Sechs Methoden, sich unbeliebt zu machen

von Peter Marksteiner (Ausgabe 00/1, März 2000)

 

Die Internet-Services der Universität Wien werden von ungefähr 50000 Personen genutzt. Die überwiegende Mehrheit der Benutzer verhält sich korrekt; daß aber unter einer so großen Menge auch ein paar schwarze Schafe zu finden sind, ist wohl nicht verwunderlich. Es gab bereits etliche Fälle von mehr oder minder schwerem Netz-Mißbrauch, die uns gelegentlich sogar den Besuch der Kriminalpolizei sowie die Beschlagnahme von Logfiles auf Anweisung des Untersuchungsrichters bescherten.

Was ist nun korrektes Verhalten, und was ist Mißbrauch? Dokumente, die versuchen, das zu definieren, pflegen durch den raschen technischen Fortschritt und den schnellen Wandel im Internet bald zu veralten: Dazu gehört etwa die EDV-Ordnung aus dem Jahre 1989 (damals gab es noch kein Internet in Österreich!) oder die Unet-Benutzungsordnung aus dem Jahre 1996. In diesem Artikel wird der aktuelle Stand beschrieben: Wozu stellt der Zentrale Informatikdienst die Internet-Services zu Verfügung, wie dürfen diese Services verwendet werden und wie nicht?

Schuld und Sühne

Bevor auf die verschiedenen Arten des Netz-Mißbrauchs näher eingegangen wird, möchte ich kurz beschreiben, mit welchen Sanktionen Übeltäter zu rechnen haben.

Die erste Maßnahme ist üblicherweise eine eMail-Nachricht mit der Aufforderung, die unerwünschten Aktivitäten einzustellen oder z.B. eine Webseite mit kommerziellen Inhalten zu entfernen. In den meisten Fällen lautet die Antwort "Entschuldigung, ich werde es nicht wieder tun" - und damit ist die Angelegenheit aus der Welt geschafft.

Geht der Mißbrauch trotzdem weiter, folgt meistens noch eine zweite Warnung; wird auch diese ignoriert, ist der nächste Schritt eine Sperre der UserID: Das Paßwort wird auf ein Zufalls-Paßwort geändert, das der Eigentümer der UserID nicht kennt. Dadurch kann er die UserID nicht mehr verwenden, es bleiben aber alle Daten erhalten. eMail an diese UserID wird vom Server zwar entgegengenommen, kann aber während der Dauer der Sperre nicht gelesen werden.

Um die Sperre zu beenden, ist in jedem Fall ein persönliches Erscheinen im Service- und Beratungszentrum des ZID erforderlich. Meistens kann die Sperre nach einem klärenden Gespräch wieder aufgehoben werden; unterbleibt eine angemessene Reaktion, so bleibt die Sperre auf unbeschränkte Zeit aufrecht. Vor etwa einem Jahr wurde beispielsweise eine UserID wegen eines krassen Falles von Spamming (siehe Methode 3) gesperrt. Der Eigentümer rief an und fragte entrüstet, was mit seiner UserID los sei. Auf die Aufforderung, sein Spamming zu rechtfertigen, wurde er bedeutend kleinlauter und ließ nie wieder etwas von sich hören. Die UserID ist heute noch gesperrt.

Manchmal muß eine Sperre auch ohne Vorwarnung erfolgen: Bei besonders schweren Fällen von Mißbrauch und vor allem dann, wenn der Verdacht vorliegt, daß sich ein Unbefugter die UserID angeeignet hat (durch "Hacken" des Paßworts, siehe Methode 6). In einem solchen Fall wäre es sinnlos, eine eMail-Nachricht zu schicken: Wenn diese dann der Hacker liest, ist er gewarnt, verwischt seine Spuren und sucht sich ein neues Betätigungsfeld. Selbst wenn sich der Verdacht als unbegründet herausstellen sollte, geschieht dem Eigentümer durch die Sperre wohl kaum ein Unrecht: Entweder hat er selbst seine UserID mißbraucht, oder er hat sein Paßwort weitergegeben (siehe Methode 4).

Die sechs beliebtesten Methoden, sich unbeliebt zu machen

Methode 1: Nicht widmungsgemäße Verwendung

Die Internet-Services werden vom Zentralen Informatikdienst zu folgenden Zwecken zur Verfügung gestellt:

  • als Hilfsmittel und Werkzeug bei der beruflichen Tätigkeit, bei Lehre, Forschung und Studium;
  • zum Sammeln von Erfahrungen im Umgang mit dem Internet, Neuen Technologien und Neuen Medien.

Daß die Internet-Services trotz dieser hehren Ziele in großem Stil auch für private Zwecke, Spiele und sonstige Vergnügungen genutzt werden, ist wohl ein offenes Geheimnis. Wie weit ist nun aber eine Verwendung über die beiden genannten Punkte hinaus gestattet oder zumindest toleriert?

Was Sie im Internet konsumieren, ist uns weitgehend egal. Welche Webseiten Sie besuchen oder welche Newsgruppen Sie lesen, interessiert uns sehr wenig, und wir setzen keinerlei Maßnahmen, das zu überwachen. In einigen Fällen sind wir allerdings verpflichtet, den Zugang einzuschränken - vor allem bei strafrechtlich relevanten Inhalten (siehe Artikel Illegale Inhalte im Internet in Comment 97/3). Wenn Sie in Ihrer Arbeitszeit zu Ihrem eigenen Vergnügen im Internet surfen anstatt Ihren Dienstpflichten nachzukommen, müssen Sie sich deswegen bei Ihren Vorgesetzten verantworten und nicht beim Zentralen Informatikdienst. Auch der Inhalt Ihrer Electronic Mail geht uns nichts an, dieser unterliegt dem Briefgeheimnis. In vernünftigem Ausmaß dürfen Unet- und Mailbox-UserIDs ohne weiteres auch für private Korrespondenz verwendet werden - die dadurch entstehenden realen Kosten sind marginal.

