Tutorials

Hacken – ohne das Gesetz zu brechen

Wenn ich erzähle, womit ich mein Geld verdiene, reagiert mein Gegenüber meist mit Neugierde, oft aber auch einer gewissen Skepsis. Kann man wirklich als ethischer Hacker arbeiten? Ist das überhaupt legal?

Genau aus diesem Grund schauen wir uns einmal genauer an, wie es gesetzlich mit dem Hacking in Deutschland aussieht, welche Möglichkeiten es gibt, ganz legal zu hacken und weshalb wir in Zeiten der Digitalisierung tatsächlich noch viel mehr Hacker brauchen.

Was ist eigentlich ein Hacker?

Fragt man eine der Suchmaschinen eurer Wahl, erhält man schnell die verschiedensten Treffer. Im Grunde hören sich alle aber relativ gleich an:

Laut Googles Top Ergebnis sind Hacker Personen, die

durch geschicktes Ausprobieren und Anwenden verschiedener Computerprogramme mithilfe eines Rechners unberechtigt in andere Computersysteme eindringen.

Quelle: duden.de

Die Definition ist ein gutes Beispiel dafür, wie Hacker im Allgemeinen von der Öffentlichkeit angesehen werden. Und zwar als „die Bösen„, die „unberechtigt in andere Computersysteme eindringen„. Alles nur mit dem Ziel, anderen zu schaden, sei es aus finanziellen Gründen oder einfach nur, des Chaos willens.

Natürlich ist diese Sichtweise nur eine Seite der Medaille.

Hacker im 21. Jahrhundert

Das 21. Jahrhundert steht ganz im Zeichen der Digitalisierung. Industrie 4.0, Internet of Things, Cloud, KI – vor Buzzwords kann man sich in kaum noch retten. Alles muss vernetzt, automatisiert und möglichst schnell sein. Dabei spielt natürlich auch das eigene Tempo im Vergleich zur Konkurrenz eine erhebliche Rolle. Wer sein Produkt zuerst auf dem Markt hat, kann den Markt auch zuerst erobern. Eine angemessene Sicherheit dieser neuen digitalen Landschaften und Spielereien kostet natürlich nur Zeit und Geld und spielt deshalb fast immer nur eine untergeordnete Rolle. Das Problem ist jetzt nur, dass diese Taktik vieler Hersteller vielleicht kurzfristig noch gut gehen mag, langfristig ist es jedoch lediglich eine Frage, wann es zu einem Sicherheitsvorfall kommt, und nicht ob es überhaupt dazu kommt.

In einer vernetzteren Welt werden die Folgen eines erfolgreichen Cyberangriffs gleichzeitig auch immer gravierender. 2016 kam es beispielsweise in den USA in einer Wasseraufbereitungsanlage zu einem Cyberangriff, bei dem um ein Haar hunderte Menschen vergiftet worden wären. Den Hackern gelang es damals, in die Steuerungsanlage einzudringen und die Zusammensetzung der Reinigungschemikalien zu verändern. Wäre das so aufbereitete Trinkwasser in Umlauf gekommen, hätte das zu einer Katastrophe führen können.

The Chaotic Evil

Umgangssprachlich werden diese, in Anführungszeichen, „klassischen Hacker“ auch als Cracker oder öfter auch als Black Hat Hacker bezeichnet.

Wir wissen also, dass absolute Sicherheit schlichtweg unmöglich ist. Heutzutage ist Software, vor allem auch im Zusammenspiel untereinander, viel zu komplex dafür. Was können wir also tun, um den Black Hats einen Schritt voraus zu sein?

The Lawful Good

Die Antwort: Die Hersteller bezahlen einfach ein paar Hacker, um die eigenen Systeme mit den gleichen Mitteln, wie die Black Hats, anzugreifen. Entscheidend dabei ist jetzt aber, die Hacker haben die offizielle Erlaubnis dafür. Das Ganze muss dabei auch im Vorfeld vertraglich festgehalten sein.

