Vorletzte Woche fand ich in der Liste der Referrer zu meiner Website einen mir unbekannten Link zu einer Kulturförderung-Vereinsseite. Ich klickte auf diesen Link, weil mich interessierte, wer dort auf meine Seite verlinkt.

Ich landete auf einer Website mit verschiedenen Artikeln, das Ganze hatte so ein bisschen Portalcharakter. Ich fand den Eintrag, aus dem heraus auf meine Seite verlinkt wurde. Was mich stutzig machte, war, dass ich unter dem Eintrag einen "editieren" Button vorfand. Ich schaute mir die Seite genauer an und sah oben im Seitenheader bereich eine kleine Meldung: "Eingeloggt als: admin".

Ich sah mir den Link in meinen Referrern nochmal genauer an: Dort war eine Session-ID mit angehängt. Hm. Was ist denn da los, dachte ich mir.

Ich klickte auf der Seite ein wenig herum, und siehe da: Ich hatte tatsächlich volle Admin-Rechte auf einer mir völlig unbekannten Seite. Ich sah Optionen zur User- und Gruppenverwaltung, E-Mail-Adressen, generelle Layout-Einstellungen, auch die User- und Kontaktdaten des Administrators mit der Möglichkeit, diese zu ändern - das volle Programm.

Wow. Anscheinend war der echte Admin noch mit der gleichen Session eingeloggt, als ich den Link klickte - und so bekam ich über die Session-ID ebenfalls volle Adminrechte.

Da ich ein netter Mensch bin, habe ich mir zur Dokumentation des Vorgangs Screenshots gemacht, zu Testzwecken mich selbst als neuen User der Seite angelegt, das Ganze dann dokumentiert und per E-Mail an den Betreiber der Seite sowie an den echten Admin geschickt.

Kurze Zeit später kam eine E-Mail zurück, in der sich die Betreiber vielmals für den Hinweis bedankten und ankündigten, sich umgehend um das Loch zu kümmern.

So.

Warum ich nun Glück hatte?

Weil ich nach inkrafttreten der nun beschlossenen Novelle des Strafgesetzbuches mich strafbar gemacht hätte. Nicht nur ist es künftig in Deutschland verboten, mit "Hacker"werkzeugen die Sicherheit eigener Systeme zu überprüfen (wie praktisch, wenn sich IT-Systemadministratoren nicht mehr vergewissern können, ob da vielleicht der Bundestrojaner anklopft), nein, auch

(...) [sieht] Paragraph 202a StGB (...) vor, auch bereits den unbefugten Zugang zu besonders gesicherten Daten unter Überwindung von Sicherheitsvorkehrungen zu kriminalisieren.

Das habe ich dann ja wohl, wenn auch völlig unabsichtlich, getan, oder? Über die Qualität der überwundenen Sicherheitsvorkehrungen wird nichts gersagt.

So. Und wer nun denkt, naja momentmal, gerade in der Open-Source-Gemeinde ist es ja gang und gäbe, dass Sicherheitslücken gesucht und nach Auffinden publik gemacht werden, damit sie umgehend geschlossen werden können, das ist ja der große Vorteil von Open-Source-Anwendungen... der sollte sich dieses Zitat mal auf der Zunge zergehen lassen:

Manzewski erklärte, dass "kostenlose Informationen der Computercracks der Sicherheitsbranche zugegebenermaßen weiterhilft" und sich die entsprechenden Firmen gerne der Hinweise von Hackern bediene. Deren "Kick" sei es, "illegal in Netze einzudringen und dann die aufgedeckten Sicherheitslücken publik zu machen". Dieses Interesse sei aber "natürlich nicht schutzwürdig". In Zeiten, in denen darüber debattiert werde, inwieweit staatliche Institutionen bei Verdacht von Straftaten Online-Durchsuchungen vornehmen dürfen, könne es nicht akzeptiert werden, "dass das Just-for-Fun-Eindringen in die Privatsphäre von Menschen oder in das Innerste von Unternehmen und Institutionen legalisiert wird".

Das klingt mir ein bisschen nach "wenn ihr uns nicht in Eure Rechner reinlassen wollt, dann dürfen wir auch nicht zulassen, dass ihr Euch selbst auf Eure Rechner lasst". Oder noch polemischer: "... dann nehmen wir Euch Euer Spielzeug weg".

Und irgendwie will mir nicht in den Kopf, wieso man sich durchaus der Tatsache bewusst ist, welche Konsequenzen hier für die IT-Sicherheit in Deutschland geschaffen werden

"Der Gesetzgeber wird die Auswirkungen der neuen Strafvorschriften genau zu beobachten haben. Sollten doch Programmentwickler und Firmen, die nicht aus krimineller Energie heraus handeln, durch diese neuen Strafvorschriften in Ermittlungsverfahren einbezogen werden, wird auf solche Entwicklungen zeitnah reagiert werden müssen."

man aber offenbar bereit ist, es einfach mal zu machen, ohne auch nur im mindesten auf den Rat derer, die sich tagtäglich damit beschäftigen zu hören:

Änderungen, wie sie etwa Experten bei einer parlamentarischen Anhörung im März sowie Branchenverbände nachdrücklich angemahnt hatten, nahmen die Abgeordneten im Einklang mit dem Votum des federführenden Rechtsausschusses nicht mehr vor

Und dann kommt noch der Innenminister ums Eck mit dem Vorschlag, künftig staatlich zertifizierte Sicherheitsdienstleister zu etablieren, die dürfen dann auch mit Hackertools testen, ob Systeme sicher sind

Auf dem Jahreskongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat Innenminister Schäuble die geplante Zertifizierung "vertrauenswürdiger" Sicherheitsdienstleister angekündigt. Mit diesem Schritt sollen offenbar die Fähigkeiten und das Wissen, die für effektive Sicherheitsprüfungen von Computersystemen nötig sind, in den Händen von durch die Regierung handverlesenen Hoflieferanten monopolisiert werden, während die unabhängige Computersicherheitsforschung nach Belieben selektiv kriminalisiert werden kann.

ccc.de

Wie praktisch, dass dann auch relativ klar ist, wer die Ansprechpartner für eine durchzuführende Online-Durchsuchung sein werden.

Nachtrag

Vor kurzem schrieb Jürgen Schmidt in einem Heise-Security Artikel zum Bundestrojaner:

Das bedeutet im Umkehrschluss dann, dass früher oder später Forderungen auftauchen, den Einsatz von Sicherheitsoftware ohne diesen blinden Fleck in Deutschland zu verbieten, nach dem Motto: Es kann doch nicht angehen, dass sich kriminelle Subjekte den vom Gesetz legitimierten Durchsuchungen durch Strafverfolgungsbehörden erfolgreich entziehen.

Hat gar nicht so lange gedauert.