von Redaktion IT-A…
Lesezeit
3 Minuten
Seite 2 - WLAN im Unternehmen richtig absichern (2)
WLAN-Schutz im Sinne des Gesetzes
Die strafrelevanten Tatbestände beim Eindringen in ein Funknetzwerk zum Auslesen der auf den Netzrechnern gespeicherten Daten sind somit schnell gefunden und entsprechend definiert. Wobei auch hierfür die einschränkende Voraussetzung gegeben sein muss, dass diese Daten "gegen unberechtigten Zugang besonders gesichert sind". Dies hängt davon ab, ob dem Eindringen in das Netzwerk spezielle Zugangssperren entgegengesetzt werden oder ob die entsprechenden Daten auf den Rechnern selbst eigene Zugangssperren aufweisen.
Solche Zugangssperren auf WLAN-Ebene können aus Hidden SSIDs-, Shared Keys- oder MAC-Adresskontrollsystemen bestehen. Für einen einigermaßen versierten Netzwerker stellen diese Zugangssperren keine allzu hohen Hürden dar. Damit stellt sich insbesondere die Frage, ob diese Sicherungssysteme eine "besondere Sicherung" im Sinne des Tatbestandes des § 202a StGB darstellen. Einige Experten gehen von einer besonderen Sicherung nur dann aus, wenn diese objektiv geeignet ist, gegenüber versierten EDV-Experten eine erhebliche Hürde darzustellen. Andere Rechtsexperten sprechen bereits von einer Sicherung, wenn der sachkundige Laie auf ein erhebliches Hindernis stößt. Beiden Auffassungen steht gegenüber, dass ein erfahrener Laie mit einfachen Mitteln einen Zugriff auf die Netze erhalten kann, und gerade bei Funknetzwerken in der Praxis kaum anspruchsvolle und gleichzeitig praxistaugliche Sicherungen existieren.
Aus diesem Grund sollten die üblichen Zugangssperren das Geheimhaltungsinteresse des Netzwerkbetreibers gegenüber den meisten Angreifern genügend dokumentieren. Soweit er dies getan hat, ist er gegen den Abruf von Daten von seinen Rechnern strafrechtlich geschützt.
Hinsichtlich der Attacken auf die Übertragungsdaten, also der Daten, die Gegenstand des Funkverkehres selbst sind, bietet sich ein ähnliches Bild. Hier muss bei der Frage nach der Strafbarkeit des Angriffs auf das Funknetzwerk zunächst in jedem Falle geklärt werden, ob der Netzwerkbetreiber die Datenübertragung physisch, etwa durch Abschirmungsmaßnahmen gesichert hat. Ist dies der Fall, ist in der Regel von einer besonderen Sicherung im Sinne des Tatbestandes auszugehen, die Übertragungsdaten sind damit strafrechtlich geschützt.
Existieren keine gesonderten physischen Sicherungsmaßnahmen, ist zu klären, ob der Betreiber die Option der Datenverschlüsselung wahrgenommen hat. Ist dies nicht der Fall, so scheidet eine Strafbarkeit nach § 202a StGB für den Angreifer grundsätzlich aus, da die Übertragungsdaten damit nicht regelmäßig gesichert sind.
Sonderfall Verschlüsselung
Es stellt sich mit Blick auf den Wortlaut des § 202a StGB dann allerdings die Frage, ob wir es bei Verschlüsselungen mit "besonderen Zugangssicherungen" zu tun haben. Der Gesetzgeber hat mit der Schaffung des § 202a StGB gerade auch Daten schützen wollen, die sich im Übertragungsstadium befinden. Hierzu sollte es egal sein, ob die Datenübertragung über Kabel oder Funk vonstattengeht. Nutzt der Betreiber allerdings eine Verschlüsselung, so ist zu bemerken, dass die verschlüsselten Daten selbst offen, also ohne weiteren Schutz übertragen werden. Der Wortlaut des § 202a StGB, spricht jedoch von Daten, die gegen unberechtigten Zugang besonders gesichert sind. Die Verschlüsselung selbst stellt aber neue Daten her, die ihrerseits der Übertragung unterliegen.
Die Originaldaten, die Gegenstand der Verschlüsselung sind, existieren in ihrem Urzustand zwar weiter, jedoch unabhängig von den nun eigenständig versendeten Übertragungsdaten. Ziel der möglichen Attacken auf das Funknetz sind aber gerade diese (verschlüsselten) Daten. Gegenstand der Regelung des § 202a StGB sind alle Daten, die dem Interesse an der Geheimhaltung unterliegen. Ob nun eine Klartextnachricht oder ein, auf den ersten Blick, unauflösbarer "Datensalat" (in Form der verschlüsselten Daten) Ziel des Angriffs ist, spielt damit für die Strafbarkeit keine Rolle.
Gegenstand unserer Betrachtung müssen also die verschlüsselten Daten sein und nicht irgendwelche dahinter stehenden Prototypen, die Originaldaten. Fassen wir nun allerdings richtigerweise die hier relevanten Übertragungsdaten als unabhängige Daten auf, so ist festzustellen, dass hier lediglich völlig ungeschützte Daten, geradezu "aus der Luft gegriffen" werden.
