Auf Grund eines Gutachtens des Instituts für theoretische Information der ETH Zürich bestätigte das Obergericht am 3. Oktober 2002 aber das erste Urteil.

Und nebenbei fragt sich ja auch, wie die Leute denn die Funktionsweise von Viren et.al. studieren sollen, wenn sie nicht genau Zugang zu solchem Material haben? Summa Summarum ein Gerichtsurteil das die Forschung in übelster Weise behindert. Es wird wohl in der Schweiz nicht so schnell jemand einen Antivirus schreiben dürfen.
--
"The more prohibitions there are, The poorer the people will be" -- Lao Tse

Und nebenbei fragt sich ja auch, wie die Leute denn die Funktionsweise von Viren et.al. studieren sollen, wenn sie nicht genau Zugang zu solchem Material haben?

Interessant wird's wenn ein Gericht in einem Fall mit Schaden durch Viren einen externen Experten beizieht, um sich die Sache mit den Viren erklären zu lassen... gibt der Experte bereitwillig Auskunft, wandert er in den Knast. Wiederholt der Richter die Antworten, um zu prüfen, ob er alles richtig verstanden hat, kann er sich gleich hinten anschliessen.

Ich verstehe die Aufregung nicht. Denn, wie xilef schrieb:

[...] und bot die CD anschliessend im Internet zum Verkauf an.

Man beachte das Wort Verkauf. Würde sowas geduldet, dürften wir neben Socken- und Viagra-Spams auch bald noch Angebote für Virenbastel-CDs ausfiltern. Schlimm ist schon, dass jemand überhaupt versucht, mit solchen Anleitungen Geld zu machen. Soll so eine CD das nächste Weihnachtsgeschenk für den "Computer-begeisterten" Teenie werden?

Was im WWW, per FTP, IRC oder in den Binary-Groups zu finden ist, sollte schon ausreichen, falls sich jemand privat damit befassen will. So sehe ich keinen Grund, solches Wissen zu verkommerzialisieren. Hätte der Verurteilte sein Wissen (dessen Qualität ich nicht beurteilen kann) auf seiner Webseite zugänglich gemacht, sähe die Sache vielleicht wieder etwas anders aus.

Und wofür wäre solcher Stoff überhaupt? Wer eine Programmiersprache beherrscht, der kann vermutlich auch ohne Anleitung einen Virus oder Wurm schreiben. Jeder andere, der eine solche CD kauft, besitzt womöglich nur Halbwissen und sollte davon die Finger lassen.

Und wer daran denkt, Virenprogrammierung (zwecks Virenbekämpfung oder Einstellungs-Chancen bei einem Antivirus-Hersteller) z.B. an einer Uni/ETH als Lehrstoff einzuführen, der soll dies doch bitte unter kontrollierten Bedingungen tun, wofür es entsprechende Richtlinien braucht. Und sich zu diesem Zweck vorher mit anderen Instituten und mit Leuten, die sich damit auskennen, austauschen, z.B. mit den Antivirus-Herstellern oder anderen Sicherheitsexperten. Denn gerade letztere sehen es nicht gerne, wenn Virenbasteln zum Unterrichtsfach wird. Ob Unterrichtsfach oder nicht: Ein Verkauf solcher Anleitungen würde niemandem nützen.

Uff. Ich dachte schon, ich stehe hier auf verlorenem Posten.

Die ganze Sache ist halb so wild. Nach Gesetz macht man sich strafbar, wenn man Programme bzw. Programmieranleitungen herstellt oder in Umlauf bringt, bei denen davon auszugehen ist, dass sie zum unberechtigten manipulieren oder zerstören von Daten verwendet werden.

Zu deutsch: Das Verteilen von "normalen" Programmen (rm und co.) ist nicht strafbar. Auch das Verteilen von Viren an vertrauenswürdige Personen geht noch durch. Nicht erlaubt ist das Verteilen von Viren oder Bauanleitungen an beliebige Personen. Ausserdem handelt es sich um eine Strafnorm. Das heisst, die Tat muss vorsätzlich oder zumindest fahrlässig geschehen sein.^[1]

Es gibt zwar bis dato keine Präjudiz zu einem solchen Fall, aber vermutlich sind Security-Listen aus dem Schneider, sofern sie die Fehlerbeschreibung öffentlich machen, die Exploits aber nur an registrierte Kunden weitergeben. Das ist zwar nicht ideal, aber ich kann damit leben. Ob das ganze Sinn macht, ist natürlich eine andere Fragen, denn ein Bremsklotz ist die Regelung höchstens für Script-Kiddies.

