“Allein der Besitz des Port-Scans wäre schon nach § 202c StGB als abs­trak­tes Gefähr­dungs­de­likt straf­bar. Das Bun­des­ver­fas­sungs­ge­richt nimmt hier aber eine Ein­schrän­kung vor: Der Sinn und Zweck des Geset­zes muss stär­ker berück­sich­tigt wer­den.” – Nils Stark

1. Was ist ein Port-Scan?

Was ist denn zunächst über­haupt mit „Port“ gemeint? Ver­ein­facht gesagt sind Ports bestimm­te Türen, mit­tels wel­cher Daten­pa­ke­te unter Mit­hil­fe von Netz­werk­pro­to­kol­len das Sys­tem ver­las­sen und für eine ent­spre­chen­de Türe auf einem ande­ren Sys­tem bestimmt sind. Die Netz­werk­pro­to­kol­le (bspw. TCP) iden­ti­fi­zie­ren dabei die benö­tig­ten Ports, um die Daten­pa­ke­te an das Ziel­sys­tem zu über­tra­gen. Einer bestimm­ten Anwen­dung, die auf Daten­pa­ke­te war­tet, ist dabei ein bestimm­ter offe­ner Port zuge­wie­sen. Es kön­nen bis zu 65.535 ver­füg­ba­re Ports je Sys­tem gewählt werden.

Der Port-Scan unter­sucht dabei, ob ein bestimm­ter Port offen oder geschlos­sen ist. Soll­te eine Anwen­dung auf Daten­pa­ke­te war­ten, so ist deren Port offen. Mit der Nut­zung eines Port-Scans kann daher deter­mi­niert wer­den, ob eine bestimm­te Anwen­dung gera­de läuft oder ggf. wel­che offe­ne Ports sich beson­ders eig­nen, in das Netz­werk einzudringen.

Ein Port-Scan nutzt dabei z.B. beson­de­re Kom­mu­ni­ka­ti­ons­wei­sen mit­tels 3‑Wege-Handshake (bei TCP-SYN-Scan) aus, um das Ant­wort­ver­hal­ten des Ziel­sys­tems zu unter­su­chen. Die fol­gen­den Schau­bil­der sol­len das Prin­zip verdeutlichen.

a) SYN/SYN-ACK/ACK Kommunikation

b) Port-Scan Funk­ti­ons­wei­se mit­tels TCP-SYN-Scan

Ver­bin­dung wird sofort been­det, das Ant­wort­ver­hal­ten wird analysiert.
Der Port ist geschlos­sen, wenn der Ser­ver bzw. die Anwen­dung kein ACK-Paket schickt.

2. Straf­bar­keit gem. § 202a StGB – Aus­spä­hen von Daten

Aber ist die Nut­zung eines Port-Scans auch straf­bar? § 202a StGB lautet:

„Wer unbe­fugt sich oder einem ande­ren Zugang zu Daten, die nicht für ihn bestimmt und die gegen unbe­rech­tig­ten Zugang beson­ders gesi­chert sind, unter Über­win­dung der Zugangs­si­che­rung ver­schafft, wird mit Frei­heits­stra­fe bis zu drei Jah­ren oder mit Geld­stra­fe bestraft.“

a) „gegen unbe­rech­tig­ten Zugang beson­ders gesichert“

Ein Pro­blem besteht hin­sicht­lich des Merk­mals „gegen unbe­rech­tig­ten Zugang beson­ders gesi­chert“. Klar ist, dass die Nut­zung eines Port-Scans bei eige­nen Sys­te­men nicht straf­bar sein kann, da von einer Berech­ti­gung des Zugangs aus­ge­gan­gen wer­den kann. Aber auch hin­sicht­lich frem­der Sys­te­me ist eine Straf­bar­keit nach § 202a StGB zunächst nicht gege­ben. Ports sind zunächst frei abruf­bar. Bei einem Port-Scan wird nur nach­ge­se­hen, ob ein Port offen oder geschlos­sen ist.