Obwohl bisher kaum auffällige Maßnahmen ergriffen wurden, um die widmungsgemäße Verwendung der Internet-Services durchzusetzen, sollte nicht der Eindruck entstehen, daß die Uni Wien ein Gratis-Provider für alles und jedes ist. Immerhin gibt die Universität jährlich einen zweistelligen Millionenbetrag für die Internet-Anbindung und die dazugehörige Infrastruktur aus. Je größer der Anteil ist, der für wissenschaftliche Zwecke verwendet wird, und je weniger MP3-Dateien mit den neuesten Hits übertragen werden, desto leichter kann man wohl die Steuerzahler davon überzeugen, daß dieses Geld sehr gut angelegt ist. Generell gilt, daß eine private Nutzung der Internet-Services nur toleriert wird, solange dadurch keine Ressourcen-Engpässe (siehe Methode 2) und keine erheblichen Kosten entstehen.

Nicht erlaubt ist hingegen eine kommerzielle Nutzung. Das betrifft vor allem die Webserver (siehe auch Methode 5), die wirklich nur für persönliche Homepages und nicht für Vereine oder Unternehmen vorgesehen sind. Die Universität Wien ist Kunde von ACOnet, und die Geschäftsbedingungen von ACOnet untersagen den teilnehmenden Institutionen Netzdienste für fremde Einrichtungen. Davon ausgenommen ist Sponsoring: Wenn ein Sponsor Ihre Projekte unterstützt, so kann auf der Homepage ein Banner mit einem Link zur Seite des Sponsors eingerichtet werden. In vernünftigem Ausmaß sind auch private Geschäfte gestattet - Sie können z.B. Ihr Auto oder Ihre Wohnung über den Universitäts-Newsserver zum Verkauf anbieten oder auf Ihrer Homepage für ein Buch werben, das Sie geschrieben haben. Wenn Sie aber Ihren Verein oder Ihre Firma im WWW präsentieren oder gerne den ganzen Tag Doom oder MUD spielen möchten: Es gibt genug Internet-Provider, die sich freuen, Sie als Kunden zu gewinnen. Als solcher haben Sie dann vor allem auch hochoffiziell Anspruch auf Support (es versteht sich von selbst, daß bei nicht widmungsgemäßen Anwendungen, die vielleicht gerade noch toleriert werden, vom Zentralen Informatikdienst keinerlei Unterstützung geboten wird).

Deutlich weniger Platz für Privatvergnügen ist in den öffentlichen PC-Räumen des ZID: Die PC-Räume sind Arbeitsplätze und keine studentischen Internet-Cafés. Wer dort an einer Diplomarbeit schreiben will, soll nicht stundenlang auf einen freien Platz warten müssen, während die Hälfte der PCs für Spiele und privates Surfen verwendet wird.

Aus diesem Grund sind in den PC-Räumen IRC (Internet Relay Chat) und ICQ (ein beliebtes Messaging-System von America Online) nicht gestattet - es gibt generell keinerlei Unterstützung für IRC und ICQ. Grundsätzlich ist gegen diese Dienste zwar nichts einzuwenden; Chat-Rooms oder IRC-Channels, in denen das Niveau der Beiträge über infantile Spielereien hinausgeht, zählen jedoch zu den ganz seltenen Ausnahmen. Wenn Sie zu Hause am Internet-Chat teilnehmen wollen, können Sie das gerne tun; keinesfalls gestattet sind aber sogenannte IRC-Bots: Wer beispielsweise am Unet-Rechner einen IRC-Bot wie Eggdrop laufen läßt, wird aufgefordert, das unverzüglich abzustellen, und muß im Wiederholungsfall mit einer Sperre seiner UserID rechnen.

Methode 2: Übermäßiger Ressourcenverbrauch

In den letzten Jahren nahm die Nutzung der Internet-Dienste an der Uni Wien so rapide zu, daß es immer wieder zu Engpässen bei verschiedenen Ressourcen kam: Oft waren die internationalen Datenleitungen hoffnungslos überlastet, die Einwahl-Nummern waren ständig besetzt oder die Mailserver brachen unter der Last zusammen.

Seit einiger Zeit hat sich die Lage deutlich gebessert. Gelegentlich kommt es aber dennoch zu Engpässen, nämlich dann, wenn ein einzelner - sei es aus Unkenntnis oder aus Rücksichtslosigkeit - so viel an Ressourcen verbraucht wie hunderte oder tausende andere Benutzer zusammen. Zu diesen Ressourcen gehören vor allem:

  • Plattenplatz: Der Speicherplatz für Ihre persönlichen Daten ist durch Disk Quotas von 20 MB (Unet) bzw. 50 MB (Mailbox) limitiert. Wenn Sie dieses Limit überschreiten, schaden Sie niemandem außer sich selbst: Sie können dann keine Daten mehr abspeichern und erst weiterarbeiten, wenn Sie durch Löschen von Dateien wieder genügend Platz geschaffen haben.

    Keine Limits gibt es jedoch im Mail Spool (das ist jener Bereich, wo eingelangte eMail abgespeichert wird). Eine Beschränkung des Mail Spool hätte zur Folge, daß bei Überschreiten des Limits eingelangte Nachrichten mit Meldungen wie Mail could not be delivered to user xy. User disk quota exceeded. zurückgewiesen werden. Nachdem niemand etwas dafür kann, wenn er Dutzende Weihnachtsgrüße mit animierten Weihnachtsmännern und Sound-Files von Stille Nacht erhält, haben wir auf ein solches Limit verzichtet. Hier sind wir wesentlich großzügiger als die meisten anderen Provider, die den Mail Spool üblicherweise auf wenige Megabyte pro Person beschränken. Manche Benutzer nutzen diese Großzügigkeit allerdings ziemlich unverfroren aus, indem sie ihre Nachrichten dort jahrelang akkumulieren lassen und nie löschen - der Rekord lag bei 500 MB. Löschen Sie bitte in regelmäßigen Abständen alte eMail vom Server (siehe dazu auch den Artikel POP Art in Comment 99/1). Beschränkungen des Mail Spool in Form von Disk Quotas wird es auch in Zukunft nicht geben; es ist aber geplant, ältere Nachrichten, die eine bestimmte Größe überschreiten, automatisch zu archivieren.

