Suche "leffer" > JurPC Web-Dok. 147/2017 - DOI 10.7328/jurpcb20173210147

Lena Leffer, Karin Potel, Stephanie Vogelgesang *

Hacking Session beim 26. EDV-Gerichtstag - Praktische Demonstrationen zur IT-Sicherheit

JurPC Web-Dok. 147/2017, Abs. 1 - 30


A. Allgemeine Ausführungen

Abs. 1
Dieses Jahr fand vom 20.09.2017 bis zum 22.09.2017 zum 26. Mal der EDV-Gerichtstag an der Universität des Saarlandes in Saarbrücken statt. Der jährlich veranstaltete Kongress ist bundesweit die größte Veranstaltung dieser Art. Wie auch in den vergangenen fünf Jahren bildet das sogenannte HackerCamp den Auftakt der Tagung.Abs. 2
Die Veranstaltung bietet der stets wachsenden Besucherzahl Vorträge und Live-Demonstrationen zu Themen der IT-Sicherheit und Rechtsinformatik. Am Mittwoch, den 20. September 2017, verfolgten erneut mehr als 200 interessierte Teilnehmer aus Justiz, Rechtsanwaltschaft, Verwaltung und Wirtschaft die Präsentationen von Juristen und IT-Experten aus Praxis und Wissenschaft.Abs. 3
Das HackingCamp hat den Anspruch, praktisches und theoretisches Wissen über Angriffe auf IT-Systeme und mögliche Schutzmaßnahmen zu vermitteln. Die Erörterung bekannter sowie die Einordnung neuer Angriffsmethoden stehen dabei im Fokus der Veranstaltung. Ziel ist es, das Gefährdungsbewusstsein der Anwender für unterschiedliche Gefährdungslagen zu schärfen und ihnen daher Handlungsmöglichkeiten nahezulegen, die im Ernstfall dazu dienen sollen, einen Angriff schneller erkennen oder ihm gegebenenfalls vorbeugen zu können.Abs. 4
Schwerpunkt des Konzepts HackerCamp sind nicht nur die informativen Vorträge, essentiell sind auch die anschließenden Diskussionen. Ein entscheidender Pfeiler der interdisziplinären Forschung besteht vor allem in dem Erfahrungsaustausch zwischen Anwendern und Wissenschaftlern, welcher neue Denkanstöße eröffnet und so Verbindungslinien zwischen Recht und Technik knüpft.Abs. 5
Beobachtungen aus der Praxis der Justiz sowie Berichte über reale Angriffsszenarien aus verschiedenen rechtsinformationstechnischen Bereichen bieten ein großes Informationsspektrum für die Informatik. Justiz und Wirtschaft hingegen werden durch die Experten aus der Informatik im Bereich der aktuellen Gefährdungslagen weiter sensibilisiert und erhalten so einen Einblick in neue Entwicklungen, Angriffs- und Schutzmöglichkeiten.Abs. 6
Neben dem breiten inhaltlichen Spektrum hat das HackerCamp für Rechtsanwälte auch einen berufsbezogenen Aspekt: Für sie besteht die Möglichkeit, die Teilnahme an der Veranstaltung als Fortbildung im Sinne des § 15 FAO bei der zuständigen Rechtsanwaltskammer einzureichen. Nachfolgend werden die einzelnen Themen des diesjährigen HackerCamps „Hacking Session - Praktische Demonstrationen zur IT-Sicherheit" kurz vorgestellt. Abs. 7