Sollten jetzt irgendwelche Schwachstellen gefunden werden, melden die Hacker diese direkt an die Hersteller. Die können die gefundenen Lücken dann im Anschluss beheben, ohne dass irgendjemand dabei Schaden nimmt. Ein solches Vorgehen bezeichnet man auch als Penetration Test. Hacker, die nur mit Erlaubnis und im gesetzlichen Rahmen agieren, nennt man im Allgemeinen White Hat Hacker.

The Chaotic Neutral

Wenn es White Hats und Black Hats gibt, dann gibt es bestimmt auch Grey Hat Hacker, oder? Grey Hats sind diejenigen, die auf einem sehr schmalen Grat der Legalität wandern und gerne auch mal das ein oder andere Gesetz übertreten. Bedingung ist, dass die Tat am Ende einem höheren Ziel dient.

2018 hat sich beispielsweise ein russischer Hacker über 100.000 MikroTik Router übernommen und die Schwachstellen darin selbst beseitigt.

Im selben Jahr hat ein anderer Hacker die Kontrolle über 50.000 Drucker auf der ganzen Welt übernommen. Anstatt Daten zu klauen oder Schadsoftware darauf zu installieren, hat er sich dazu entschlossen, Werbung für PewDiePies Kanal auszudrucken. Damit wollte er PewDiePie im Kampf gegen T-Series für den Kanal mit den meisten Subscribern unterstützen.

Drucker hacken: Ausdruck
Quelle: theverge.com

Hacken in Deutschland

Also, wie sieht’s denn nun in Deutschland mit der Gesetzeslage dazu eigentlich aus? Ab wann werde ich vom Staat offiziell als Black Hat Hacker angesehen?

Dreh- und Angelpunkt sind die Paragrafen § 202a bis d des Strafgesetzbuches (StGB). Diese sind Unterparagrafen des Briefgeheimnisses, welches quasi die Übertragung von Daten auf physischem Wege reguliert.

Als die Unterparagrafen im Jahr 1986 neu eingeführt wurden, war das bloße Hacken, also das Eindringen in Systeme, ohne sich dabei auch Daten zu beschaffen, noch nicht illegal. Damals war das Internet tatsächlich noch Neuland und man hatte Angst vor einer zu großen Überkriminalisierung.

Ausspähen von Daten

Erst am 11. August 2007 wurde die Gesetzeslage letztendlich verschärft. Seitdem ist bereits das „Unbefugte verschaffen von Zugang“ eine Straftat. Im Paragrafen 202a heißt es wörtlich:

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Quelle: § 202a Ausspähen von Daten

Besonders interessant ist dabei der Nebensatz „unter Überwindung der Zugangssicherung„. Ab wann gelten Daten denn als mit einer Zugangssicherung abgesichert?

Zugangssicherung

Von einer Zugangssicherung spricht man, wenn für den Zugriff auf die Daten ein nicht unerheblicher Aufwand betrieben werden muss. Dabei wird nicht zwischen einer digitalen oder physischen Absicherung unterschieden. D.h. also, dass darunter sowohl eine Festplatte fällt, die in einer Kiste eingeschlossen ist, oder die mit einer Verschlüsselung abgesichert ist.

Wenn es ein Laie, also jemand ohne Hintergrundwissen, schafft ohne Aufwand, die Absicherung zu umgehen, kann man nicht mehr von einer Zugangssicherung sprechen. Grundsätzlich kann man aber sagen, dass die gesamte Passage bewusst sehr schwammig formuliert wurde und allgemein weit ausgelegt werden kann.

Daten ≠ Daten

Zur Abgrenzung zum Briefgeheimnis will ich noch erwähnen, dass wenn in den Unterparagrafen von Daten gesprochen wird, das Gesetzt ausschließlich digitale Daten meint, die „elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar“ sind.