    Neben dem Mail Spool gibt es noch einige Verzeichnisse für temporäre Dateien, die sehr großzügig dimensioniert sind, um ein reibungsloses Funktionieren der Mailserver zu garantieren. Von Zeit zu Zeit kommt jemand auf die Idee, diesen Plattenplatz als "Zwischenlager" für Downloads aus dem Internet zu verwenden. Wir haben allerdings sehr wenig Verständnis dafür, wenn andere Benutzer ihre eMail-Nachrichten nicht mehr lesen können, weil der gesamte Plattenplatz mit MPEG-Movies verstopft ist. Wenn solche Dateien nach einem strengen Verweis nicht sofort verschwinden, wird die UserID des Missetäters daher unverzüglich gesperrt.

  • Rechnerleistung: Mailbox- und Unet-Rechner gestatten ein Login mittels Telnet oder Secure Shell. In erster Linie dient dies als alternativer Zugang zu Mail, WWW und News; es besteht jedoch auch die Möglichkeit, in einer Unix-Shell zu arbeiten, beispielsweise um HTML-Seiten oder CGI-Programme zu entwickeln. Manchmal werden die beiden Rechner auch für diverse andere Shell-Applikationen verwendet. Das ist durchaus legitim, allerdings nur unter der Voraussetzung, daß nicht zu viele Rechnerressourcen verbraucht werden. Durch schlecht geschriebene Shell-Scripts kann man selbst leistungsfähige Server ziemlich belasten; Mailbox- und Unet-Rechner sind aber in erster Linie Mailserver, daher hat das reibungslose Funktionieren der eMail-Services höchste Priorität. Generell wird empfohlen, für anspruchsvollere Shell-Applikationen den Unix-Timesharing-Rechner zu verwenden, der dafür ein wesentlich umfangreicheres Software-Angebot bietet.

Methode 3: Spam

Mit dem Thema "Spam" - den unverlangten eMail-Massensendungen, die manchmal die elektronischen Postkästen so sehr verstopfen, daß es schwerfällt, die interessanten Nachrichten zu entdecken - beschäftigte sich bereits eine Reihe von Comment-Artikeln (Spam Spam Spam..., We do not relay - Teil I, We do not relay - Teil II, Mailserver? Nein, danke!). Diese Beiträge widmeten sich hauptsächlich dem Relaying von Spam, d.h. dem meist unbeabsichtigten Weiterleiten solcher Nachrichten. Hier geht es um das Versenden von Massen-Mail: Ist es erwünscht, erlaubt, toleriert oder verboten?

Was das Verschicken von eMail-Massensendungen nach außen (über die Universität Wien hinaus) betrifft, ist die Sache klar - eine Novelle zum Telekommunikationsgesetz vom 6. Juli 1999 erweitert das Verbot der Telefonwerbung um ein "Spam-Verbot":

    Das Bundesgesetz betreffend die Telekommunikation (Telekommunikationsgesetz - TKG) wird wie folgt geändert:
    1. Dem § 101 wird folgender Satz angefügt:
    "Die Zusendung einer elektronischen Post als Massensendung oder zu Werbezwecken bedarf der vorherigen - jederzeit widerruflichen - Zustimmung des Empfängers."

§ 104 lautet jetzt (auszugsweise):

    (3) Eine Verwaltungsübertretung begeht und ist mit einer Geldstrafe bis zu 500 000 S zu bestrafen, wer
    [ ... ]
    23. entgegen § 101 unerbetene Anrufe oder die Zusendung einer elektronischen Post als Massensendung oder zu Werbezwecken tätigt.

Innerhalb der Universität Wien können elektronische Aussendungen in manchen Fällen eine effiziente und kostengünstige Alternative zur konventionellen Post sein. Dennoch sollte man von dieser Methode der Informationsverteilung nur äußerst sparsamen Gebrauch machen: Die meisten Empfänger werden die Nachricht ungelesen löschen; manche, für die jede Form von unverlangter eMail ein rotes Tuch ist, werden sich darüber aufregen - selbst wenn die Nachricht vom Rektor kommen sollte, dem wohl wirklich niemand das Recht absprechen kann, eine Aussendung an alle Universitätsangehörigen zu schicken.

Wenn Sie Neuigkeiten möglichst weit verbreiten wollen, publizieren Sie diese besser im WWW. Wichtige Nachrichten können für kurze Zeit einen Link auf der Uni-Homepage unter Aktuelles erhalten; wenden Sie sich dazu bitte an die WWW-Redaktion.

Für die nahe Zukunft ist geplant, eine geeignete Infrastruktur zur geregelten Verteilung von uni-internen Informationen über eMail zu schaffen. Es wird ein Verzeichnis aller Absender (Funktionen, Dienststellen usw.) geben, die berechtigt sind, elektronische Aussendungen zu verschicken, und über eine Webmaske können sich alle Empfänger aussuchen, von wem bzw. zu welchen Themen sie Aussendungen empfangen wollen.

Mit welchen Sanktionen muß man nun wegen Spamming rechnen? "Professionelle" Spams, d.h. Werbeaussendungen, die womöglich noch über externe Relays verschickt werden, ziehen eine sofortige Sperre der UserID nach sich. Ansonsten hängt die Reaktion von der Anzahl der verschickten Nachrichten ab (auch der Gesetzgeber macht keine Angaben, wieviele davon eine "Massensendung" ausmachen - zehn, hundert, tausend?) sowie davon, inwieweit ihr Inhalt dem unter Methode 1 beschriebenen Verwendungszweck entspricht. Wenn beispielsweise jemand an mehrere Unet-Mailadressen die Bitte richtet, für eine Diplomarbeit einen Fragebogen auszufüllen, so wird er nur freundlich aufgefordert werden, das in Zukunft bleiben zu lassen - daß die so gewonnenen Umfrageergebnisse in vielen Fällen statistisch unbrauchbar sind,1) ist schließlich nicht unser Problem.

Methode 4: Weitergabe von Paßwörtern

Ihre Unet- oder Mailbox-UserID gehört Ihnen - und Ihnen allein. Also auch nicht Ihrem Ehepartner, Ihren Kindern oder Ihren Freunden. Wenn andere Personen innerhalb der Familie oder der Wohngemeinschaft gelegentlich Ihre UserID verwenden, um im Internet zu surfen, könnte man das als leichte Übertretung der widmungsgemäßen Verwendung werten (siehe Methode 1) und daher als Kavaliersdelikt bezeichnen. Aber vergessen Sie nicht, daß Sie für die UserID verantwortlich sind - wenn jemand damit Unfug treibt, müssen Sie sich dafür rechtfertigen. Daher die dringende Aufforderung: Geben Sie Ihr Paßwort niemandem weiter, auch nicht Ihrem Ehepartner! Wenn Sie vermuten, jemand anderer könnte in den Besitz Ihres Paßworts gekommen sein, ändern Sie es bitte sofort. Ändern Sie es auf jeden Fall von Zeit zu Zeit - rein prophylaktisch. Wählen Sie ein Paßwort, das nicht leicht zu erraten ist (siehe dazu auch http://www.unet.univie.ac.at/infos-password.html sowie den Artikel Vom vernünftigen Umgang mit Paßworten: ein Appell in Comment 97/1).

