Security: DoS-Attacken legal?
Über den Umgang mit ungebetenen Gästen

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkePolitikRechtSicherheitSicherheitsmanagement

Ein Richter hat geurteilt, dass ein Dienstverweigerungs-Angriff (Denial of Service – DoS) nicht rechtswidrig sei – hätte ein einfacher kleiner Texthinweis das verhindern können?

Juristisch diffizil

Security: DoS-Attacken legal?

Neulich wurde in Großbritannien ein Urteil gefällt, das sagt, ein DoS-Angriff sei kein Vergehen nach dem dortigen Gesetz gegen Computermissbrauch (Computer Misuse Act – CMA 1990). Das ist sehr beklagenswert.

Dieses Vergehen hätte unter den Teil des Gesetzes fallen können, das unberechtigte Modifikationen verbietet. Aber in diesem Fall war der Richter der Ansicht, dass die Funktion eines E-Mail-Servers grunsätzlich darin besteht, E-Mails anzunehmen, deshalb wäre jede Modifikation autorisiert.

Wenn Sie irgendeinen Administrator fragen müssten, ob die Annahme von fünf Millionen Emails innerhalb kürzester Zeit autorisiert oder zulässig ist, bin ich davon überzeugt, dass zur Antwort ein überwältigendes “Nein” käme. Diese Menge von E-Mails bringt die meisten Mailserver zum Absturz und überflutet Ihre verfügbare Bandbreite.

Großunternehmen können sich Sicherheitseinrichtungen leisten, um sich gegen diese Art von Angriffen zu schützen, und es gibt durchaus Argumente dafür, diese Stufe von Verteidigungsmaßnahmen an einen der Big Player auszulagern – diese großen Sicherheitsfirmen verfügen sowohl über die notwendige Bandbreite als auch das technische Fachwissen, um für eine ständige Überwachung und den Schutz vor neuen Bedrohungen zu sorgen. Kleinere Unternehmen haben das Nachsehen, weil die “Managed Security” teuer ist.


Fehlende Vorschriften?

Security: DoS-Attacken legal?

Angesichts der kürzlichen Entscheidung wird England auf eine Änderung des CMA 1990 warten müssen, damit dieses Schlupfloch auch noch geschlossen wird. In Deutschlands dagegen ist vierlleicht alles sogar überreguliert und es findet sich bestimmt ein Gesetz, das passt, um den jeweiligen Bösewicht zu verklagen. Im viel besprochenen Lufthansa-Prozess ist sogar der Mausklick als “Gewalt” gedeutet. Im Zivilrecht und im Strafrecht gelten jeweils andere Paragraphen, meint Rechtwanwalt Arne Trautmann. Am ehesten fällt es unter “Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb”. Trautman kündigte einen auführlichen Beitrag im IT-Recht-Blog an.

Nichtsdestoweniger weist dieses Problem auf die Wichtigkeit hin, in England entsprechende Vorschriften zu erlassen und sie in eutschland zu präzisieren.

Mittels geeigneter Beschränkungen könnte man möglicherweise argumentieren, dass für eine bestimmte Aktion keine Genehmigung vorlag. Auf Webseiten ist es mittlerweile üblich, in den robots.txt Dateien aufzulisten, was zulässig ist – und Crawler sowie Indexierungsagenten sollten diese anerkennen. Es ist wahrscheinlich, dass Gerichte solche Restriktionen durchsetzen werden, die in einer robots.txt Datei verankert sind.

Das unter Schutz stehende Recht in Großbritannien ist das Copyright; teilweise vergleichbar mit dem deutschen Urheberrecht. Da eine öffentliche Website für alle zugänglich ist, besteht eine stillschweigende Befugnis, die eine begrenzte Form des Kopierens erlaubt – hauptsächlich aber, um die Webseite ansehen zu können. Vom Nutzer wird erwartet, dass er die Bedingungen jeder einzelnen Website liest, die Einzelheiten über die zulässige Nutzung enthalten sollte. Wer dies ignoriert, muss die Folgen tragen.


Gutes Benehmen automatisieren?

Security: DoS-Attacken legal?

Für automatisierte Dienste braucht man etwas wie die robots.txt Datei. Bei E-Mail-Servern sieht es etwas anders aus.

Aus den verfügbaren Informationen geht nicht klar hervor, ob der Richter den technischen Standard RFC 2821 berücksichtigt hat, der die allgemein akzeptierten Standards und Betriebsverfahren für das SMTP-Protokoll (auf Port 25) enthält. Abschnitt 3.1 des RFC 2821 beschreibt, dass eine Verbindungs-Begrüßung (connection greeting) als Teil der Session Initiation aktiviert wird. Die Log-Dateien meines Mailservers zeigen, dass eine ganze Reihe von Mailservern jetzt eine Nachricht geben (suche nach Code “220” im Mailserver-SMTP-Log), dass Relaying nicht gestattet ist

Als Folge des DoS-Regelwerks erklärt mein Mailserver jetzt, dass Relaying nicht gestattet ist (aber das ist sowieso nicht möglich), dass die Kommunikationstätigkeiten überwacht werden und dass nur eine angemessene geringe Nutzung meines Mailservers erlaubt ist.

Ob dies nun etwas bewirkt oder nicht, bleibt abzuwarten, aber ein Massenmailer oder Spammer sollte sich dieser Art von Beschränkungen wohl bewusst werden, bevor er den Server “gebrauchen” will.