In der strafrechtlichen Literatur zu § 202a StGB werden häufig Verschlüsselungen trotzdem als besondere Sicherungen angesehen. Zum Teil wird hier festgestellt, dass die Kenntnisnahme der verschlüsselten Daten nicht mehr als Zugang zu den Originaldaten angesehen werden kann. Dies ist zwar richtig, spielt aber in unserer Betrachtung keine Rolle, weil Angriffsobjekt eben nur die konkreten, verschlüsselten Daten sind.
Weiterhin unklare Rechtslage in Funknetzen
Die Zugangssicherung im Sinne des Tatbestandes diene dem Zweck, das formalisierte Interesse an der Geheimhaltung zu schützen. Im Falle der Datenübertragung lasse sich dieser Zweck eben nur durch Verschlüsselung erreichen. Das Gesetz sei daher so auszulegen, dass auch Verschlüsselung als besondere Sicherung im Sinne des Tatbestandes verstanden werden müsste. Mit ähnlichen Argumentationen kommen auch andere Experten-Stimmen in der Literatur zu diesem Ergebnis. Sie haben allerdings alle gemeinsam, soweit sie diesen Punkt überhaupt problematisieren, dass sie hier vornehmlich noch immer auf die Originaldaten eingehen und den verschlüsselten Daten keine eigene Tatobjektsqualität zuweisen.
Nur vereinzelt wird eine besondere Sicherung, im Sinne des § 202a StGB bei der Übertragung von verschlüsselten Daten, abgelehnt. Unter Berücksichtigung der auch hier vertretenen Ansicht, dass eine einheitliche Betrachtung von Originaldaten und verschlüsselten Daten nicht angebracht ist, ist dieser Ansicht im Ergebnis zuzustimmen. Es zeigt sich somit bei richtiger dogmatischer Bewertung des § 202a StGB, dass verschlüsselte Daten regelmäßig keinen strafrechtlichen Schutz genießen.
Es bleibt abzuwarten, in welche Richtung die künftige Rechtsprechung bei Angriffen auf Funknetzwerke geht. Es ist zu befürchten, dass die Gerichte hier der herrschenden Ansicht folgen und auch das Aufgreifen von verschlüsselten Daten dem § 202a StGB unterstellen. Dies müsste sich dann aber eher auf Überlegungen stützen, die am Ergebnis orientiert sind, da nach richtiger Betrachtung des Wortlautes beim § 202a StGB hier unangenehme Strafbarkeitslücken offen bleiben.
Michael Reisner, Mathias Hein, Axel Simon/jp/ln
Die strafrelevanten Tatbestände beim Eindringen in ein Funknetzwerk zum Auslesen der auf den Netzrechnern gespeicherten Daten sind somit schnell gefunden und entsprechend definiert. Wobei auch hierfür die einschränkende Voraussetzung gegeben sein muss, dass diese Daten "gegen unberechtigten Zugang besonders gesichert sind". Dies hängt davon ab, ob dem Eindringen in das Netzwerk spezielle Zugangssperren entgegengesetzt werden oder ob die entsprechenden Daten auf den Rechnern selbst eigene Zugangssperren aufweisen.
Solche Zugangssperren auf WLAN-Ebene können aus Hidden SSIDs-, Shared Keys- oder MAC-Adresskontrollsystemen bestehen. Für einen einigermaßen versierten Netzwerker stellen diese Zugangssperren keine allzu hohen Hürden dar. Damit stellt sich insbesondere die Frage, ob diese Sicherungssysteme eine "besondere Sicherung" im Sinne des Tatbestandes des § 202a StGB darstellen. Einige Experten gehen von einer besonderen Sicherung nur dann aus, wenn diese objektiv geeignet ist, gegenüber versierten EDV-Experten eine erhebliche Hürde darzustellen. Andere Rechtsexperten sprechen bereits von einer Sicherung, wenn der sachkundige Laie auf ein erhebliches Hindernis stößt. Beiden Auffassungen steht gegenüber, dass ein erfahrener Laie mit einfachen Mitteln einen Zugriff auf die Netze erhalten kann, und gerade bei Funknetzwerken in der Praxis kaum anspruchsvolle und gleichzeitig praxistaugliche Sicherungen existieren.
Aus diesem Grund sollten die üblichen Zugangssperren das Geheimhaltungsinteresse des Netzwerkbetreibers gegenüber den meisten Angreifern genügend dokumentieren. Soweit er dies getan hat, ist er gegen den Abruf von Daten von seinen Rechnern strafrechtlich geschützt.
Hinsichtlich der Attacken auf die Übertragungsdaten, also der Daten, die Gegenstand des Funkverkehres selbst sind, bietet sich ein ähnliches Bild. Hier muss bei der Frage nach der Strafbarkeit des Angriffs auf das Funknetzwerk zunächst in jedem Falle geklärt werden, ob der Netzwerkbetreiber die Datenübertragung physisch, etwa durch Abschirmungsmaßnahmen gesichert hat. Ist dies der Fall, ist in der Regel von einer besonderen Sicherung im Sinne des Tatbestandes auszugehen, die Übertragungsdaten sind damit strafrechtlich geschützt.