Ach ja: IANAL

[1] Prinzipiell macht sich ein Unternehmen der grobfahrlässigen Datenbeschädigung strafbar, wenn es keinen Virenschutz hat, ein Computer deshalb infiziert wird, und das Virus sich in der Folge von den Firmencomputern aus weiterverteilt.

--
If it's GNU/Linux, it's GNU/BSD, too ;-)

Ausserdem handelt es sich um eine Strafnorm. Das heisst, die Tat muss vorsätzlich oder zumindest fahrlässig geschehen sein.

Gemäss dem Urteil spielt es keine Rolle, ob irgendjemand die Informaiton über Viren tatsächlich zu illegalen Zwecken benützt. Es genügt, wenn der Täter billigend in Kauf nimmt, dass jemand die in Umlauf gebrachte Information dazu verwenden könnte (Eventualvorsatz). Das Bundesgericht schreibt nämlich in seinem Urteil:

Irrelevant ist, ob die Abgabe von Herstellungsanleitungen entgeltlich oder unentgeltlich erfolgte. Es ist auch nicht erforderlich, dass von diesen Anweisungen effektiv Gebrauch gemacht wird (Niklaus Schmid, Computer- sowie Check- und Kreditkartenkriminalität, Zürich 1994, § 6 N. 62).

Und ob damit Security-Listen aus dem Schneider sind, wage ich zu bezweifeln. Und zur Strafnorm: Die fahrlässige Begehung ist nur dann strafbar, wenn dies explizit im Gesetz erwähnt ist (z.B. bei Tötung und Körperverletzung). Da es sich in diesem Fall nach Ansicht des Gerichts um Eventualvorsatz (d.h. billigend in Kauf nehmen, dass die CD als Anleitung zur Herstellung von Viren dienen könnte), kann der Täter dennoch bestraft werden, da er ja nicht fahrlässig, sondern nach Ansicht des Gerichts vorsätzlich handelt.

Nun, im Unterricht für Sicherheitskunde erhielten wir vor zwei Jahren CDs ausgeteilt, die unter anderem Viren enthielten. Mehr als einen klaren Hinweis, dass ein weiteres Verbreiten des Viruses strafbar ist, und das wir ab sofort für diese Kopien verantwortlich seien, gab es nicht.

Dies wohlgemerkt mit Einverständnis des Schulanwalts. Auch hier gibt es bislang keine Präjudiz. Aber anscheined wird die Frage, ob man davon ausgehen müsse, das die empfangende Person den Virus zur Datenbeschädigung nutzten wird, eher zu Gunsten des Angeklagten ausgelegt.

--
If it's GNU/Linux, it's GNU/BSD, too ;-)

Ich bin Sicherheitsexperte, und ich bin der letzte der ein Problem damit hat dass Leute lernen wie sowas geht. Nein mein lieber, nur weil wir nicht wissen wie man eine Waffe herstellt oder bedient heisst das nicht dass wir dagegen immun sind, oder dass weniger davon hergestellt werden. Aber wir können uns nicht mehr dagegen schützen.

Und zuletzt, wie sollen denn Sicherheitsexperten überhaupt entstehen, wenn das Know-How darüber illegal ist?
--
"The more prohibitions there are, The poorer the people will be" -- Lao Tse

Uff. Es ist leichter einen Shell-Skript-Virus zusammenzustoppeln, als das Shell-Skript dann mit slash zu veröffentlichen. q.e.d.

Reife Leistung. Darf ich dich für den Darwin-Award vorschlagen?

Jetzt mal Ernsthaft: Kein Jurist und kein Politiker wird je ein Gesetz abschaffen, weil es leicht zu brechen ist. Wenn du den entsprechenden Paragraphen löschen oder ändern willst, musst du mit Substanz kommen. Zum Beispiel, indem du einen legitimen Nutzen für das Verteilen von Anleitungen zum Virenschreiben aufzeigst.

