Durch bloßes Zuhören und Hinschauen im Gefängnis landen – für die Sicherheitsforschung ein reales Risiko. Die aktuelle Gesetzeslage macht es beinahe unmöglich, Schwachstellen legal zu erkunden und diese zu melden.
Wer eine Funkübertragung mithört, die nicht für einen selbst oder die Öffentlichkeit bestimmt war, macht sich strafbar. Und wer auch noch anderen davon erzählt, dass hier persönliche Daten ungeschützt durch die Luft fliegen, schaufelt sein juristisches Grab noch tiefer.
Schwachstellen existieren nicht nur in Apps, Webseiten oder Netzwerken. Es gibt sie auch in funkbasierten Anwendungen. Darunter auch die „gute alte SMS“, die nach Forderungen zahlreicher Sicherheitsfachleute schon lange aufs Altenteil gehört und die keinen Platz mehr in einer Welt hat, in der schutzbedürftige Daten ohne Verschlüsselung durch den Äther gesendet werden.
Die AG KRITIS hat in einem langen Artikel auf Missstände in der Gesetzgebung hingewiesen, die Sicherheitsforschung im Bereich von funkbasierten Anwendungen effektiv unter Strafe stellen. Wer Missstände aufdeckt, riskiert Anzeige, Verurteilung und Gefängnis. Auch hier sendet die hoffnungslos veraltete Gesetzeslage wieder einmal gefährliche Signale – das Wortspiel ist beabsichtigt – und das nicht zum ersten Mal. Daran ändert auch die Tatsache nichts, dass viele der lückenhaften Technologien weniger genutzt werden.
Sie sind eben da und werden genutzt – und das teils auch in kritischen Bereichen. Das allein sollte schon Grund genug sein, Sicherheitsforschung an ihnen zu entkriminalisieren.
Bereitschaft zur Veränderung
Dabei mangelte es bei den stichprobenartigen Untersuchungen der AG KRITIS bei den betroffenen Unternehmen und Organisationen nirgends an der grundlegenden Bereitschaft, Maßnahmen zur Sicherung zu ergreifen. Einige änderten ihre Prozesse und verschickten keine Kunden- oder Patienteninformationen mehr per SMS. Andere Organisationen gaben an, künftig auf alternative Kommunikationsmittel umschwenken zu wollen.
Die Erkenntnis, dass schutzwürdige Daten nicht unverschlüsselt auf öffentlich zugänglichen Kanälen übertragen werden dürfen, ist also grundsätzlich angekommen.
Gesetzlicher Knebel
Doch die rechtliche Situation und die Position, in der sich Forschende befinden, ist so eindeutig wie prekär. Relevant sind hier das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (TDDDG), das Telemediengesetz (TMG), das Telekommunikationsgesetz (TKG) sowie das Funkanlagengesetz (FuAG).
Funkfrequenzen
Viele der Geräte, die wir im Alltag mit uns tragen, sind Funkanlagen im Sinne des Funkanlagengesetzes. Diese decken allerdings nur eng definierte Frequenzen ab, welche die Geräte für ihre Funktion benötigen. Für andere Frequenzbereiche sind weitere Antennen erforderlich, deren Platzbedarf je nach Frequenz die Möglichkeiten der jeweiligen Geräte deutlich überschreiten.
Reguliert sind alle Frequenzen bis hin zum Mikrowellenbereich. Das schließt also sämtliche Frequenzbereiche ein, die für Radioprogramme genutzt werden und wurden: vom Längstwellensender im schwedischen Grimeton, wo der dortige historische Maschinensender nur noch zu besonderen Anlässen seinen Sendebetrieb aufnimmt, über das hierzulande großteils abgeschaltete Kurz-, Mittel- und Langwellenradio bis hin zu den Amateurfunkfrequenzen. Auch das in fast jedem Smartphone eingebaute GPS, der Mobilfunk, das WLAN sowie Bluetooth fallen darunter. Bis hin zum Mikrowellenfunk, der von manchen Funkamateuren aufgrund seines hohen technischen Anspruchs auch augenzwinkernd als “schwarze Magie” betrachtet wird.
War Funkausrüstung jahrzehntelang jedoch teuer und kompliziert in der Bedienung, und somit wenigen Privilegierten vorbehalten, hat sich auch hier das Blatt inzwischen gewendet. Funkempfänger und Funkgeräte, die vor einigen Jahrzehnten noch Tausende gekostet hätten, sind inzwischen erschwinglich – für teils wenige hundert Euro erhältlich – und einfach in der Bedienung.