Einen Port-Scan zu nut­zen wäre daher nichts wei­ter als durch eine belie­bi­ge Stra­ße zu lau­fen und nach­zu­se­hen, wel­che der Haus­tü­ren geschlos­sen oder geöff­net sind. Selbst bei einer Port­fil­te­rung, sprich „Blo­cking“ von Daten­pa­ke­ten durch eine Fire­wall, wird kei­ne Siche­rung über­wun­den. Es wird ledig­lich eine regu­lä­re Kom­mu­ni­ka­ti­ons­funk­ti­on genutzt und das Ant­wort­ver­hal­ten beobachtet.

b) „Zugang zu Daten […] unter Über­win­dung der Zugangs­si­che­rung verschafft“

Offe­ne Ports kön­nen Rück­schlüs­se dar­auf lie­fern, wel­che Anwen­dun­gen auf dem Ziel­sys­tem aktiv sind, was „Daten“ im Sin­ne des § 202a StGB dar­stel­len könn­te. Aller­dings ist auch die­ses Tat­be­stands­merk­mal nicht erfüllt. Es wird über­haupt kei­ne Zugangs­si­che­rung über­wun­den, denn nach Wil­len des Gesetz­ge­bers soll die Über­win­dung einen erheb­li­chen tech­ni­schen und zeit­li­chen Auf­wand erfor­dern. Um die Stra­ßen­ana­lo­gie erneut zu bemü­hen: Die „Über­win­dung der Zugangs­si­che­rung“ wäre in die­sem Fall das Auf­bre­chen einer Haus­tü­re, um nach­zu­se­hen was sich hin­ter der Türe befindet.

3. Straf­bar­keit gem. § 202c I Nr. 2 StGB – Vor­be­rei­ten des Aus­spä­hens und Abfan­gens von Daten

Schon allein der Besitz eines Port-Scans könn­te gem. § 202 c I Nr. 2 StGB eine Straf­bar­keit begrün­den. § 202c I StGB lautet:

„(1) Wer eine Straf­tat nach § 202a oder § 202b vor­be­rei­tet, indem er 

 

1. Pass­wör­ter oder sons­ti­ge Siche­rungs­codes, die den Zugang zu Daten (§ 202a Abs. 2) ermög­li­chen, oder
2. Com­pu­ter­pro­gram­me, deren Zweck die Bege­hung einer sol­chen Tat ist,

 

her­stellt, sich oder einem ande­ren ver­schafft, ver­kauft, einem ande­ren über­lässt, ver­brei­tet oder sonst zugäng­lich macht, wird mit Frei­heits­stra­fe bis zu zwei Jah­ren oder mit Geld­stra­fe bestraft.“

Port-Scans kön­nen für dia­me­tra­le Zwe­cke ein­ge­setzt wer­den: Um Sicher­heits­lü­cken zu fin­den, um sie zu schlie­ßen oder um sie aus­zu­nut­zen. Das Pro­blem ist die „dual-use“-Eigenschaft eines Port-Scans. Allein der Besitz des Port-Scans wäre schon nach § 202c StGB als abs­trak­tes Gefähr­dungs­de­likt straf­bar. Das Bun­des­ver­fas­sungs­ge­richt (BVerfG, Beschluss vom 18.05.2009 – 2 BvR 2233/07, Rn. 60) nimmt hier aber eine Ein­schrän­kung vor: Der Sinn und Zweck des Geset­zes muss stär­ker berück­sich­tigt werden.

Das bedeu­tet, dass bei Anwen­dun­gen, die auf eine miss­bräuch­li­che Wei­se ver­wen­det wer­den kön­nen, die blo­ße Eig­nung zur miss­bräuch­li­chen Ver­wen­dung kei­ne Straf­bar­keit begrün­det. Die Mani­fes­ta­ti­on des miss­bräuch­li­chen Ver­wen­dungs­zwecks muss sich daher aus der Anwen­dung selbst erge­ben. Im Ergeb­nis hängt es davon ab, mit wel­cher Inten­ti­on ein Port-Scan pro­gram­miert wur­de. Die­ses Ergeb­nis schafft lei­der kei­ne recht­li­che Klar­heit. Aller­dings kann davon aus­ge­gan­gen wer­den, dass der Besitz von Port-Scans wie Nmap als „dual-use“-Anwendung nicht straf­bar ist, denn nach der Inten­ti­on und Funk­ti­ons­wei­se eines Port-Scans kann die­ser auch zur Bekämp­fung von Sicher­heits­lü­cken ver­wen­det werden.