Existieren keine gesonderten physischen Sicherungsmaßnahmen, ist zu klären, ob der Betreiber die Option der Datenverschlüsselung wahrgenommen hat. Ist dies nicht der Fall, so scheidet eine Strafbarkeit nach § 202a StGB für den Angreifer grundsätzlich aus, da die Übertragungsdaten damit nicht regelmäßig gesichert sind.
Sonderfall Verschlüsselung
Es stellt sich mit Blick auf den Wortlaut des § 202a StGB dann allerdings die Frage, ob wir es bei Verschlüsselungen mit "besonderen Zugangssicherungen" zu tun haben. Der Gesetzgeber hat mit der Schaffung des § 202a StGB gerade auch Daten schützen wollen, die sich im Übertragungsstadium befinden. Hierzu sollte es egal sein, ob die Datenübertragung über Kabel oder Funk vonstattengeht. Nutzt der Betreiber allerdings eine Verschlüsselung, so ist zu bemerken, dass die verschlüsselten Daten selbst offen, also ohne weiteren Schutz übertragen werden. Der Wortlaut des § 202a StGB, spricht jedoch von Daten, die gegen unberechtigten Zugang besonders gesichert sind. Die Verschlüsselung selbst stellt aber neue Daten her, die ihrerseits der Übertragung unterliegen.
Die Originaldaten, die Gegenstand der Verschlüsselung sind, existieren in ihrem Urzustand zwar weiter, jedoch unabhängig von den nun eigenständig versendeten Übertragungsdaten. Ziel der möglichen Attacken auf das Funknetz sind aber gerade diese (verschlüsselten) Daten. Gegenstand der Regelung des § 202a StGB sind alle Daten, die dem Interesse an der Geheimhaltung unterliegen. Ob nun eine Klartextnachricht oder ein, auf den ersten Blick, unauflösbarer "Datensalat" (in Form der verschlüsselten Daten) Ziel des Angriffs ist, spielt damit für die Strafbarkeit keine Rolle.
Gegenstand unserer Betrachtung müssen also die verschlüsselten Daten sein und nicht irgendwelche dahinter stehenden Prototypen, die Originaldaten. Fassen wir nun allerdings richtigerweise die hier relevanten Übertragungsdaten als unabhängige Daten auf, so ist festzustellen, dass hier lediglich völlig ungeschützte Daten, geradezu "aus der Luft gegriffen" werden.
In der strafrechtlichen Literatur zu § 202a StGB werden häufig Verschlüsselungen trotzdem als besondere Sicherungen angesehen. Zum Teil wird hier festgestellt, dass die Kenntnisnahme der verschlüsselten Daten nicht mehr als Zugang zu den Originaldaten angesehen werden kann. Dies ist zwar richtig, spielt aber in unserer Betrachtung keine Rolle, weil Angriffsobjekt eben nur die konkreten, verschlüsselten Daten sind.
Weiterhin unklare Rechtslage in Funknetzen
Die Zugangssicherung im Sinne des Tatbestandes diene dem Zweck, das formalisierte Interesse an der Geheimhaltung zu schützen. Im Falle der Datenübertragung lasse sich dieser Zweck eben nur durch Verschlüsselung erreichen. Das Gesetz sei daher so auszulegen, dass auch Verschlüsselung als besondere Sicherung im Sinne des Tatbestandes verstanden werden müsste. Mit ähnlichen Argumentationen kommen auch andere Experten-Stimmen in der Literatur zu diesem Ergebnis. Sie haben allerdings alle gemeinsam, soweit sie diesen Punkt überhaupt problematisieren, dass sie hier vornehmlich noch immer auf die Originaldaten eingehen und den verschlüsselten Daten keine eigene Tatobjektsqualität zuweisen.
Nur vereinzelt wird eine besondere Sicherung, im Sinne des § 202a StGB bei der Übertragung von verschlüsselten Daten, abgelehnt. Unter Berücksichtigung der auch hier vertretenen Ansicht, dass eine einheitliche Betrachtung von Originaldaten und verschlüsselten Daten nicht angebracht ist, ist dieser Ansicht im Ergebnis zuzustimmen. Es zeigt sich somit bei richtiger dogmatischer Bewertung des § 202a StGB, dass verschlüsselte Daten regelmäßig keinen strafrechtlichen Schutz genießen.
Es bleibt abzuwarten, in welche Richtung die künftige Rechtsprechung bei Angriffen auf Funknetzwerke geht. Es ist zu befürchten, dass die Gerichte hier der herrschenden Ansicht folgen und auch das Aufgreifen von verschlüsselten Daten dem § 202a StGB unterstellen. Dies müsste sich dann aber eher auf Überlegungen stützen, die am Ergebnis orientiert sind, da nach richtiger Betrachtung des Wortlautes beim § 202a StGB hier unangenehme Strafbarkeitslücken offen bleiben.
<<Vorherige Seite Seite 2 von 2
Michael Reisner, Mathias Hein, Axel Simon/jp/ln