Bundesprüfstelle äußert sich zu Hacker-Angriff auf das BPJM-Modul
Am gestrigen Tag sickerte eine Liste mit circa 300o Web-Adressen ins Netz. Tüftlern war es gelungen, das BPjM-Modul zu entschlüsseln, welches Adressen unter anderem an Anbieter von Sicherheits-Software und Router-Hersteller wie AVM sendet. Es handelt sich bei den ins Netz gelangten Daten um Internetseiten, deren Inhalt als jugendgefährdend oder schwer jugendgefährdend eingestuft wurde, beziehungsweise sogar als strafrelevant gilt.
Die Liste der indizierten Angebote ist nach dem Jugendschutzgesetz nicht öffentlich, wie es die Bundesprüfstelle für Jugendmedien in einer Pressemitteilung kommuniziert. Damit möchte der Gesetzgeber anscheinend verhindern, dass Kinder und Jugendliche die Liste der indizierten Angebote als ‚Hitliste‘ zum Anlass nehmen, sich Zugang zu gerade diesen Medien zu verschaffen.
Die BPjM hat die zuständige Aufsicht über den Jugendschutz im Internet, die Kommission für Jugendmedienschutz (KJM), das Bundeskriminalamt sowie die Staatsanwaltschaft über den Vorgang informiert und Strafanzeige gegen Unbekannt gestellt und man teilt weiterhin mit, dass es bei einigen Angeboten ausreicht, diese Seiten aufzurufen, um eine Strafverfolgung zu rechtfertigen.
Das ist ja wohl der gespielte Witz.
Die Liste wird frei verteilt und durch Endgeräte ausgelesen.
Das das ein paar intelligente Menschen auch hin bekommen ist ja wohl klar.
Die Gefahr die ich hier sehe ist die, dass hier Sicherheit mit etwas simuliert wird, was im Grunde genommen vorwiegend ein Sammelsurium an Karteileichen ist.
Das die nun mit der peinlichen Lachnummer noch einen Frontalangriff starten ist ja wohl der Gipfel an Hybris.
„dass es bei einigen Angeboten ausreicht, diese Seiten aufzurufen, um eine Strafverfolgung zu rechtfertigen“
Würde die BPjM die Liste aktuell halten, könnte man das sogar verstehen. Aber bei einer Liste wo gefühlt 60% offline sind oder gar in der Zwischenzeit Besitzer und Inhalt gewechselt haben, ist diese Aussage einfach nur noch lachhaft.
Und wen genau soll diese Anzeige gegen unbekannt treffen? Ich kann hier keine Straftat erkennen. Richtet sich dann wohl vorsorglich an die Leute, die die Links öffnen.
Also „Angriff“ ist der völlig falsche Begriff. „Analyse“ oder „Dekodierung“ oder „Reverse Engineering“ sind wohl passender. Hier sieht man, dass die Verantwortlichen keine Ahnung von der Materie haben. Aus allen Wolken zu fallen, wenn man einen einfachen Standard-Hash einfach mithilfe einer Klartext-Liste überprüft, ist echt schwach. Dem interessieren Leser sei hier mal die Erklärung auf der Leak Webseite empfohlen.
Mich würde interessieren, auf welcher rechtlichen Grundlage hier eine Strafanzeige gestellt wurde. Benutzung technischen Fachwissens? Existenz mathematischer/logischer Gegebenheiten? Ist „unbekannt“ hier „die Logik“?
„Und wen genau soll diese Anzeige gegen unbekannt treffen? Ich kann hier keine Straftat erkennen.“
Dreht sich wohl um § 184a ff, die gesetzliche Lage ist in Deutschland diesbezügliche sehr beschissen.
„Damit möchte der Gesetzgeber anscheinend verhindern, dass Kinder und Jugendliche die Liste der indizierten Angebote als ‚Hitliste‘ zum Anlass nehmen, sich Zugang zu gerade diesen Medien zu verschaffen.“….da die seite, welche die links veröffentlicht hat ja nun geradezu durch blogs und internetseiten verbreitet wurde, wurde es kindern und jugendlichen doch relativ leicht gemacht, die internetseiten aufzurufen etc….
ohne diese news wären sicher weniger kinder/jugendliche auf den leak aufmerksam geworden..klasse arbeit..
