Kürzlich hat mich mal ein Freiburger Systemhaus angerufen, die mir unbedingt einen Sicherheitscheck für unsere Firewall verkaufen wollten. Hab nur deshalb nicht aufgelegt, weil ich von denen noch was anderes haben will, aber das nur so am Rande…
Was die mir andrehen wollten kann ich genauso gut selbst machen und habe deshalb heute mal mit Nessus rumgespielt, einem Scanner für Sicherheitslücken – einerseits war mir eh langweilig, andererseits ist es ein ganz spannendes Gebiet.
Lange Rede kurzer Sinn: Ich habe also Nessus aus unsere externen Adressen losgelassen, 16 statische IPs hängen an der SDSL-Leitung auf so einer linuxbasierten Multi-Appliance mit Firewall, Mail-Server und Schnickschnack, von mir nicht geliebt, aber das Ding läuft so halbwegs. Daneben betreibe ich noch ein Proxy an einer ADSL-Leitung, die Hausverkabelung in dem Bürogebäude ist so marode, dass wir durch die Standleitung kaum was durchkriegen, das ganze in-house-Gesurfe route ich dann über die zweite Leitung weg.
Das Ergebnis ist recht langweilig, es waren auf der SDSL-Leitung nur erwartete Ports offen*, der Proxy an dem anderen DSL-Anschluss hat ganz brav überhaupt nix offen.
So weit so normal – war zwar in meiner Freizeit, aber noch nicht wirklich untypisch für die Aufgaben eines Admins. Aber glücklicherweise wurde ja im Strafgesetzbuch unter ’§202c diese Regelung vom Bundestag gebilligt:
Wer eine Straftat [… i.S.v. Computerkriminalität] vorbereitet, indem er […] Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet der sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (Gesetzesentwurf (PDF))
Für mich klingt das fast nach einem Berufsverbot für alle Computer-Sicherheits-Fuzzies und auch mir wird die Arbeit nicht unbedingt erleichtert, wenn ich meine eigenen Systeme nicht mehr untersuchen darf. Noch scheinen die neuen Paragraphen zur Computerkriminalität nicht vom Köhler unterschrieben worden zu sein, auf jeden Fall sind stehen sie noch nicht im Gesetzestext – doch das ist nur eine Frage der Zeit, dann heißt es „Schäuble, übernehmen sie“. Als einzige gegen den Gesetzesentwurf stimmte die Fraktion der PDS sowie ein einsamer SPDler, eigentlich sollte man denen mal dafür danken.
Könnte echt spannend werden, Sicherheitssoftware ist verboten und in Verbindung mit dem Definieren des Rechners als Sozialsphäre der nicht dem Schutz der Privatsphäre unterliegt könnten ne ganze Menge Informationen in falsche Hände wandern…
*) Okay, okay, stimmt nicht ganz – da war noch ein MS Terminalserver offen betrieben, das liegt aber an dem Web-Gui der Appliance, die es gar nicht so leicht macht, Portforwards wieder zu schließen…