B. Zum Programm

Abs. 8
Das diesjährige HackingCamp wurde wie bereits im Vorjahr von Prof. Dr. Christoph Sorge, Inhaber der juris-Stiftungsprofessur an der Universität des Saarlandes und Mitglied des Center for IT-Security, Privacy and Accountability (CISPA), eröffnet. Ganz nach dem in der Informatik weit verbreiteten Motto „the issue is whether you're paranoid enough"[1] wies er auf die bestehenden Sicherheitsmängel der Übertragungssoftware für die Bundestagswahl am 24.09.2017 hin. Dies betonte die Allgegenwärtigkeit von IT-sicherheitsrelevanten Sachverhalten. Anschließend übergab er das Wort an Dr. Ulf Löckmann.Abs. 9
Dr. Ulf Löckmann vom Bundesamt für Sicherheit in der Informationstechnik (BSI) befasste sich mit dem Thema „Sicherheit von Fernidentifizierungsverfahren".Abs. 10
Zu Beginn stellte der Referent dar, dass seit einiger Zeit zunehmend Online-Verfahren für die Kundenidentifizierung bei Banken, Telekommunikationsunternehmen oder anderen Dienstleistern angeboten werden. In diesem Zusammenhang nannte er unter anderem die Eröffnung eines Kontos, die Ausstellung qualifizierter Zertifikate oder die Eröffnung eines DE-Mail-Kontos. Während die Online-Ausweisfunktion des Personalausweises bereits ein hohes Vertrauensniveau erreicht hat, drängen vermehrt auch Verfahren auf den Markt, deren Sicherheit nicht das Niveau einer persönlichen Identifizierung und Überprüfung eines Ausweisdokuments erreichen.Abs. 11
Herr Löckmann stellte die Sicherheitseigenschaften ausgewählter Verfahren dar. Außerdem bewertete er eine Auswahl von Angriffsmöglichkeiten. Zudem wurde eine Methode der einheitlichen Bewertung von Vertrauensniveaus der unterschiedlichen Identifizierungsverfahren vorgestellt. Dieses Vorgehen dient der Förderung der bedarfsgerechten Anwendung und der Schaffung von Rechtssicherheit für Diensteanbieter. Ausführlich ging er zudem auf das videobasierte Fernidentifizierungsverfahren ein, indem er mögliche Angriffsszenarien demonstrierte.Abs. 12
Jörn Erbguth beschäftigte sich in seinem Vortrag mit dem "Tracking von Bitcoin-Zahlungen". Der langjährige IT-Leiter der juris GmbH und später auch der Swisslex AG ist derzeit als Rechtsinformatik-Berater tätig. Er ist sowohl Informatiker als auch Jurist. Sein Schwerpunkt umfasst neben Rechtsinformationssystemen auch die Blockchain. Aktuell promoviert er an der Universität Genf zur Blockchain im Bereich Information System Science.Abs. 13
Bitcoin-Zahlungen erfreuen sich wachsender Beliebtheit – auch Kriminelle haben ein gesteigertes Interesse an dieser Zahlungsmethode entwickelt. Zurückzuführen ist diese Entwicklung auf den Umstand, dass für die „Eröffnung" eines Bitcoin-Kontos eine Identifizierung der Person nicht erforderlich ist. Herr Erbguth bezeichnete Bitcoin-Transaktionen daher als pseudonym, autonom und effektiv unreguliert.Abs. 14
Während die Bitcoin-Konten anonym geführt werden, ihre Inhaber also nicht der Bitcoin-Blockchain entnommen werden können, sind alle Transaktionen öffentlich auf der Bitcoin-Blockchain einsehbar. Zur Verschleierung ihrer Transaktionen bedienen sich Kriminelle daher sogenannter Bitcoin-Mixer.Abs. 15
Um diesem Vorgehen entgegenzuwirken, werden Analysetools – sogenannte Watches – eingesetzt. Diese versuchen die Transaktionen trotz Verschleierung wieder einander zuzuordnen. Praktisch bedeutsam ist dies vor allem für die durch Bitcoin-Transaktionen erschwerte Strafverfolgung. Die Problematik wird deutlich an Beispielen wie der Zahlung von Lösegeld durch die Opfer eines Ransomware-Angriffs oder dem Hacken von einzelnen Bitcoin-Konten oder gar ganzen Bitcoin-Handelsplattformen. Hier besteht ein berechtigtes Interesse der Betroffenen an der Nachverfolgbarkeit der Transaktionen.Abs. 16
Frederik Möllers ist wissenschaftlicher Mitarbeiter bei der juris-Stiftungsprofessur für Rechtsinformatik und dem Center for IT-Security, Privacy and Accountability (CISPA). Daneben ist er auch Geschäftsführer der defendo GbR. Er befasste sich mit dem Thema „Der Anonymisierungsdienst Tor".Abs. 17
Das auf Spendenbasis organisierte Projekt Tor ist die am weitesten verbreitete Implementierung eines sogenannten "Onion Routing" Netzwerkes. Die Software dient weltweit Usern dazu, ihre Kommunikationsbeziehungen sowie ihr Surfverhalten – wie das Aufrufen von bestimmten Webseiten – zu verschleiern. Zum einen findet die Kommunikation indirekt statt, zum anderen wird eine verschachtelte Verschlüsselung verwendet. Ziel ist es, die Benutzer vor einer möglichen Deanonymisierung durch Dritte zu schützen, wie beispielsweise Journalisten und Informanten vor staatlicher Verfolgung. Tor ermöglicht durch autoritäre Regierungen bedrohten Gruppen einen freien Zugang zu Informationen im Netz. Der Referent verdeutlichte im Anschluss die Vorgehensweise von Tor anhand einer grafischen Darstellung, die sich zur Verschlüsselung dreier Knoten bedient. Diese sind nach Expertenmeinung völlig ausreichend für eine effektive Verschlüsselung des Pfades.Abs. 18