Abfangen von Daten

Paragraf 202b befasst sich mit dem unerlaubten Abfangen von Daten. Im Detail heißt es dort:

Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

Quelle: § 202b Abfangen von Daten

Ein Beispiel für ein solches Abfangen von Daten wäre, wenn ich ohne Erlaubnis die WLAN-Verbindung meines Nachbarn belausche und mitschneide. In dem Paragrafen wird explizit nicht erwähnt, dass die Daten dabei zusätzlich verschlüsselt sein müssen. Trotzdem wird aber gesagt, dass sie aus einer „nichtöffentlichen Datenübermittlung“ stammen müssen. Beim WLAN funkt der Router aber grundsätzlich in alle Richtungen. Kann man dann bei einer nicht-verschlüsselten Verbindung, wie zum Beispiel im Starbucks um die Ecke, wirklich noch von einer „nichtöffentlichen Datenübermittlung“ sprechen?

Keine Verschlüsselung, keine Gnade?

Ja und Nein. Jeder Otto Normalverbraucher wird sagen, dass ein unverschlüsseltes WLAN ganz klar öffentlich ist. Umgangssprachlich sagen wir dazu ja sogar öffentlicher WLAN-Hotspot. Auf der anderen Seite steht in jedem übertragenem Datenpaket die genaue Empfängeradresse drin. Es ließe sich argumentieren, dass die Übertragung deshalb als nichtöffentlich angesehen werden kann.

So komplex, wie die Auslegung sich in der Theorie auch anhören mag, in der Praxis hat der Paragraf bislang sehr wenig Relevanz vor Gericht gehabt.

Vorbereiten des Ausspähens und Abfangens von Daten

Mit dem nächsten Paragrafen wird es jedoch deutlich spannender. § 202c ist der wohl bekannteste und gleichzeitig kritischste von den vier Unterparagrafen. Im Volksmund spricht man auch vom Hackerparagrafen. Wörtlich heißt es darin:

(1) Wer eine Straftat nach § 202a (Ausspähen von Daten) oder § 202b (Abfangen von Daten) vorbereitet, indem er

1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ermöglichen, oder

2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

Quelle: § 202c Vorbereiten des Ausspähens und Abfangens von Daten

Aus einer naiven Weltansicht heraus, in der es ausschließlich die böse Seite, also Black Hat Hacker, gibt, mag sich der Gesetzestext vielleicht sinnvoll anhören. Wie wir am Anfang des Videos festgestellt haben, sind White Hat Hacker, also Hacker mit guten Absichten, für die Industrie und die Sicherheit unserer Gesellschaft als ganzes aber unerlässlich. Und wir als White Hats brauchen einen legalen Spielraum, um Angriffstools entwickeln zu können, die die gleichen Techniken verwenden, wie unsere Gegenspieler.

Gut gemeint, schlecht gemacht

Nach der Einführung des Paragrafens im Jahr 2007 musste sich die damalige Justizministerin Zypris deshalb auch heftiger Kritik stellen. Laut Aussage des Bundesverfassungsgerichts ist bei der Entwicklung von Dual-Use-Tools, also Tools, die sowohl für das Gute als auch Böse eingesetzt werden können, kein „Zweck zur Begehung einer Straftat“ gegeben.

Ich konnte im Zuge meiner Recherchen auch seit 2007 keinen einzigen Fall finden, bei dem es eine Verurteilung auf dieser Grundlage gab. Als logisch denkender Mensch fragt man sich dann natürlich, warum es den Paragrafen in dieser Form überhaupt noch gibt.

Datenhehlerei

Wenig überraschend ist der letzte Unterparagraf im Bunde, nämlich § 202d – Datenhehlerei. Dort wird im Grunde nur festgehalten, dass ich illegal erlangte Daten nicht zu meiner Bereicherung oder zur Schädigung eines anderen weitergeben darf.

(1) Wer Daten, die nicht allgemein zugänglich sind und die ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Quelle: § 202d Datenhehlerei

In der Vergangenheit haben wir beispielsweise schon mehrfach gesehen, wie Cyberkriminelle zuerst großen Mengen an Aktien eines Unternehmens geshortet haben. Das heißt, dass sie quasi darauf wetten, dass das Unternehmen in der nächsten Zeit in seinem Börsenwert fallen wird. Um das Ganze etwas zu beschleunigen wurden dann gestohlene Daten geleakt, die das Unternehmen belasten. Umgangssprachlich wird sowas auch als Stock Doxxing bezeichnet.