Es ist klar, daß es in einer Familie oder Wohngemeinschaft oft einen "Gemeinschafts-PC" gibt, wobei es natürlich und auch angebracht ist, daß alle Beteiligten einander vertrauen. Werfen Sie aber auf jeden Fall von Zeit zu Zeit einen Blick darauf, was Ihre Mitbewohner damit treiben. Wenn Ihnen Ihr Nachwuchs bei der Gestaltung Ihrer Homepage hilft (die können das ja oft viel besser), schauen Sie ihm bitte auf die Finger, damit er nicht bei dieser Gelegenheit gleich ein Web-Gateway für den Chat mit Freunden installiert.

Noch ein Wort zur Bedeutung Ihres Unet- bzw. Mailbox-Paßworts: Mit diesem Paßwort legitimieren Sie sich nur für die Services des Zentralen Informatikdienstes. Sie brauchen es zur Konfiguration von Klienten (eMail- und Wählleitungsprogramme), zum Login in den öffentlichen PC-Räumen und zum Login auf dem Unet- bzw. Mailbox-Rechner mittels Telnet/SSH, in einigen Webmasken auf zentralen Servern der Uni Wien und sonst nirgends. Wenn Sie beim Surfen im WWW irgendwo nach einem Paßwort gefragt werden und nicht genau wissen, welches Paßwort damit gemeint ist: Geben Sie Ihr Unet- oder Mailbox-Paßwort erst dann ein, wenn Sie sicher sind, daß es sich um einen Webserver der Universität Wien handelt. Wenn Sie für irgendwelche Services außerhalb der Uni Wien (z.B. Gratis-eMail-Accounts, E-Commerce-Sites usw.) ein Paßwort wählen, sollte sich dieses von Ihrem Unet- bzw. Mailbox-Paßwort unterscheiden - man weiß nie, was die Betreiber dieser Sites mit den ihnen anvertrauten Paßwörtern machen.

Auch wenn Sie glauben, Ihr Paßwort nicht geheimhalten zu müssen, weil Ihre UserID keine interessanten Daten enthält, sollten Sie sich darüber klar sein, daß Paßwörter in Hacker-Kreisen in jedem Fall begehrt sind. Wenn von Ihrer UserID aus eine Attacke auf einen Rechner oder ein Netzwerk unternommen wird, kann das für Sie unangenehm werden. Es sei nicht verschwiegen, daß unter gewissen Umständen auch bei hinreichender Sorgfalt ein Hacker in den Besitz Ihres Paßworts kommen kann, vor allem durch Packet Sniffing.2) In einem solchen Fall trifft Sie selbstverständlich keine Schuld.

Dem Zentralen Informatikdienst können Sie Ihr Paßwort ohne Bedenken mitteilen. In den meisten Fällen wollen wir es gar nicht wissen; wenn Sie aber dem Service- und Beratungszentrum ein Problem schildern und nach dem Paßwort gefragt werden, dient das nur dazu, Ihr Problem nachvollziehen zu können. Wenn der Mailserver defekt ist, so ist klar, warum Sie Ihre Mail nicht lesen können; wenn es aber bei allen anderen funktioniert und nur bei Ihnen nicht, läßt sich das Problem am besten durch ein Login mit Ihrem Usernamen und Ihrem Paßwort lokalisieren.

Methode 5: Verbotene Inhalte

Das Internet hat es einem großen Personenkreis erstmals ermöglicht, beliebige Texte, Bilder, Filme und sonstige Werke schnell und unkompliziert zu veröffentlichen. Wofür man früher einen Verleger brauchte, braucht man heute nur noch einen Internet-Service-Provider. Obwohl nach den jüngsten Urteilen die Gesetze dahingehend interpretiert werden, daß man Providern im allgemeinen keine Verantwortung für die Webseiten ihrer Kunden zumuten kann, verlangen die Provider im Rahmen ihrer Allgemeinen Geschäftsbedingungen3) von ihren Kunden die Einhaltung gewisser Mindeststandards.

Auch die Universität Wien ist bemüht, ihre Benutzer in Bezug auf die Inhalte ihrer Publikationen möglichst wenig einzuschränken. Nicht erlaubt sind aber

  • kommerzielle Seiten;
  • persönliche Angriffe, Beleidigungen und dergleichen;
  • alles, was gegen die Gesetze verstößt.

Manchmal wird vom Internet als "gesetzfreiem Raum" gesprochen, was vollkommener Unsinn ist: Die Gesetze gelten hier genauso wie in anderen Bereichen, selbst wenn nationale Gesetze in einem internationalen Netzwerk manchmal schwerer durchzusetzen sind. Das betrifft insbesondere auch das Urheberrecht, über das im Internet gern sehr großzügig hinweggesehen wird. Zusätzlich sollte man sich an die im Internet gebräuchlichen Umgangsformen und Verhaltensregeln halten, die als "Netiquette" bezeichnet werden. Eine Reihe von Dokumenten befaßt sich damit; ein prominentes Beispiel ist der RFC1855 Netiquette Guidelines.

Besondere Bedeutung hat die Netiquette bei der Teilnahme an diversen Diskussionsforen, vor allem den News (auch als NetworkNews oder UsenetNews bekannt). Bevor Sie sich aktiv daran beteiligen, sollten Sie sich mit den Spielregeln auseinandersetzen: Lesen Sie die Gruppe news.announce.newusers, in der die Prinzipien der Netiquette erläutert werden. Machen Sie sich mit den Sitten in den verschiedenen Newsgruppen und Hierarchien vertraut. Studieren Sie die Frequently Asked Questions zu den Newsgruppen, die Sie interessieren: Diese werden dort in regelmäßigen Abständen gepostet bzw. sind auch im WWW zu finden. Lesen Sie eine Zeitlang alle Beiträge zu einer Gruppe, bevor Sie sich dort an Diskussionen beteiligen. Bevor Sie Ihr erstes "echtes" Posting in die Welt hinausschicken, posten Sie bitte in eine Test-Gruppe wie at.test, um sicherzugehen, daß Ihre Beiträge in der richtigen Form am richtigen Ort ankommen.