Aber auch Kriminelle haben die Vorzüge des Dienstes für sich entdeckt. Während Tor auf der einen Seite dem Schutz der Privatsphäre dient, wird es auf der anderen Seite zur Verhinderung oder Erschwerung der Strafverfolgung verwendet und sah sich daher in der Vergangenheit oftmals der Kritik der Öffentlichkeit ausgesetzt.Abs. 19
Stefan Hessel ist studentischer Mitarbeiter bei der juris-Stiftungsprofessur für Rechtsinformatik und dem Center for IT-Security, Privacy and Accountability (CISPA). Auch er ist Geschäftsführer der defendo GbR. Sein Vortragstitel „Game over – Zum Stand der IT-Sicherheit im Kinderzimmer" lässt sich vielfach mit den Schlagzeilen der letzten Monate über smarte Spielzeuge in Verbindung bringen.Abs. 20
Smarte Spielzeuge erfreuen sich auf dem deutschen Spielzeugmarkt derzeit wachsender Beliebtheit. Nicht zu verkennen ist dabei der stetig wachsende Funktionsumfang der Geräte. So verfügen diese in vielen Fällen bereits über eine Internetanbindung, Bluetooth und weitere Schnittstellen.Abs. 21
Doch während auf den ersten Blick Kindern neue Interaktionsmöglichkeiten einen kompetenten Umgang mit Medien nahebringen sollen, offenbart sich auf den zweiten Blick das erhebliche Risiko- und Missbrauchspotential. Die Bundesnetzagentur bestätigte Anfang des Jahres wegen Verstoßes gegen § 90 TKG (verbotene Sendeanlage) das Verbot der smarten Spielzeugpuppe „My friend Cayla". Das Verbot erging aufgrund einer ungesicherten Bluetooth-Verbindung, die es einem potentiellen Angreifer gestattet, das Spielzeug als Abhöranlage zu missbrauchen. Ausgehend von diesem aufsehenerregenden Fall beleuchtete der Vortrag die IT-Sicherheit von smarten Spielzeugen und zeigte Schwachstellen auf, die die Privatsphäre von Kindern und Eltern gefährden können. Hessel nannte in diesem Zusammenhang weitere Beispiele wie „My friend Freddy Bear", „I-Que" – den Spielzeugroboter – sowie Kindertablets, welche erhebliche Sicherheitslücken aufweisen und daher Gegenstand eines Hacker-Angriffs sein können.Abs. 22
Dr. Andreas Dewes behandelte im Rahmen des diesjährigen HackingCamps das Thema „Privatsphäre und Big Data: Geht das überhaupt?". Er ist Diplom Physiker und Diplom Kaufmann sowie Datenwissenschaftler und Gründer des Startups 7scientists.Abs. 23
Dr. Dewes eröffnete seinen Vortrag damit, dass sich bei dem Begriff der Internet-Überwachung jedem unweigerlich die These aufdränge, dass Geheimdienste wie die NSA (National Security Agency) in ihren Rechenzentren riesige Mengen an personenbezogenen Daten sammeln. Tatsächlich wird jedoch die Mehrheit personenbezogener Daten im Internet von privaten Firmen – und nicht von der NSA – gesammelt.Abs. 24
Mit Hilfe immer neuerer Technologien versuchen diese, alle Bereiche unseres digitalen Lebens aufzuzeichnen und auszuwerten. So vielfältig wie die gewonnenen Daten, so vielfältig sind auch die Motivationen der Firmen. Während große Firmen wie Google und Facebook die gesammelten Daten vorwiegend für eigene Zwecke nutzen, erheben kleinere Unternehmen oftmals nur Daten, um sie anschließend gewinnbringend weiterzuverkaufen.Abs. 25
Verkannt werden darf dabei jedoch nicht die Gefahr für die Privatsphäre der Nutzer. Denn oftmals lässt sich in vermeintlich anonymisierten Daten ohne großen Aufwand wieder ein Bezug zu einzelnen Personen herstellen, deren private Daten so der Öffentlichkeit preisgegeben werden. Besonderes Augenmerk lenkte Dewes dabei auf das Forschungsexperiment eines NDR-Journalisten-Teams rund um Svea Eckert, welches im Rahmen einer investigativen Recherche an die Web-Daten von fast drei Millionen deutschen Nutzern gelangen konnte. Dabei konnten durch einfache Techniken eine große Anzahl an Personen in dem vermeintlich anonymisierten Datensatz wieder identifiziert werden.Abs. 26
Der Referent verdeutlichte anhand einiger Beispiele, wie zunächst harmlos anmutende Daten intime Informationen über Nutzer preisgeben können und welche Gefahren hieraus erwachsen. So kann es sich selbst bei ernsthafter Absicht schwierig gestalten, komplexe Daten robust zu anonymisieren.Abs. 27
Abschließend unterbreitete er verschiedene technologische Ansätze, die dazu eingesetzt werden können, die Privatsphäre einerseits besser zu schützen und andererseits Big-Data nicht entgegenzustehen.Abs. 28