4. Straf­bar­keit gem. 303b I Nr. 2 StGB – Computersabotage

Die Nut­zung eines Port-Scans zur Durch­füh­rung einer „SYN-Flood Atta­cke“ im Rah­men eines „Deni­al of Service“-Angriffs ist gem. § 303b I Nr. 2 StGB straf­bar. Aber was ver­birgt sich hin­ter einer „SYN-Flood-Attacke“ und wie kann der Port-Scan dazu genutzt wer­den? Die Ant­wort liegt in der beson­de­ren Kom­mu­ni­ka­ti­on des 3‑Wege-Handshakes mit­tels TCP:

Ver­bin­dung wird been­det. Der Port-Scan schickt eine Viel­zahl von SYN-Paketen, aber schickt gleich­zei­tig die ACK-Pakete nicht zurück. Die Viel­zahl an jetzt halb­of­fe­nen Ver­bin­dun­gen kann zum Ver­lust der Netz­werk­ver­bin­dung führen.

Aller­dings stellt sich die Fra­ge war­um ein sol­cher Ein­satz straf­bar sein soll­te, wenn doch nichts wei­ter getan wird, als das Ant­wort­ver­hal­ten von Ports zu beob­ach­ten. Hier­zu lau­tet § 303b I Nr. 2 StGB wie folgt:

(1) Wer eine Daten­ver­ar­bei­tung, die für einen ande­ren von wesent­li­cher Bedeu­tung ist, dadurch erheb­lich stört, dass er 

1. eine Tat nach § 303a Abs. 1 begeht,
2. Daten (§ 202a Abs. 2) in der Absicht, einem ande­ren Nach­teil zuzu­fü­gen, ein­gibt oder über­mit­telt oder […]

wird mit Frei­heits­stra­fe bis zu drei Jah­ren oder mit Geld­stra­fe bestraft.

Die Kern­pro­ble­ma­tik ist daher, ob das Ant­wort­ver­hal­ten eines Sys­tems auf den ver­such­ten Kom­mu­ni­ka­ti­ons­auf­bau eine „Daten­ver­ar­bei­tung […] von wesent­li­cher Bedeu­tung“ ist. Als Daten­ver­ar­bei­tung wird im Sin­ne des § 303b StGB die Gesamt­heit aller Daten­ver­ar­bei­tungs­vor­gän­ge, also auch TCP-Handshakes, ange­se­hen. Von wesent­li­cher Bedeu­tung sind sol­che Vor­gän­ge, die für die vor­ge­se­he­ne Funk­ti­ons­fä­hig­keit eines Sys­tems zwin­gend not­wen­dig sind, also auch der Ver­bin­dungs­auf­bau zu einem ande­ren Sys­tem mit­tels 3‑Wege-Handshake. Eine SYN-Flood-Attacke führt dazu, dass die Funk­ti­ons­fä­hig­keit eines Sys­tems der­art beein­träch­tigt wird, dass ein Ver­bin­dungs­auf­bau zu einem ande­ren Sys­tem ver­hin­dert wird. Der Gesetz­ge­ber hat in der Geset­zes­be­grün­dung zu § 303b StGB aus­drück­lich den (Dis­tri­bu­ted) Deni­al of Service-Angriff als Bei­spiel einer Com­pu­ter­sa­bo­ta­ge nach § 303b I Nr. 2 StGB herangenommen.

5. Fazit 

Port-Scans sind und blei­ben nütz­li­che Anwen­dun­gen zur Iden­ti­fi­zie­rung von Sicher­heits­lü­cken, kön­nen aber auch miss­bräuch­lich ver­wen­det wer­den. Eine Straf­bar­keit ist jedoch in den aller­meis­ten Anwen­dun­gen nicht gege­ben. Jeden­falls dann nicht wenn der Port-Scan aus­schließ­lich sei­nen sys­tem­schüt­zen­den Zweck erfüllt. Auf der ande­ren Sei­te kön­nen Port-Scans auch zu straf­ba­ren SYN-Flood-Attacken ver­wen­det wer­den. Die Nut­zer von Port-Scans soll­ten sich vor der Nut­zung bei frem­den Sys­te­men die Ein­wil­li­gung des Berech­tig­ten einholen.