Wie der Name schon sagt, ist die Netiquette eine Sammlung von Benimm-Regeln und nicht von Vorschriften oder Gesetzen, auch wenn etliche Hüter der Netiquette gerne den Gesetzgeber spielen würden. Einige dieser Regeln haben einen technischen Hintergrund: Beispielsweise können Ihre Beiträge für andere Teilnehmer vollkommen unverständlich werden, wenn Sie die Postings, auf die Sie sich beziehen, nicht korrekt zitieren. Hingegen sind manche Verstöße gegen die Netiquette ungefähr so verwerflich wie das Trinken von Rotwein zum Fisch: Wegen einer fünfzeiligen Signature werden wir sicherlich niemanden zur Rede stellen. Eine Bitte an alle selbsternannten Sittenwächter: Wenn es Ihnen körperliche Schmerzen bereitet, daß jemand seine Signature mit "dash dash" abtrennt statt mit "dash dash blank"4), machen Sie ihn auf diesen Fehltritt mittels eMail aufmerksam und nicht über ein News-Posting - es gibt kaum jemanden auf der Welt, den das interessiert (falls sich jemand bei uns über so etwas beschweren sollte, wird er nur gefragt, ob er keine anderen Sorgen habe).

Sanktionen gibt es nur bei schweren Verstößen gegen die Netiquette, bei Beschimpfungen und Drohungen, bei illegalen Inhalten oder eklatantem Mißbrauch für kommerzielle Zwecke. Mit einer permanenten Sperre seiner UserID muß allerdings jeder rechnen, der ein Make Money Fast postet, das klassische News-Pyramidenspiel. Die Sperre erfolgt in diesem Fall nicht nur, weil das ein krimineller Unfug ist, sondern auch deshalb, weil jemandem, der so naiv ist, zu glauben, das könnte funktionieren, eine sinnvolle Verwendung der Internet-Services nicht zuzutrauen ist.

Methode 6: Hacken

Aus Film und Fernsehen sind sie wohlbekannt, die leicht irren, aber genialen Hacker, die in einem Keller voller elektronischer Geräte hausen und in die geheimsten Netzwerke eindringen. Bevor sie die Pläne der neuesten Superwaffen an den bösen Feind verkaufen können, werden sie in letzter Sekunde vom strahlenden amerikanischen Helden überlistet (meistens einem bekehrten Hacker, der seine Talente in den Dienst der guten Sache gestellt hat).

Die Wirklichkeit ist wesentlich prosaischer. Immer wieder gibt es Hackversuche, von vergleichsweise harmlosen Spielereien bis hin zu eindeutig kriminellen Handlungen. Im Internet ist es nicht ganz leicht abzugrenzen, wo legitimer Forscherdrang und berechtigte Neugierde enden und illegales Hacken beginnt. Vielleicht könnte man Hacken definieren als den Versuch des Zugriffs auf Daten, Rechnersysteme, Netzwerke usw., wobei der Eigentümer nicht die Absicht hat, diesen Zugriff zu gewähren.

Wichtig ist hier die Absicht, nicht die technische Möglichkeit. Natürlich muß der Eigentümer diese Absicht auch deutlich kundgeben: Wenn jemand beispielsweise eine Webseite durch ein Paßwort schützt, ist damit klar, daß der einzig legitime Weg zu dieser Webseite der ist, den Eigentümer um das Paßwort zu fragen; jeder Versuch, dieses Paßwort zu knacken, fällt unter "hacken". Andererseits kann ein Befehl wie telnet firewall.paranoica.com kaum als Hackversuch bezeichnet werden, selbst wenn der Firewall-Administrator der Paranoica Company anderer Meinung sein sollte (siehe auch Willkommen im virtuellen Salzamt!) und als Begrüßung die Meldung erscheint: paranoica.com - internal use only. Unauthorized access strictly forbidden. Wer allerdings dann noch nicht begriffen hat, daß Besucher hier unerwünscht sind, sondern immer wieder einen Telnet-Zugriff versucht, wird bald aufgefordert werden zu erklären, was er damit bezwecke.

Es macht einen essentiellen Unterschied, ob man nur versucht, auf Daten zuzugreifen, die einen nichts angehen (manchmal wird das irreführenderweise als "Datendiebstahl" bezeichnet - der "Bestohlene" hat ja dadurch keinen Verlust an Daten), oder ob man Daten, Programme usw. verändert oder löscht. Auch ersteres kann gegen eine Reihe von Gesetzen verstoßen (z.B. Verletzung des Briefgeheimnisses); für letzteres gilt der § 126a des Strafgesetzbuches:

    (1) Wer einen anderen dadurch schädigt, daß er automationsunterstützt verarbeitete, übermittelte oder überlassene Daten, über die er nicht oder nicht allein verfügen darf, verändert, löscht oder sonst unbrauchbar macht oder unterdrückt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.
    (2) Unter Daten im Sinn des Abs. 1 sind sowohl personenbezogene und nicht personenbezogene Daten als auch Programme zu verstehen.
    (3) Wer durch die Tat an den Daten einen 25 000 S übersteigenden Schaden herbeiführt, ist mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bis zu 360 Tagessätzen, wer einen 500 000 S übersteigenden Schaden herbeiführt, mit Freiheitsstrafe von sechs Monaten bis zu fünf Jahren zu bestrafen.