C. Fazit

Abs. 29
Auch in diesem Jahr muss das Fazit des HackerCamps lauten: Das zukunftsorientierte Konzept hat sich bewährt und erscheint weiterhin erfolgsversprechend. Die Förderung der wechselseitigen Beziehungen zwischen Recht und Technik erschafft einen Raum für den konkreten Erfahrungsaustausch zwischen Wissenschaft und Praxis, welcher von der stets wachsenden Zuschauerzahl gerne wahrgenommen wird. Immer neue Angriffsszenarien und Technologien – wie sie in den Vorträgen beschrieben wurden – erfordern ein enges Zusammenarbeiten der wissenschaftlichen Disziplinen. Der stetige technische Wandel und neue kreative Angriffsmethoden machen es daher nicht verwunderlich, dass bereits jetzt für das HackerCamp 2018 eine Vielzahl von Ideen und Vortragsangeboten vorliegen.
Abs. 30

Fußnoten

* Autorinnen: Cand. iur. Lena Leffer ist akademische Mitarbeiterin bei der juris-Stiftungsprofessur für Rechtsinformatik an der Universität des Saarlandes und dem Center for IT-Security, Privacy and Accountability (CISPA). Forschungsschwerpunkte: eJustice, Legal Tech und Wirtschaftsstrafrecht sowie die spezifisch strafrechtliche Bewertung von technischen Angriffsszenarien.
E-Mail: lena.leffer@uni-saarland.de
 
Cand. iur. Karin Potel ist akademische Mitarbeiterin bei der juris-Stiftungsprofessur für Rechtsinformatik an der Universität des Saarlandes und dem Center for IT-Security, Privacy and Accountability (CISPA). Forschungsschwerpunkte: Elektronischer Rechtsverkehr, E-Akte und die Darstellung der technischen Grundlagen sowie Wirtschaftsstrafrecht und spezifische strafrechtliche Bewertung von Cyberangriffen. E-Mail: karin.potel@uni-saarland.de
 
Assessorin Dipl.-Jur. Stephanie Vogelgesang ist Referentin für den Bereich elektronischer Rechtsverkehr bei dem Ministerium der Justiz – Saarland. Daneben ist sie akademische Mitarbeiterin bei der juris-Stiftungsprofessur für Rechtsinformatik an der Universität des Saarlandes und dem Center for IT-Security, Privacy and Accountability (CISPA). Seit mehreren Jahren ist sie zudem Lehrbeauftragte an der Universität des Saarlandes (Fachbereich Rechtswissenschaften und Informatik) und an der Deutschen Universität für Verwaltungswissenschaften Speyer.
E-Mail: s.vogelgesang@justiz.saarland.de
 
[1]„Strange Days", 1995.
 

(online seit: 24.10.2017)
 
Zitiervorschlag: Autor, Titel, JurPC Web-Dok, Abs.
 
Zitiervorschlag: Leffer, Lena, Hacking Session beim 26. EDV-Gerichtstag - Praktische Demonstrationen zur IT-Sicherheit - JurPC-Web-Dok. 0147/2017