--
If it's GNU/Linux, it's GNU/BSD, too ;-)

Darum geht es nicht. Es geht darum dass hier nicht die Leistung asozialen und schädigenden verhaltens verboten wird, sondern der Vertrieb von Werkzeugen und Informationen die dazu benutzt werden könnten.

Und das ist ein eklatanter Bruch demokratischen Rechtsverständnisses, wonach nicht das Wissen wie man etwas tut oder der Besitz von Werkzeugen dazu strafbar ist, sondern die Tat selber.

Und so eine Schweinerei von verfassungswidrigem, forschungsfeindlichem Gesetz gehört sofort RAUS.
--
"The more prohibitions there are, The poorer the people will be" -- Lao Tse

Hier kommt nun die Rechnung. Statt auf dem Bundesgericht herumzureiten müsst ihr lieber die National- und Ständeräte schlagen die das verursacht haben.
--
"The more prohibitions there are, The poorer the people will be" -- Lao Tse

Sorry, aber da liegst du falsch. Es gibt haufenweise Gesetze, die Herstellung, Vertrieb oder Nutzung von missbrauchbaren Werkzeugen verbieten oder einschränken. Denk doch zum Beispiel mal an die Waffengesetze oder das Strassenverkehrsgesetz.

Ganz abgesehen davon: Ein Gesetz exemplarisch zu brechen wird wohl von den meisten als schiere Trotzreaktion gesehen. Der Diskussion um das Thema ist das nicht förderlich.

--
If it's GNU/Linux, it's GNU/BSD, too ;-)

Wenn du den entsprechenden Paragraphen löschen oder ändern willst, musst du mit Substanz kommen.

Ich bin Österreicher. Zum einen gehört der Betreff daher um das wörtchen "internationaler" ergänzt.

Zum anderen hätte ich nie gedacht, dass ausgereichnet in der Schweiz die Veröffentlichung von http://virus.enemy.org/virus-writing-HOWTO/_html/ zum Problem werden würde.

Shame on you!

Das war jetzt nicht gerade die feine, österreichische Art. Zwar wird über viele Gesetze in der Schweiz an der Urne abgestimmt, aber das heisst noch lange nicht, das alle Schweizer hinter jedem Gesetz stehen. Und pauschale Beleidigungen sind ohnehin etwas, auf dass ich und viele andere hier ziemlich allergisch reagieren.

Desweiteren stelle ich fest, dass du bis dato noch kein einziges Argument gegen das Gesetz, dass du anscheinend so sehr hasst, vorgebracht hast. Ich mag das Gesetz so auch nicht. Meiner Meinung nach ist es ziemlich behindernd bei minimaler Wirkung. Aber es käme mir nie in den Sinn, das Gesetz als schlecht zu bezeichnen, ohne die geringste Erklärung abzuliefern, warum es schlecht ist. So gewinnt man vielleicht einen Wahlkamf, aber keine Diskussion.

--
If it's GNU/Linux, it's GNU/BSD, too ;-)

Das war jetzt nicht gerade die feine, österreichische Art.

Gibt es so etwas überhaupt? Hitler, Waldheim, Haider, anyone?

[...] Und pauschale Beleidigungen sind ohnehin etwas, auf dass ich und viele andere hier ziemlich allergisch reagieren.

Hey, es war nur Slashdot-, äh, Symlink-Trollerei.

Desweiteren stelle ich fest, dass du bis dato noch kein einziges Argument gegen das Gesetz, dass du anscheinend so sehr hasst, vorgebracht hast.

Ich halte das Argument "Es funktioniert nicht" für sehr, sehr stichhaltig. Bei diesen Informationsverbotsgesetzen steckt die implizite Annahme dahinter, dass die Materie unglaublich, komplex und forschungsintensiv sei. Das ist sie nicht. Wie in der gesamten Computerei sind die Prinzipien sehr einfach. Die vielen Details sind sehr arbeitsintensiv, aber die vielen möglichen Lösungen ergeben sich zwangsläufig beim Versuch der Implementierung. Ein paar Stichworte zu einem ausreichend motivierten Teenager reichen aus.

