetes Gerät, haben wir gesehen, dass ein Crack-Angriff ihm nicht nur alle vorhandenen Daten auf dem Smartphone zugänglich machen kann, sondern auch die Möglichkeit gibt, das Handy als Zombie zu nutzen, um zu surfen, zu telefonieren oder andere Geräte über die IMEI-Nummer zu klonen – alles auf Kosten des Opfers des unbefugten Zugriffs. Sollte es also in Folge des unbefugten Zugriffs auf ein Computersystem zu weiteren Handlungen kommen, die gegen andere gesetzliche Bestimmungen unseres Zivilgesetzbuchs verstoßen, steht nichts im Weg, dass diese Vorschriften zusammen mit dem Verstoß gegen Art. 615 ter die Deliktsbegehung begründen und der unbefugte Zugriff Bestandteil eines schwereren Verbrechens ist.
Pubblicato in Digitale Werkzeuge
Hinterlasse jetzt einen Kommentar