| Zeit: | Donnerstag — 24.09.2009 — 15.00 Uhr |
| Ort: | Hörsaal 117 |
| Moderation: | Dr. Wolfgang Tauchert (Vorsitzender Richter am Bundespatentgericht) |
| Referenten: | Prof. Dr. Hartmut Pohl (Hochschule Bonn-Rhein-Sieg); Ulf Buermeyer (Richter am Landgericht Berlin) |
| Dokumente: | Präsentation Pohl |
Zur Durchführung der (heimlichen) sogenannten Online-Durchsuchung existieren eine ganze Reihe falscher Vermutungen wie universell einsetzbare Würmer oder Viren, die der (ebenfalls falsche) Begriff ‘Bundestrojaner1‘ suggeriert. Im Folgenden wird das seit drei Jahren von den Behörden praktizierte Verfahren zur Online-Durchsuchung vorgestellt: Less-Than-Zero-Day-Exploits: Angriffe auf Computer und Netze, die (noch) unveröffentlichte Sicherheitslücken ausnutzen.
Tatsächlich werden Sicherheitslücken nicht immer zuerst dem Software-Hersteller bekannt – vielmehr sind weltweit eine Reihe von Spezialisten tätig, die Sicherheitslücken in häufig benutzter Software oder auch in Individualprogrammen suchen, finden und – verkaufen! Als Käufer kommen einschlägige Organisationen und Behörden wie Nachrichtendienste in Betracht. Diese Sicherheitslücken werden nicht veröffentlicht oder dem Hersteller mitgeteilt, denn nach Erarbeitung einer Fehlerkorrektur (Patch) könnte sie nicht mehr ausgenutzt werden.
Anwender sind überhaupt nicht in der Lage, sich gegen diese Angriffe (Ausnutzen unveröffentlichter Sicherheitslücken) zu schützen, weil Ihnen die zugrundeliegende Sicherheitslücke nicht bekannt ist. Diese Angriffe können noch nicht einmal erkannt werden!
Angriffe auf der Grundlage unveröffentlichter Sicherheitslücken werden weltweit seit etwa 10 Jahren erfolgreich praktiziert. Die Angriffe ermöglichen Zugriffe auf alle auf dem Computer gespeicherten Daten; dies bezieht sich nicht nur auf Server, Clients, Router, Switches und auf Netze wie Intra- und Extranets oder das Internet, sondern auch auf Geräte wie Handys, Smart Phones etc. und generell alle ans Internet direkt oder indirekt angeschlossenen Systeme mit eingebautem Computer. Referent: Prof. Dr. Hartmut Pohl
Das Bundesverfassungsgericht hat in seiner Entscheidung zur sogenannten „Online-Durchsuchung“ ein neues Grundrecht definiert, das die Vertraulichkeit und Integrität informationstechnischer Systeme garantiert und kurz – wenngleich etwas unscharf – auch als „Computer-Grundrecht“ bezeichnet wird. Damit reicht die Bedeutung der Entscheidung weit über das unmittelbar betroffene nordrhein-westfälische Verfassungsschutzgesetz hinaus. Das Referat wird die Leitlinien der Entscheidung nachzeichnen und darstellen, welche Bedeutung die neue grundrechtliche Gewährleistung für den heimlichen hoheitlichen Zugriff auf Rechnersysteme und andere Geräte wie etwa Smartphones hat. Dabei soll verdeutlicht werden, welche eigenständige Bedeutung den beiden Dimensionen des Schutzbereichs – Integrität und Vertraulichkeit – zukommt. Besonderes Augenmerk wird außerdem auf strafprozessuale Eingriffe gelegt, die in der vor allem nachrichtendienstlich bzw. präventivpolizeilich ausgerichteten Entscheidung des BVerfG nur am Rande genannt werden, sodass im repressiven Bereich noch besonderer Diskussionsbedarf besteht.