Folgende Aktionen gelten als Hacken und sind unbedingt zu unterlassen (die Liste erhebt keinerlei Anspruch auf Vollständigkeit):

  • Paßwörter knacken:
    Dafür gibt es zahlreiche Programme; die meisten beruhen auf systematischem Durchprobieren von Wortlisten. Fehlgeschlagene Login-Versuche (mittels Telnet, FTP, auf diversen Webmasken usw.) werden fast überall mitprotokolliert, daher fallen solche Hackversuche sehr schnell auf.
  • Packet Sniffing:
    Auch wenn Packet Sniffing in kleinen Teilen des Datennetzes der Uni Wien möglich ist (vgl. Fußnote 2), hat es dennoch zu unterbleiben.
  • Portscans:
    Das systematische Durchprobieren, auf welchen Ports (Kommunikationskanälen) ein Server antwortet, richtet zwar alleine noch keinen Schaden an, ist aber fast immer das Vorspiel zu Schlimmerem (siehe nächster Punkt). Es gibt wohl kaum einen legitimen Grund für einen Portscan anderer Rechner.
  • Root Exploits, Back Orifice und dergleichen:
    Es gibt viele Programme, die Fehler in Betriebssystemen oder Sicherheitslücken in Programmen und Konfigurationen ausnutzen, um in Rechner einzudringen. Auf Unix-Systemen mit Sicherheitslücken kann sich beispielsweise ein nicht privilegierter Benutzer mittels Root Exploits die Privilegien des "Superusers" erschleichen; Back Orifice ist das wohl bekannteste Programm zum Hacken von Windows-Rechnern.
  • Denial of Service Attacks:
    Diese Attacken dienen nicht dem Zugriff auf geschützte Daten, sondern nur mutwilliger Zerstörung: Ein Server im Netzwerk wird mit Anfragen (von denen eine einzelne durchaus berechtigt sein könnte) so überhäuft, daß er durch die übermäßige Belastung völlig lahmgelegt wird.

Die meisten dieser Hack-Aktivitäten sind durchaus legitim, sofern sie auf eigene Rechner oder eigene Netzwerke angewendet werden: Ein Netzwerk-Administrator wird selbstverständlich einen Packet Sniffer verwenden, um Problemen in seinem Netzwerk auf die Spur zu kommen, und ein Systemadministrator wird mittels Portscans und Programmen zum Knacken von Paßwörtern nach Sicherheitslücken in seinem System suchen. Wer - was vollkommen legitim ist - Erfahrungen im Bereich der Computer- und Netzwerk-Sicherheit und im Umgang mit Hacker-Attacken sammeln will, möge seinen eigenen Rechner behacken. Zwei Freunde können gerne eine Wette abschließen: Wer es als erster schafft, in den Rechner des anderen einzudringen, hat gewonnen. Wenn uns allerdings jemand weismachen will, daß seine versuchten Root Exploits auf dem Mailbox-Rechner nur "Experimente in Unix-Security" sind, dann zählt das zu den 101 Ausreden, die nichts nützen. Noch eine Bitte: Verwenden Sie als Ausgangsbasis für Attacken auf den eigenen Rechner keine öffentlichen Server wie Unet- oder Mailbox-Rechner - wir können das nicht immer von echten Attacken unterscheiden.

Was geschieht nun, wenn an der Uni Wien ein Hacker erwischt wird? In schweren Fällen muß wohl oder übel Anzeige erstattet werden. In leichteren Fällen wird das übliche Verfahren angewendet: Sperre der UserID bis zur vollständigen Wiedergutmachung des Schadens und einer glaubhaften Versicherung künftigen Wohlverhaltens. Zur Wiedergutmachung gehört auch ein "Canossa-Gang": Wer beispielsweise Paßwörter geknackt hat, muß dies allen seinen Opfern beichten und sich bei ihnen entschuldigen.

Beschweren, aber richtig

Was können oder sollen Sie tun, wenn Ihnen ein Fall von Mißbrauch bekannt wird? Sofern nicht ein grober Mißbrauch oder gar eine kriminelle Handlung5) vorliegt und sofern Sie nicht persönlich betroffen sind, sollten Sie sich gut überlegen, ob eine Beschwerde angebracht ist oder nicht. Bekanntlich tummeln sich im Internet zahlreiche Spinner und Sonderlinge - ein gewisses Maß an Toleranz ist hier wohl angebracht. Abgesehen davon ist es in vielen Fällen besser, sich direkt an den Urheber zu wenden als an dessen Provider. Zahlreiche Probleme können in bilateralen Gesprächen (hier wohl eher eMail-Korrespondenzen) geklärt werden: Wer die Polizei ruft, wenn ihn der Lärm der Party beim Nachbarn stört, ist natürlich im Recht; trotzdem würde ein Gespräch mit dem Betroffenen für bessere Beziehungen sorgen.

Die Kontaktadresse für Beschwerden ist üblicherweise ABUSE@DOMAIN, also z.B. im Bereich der Universität Wien ABUSE@UNIVIE.AC.AT. Falls es sich um ein Problem mit eMail (üblicherweise Spam) handelt oder falls die ABUSE-Adresse nicht existiert, kann auch POSTMASTER@DOMAIN verwendet werden - meistens wird Mail an ABUSE und POSTMASTER ohnehin von denselben Personen gelesen.

Manchmal ist es mit ziemlich mühsamer Detektivarbeit verbunden, einer Beschwerde nachzugehen. Sie können diese Arbeit etwas erleichtern, indem Sie möglichst vollständige Angaben mitschicken, z.B. bei Hackversuchen genaues Datum und Uhrzeit, Art der Attacke, relevante Ausschnitte aus Logfiles usw. Bei manchen Beschwerden ist es ohne spezielle Fähigkeiten im Hellsehen kaum zu erkennen, was eigentlich gemeint ist. Wenn sich Ihre Beschwerde (Anfrage, Kommentar, ...) auf eine Webseite bezieht, geben Sie bitte unbedingt den vollständigen URL an. Bei News-Artikeln und eMail-Nachrichten schicken Sie am besten eine vollständige Kopie des Artikels bzw. der Nachricht mit (inklusive aller Header; siehe nächster Absatz).

