Hallo!

Ich habe mir grade noch mal die Forenregeln durchgelesen und hoffe, dass ich keinen Regelverstoß begehe. Ich habe keine Regel gefunden, die meine folgende Frage irgendwie verbieten würde, soweit ich das verstanden habe. :mod:

Ich stelle mir derzeit die Frage, ab wann "Hacken" als eine Straftat gedreht werden kann bzw. überhaupt verboten ist.

Das extrembeispiel wäre z.b. wenn man einen Webserver über einen Exploit übernimmt oder so. Ich denke es ist klar, dass das als Straftat gehandhabt wird.

Aber wenn z.b. der Systemadministrator des Ziels irgendwelche offenen Administrativen Services vergessen hat abzusichern, darf man sich bei denen dann einloggen?

Beispiel: Der FTP-Zugang gibt bei einer Telnet verbindung im Header Kennwort und Benutzername für den Administrativen Zugriff an (ich weiß, ist ein Extrembeispiel, so dumm ist wohl keiner )

Eine weitere Frage, was wäre, wenn man über die freigegebenen Services direkt ein Login/Root/was auch immer schafft und z.b. eine Website abschaltet?

Also wenn man, wie auch immer, über öffentlich freigegebene Services irgendeinen Mist macht?

Beispiel: Wenn man z.b. über einen nicht abgesicherten SMTP e-mails versendet oder so...

Wie weit darf man gehen?

Ein anderes Beispiel wäre doch eine DOS Attacke über einen einfachen Ping. Sagen wir man spricht sich mit 200.000 Leuten ab irgendeinen Webservice zu einer bestimmten Zeit anzupingen und dieser stürzt wegen überlastung ab. Anpingen darf doch jeder, oder nicht? Theoretisch hat ja niemand irgendetwas verbotenes getan. Man könnte ja durch Zufall grade mal Lust bekommen haben irgendetwas anzupingen.

Bearbeitet 6. April 201411 j von Sam751
Noch eine Idee!

Hallo Sam75,

vielleicht hilft dir das weiter: Klick.

Hallo Sam75,

vielleicht hilft dir das weiter: Klick.

Danke!

Echt toller Artikel. Im Grunde hat er meine Fragen fast alle beantwortet.

Die Frage, die nach wie vor im Raum steht wäre eine DOS Attacke, da diese ja theoretisch nur freigegebene Dienste ausnutzt.

Man könnte ja auch 150.000 mal am Tag bei der Sparkasse anrufen und nach der Uhrzeit fragen, um den Workflow langsamer zu machen bzw. auszuschalten

Das dürfte dann in den meisten Fällen unter § 303b StGB Computersabotage - dejure.org fallen

Wenn man die goldene Regel nicht beachtet tritt man oft auch mit dem Gesetz in Konflikt.

Reine DOS-Attacken gibt es nur sehr selten - wenn dann sind es DDOS-Attacken, die meist zentral gesteuert werden.

Dennoch: Sowohl DOS-Attacken, als auch DDOS-Attacken sind strafbar.

Wenn man nur eine IP anpingt und x User das "zufälligerweise" zur gleichen Zeit auch machen, wird es wohl schwierig werden, dem einzelnen nachzuweisen, dass dies mit der Absicht war, einen Dienst lahmzulegen.

Anderseits kann ein Admin dies aber auch ganz einfach abblocken, indem er ICMP Ping Pakete generell blockiert/verwirft, oder nur bestimmten IP-Adressen dies erlaubt...

Danke!

Echt toller Artikel. Im Grunde hat er meine Fragen fast alle beantwortet.

Die Frage, die nach wie vor im Raum steht wäre eine DOS Attacke, da diese ja theoretisch nur freigegebene Dienste ausnutzt.

Man könnte ja auch 150.000 mal am Tag bei der Sparkasse anrufen und nach der Uhrzeit fragen, um den Workflow langsamer zu machen bzw. auszuschalten

Du möchtes Schaden zufügen => ergo: Strafbar!

Wenn man die goldene Regel nicht beachtet tritt man oft auch mit dem Gesetz in Konflikt.

Du möchtes Schaden zufügen => ergo: Strafbar!

Ketzerisch könnte man sagen, dass da die Bankenbranche wohl die übliche Regelausnahme zu sein scheint.

Du möchtes Schaden zufügen => ergo: Strafbar!

Strafbar: Ja

Nachweisbar: Nein

Aber das sind wohl oft 2 verschiedene Paar Schuhe.

Anderseits kann ein Admin dies aber auch ganz einfach abblocken, indem er ICMP Ping Pakete generell blockiert/verwirft, oder nur bestimmten IP-Adressen dies erlaubt...

Das nutzt nur relativ wenig, wenn die Datenpakete erst einmal über die Internet-Leitung bis zur Firewall geleitet werden, um dann dort verworfen zu werden. Eine Firewall kann verhindern, dass Server durch DOS-Attacken lahmgelegt werden, aber nicht, dass die Leitung eingehend mit Datenverkehr zugemüllt wird. Genau das haben aber DDOS-Attacken vor.

@GoaSkin:

DDOS-Attacken können mehrere Ziele haben.

Entweder einen Server lahmlegen, oder aber die Leitung zumachen.

Dies kann durch unterschiedliche Methoden erreicht werden.

1. Auslastung der Internetanbindung des Unternehmens
   
2. Auslastung der Anbindung zum Server
   
3. Auslastung der Rechenleistung des Servers durch Abfragen, bei denen er was zu rechnen hat.

Wenn man gut mit dem Provider steht, kann man übrigens auch kurzfristig mal alle Pings (oder sonstige bestimmbare Pakete, die die Leitung zumachen) vom ISP direkt blockieren lassen, so dass sie gar nicht erst bis zu einem durchkommen, sondern schon vorher im Backbone des ISP geblockt werden.

Wie gesagt - es kommt halt immer drauf an, was genau das Ziel ist, das mit einer DDOS-Attacke verfolgt wird. Klar - das Ziel ist zwar immer den DIenst nicht mehr erreichbar zu machen - jedoch auf unterschiedlichem Wege.

Aber man kann auch legal hacken:

Cyber Security Challenge Competition: https://cybersecuritychallenge.org.uk/competitions.php

Wibu Systems Hacker Contest: Hacker's Contest | Wibu-Systems USA

Hack this site: Hack This Site!

Hacking Lab: https://www.hacking-lab.com/

Fedora Security Lab: https://fedorahosted.org/security-spin/

Hacken kann man in einem dreimonatigen Training an der Hacker School in New York lernen: https://www.hackerschool.com/

Bei den Gesetzesverstößen, nach denen Hacken strafbar ist, handelt es sich in Deutschland natürlich fast ausschließlich um Anzeige-Delikte. D.h. der Täter wird nur dann ausfindig gemacht und zur Rechenschaft gezogen, wenn der Geschädigte Strafanzeige stellt, aber nicht, weil die Polizei oder sonst ein Dritter von einer Hack-Aktion zufällig mitbekommen hat. Das wäre bei Offizialdelikten wie Körperverletzung anders.

Wenn nun aber jemand ausdrücklich erlaubt, dass man ihn hacken darf und trotzdem Anzeige stellt, dann würde er gerichtlich eine Strafe für den Hacker gerichtlich kaum durchbringen können.

Andrea: Es kommt drauf an, was man unter "hacken" versteht. Ein richtiger Hacker nennt Leute, die das, was Ihr meint, machen Cracker: Hacking vs Cracking