Mein gepostetes Shell-Skript eignet sich in dieser Form nur zur Infektion von anderen Shellskripts. Aber wenn man dazu sagt, dass cat auch mit Binärdateien arbeitet, kommt man schnell drauf, dass man den Shell-Virus jeder beliebigen ausführbaren Datei voranstellen kann. Das einzige Problem ist dann, wie man anschließend das hinten angehängte Wirtsprogramm ausführt. Weiterführende Stichworte sind dd, mktemp und exec.

Dieses Konzept ist unter dem Namen "File-Virus" bekannt. Es funktioniert mit praktische jeder Programmsprache und setzt keine Kenntniss des Dateiformats des Wirtsprogramms vorraus. Allerdings erfordert es das Anlegen und anschließende Ausführen einer temporären Datei. Und ist sehr leicht durch Heuristiken erkennbar. Und, und, und. Aber wenn man so etwas einmal gemacht hat, folgen die Verbesserungen fast automatisch.

Zusammenfassung: Um Malware zu schreiben braucht man ein System zum ausprobieren, Entwicklungswerkzeuge, Dokumentation beider Dinge und viel, viel Zeit. Um Makro-Viren zu schreiben braucht man z.B. nur MS-Word.

Um bei diesem Hintergrund mit dem Verbieten von Information weiterzukommen, muss man sehr, sehr, sehr weit gehen. Die Microsoftsche Softwarewelt wird erst in einem totalitären Polizeistaat halbwegs sicher.

Mein Project zeigt, dass es auch anders geht. Ich habe die öffentlich verfügbaren (sprich: ergooglebaren) Dinge in einer verhältnismäßig leicht lesbaren Form mit "Coolness" aufgepeppt und bin damit an LDP herangetreten. Die heftige Diskussion mündete dann in einem Beitrag auf kuro5hin (Für slashdot bin ich aber zu schwach. Selbst als geek-without-a-life bin ich immer noch ein Versager. Seufz). Das ganze ist jetzt seit 1.5 Jahren online. Gab es irgendwelche Auswirkungen? Z.B. eine Virenschwemme für Linux? Nein?

Es gibt an dieser Stelle zwei Richtungen. Folgt man dem Konzept von Full-Disclosure landet man zwangsläufig bei Open Source und schließlich bei Freier Software. Der andere Weg endet im Faschismus.

Gut, jetzt können wir sachlicher werden. ;-)

Allerdings schätzt du die Absicht des Gesetzgebers falsch ein. So seltsam das auch klingen mag: Absicht des Gesetzes ist es nicht, Erläuterungen über die Funktionsweise von Viren zu verbieten. Warum steht dann im Gesetzestext neben "Programmen" auch etwas von "Anleitungen"? Ganz einfach: Ohne diesen Zusatz wären die sogenannten Virenbaukästen, mit denen sich jeder Script-Kiddie innert Sekunden einen Virus zusammenbasteln kann, nicht betroffen gewesen.

Der Sinn der ganzen Übung ist genau der jetzt eingetretene: Es soll verhindert werden, dass maliziöse Programme aller Art frei gehandelt werden. Gleichzeitig wollte man allfälligen Distributoren solcher Software zu Sicherheitszwecken eine gewisse Kontrolle aufbürden, an wen sie die Programme eigentlich abgeben. Nur, ob das ganze etwas nützt, ist, wie schon gesagt, eine andere Frage.

--
If it's GNU/Linux, it's GNU/BSD, too ;-)

Absicht des Gesetzes ist es nicht, Erläuterungen über die Funktionsweise von Viren zu verbieten. Warum steht dann im Gesetzestext neben "Programmen" auch etwas von "Anleitungen"? Ganz einfach: Ohne diesen Zusatz wären die sogenannten Virenbaukästen, mit denen sich jeder Script-Kiddie innert Sekunden einen Virus zusammenbasteln kann, nicht betroffen gewesen.

Virus, Wurm und Trojaner sind ursprünglich technische Begriffe. Sie beschreiben Konstruktionsprinzipien bösartiger Software. Journalisten betrachten die Wörter als Synonyme, aber dadurch gewinnt die Berichterstattung nicht unbedingt Sinn.