Immer wieder werden Beschwerden - speziell über Spam - an Provider geschickt, die damit überhaupt nichts zu tun haben. Wenn Sie beispielsweise Spam mit der From:-Adresse I.WARS@WIRKLICH.NET bekommen, dann ist eine Beschwerde an ABUSE@WIRKLICH.NET vollkommen sinnlos: Der Absender im From:-Feld ist praktisch immer gefälscht. Der Administrator von wirklich.net wird eine solche Beschwerde entweder ignorieren oder mehr oder minder gereizt antworten, daß ihn das nichts angehe. Die Information, woher die Nachricht tatsächlich kommt, steht in Header-Feldern, die von den meisten Mailprogrammen (zumindest in den Standard-Einstellungen) gar nicht angezeigt werden.6) Solche Header-Felder sind bedeutend schwieriger zu fälschen, allerdings erfordert ihre korrekte Interpretation gewisse technische Kenntnisse. Zum Beispiel erhielten wir vor einiger Zeit die kategorische Aufforderung "Bitte stellen Sie das Spammen ein", ohne weitere Details. Auf unsere Bitte nach näheren Angaben erhielten wir eine Kopie einer Spam-Mail, gemeinsam mit der Belehrung, einer unserer Mail-Hubs wäre ein Spam-Relay und wir hätten das Relaying zu unterbinden. Eine Untersuchung der Header zeigte, daß der beanstandete Mail-Hub, dessen Hauptaufgabe es ist, Mail an den Unet-Rechner zuzustellen, Mail an den Unet-Rechner zugestellt hat. Wer uns mit solchen Beschwerden belästigt, muß mit ziemlich sarkastischen Antworten rechnen.

Manche Leute schicken Spam-Beschwerden an die Postmaster aller Domains, die im Header vorkommen, in der Hoffnung, daß schon der richtige dabei sein wird. Bitte tun Sie das auf keinen Fall - wenn die Postmaster mit irrelevanten Meldungen überhäuft werden, kann es leicht vorkommen, daß sie berechtigte Beschwerden übersehen. Ein nützliches Hilfsmittel ist Spamcop: Unter http://spamcop.net/ gibt es eine Webmaske, die automatisch Mail an die entsprechende ABUSE-Adresse schickt, wenn man dort eine Spam-Mail inklusive aller Header eingibt. Spamcop ist nicht unfehlbar, findet aber meistens den richtigen Adressaten heraus. Auch http://www.abuse.net/ kann oft helfen, geeignete Kontaktadressen zu ermitteln.

Informationen über die Verantwortlichen von Domains oder IP-Adreßbereichen erhält man über Whois-Datenbanken, z.B. unter http://www.ripe.net/cgi-bin/whois/ oder mit dem Befehl whois in einer Unix-Shell, z.B.:

    whois -h whois.ripe.net univie.ac.at
    whois -h whois.ripe.net 131.130.1.78
    whois -h whois.networksolutions.com aco.net

Dabei ist RIPE (Réseaux IP Européens) für den europäischen Bereich sowie Teile von Afrika und Asien zuständig, Network Solutions für die internationalen Domains com, org und net. Bitte verwenden Sie die Mailadressen, die Sie über Whois erhalten (Beispiel siehe Kasten), nur dann, wenn Sie sicher sind, daß Sie sie auch richtig verstehen. Vor allem die changed:-Einträge in der RIPE-Datenbank sind großteils irrelevant - mißverstandene changed:-Einträge sind die Hauptursache für fehlgeleitete Beschwerden an ABUSE@UNIVIE.AC.AT.

Willkommen im virtuellen Salzamt!

Wie reagiert nun der Zentrale Informatikdienst, wenn sich jemand über einen Fall von Netzmißbrauch im Bereich der Universität Wien beschwert? Geprüft wird jede Beschwerde, beantwortet wird fast jede. Die Beantwortung offensichtlich irrelevanter Beschwerden hat allerdings niedrigste Priorität - schließlich sind wir nicht verpflichtet, jemandem, der sich über Spam aus einer Schule im Südburgenland beschwert, kostenlose Nachhilfe im Interpretieren von Mail-Headern und Whois-Einträgen zu erteilen.

Fast alle Firmen und Institutionen haben zwischen ihrem internen Netzwerk und dem Internet eine sogenannte Firewall, das ist ein Rechner, der den gesamten Netzverkehr überwacht, genau mitprotokolliert und nur jenen Teil durchläßt, der als nicht bedenklich für die Sicherheit eingestuft wird. Zahlreiche Beschwerden kommen von Firewall-Administratoren, die die Protokolle ihrer Firewalls nach unerlaubten Zugriffen und möglichen Attacken durchsuchen. Oft lassen diese Beschwerden allerdings vermuten, daß etliche Administratoren entweder sehr viel Zeit oder sehr wenig Ahnung haben - oder beides. Beispielsweise erhielten wir einmal einen Anruf (!) des "Sicherheits-Experten" einer italienischen Firma, der sich über bestimmte Datenpakete des Rechners ftp.univie.ac.at beschwerte und mit seiner Rechtsabteilung drohte. Es stellte sich heraus, daß Wochen vorher ein Mitarbeiter dieser Firma zwei Dateien von unserem FTP-Server geholt und die Verbindung nicht ordnungsgemäß beendet hatte. Daraufhin schickte der Server ein Datenpaket "Ich möchte die Verbindung beenden, bitte um Bestätigung" - und weil die Bestätigung nie kam, schickte er es immer wieder.

Besonders sicherheitsbewußte - oder, weniger höflich ausgedrückt, paranoide - Firewall-Administratoren gehen jeder einzelnen Verbindung nach. Eine einzelne Verbindung ist aber, anders als ein Portscan oder systematische Versuche, kein Anlaß für eine Beschwerde. Fragen wie "Wieso finde ich in meinem Logfile eine Telnet-Verbindung auf topsecret.paranoica.com?" können nur mit "Offenbar hat jemand den Befehl telnet topsecret.paranoica.com eingegeben" beantwortet werden. Sollte sich der Firewall-Administrator mit dieser Antwort nicht zufriedengeben und von uns weitere Informationen verlangen, so wird er aufgefordert, Anzeige zu erstatten: Auf Anweisung des Untersuchungsrichters geben wir alle relevanten Informationen selbstverständlich weiter.

Wenn wir zu dem Schluß gelangen, daß eine Beschwerde gerechtfertigt ist, wird im ersten Schritt der "Schuldige" ausgeforscht, sofern er nicht von vornherein bekannt ist. Dazu noch ein Hinweis: Man kann sich im Internet fast nicht verstecken. Jede Aktivität hinterläßt Spuren - in den oben erwähnten Firewall-Protokollen, in den Logfiles der Einwahlknoten und an vielen anderen Stellen. Nun hat auf diese Daten niemand Zugriff außer den Betreibern der jeweiligen Systeme, daher kann man im Alltag weitgehend anonym bleiben. Im Ernstfall kann aber das Gericht die Beschlagnahme dieser Dateien anordnen, und dann ist es mit der Anonymität schnell vorbei.

