gesetze zur it-sicherheit und ethik in der informatik anton wilhelm praktische informatik, prof. dr....
Post on 05-Apr-2015
104 Views
Preview:
TRANSCRIPT
GESETZE ZUR IT-SICHERHEITUND ETHIK IN DER INFORMATIK
Anton Wilhelm Praktische Informatik, Prof. Dr. Lutz Wegner
Seminar: Internet-Technologie WS 2010/11
Historischer Abriss
1957: Joe Engressia (7 Jahre) 1971: John Thomas Draper / Captain Crunch
Phreaking 1973: Blue Box/ing 1981: Gründung des Chaos Computer Clubs 1982: 414s, 6 Jugendliche (16-22 Jahre)
Einbruch in ca. 60 verschiedene Computersysteme
1983: Secret Service erhält neue Abteilung für Kreditkarten- und Computerbetrug
1984: CCC veröffentlichte den BTX-Hack
2
BTX / Bildschirmtext Terminal
3
Quelle: http://de.academic.ru/dic.nsf/dewiki/205771
Gesetze4
§ 5 Schutz personenbezogener Daten (IFG BDSG)
§ 202a Ausspähen von Daten § 202b Abfangen von Daten § 202c Vorbereiten des Ausspähens und
Abfangens von Daten (Hackerparagraph) § 263a Computerbetrug § 303a Datenveränderung § 303b Computersabotage
Aussagen der Gesetze
Name Beschreibung Strafe
§ 5 Datenschutz (IFG)
Schützt von personenbezogenen Daten
5
Aussagen der Gesetze
Name Beschreibung Strafe
§ 5 Datenschutz (IFG)
Schützt von personenbezogenen Daten
§ 202a Ausspähen von Daten
Unberechtigten Zugang sich oder anderen verschaffen, der gesichert ist, unter Überwindung der Zugangssicherung
bis zu 3 Jahre
6
Aussagen der Gesetze
Name Beschreibung Strafe
§ 5 Datenschutz (IFG)
Schützt von personenbezogenen Daten
§ 202a Ausspähen von Daten
Unberechtigten Zugang sich oder anderen verschaffen, der gesichert ist, unter Überwindung der Zugangssicherung
bis zu 3 Jahre
§ 202b Abfangen von Daten
Unberechtigt sich oder anderen mit techn. Mitteln nicht für ihn best. Daten aus einer nicht öfftl. Datenübermittlung oder em. Abstrahlung verschafft
bis zu 2 Jahre
7
Aussagen der Gesetze
Name Beschreibung Strafe
§ 5 Datenschutz (IFG)
Schützt von personenbezogenen Daten
§ 202a Ausspähen von Daten
Unberechtigten Zugang sich oder anderen verschaffen, der gesichert ist, unter Überwindung der Zugangssicherung
bis zu 3 Jahre
§ 202b Abfangen von Daten
Unberechtigt sich oder anderen mit techn. Mitteln nicht für ihn best. Daten aus einer nicht öfftl. Datenübermittlung oder em. Abstrahlung verschafft
bis zu 2 Jahre
§ 263a Computerbetrug
Wer eine Datenverarbeitung beeinflusst durch unrichtige Gestaltung des Programms | Verwendung unrichtiger/unvollständiger Daten |unbefugte Verwendung von Daten |sonst unbefugte Einwirkung auf den Ablauf
bis zu 5 Jahren
8
Aussagen der Gesetze
Name Beschreibung Strafe
§ 303a Datenveränderung
Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, Versuch ist ebenfalls strafbar
bis zu 2 Jahre
9
Aussagen der Gesetze
Name Beschreibung Strafe
§ 303a Datenveränderung
Wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert, Versuch ist ebenfalls strafbar
bis zu 2 Jahre
§ 303b Computersabotage
Störung von Datenverarbeitung, die für andere von wesentlicher Bedeutung sindDatenverarbeitung für fremden Betrieb, Unternehmen oder Behörde Vermögensverlust im großen Ausmaß | gewerbsmäßig oder als Mitglied einer Bande | Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen | Sicherheit der Bundesrepublik Deutschland beeinträchtigt
bis zu 3/5/10 Jahre
10
§ 202c Vorbereiten des Ausspähens und Abfangens von Daten alias „Hackerparagraph“
11
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes,
die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht,
wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
Hackerparagraph12
Intention des Gesetzgebers Schutz vor Virenschreibern bzw. Hackern zu
verbessern, die in fremde Systeme eindringen Übers Ziel hinaus
Strafbar: vorbereiten, schreiben, verbreiten, besitzen
sogar das Finden und Veröffentlichen von Sicherheitslücken
Problematik des Hackerpargraphen13
Dual Use White Hats vs. Black Hats Beispiel White Hats:
Systemadministratoren Sicherheitsfirmen
Beispiel Black Hats: Kreditkartenbetrüger E-Mail Harvester / Spambot
Reaktionen auf den Hackerpargraph15
Chefredakteur des TecChannel zeigt BSI an
Chefredakteur des iX zeigt sich selbst an
Behinderung von Sicherheitsfirmen Einschränkung von Berufsgruppen
Hackerethik (Steven Levy / CCC)
16
Der Zugang zu Computern und allem, was einem zeigen kann, wie diese Welt funktioniert, sollte unbegrenzt und vollständig sein.