“Möglich” vs. “Erlaubt”
Und hier wird es spannend. Viele Geräte, die der Markt bereithält, decken sehr breite Frequenzbereiche auch außerhalb der Amateurfunkbänder ab. Darunter fallen somit auch die im Mobilfunk gebräuchlichen Frequenzen. Mit einem entsprechenden Gerät lassen sich Übertragungen mithören und auch aufzeichnen. Doch hier liegt die Crux: Wer Nachrichten mithört oder aufzeichnet (und damit “zur Kenntnis nimmt”, wie es im Juristendeutsch heißt), die nicht für einen unbestimmten Personenkreis oder die Allgemeinheit bestimmt sind, macht sich grundsätzlich strafbar. So steht es in Paragraf 5 TDDDG. Das Strafmaß reicht von einer Geldstrafe bis hin zu zwei Jahren Haft. Und es gibt keine Ausnahmeregelung für Sicherheitsforschende. Selbst dann nicht, wenn sie auf Schwachstellen hinweisen – mit der Absicht, diese zu beseitigen.
Aktuell gibt es keine Möglichkeit, den unverschlüsselten Versand persönlicher Daten per Funk aufzudecken und entsprechend zu melden, ohne sich selbst strafbar zu machen.
Auch wenn jemand eine direkt betroffene Person darüber informiert, dass ihre persönlichen Daten durch Dritte unverschlüsselt weitergegeben wurden, stellt dies eine Straftat dar. Denn nicht nur hat ein wohlmeinender Funker in diesem Fall eine nicht für ihn oder sie bestimmte Nachricht zur Kenntnis genommen, sondern ihren Inhalt auch noch weitergegeben. Im besten Fall ist das Ergebnis ein Bußgeld, im schlimmsten Fall eine Freiheitsstrafe.
Altes Thema, neu befeuert
Falls Ihnen diese Problemstellung bekannt vorkommt: Es ist nahezu dasselbe wie im “Hackerparagraphen”. Dieser unterscheidet derzeit auch nicht ausreichend zwischen kriminellen Aktivitäten und Forschung mit Absichten zur Verbesserung der Sicherheit. Was Kriminelle aber noch nie abgeschreckt, dafür aber Menschen vor Gericht gebracht hat, weil sie auf die mangelnde Sicherheit hingewiesen hatten. Interessanterweise gibt es Richterinnen und Richter, die begriffen haben, dass ein zu einfaches Passwort keinen adäquaten Schutz darstellt. Doch wie im Fall „Modern Solution“ hat eine höhere Instanz darauf gepocht, dass es juristisch keine Rolle spielt, wie einfach oder schwer ein Passwort zu überwinden ist und einen Sicherheitsforscher zu einer Geldstrafe von 3000 Euro verurteilt. (Das Urteil wurde am 4.11. bestätigt - eine Berufung wurde abgewiesen) Ein in jeder Hinsicht fatales Signal an all diejenigen, die etwas für die Sicherheit tun wollen.
Immerhin: Seit kurzem ist wieder Bewegung in die Diskussion um den „Hackerparagraphen“ gekommen. Einem ersten Entwurf nach soll das Eindringen in fremde Systeme und das Suchen nach Sicherheitslücken straffrei bleiben, sofern dies mit dem Zweck geschieht, diese zu melden – die Absicht macht also den Unterschied. Wir werden die weiteren Entwicklungen gespannt beobachten. Für überschäumenden Optimismus ist es allerdings noch zu früh - und für die Rechtsprechung um Funkübertragungen gilt der "Hackerparagraf" sowieso nicht.
Mithören auf eigene Gefahr
Ergo: Mobilfunkfrequenzen abzuhören, ist mit einem hohen Risiko verbunden, weil man dabei potenziell Dinge zu sehen bekommt, die nicht für einen selbst bestimmt sind. Auch wenn es mit den besten Absichten geschieht.
Der Gesetzgeber ist dringend gefragt – gerade, wenn es um Funkübertragungen geht., Das geltende Recht steht eindeutig zu Ungunsten von Sicherheitsforscherinnen und -forschern, und ist somit ein Hindernis für eine langfristige Verbesserung der Sicherheit in allen Bereichen.
Das bloße Anschauen von Informationen pauschal zu bestrafen, ist nicht zielführend. Es behindert und gefährdet die Arbeit von Sicherheitsexpertinnen und -experten, die Missstände beseitigen wollen. Die Kriminalisierung dieser Arbeit geschieht letztlich zum Schaden von allen und leistet einer Abwanderung von Kompetenz in andere Länder aktiven Vorschub.
Wer entsprechende Sicherheitslücken findet, sollte diese anonym melden.
Hier kann der Chaos Computer Club unterstützen - auf der Webseite des CCC finden sich dazu einige Informationen.
Von Tim Berghoff
Security Evangelist