Keine Strafe, wo kein Kläger

Bei allen der genannten Paragrafen handelt es sich um Antragsdelikte. Das heißt, nur wenn der Geschädigte auch wirklich einen Antrag auf Strafverfolgung stellt, wird überhaupt eine offizielle Untersuchung eingeleitet. Beim Ausspähen von Daten und der Datenhehlerei kann die Staatsanwaltschaft aber ein besonderes öffentliches Interesse feststellen und auch ohne Strafantrag der Geschädigten die Strafverfolgung einleiten.

Datenveränderung & Computersabotage

Abschließend möchte ich noch kurz auf die Paragrafen § 303a und b eingehen. Dort geht es zum einen um die unerlaubte Datenveränderung.

(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

Quelle: § 303a Datenveränderung

Eines der wohl bekanntesten Beispiele hierfür ist die massive Verbreitung von Verschlüsselungstrojanern. Derartige Schädlinge verschlüsseln die gesamte Festplatte des Opfers und verlangen anschließend ein Lösegeld, um die Daten wiederherzustellen. Da bereits der Versuch der Datenveränderung strafbar ist, genügt es schon, wenn man eine infizierte PDF- oder Word-Datei per E-Mail verschickt.

§ 303b ist recht ausführlich. Darin dreht sich alles um die Computersabotage. Zusammengefasst wird hier aufgeführt, dass es strafbar ist, in den reibungslosen Betrieb eines anderen Rechners einzugreifen, sei es durch die erwähnte Datenveränderung aber auch durch beispielsweise Denial-of-Service-Angriffe.

Was bleibt?

Grundsätzlich gibt es in den Gesetzestexten des deutschen Strafrechts keine Unterscheidung zwischen guten und bösen Hackern. Ob Hacking tatsächlich illegal ist, hängt dabei immer stark vom Kontext und der Absicht des jeweiligen Hackers ab. Im internationalen Vergleich steht Deutschland aber verhältnismäßig liberal dar und geht nicht ganz so hart mit Hackern um, wie es in anderen Ländern der Fall ist.

Das eigene Labor

Zum einen kannst du dir daheim ein eigenes kleines Hacking-Labor einrichten. Dazu braucht es heutzutage auch kein dickes Portemonnaie mehr. Oft genügen bereits ein paar virtuelle Maschinen auf dem eigenen Rechner. Es gibt auch Anbieter, die vollständige Übungsumgebungen mit passendem Lehrmaterial und Aufgaben dazu bereitstellen. Ein hervorragendes Beispiel hierfür wäre Pentesterlab.com.

Wettbewerbe

Andererseits gibt es auch immer wieder sogenannte Caputer-the-Flag-Wettbewerbe, bei denen du entweder alleine oder mit einem Team gegen andere Hacker antreten kannst. Entweder muss man dann verschiedene Knobelaufgaben lösen, was als Jeopardy CTF bezeichnet wird, oder man greift sich tatsächlich gegenseitig an, was ein Attack & Defence CTF wäre.

Vom Hobby zum Beruf

Wenn du dicht nicht nur in deiner Freizeit mit Hacking beschäftigen willst, kannst du auch auf ganz legale Weise deinen Lebensunterhalt damit verdienen. Beispielsweise kannst du als haus-interner Penetration Tester arbeiten und die eigene Soft- und Hardware deines Arbeitgebers auf Sicherheitslücken überprüfen. Alternativ kannst du auch als externer IT-Sicherheitsberater arbeiten. Dann wirst du von andere Unternehmen beauftragt, in deren Systeme einzudringen und darin Schwachstellen zu finden. Es gibt noch eine Vielzahl weiterer Möglichkeiten und die Nachfrage an professionellen Hackern wächst von Jahr zu Jahr.

Fazit

Zusammengefasst kann man also auch auf ethisch, moralisch, und vollkommen legal Weise als Hacker in Deutschland leben, lernen und vielleicht sogar auch sein Geld verdienen. Solltest du noch mehr zu dem Thema erfahren wollen, kannst du gerne mit mir in Kontakt treten. Fröhliches Hacken!