„weiterhin mit, dass es bei einigen Angeboten ausreicht, diese Seiten aufzurufen, um eine Strafverfolgung zu rechtfertigen.“ Falls das stimmt, ist das eine große Schweinerei. Alleine der Seitenaufruf darf niemals Konsequenzen haben. Das wäre vergleichbar mit dem Anruf bei einer Schweizer Bank und der Konsequenz, für Steuerbetrug angeklagt zu werden.
Die Frage ist doch ob die ursprüngliche Veröffentlichung der Liste mit Hashwerten nich auch schon nach $184a StGB strafbar ist.
Wenn ich solche Inhalte schlecht verschlüsselt verbreiten würde, dann wäre vermutlich auch nicht der dran, der die Anleitung zum entschlüsseln veröffentlicht…
Wenn die Veröffentlichung einer Liste mit URLs zu strafrechtlich relevanten Seiten eine Straftat darstellt, dann ist hier nur die Frage welche Schritte unternommen werden müssen, um sicherzustellen das die Original Liste nicht wiederherzustellen ist.
Das sicherzustellen ist natürlich ein Problem an sich, aber Sha1 verschlüsselte Werte, die die alle sehr gleichförmig sind, bieten im Grunde keinen Schutz.
Also hat doch die BPjM hier schon das Problem.
Tüftler? Du meinst sicher „Kriminelle“.
„Tüftler“ find ich auch spitze!
Und „der gespielte Witz“ hat mir auch gut gefallen, im ersten Kommentar.
@Caschy:
„Mich würde interessieren, auf welcher rechtlichen Grundlage hier eine Strafanzeige gestellt wurde.“
Das wäre mal interessant, kannst Du als öffentlich agierendes Organ nicht mal eine Anfrage stellen, damit Deine Blog-Leser auch etwas Hintergrundinformation bekommen?
@Bernd: Die Die BPjM hat rechtlich einwandfrei gehandelt, denn die Hashes sind an sich sicher, sie wurden nur „geknackt“, weil die Adressen bereits bekannt waren und darüber somit selbst Hashes gebildet werden konnten.
Das wäre quasi so, als hättest du eine Bild-Sammlung und erst durch das Knacken weißt du, welche Bilder problematisch sind.
Die Frage die mich interessiert ist, wussten die Betreiber der Seiten davon, dass sie auf dem Index gelandet sind? Denn eventuell hätten sie gegen die Sperrung rechtlich vorgehen wollen, es sind ja kommerzielle Seiten auf der Liste denen durch diese Maßnahme Einnahmen entgehen könnten.
Und dass die BPjM eine Seite für sperrwürdig befindet bedeutet ja nicht, dass das vor Gericht auch standhält.
@kook: Die Seite wird ja nicht von der Bundesprüfstelle gesperrt. Es handelt sich hier lediglich um eine Liste, die jeder verwenden kann um damit an seinem Internetanschluss jugendgefährdende Seiten zu sperren.
Daher kann ich auch das ganze Zensurgejaule nicht hören.
Was natürlich massiv lächerlich ist, ist diese Seite. Wesentlich besser als mit nem Hash kann man es nicht absichern, aber man sollte dann auch nicht rumjammern, wenn jemand sich von dieser geringen Hürde herausgefordert fühlt.
@Roman: Selbst wenn es keine bekannten Adressen gegeben hätte, wäre es durchaus möglich sehr viele Adressen einfach zu raten. der Urbildraum ist nicht wirklich groß, da urls ja doch recht gleichmäßig aufgebaut sind und mit ein wenig Wörterbuchvodoo und der ein oder anderen Grafikkarte geht da ne Menge.
Sollte natürlich „Was natürlich massiv lächerlich ist, ist diese Anzeige“ heißen.
@rantanplan…. „Seite“ war eigentlich auch lustig ;o) Aber so bleibt Caschy natürlich entspannt in seiner Hundehütte ;p ^^
Habe mit BPJM Mitarbeitern kein Mitleid!