Alle Informationen müssen frei sein. Misstraue Autoritäten - fördere Dezentralisierung Beurteile einen Hacker nach dem, was er tut und nicht
nach üblichen Kriterien wie Aussehen, Alter, Rasse, Geschlecht oder gesellschaftlicher Stellung.
Man kann mit einem Computer Kunst und Schönheit schaffen.
Computer können dein Leben zum Besseren verändern. Mülle nicht in den Daten anderer Leute. Öffentliche Daten nützen, private Daten schützen.
Ethische Leitlinie der GI17
I Das MitgliedII Das Mitglied in einer FührungspositionIII Das Mitglied in Lehre und ForschungIV Die Gesellschaft für Informatik
Diskussionsrunde - Whistleblowing
18
Internet-Profi
Mitarbeiter
Kurt Andrea
Kunden
Aktive Versicher
ung
Diskussionsrunde - Whistleblowing
19
Internet-Profi ist auf Aktive Versicherung als Kunde angewiesen wegen schlechten Umsatz
Andrea findet Autorisierungsproblem, Ursache liegt nicht bei Internet-Profi sondern der privaten Schnittstelle des Kunden
Andrea möchte Problem melden Kurt ist anderer Meinung
„nicht unser Problem“, „Kunden haben schon viel früher Mist gebaut“
Kunde ist bereits wegen Verzögerung und Perfektionismus verärgert
Diskussionsrunde - Whistleblowing
20
Andrea hat Gewissensbisse, soll sie das Problem ansprechen oder nicht?
Aufgabe: In zwei Gruppen PRO und CONTRA Argumente sammeln
Diskussionsrunde – Argumente CONTRA21
Nicht Teil des Projektes, denn um Schnittstelle kümmert sich der Kunde selber
Keine weitere Verzögerung des Projektes Nachricht an Kunden verstößt u.U. gegen
Arbeitsrecht Mit hoher Wahrscheinlichkeit entsteht ein
Schaden für das eigene Unternehmen (weiteres Projekt mit Aktive Versicherung fällt dann weg)
Diskussionsrunde – Argumente PRO22
Treue-Service / Ehrlichkeit gegenüber dem Kunden
Selbstschutz / Verantwortungsübertragung Moral Finanzielles Interesse (evtl. ist der Kunde
dafür dankbar und wird diese Handlung honorieren)
Werbung / Selbst-Promotion („Wir haben einen Fehler bei euch gefunden“)
Diskussionsrunde - Whistleblowing
23
Wenn Andrea das Problem meldet, dann sollte sie das Problem versuchen zuerst innerhalb der Firma zu klären, wenn die
Geschäftsleitung sich weigert, könnte sie sich weiter an
die Aktive Versicherung wenden, wenn diese sich auch weigern die Sicherheitslücke zu beseitigen, könnte sie sich schließlich
an die Kunden der Aktiven Versicherung bzw. die Öffentlichkeit wenden
Quellen24
http://www.gesetze-im-internet.dehttp://bundesrecht.juris.dehttp://www.ccc.de/hackerethics
http://de.wikipedia.org/wiki/Hacker_(Computersicherheit)http://en.wikipedia.org/wiki/List_of_convicted_computer_criminals
http://www.stern.de/digital/computer/hackerparagraf-auch-die-aufpasser-muessen-aufpassen-598457.html
http://www.silicon.de/technologie/sicherheit/0,39044013,39184610,00/deutscher_hacker_paragraph_verunsichert_sicherheitsforscher.htm
http://itsicherheit.wordpress.com/2008/12/19/hackerparagraph-ix-chefredakteur-zeigt-sich-selbst-an/
Gewissensbisse – Ethische Probleme der Informatik, Debora Weber-Wulff, Christina Class, Wolfgang Coy, Constanze Kurz, David Zellhöfer
VIELEN DANK FÜR DIE AUFMERKSAMKEIT
25
top related