Thema: Probleme mit Admin meines Providers
Einzelnen Beitrag anzeigen
Alt 27.02.2005, 20:02   #10
_m3
Inventar
 
Registriert seit: 24.09.2001
Beiträge: 7.335


Standard
1)
Zitat:
Da es sich dabei (dem portscan, Anm. m3) um ein protokollkonformes Verhalten handelt (Siehe TCP/IP), sind Portscans in der Regel legal. Ausnahmen bestehen, wenn durch Portscans ein Denial of Service Angriff ausgelöst wird, wenn z.B. die dem Zielsystem zur Verfügung stehende Bandbreite verbraucht wird.

Die o.g. Zusatzfunktionen wie Betriebssystems- OS-Fingerprinting und Dienst-Erkennung, für die z.B. der Portscanner nmap bekannt ist, sind strenggenommen keine Portscans mehr und ihr Einsatz kann nicht nur aufgrund eines nicht ganz auszuschliessenden Absturzrisikos beim Ziel problematisch sein.
http://de.wikipedia.org/wiki/Portscan

Portscans selber sind NICHT gesetzeswidrig oder illegal.

Zitat:
§ 16. (2) Infrastruktureinrichtungen und Kommunikationsnetze, die zur Zusammenschaltung mit öffentlichen Kommunikationsnetzen oder zur Erbringung eines öffentlichen Kommunikationsdienstes bestimmt sind, müssen in ihrem Aufbau und ihrer Funktionsweise den anerkannten Regeln der Technik betreffend die
1. Sicherheit des Netzbetriebes,
2. Aufrechterhaltung der Netzintegrität,
3. Interoperabilität von Diensten und
4. Einhaltung der gemäß § 5 des Bundesgesetzes über Funkanlagen und Telekommunikationsendeinrichtungen,
BGBl. I Nr. 134/2001, veröffentlichten Schnittstellenbeschreibungen
entsprechen.
TKG 2003, § 16.

Zitat:
Die XXXX GmbH ist verpflichtet, angemessene technische Einrichtungen herzustellen, vorzuhalten und deren Mitnutzung durch den Kunden und während der Vertragsdauer zu gestatten.
Dieses Zitat aus den AGBs des betroffenen ISPs und aus dem TKG 2003 macht IMHO auch klar, dass es sich bei den betroffenen Systemen um "professionell" gewartete Systeme handelt, die bei einem protokollkonformen Abruf der SW-Version nicht abstuerzen. Man kann daher ausgehen, dass durch die durchgefuehrten Portscans (egal ob mit oder ohne Fingerprinting, etc.) keinerlei Schaeden auf den Zielsystemen aufgetreten sind. Wenn dem doch der Fall war, so hat er nicht die entsprechenden Sicherheitsmaßnahmen gesetyt, verstößt daher gegen die uebliche Schutznorm und handelt damit rechtswidrig.

Weiters ist er gemäß § 14 DSG verpflichtet, "Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Er hat sicherzustellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, dass ihre Verwendung ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zugänglich sind". Hat er das nicht, kannst Du ihn entsprechend anzeigen.

Aus http://www.it-law.at/papers/blaha-einbruch.pdf :
Keine Firewall installiert oder installierte Firewall aus Performancegründen deaktiviert
-> Grob fahrlässig: Ein Server ohne aktiver Firewall ist Angriffen aus dem Internet ungeschützt ausgesetzt

Firewall wurde nicht an das zu schützende System angepasst, sondern läuft mit Standardkonfiguration
-> Grob fahrlässig: Eine nicht sorgfältig konfigurierte Firewall ist nutzlos

Aus Kostengründen wurde eine Firewall installiert, die für das System nicht leistungsfähig genug ist
-> Grob fahrlässig: Eine leistungsmäßig nicht ausreichende Firewall ist lediglich Makulatur


Und dann gibts da noch:
Zitat:
§ 118a StGB (1) Wer sich in der Absicht, sich oder einem anderen Unbefugten von in einem Computersystem gespeicherten und nicht für ihn bestimmten Daten Kenntnis zu verschaffen und dadurch, dass er die Daten selbst benützt, einem anderen, für den sie nicht bestimmt sind, zugänglich macht oder veröffentlicht, sich oder einem anderen einen Vermögensvorteil zuzuwenden oder einem anderen einen Nachteil zuzufügen, zu einem Computersystem, über das er nicht oder nicht allein verfügen darf, oder zu einem Teil eines solchen Zugang verschafft, indem er spezifische Sicherheitsvorkehrungen im Computersystem verletzt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.
Selbst wenn Sie der Meinung sind, dass Du Dir durch Deine Posrtscans Zugriff auf fremde Daten verschafft hast, muessten Sie Dir, um eine kriminelle Handlung abzuleiten, einen Vorsatz UND eine Bereicherungsabsicht beweisen.
Ohne Schädigungs- bzw Bereicherungsabsicht, die der ISP nachweisen muss, koennen sie sich brausen gehen, weil nur DANN duerfen Sie Dir nach Ihren AGBs den Zugang sperren. Ich hatte da schon mal eine nette Unterhaltung mit einem Anwalt diesbezueglich.
Zitat:
Die XXXX GmbH ist berechtigt aber nicht verpflichtet, bei Aufrechterhaltung des Vertrages den Zugriff des Kunden auf die Einrichtung zu sperren und die eingegebenen Datenbestände zu löschen, wenn ein Verstoß gegen Gesetze, Gefährdung der öffentlichen Ordnung oder Sicherheit, Gefährdung der Sittlichkeit oder dgl. zu erwarten ist.
Ein Verstoss gegen ein Gesetz wuerde eine Anzeige implizieren, oder? Solange diese nicht erfolgt ist, haben sie Deinen Anschluss nicht abzuschalten.

Davon unabhaengig gibt es dann noch die zivilrechtliche Seite, ueber die der ISP Schadenersatz einfordern kann. Aber auch hier bedarf es einer Anzeige und die Beweislast liegt IMHO auch beim ISP.
____________________________________
Weiterhin zu finden auf http://martin.leyrer.priv.at , http://twitter.com/leyrer , http://www.debattierclub.net/ , http://www.tratschen.at/ und via Instant Messaging auf Jabber: m3 <ät> cargal.org .
_m3 ist offline   Mit Zitat antworten