Die große Zeiten der Viren war Anfang der 90er. Damals waren Bootsektorviren eine echte Plage. Nach dem "Endsieg" von MS-Office gab es dann noch eine Blütezeit der Makro-Viren, d.h. VBA-Code der sich vor allem durch Word-Dateien verbreitete.

Klassische Bootsektor- und .EXE-Viren sind inzwischen bedeutungslos. Software wird entweder auf (schreibgeschützten) CDs transportiert oder von (schreibgeschützten) Netzwerkzugängen gesaugt. Es gibt zwar Überlegungen, wie ISO-Images infiziert werden könnten, aber das Zeitfenster bei solchen Aktionen ist einfach zu kurz, um eine sichere Verbreitung zu gewährleisten.

Makro-Viren hätten an sich eine große Zukunft, da MS einfach und alles jedes mit ActiveIrgendetwas und One-Click-To-Raise-Hell ausgestattet hat (RTF war z.B. lange Zeit ein Geheimtipp, um Word-Dokumente von allem mitgereisten Code zu befreien, bis MS auch diese Lücke zu einer Autobahn in die Hölle ausbaute).

Aber auch Makro-Viren sind in der Beliebheit stark gefallen. Einerseits ist das ganze viel zu einfach. Eine interpretierte Sprache, jedes Exemplar schleppt also den Quellcode herum, jeder kann das Zeug lesen, modifizieren, weiterreichen.

Andererseits bieten klassische Würmer und halbautomatische E-Mail-Würmer viel bessere Möglichkeiten, im Internet zu randalieren. Außerdem haben signaturbasierte Virenscanner gegen nicht-persistente Würmer wie den MS-SQL-Wurm (Anfang 2003) überhaupt keine Handhabe (das hindert die Antiviren-Branche zwar nicht daran, gerade solche Fälle als Verkaufsargument anzuführen).

Zusammenfassung: Allgemeine Ahnungslosigkeit und Medieninkompetenz ist so umfassend, daß praktisch nur noch Scheiße gedacht, gesprochen und in Gesetze gegossen wird.

Es soll verhindert werden, dass maliziöse Programme aller Art frei gehandelt werden. Gleichzeitig wollte man allfälligen Distributoren solcher Software zu Sicherheitszwecken eine gewisse Kontrolle aufbürden, an wen sie die Programme eigentlich abgeben. Nur, ob das ganze etwas nützt, ist, wie schon gesagt, eine andere Frage.

Zeig mir, vor wem du dich fürchtest, und ich sage dir, wer du bist.

Ich sage, dass randalierende Halbwüchsige nicht das Problem sind. Oder zumindest sollten sie es nicht sein. Wenn ein System gegen Skript Kiddies keine Sicherheit bietet, dann bietet es überhaupt keine Sicherheit. Skript-Kiddies sind nämlich der dümmst-mögliche Angreifer: Wenn sie eine Lücke in der Verteidung entdecken, dann machen sie bei der Erstürmung so viel Lärm, dass es auffällt.

Die wahre Gefahr droht von Leuten, die still und leise eindringen, keine Spuren hinterlassen, und ganz subtil Daten verändern, anstatt mit <h1><blink><font color="red"> auf die Website Graffiti zu malen.

Einer der absurdesten Aspekte der Diskussion ist die Tatsäche, dass der Volksmund (inkorrekter) Weise alles und jedes als Virus bezeichnet, aber die Analogie mit der Biologie nicht zu Ende denkt: Impfstoffe. Imunsystem. Genetische Vielfalt. Monokultur.

Was ist da das Problem damit? Ich kann mittels google innert ein paar Stunden tausende davon auftreiben, ja ich brauch sogar nur zu warten bis der neueste Scriptvirus in meiner Mailbox auftaucht. Wenn ich also vorhabe einen Virus loszulassen, dann habe ich keine Problem zu entsprechenden Informationen zu kommen.

Auf der anderen Seite verhindert das Gesetz aber genau die legale Beschäftigung mit Viren, zum Zweck die Sicherheit zu verbessern, anstehende Probleme zu lösen (z.b. durch disassemblieren eines Wurms und Weitergabe an andere Betroffene) und Antiviren zu entwickeln.
--
"The more prohibitions there are, The poorer the people will be" -- Lao Tse