Vortrag Firewall - Nachfrage Durchstossen von Firewalls

Peter Voigt peter.voigt1 at gmx.net
Do Nov 19 19:03:55 CET 2009 

On Thu, Nov 19, 2009 at 06:15:08PM +0100, Florian Lohoff wrote:

> > Analogie zur Realwelt: Der Arbeitgeber h�lt die T�r eines Ausganges dauerhaft
> > verschlossen, um den Zu-/Abgang von Personen zum Betrieb besser kontrollieren 
> > zu k�nnen. Dann darf kein Arbeitnehmer die T�r aufbrechen, um den Zugang durch
> > diese T�r m�glich zu machen. Das ist eine Selbstverst�ndlichkeit.
> 
> Das ist aber eine analogie die ich nicht sehe - Eine firewall die via uPNP
> ports aufmacht ist nicht gesichter - das ist als wenn die Tuer zwar immer
> geschlossen sein soll - aber eben eine klinke dran ist um sie auf zu machen ...

Ich w�rde meine Hand nicht daf�r ins Feuer legen, dass eine Fehl- oder Mi�-
konfiguration einer Firewall automatisch die Straffreiheit nach � 202 a StGB 
zur Folge hat f�r denjenigen, der die Firewall unter Umgehung ihrer Sicherungs-
funktion durchst��t. 

Das Umgehen der Sicherheitseinrichtung ist eine weitere Voraussetzung f�r die 
Strafbarkeit. Das Hole Punching werte ich als Umgehung im Sinne des � 202 a StGB.

Man kann sich streiten, ob eine Firewall, die uPNP durchl��t, einer dauerhaft
verschlossenen T�r gleichsteht. 

Das Gesetz spricht von der Existenz einer "besonderen Sicherheitseinrichtung", 
und nicht davon, dass diese optimal eingesetzt wird. Es reicht aus, wenn diese 
Sicherheitseinrichtung im Sinne des Gesetzes die betroffenen Daten "sch�tzt", 
wenn auch nicht vollkommen.

Juristische und technische Betrachtung k�nnen an dieser Stelle auseinander
fallen. 

Wer uPNP durch eine Firewall einsetzt, sollte sich dar�ber im Klaren sein, 
dass er vielleicht den strafrechtlichen Schutz zu verlieren droht, soweit das uPNP 
bestimmungsgem�� eingesetzt wird. Sicher ist das aber nicht. 

> > Das Durchsto�en einer Firewall setzt gezieltes Vorgehen unter Einsatz speziellen
> > Know how's voraus und unterl�uft eine technische Sicherungsma�nahme. Der Arbeit-
> > nehmer agiert gleichsam als Komplize des Au�enstehenden, der ins Firmennetz
> > dr�ngt.
> 
> Nur weil mein Auto eine Tuer hat heisst das nicht das es gesichert ist. Sonst
> wuerde ich nicht von den Gruenen Maennchen eine Knolle bekommen wegen 
> fehlender verkehrssicherung wenn ich die Tuer nicht abschliesse.

Dir ist aufgefallen, dass ich von einer "dauerhaft verschlossenen" T�r gesprochen 
habe? Gemeint ist nat�rlich eine dauerhaft abgeschlossene, verriegelte und nur
mittels Schl�ssel des Arbeitgebers zu �ffnende T�r gewesen. Deshalb die Aussage,
der Arbeitnehmer d�rfe solche T�ren nicht "aufbrechen".
 
> Wenn die Firewall es mir relativ einfach macht im falle von uPNP sogar
> so einfach das es ohne mein zutun (Je nach Applikation) funktioniert
> ist das alles null and void ...

Ob uPNP einer verschlossenen T�r gleichgesetzt werden kann, lasse ich dahin
gestellt. 

> > Jede Straftat, die ein Arbeitnehmer im Rahmen des Arbeitsverh�ltnisses begeht,
> > rechtfertigt die fristlose K�ndigung. Das gilt auch, wenn die Straftat den
> > Interessen des Betriebes dient.
> 
> Fuer eine Straftat muesste ich also eine "Computersabotage" begehen ...

Als ein Beispiel von mehreren. In Frage kommen nat�rlich auch das Aussp�hen 
von Daten nach � 202 a StGB und jede andere Straftat, bei der ein Computer
eine Rolle spielt, also auch schlichter Betrug, Unterschlagung ....

> > Der Verdacht, das Durchsto�en der Firewall kompromittiere die Sicherheit des
> > Firmennetzes, liegt nahe. Bei einer Verdachtsk�ndigung wird ein Mitarbieter
> > M�he haben, den Arbeitsplatz zu retten. Denn er muss den aufgetretenen Verdacht 
> > entkr�ften.
> 
> Das waere aber nachzuweisen das es kompromittiert wurde oder? Eine potentielle
> luecke zu schaffen ist schon strafbar?

Das Kompromittieren w�rde bei der Verdachtsk�ndigung vom Arbeitgeber nicht nachzu-
weisen sein. Es reicht der Verdacht einer Kompromittierung der Netzsicherheit.

Wenn ein Mitarbeiter mitwirkt, eine Firewall des Betriebes zu durchstossen, liegt
der Verdacht nahe, dass es im gesch�tzten Bereich zu Ver�nderungen gekommen ist,
welche die Sicherheit des Betriebsnetzes kompromittieren. 

Es handelt sich um eine Vermutung. Ma�geblich ist allein das, was im Zeitpunkt
des Ausspruches der Verdachtsk�ndigung an Umst�nden bekannt ist. 

Der sp�tere Nachweis, das System nicht kompromittiert zu haben, wird dem Arbeit-
nehmer h�ufig nicht helfen. Das r�umt n�mlich den Verdacht im Zeitpunkt der
K�ndigung nicht aus.

Im Einzefall wird das Arbeitsgericht anhand von Indizien entscheiden. Es wird 
sich in die Person des Arbeitgebers versetzen, um zu pr�fen, ob der Arbeit-
geber ausreichenden Anla� hatte, besorgt zu sein. Das reicht f�r den Verdacht.

> D.h. wenn ich wissentlich meinem auto mehr als 100PS gebe koennte ja jemand
> sich damit totfahren - also ist das Strafbar?

Wenn jemand einem Dritten ein solches Auto zum Fahren �berl��t, ohne ihn aufzukl�ren, 
obwohl damit zu rechnen ist, dass der Dritte aufgrund seiner Unkenntnis einen Unfall 
erleidet, stellt sich in der Tat die Frage der Strafbarkeit wegen fahrl�ssiger T�tung.
Stell dir anstelle der 1000 PS einfach nicht funktionierende Bremsen vor.

Ich finde, dieses Beispiel pa�t nicht in den Zusammenhang.

pv

Mehr Informationen über die Mailingliste Lugrav