Im nächsten Schritt wird der Betreffende kontaktiert, und es werden die eingangs beschriebenen Maßnahmen ergriffen. Der Beschwerdeführer wird davon informiert (z.B. "Der Benutzer wurde verwarnt", "Die UserID wurde gesperrt", "In die Maschine XY ist offensichtlich eingebrochen worden, sie wurde vom Netz genommen"). Die Identität des Schuldigen geben wir nicht bekannt; dieser wird aber aufgefordert, von sich aus den Beschwerdeführer zu kontaktieren und seine Handlungen zu rechtfertigen, wenn er seine UserID wieder verwenden will.

Ich möchte diesen Artikel mit einem Appell an die Vernunft schließen: Die hier beschriebenen Richtlinien, was im Netzwerk zu tun und zu lassen ist, können wohl kaum als ungebührliche Einschränkung der persönlichen Freiheit bezeichnet werden, sondern vielmehr als das Minimum an Maßnahmen, die notwendig sind, damit viele Menschen beschränkte Ressourcen sinnvoll und effizient nutzen können. Sie sollten sich daran halten - nicht aus Furcht vor Strafe und Sanktionen, sondern aus Einsicht.

Beispiel eines Abfrage-Ergebnisses der Whois-Datenbank von RIPE (Suche nach der Domain atat.at):

atat.at

% Rights restricted by copyright. See www.ripe.net/ripencc/pub-services/db/copyright.html

domain: atat.at
descr: [organization]: Arbeitsgemeinschaft fuer Total Abgehobene Technologie
descr: [name]:
descr: [street address]: Dominikanerbastei 21/60
descr: [postal code]: A-1010
descr: [city]: Wien
descr: [country]: at
descr: [phone]: +43 1 535 7053
descr: [fax-no]: +43 1 532 1499
descr: [e-mail]: at@atat.at
admin-c: AT288-RIPE
admin-c: MR187-RIPE
tech-c: AT288-RIPE
tech-c: MR187-RIPE
zone-c: AT288-RIPE
zone-c: MR187-RIPE
nserver: fulgur.atat.at
nserver: hr-ober.atat.at
nserver: anednix.literaturhaus.at
remarks: 194.152.96.209
remarks: 194.152.96.210
remarks: 194.152.172.209
notify: at@atat.at
mnt-by: AT-DOM-MNT
changed: domain-admin@univie.ac.at 19980902
source: RIPE

person: Alexander Talos
address: Alexander Talos
address: Dominikanerbastei 21/60
address: A-1010 Wien
address: Oesterreich
phone: +43 1 535 7053
fax-no: +43 1 532 1499
e-mail: at@atat.at
nic-hdl: AT288-RIPE
notify: at@atat.at
changed: jm@ins.at 19960223
changed: uwe.stadlmann@univie.ac.at 19970225
changed: at@atat.at 19980114
source: RIPE

person: Markus Reicher
address: Markus Reicher
address: Piaristengasse 54
address: A-1080 Vienna
address: Austria
phone: +43 664 4020179
fax-no: +43 1 40606984
e-mail: murx@halbdunkel.atat.at
nic-hdl: MR187-RIPE
notify: murx@halbdunkel.atat.at
changed: uwe.stadlmann@univie.ac.at 19970410
changed: murx@halbdunkel.atat.at 19971114
source: RIPE

Anmerkung:
Die changed:-Einträge liefern Informationen darüber, wer die RIPE-Datenbank aktualisiert hat. Diese Person hat aber häufig keinerlei Verbindung mit der betreffenden Domain. Die Verantwortlichen für die Domain (admin-c für die administrative Kontaktperson, tech-c als technischer Ansprechpartner und zone-c für Nameserver-Angelegenheiten) werden hier durch sogenannte "NIC-Handles" (z.B. AT288-RIPE) angegeben. Bei einer Abfrage der RIPE-Datenbank werden diese NIC-Handles in Name und Kontaktadresse der betreffenden Personen aufgelöst (siehe zweiter und dritter Block des Beispiels).

 

1) Personen, die auf eMail-Umfragen antworten, sind nicht unbedingt für den gesuchten Personenkreis repräsentativ, deshalb können durch ein solches Auswahlverfahren die Ergebnisse verfälscht werden.

2) Ob Packet Sniffing, das Abhören des gesamten Netzverkehrs durch einen anderen Netzteilnehmer, möglich ist, hängt von der verwendeten Netzwerktechnologie ab:

  • Der Weg von Ihrem Modem daheim zu den Servern der Uni Wien ist (unter der Annahme, daß man der Telekom Austria vertrauen kann) weitgehend abhörsicher.
  • Die Verkabelung der meisten Universitätsinstitute beruht auf Switched Ethernet, was ein Abhören des Netzverkehrs fast unmöglich macht. Nur wenige Uni-Standorte verwenden noch Thin Wire Ethernet; hier kann jeder Rechner im selben Segment sehr leicht mitlauschen (Näheres zu Ethernet finden Sie in Comment 95/2).
  • Was in Netzwerken außerhalb der Universität vor sich geht, wissen wir nicht. Obwohl es nicht allzu viele Angriffspunkte für Sniffer-Attacken gibt, sollten Sie dort vorsichtig sein und nach Möglichkeit eine Verschlüsselungssoftware verwenden (z.B. Secure Shell für Telnet-Verbindungen).

3) Diese folgen üblicherweise den Empfehlungen der ISPA (des Dachverbandes der österreichischen Internet-Provider), die wiederum auf § 75 des Telekommunikationsgesetzes basieren.

4) Nach einer weitverbreiteten Konvention dient "-- " als Trennzeichen zwischen dem Inhalt eines News-Artikels bzw. einer eMail-Nachricht und der Signature, die in maximal vier Zeilen beliebige persönliche Angaben zum Absender enthält.

5) Für illegale Inhalte im Internet (Kinderpornographie, nationalsozialistische Wiederbetätigung) sind die Hotline der ISPA und die Meldestelle der Kriminalpolizei zuständig.

6) Wie man die gängigsten Mailprogramme dazu veranlassen kann, alle Header anzuzeigen, ist unter http://mailbox.univie.ac.at/header.html beschrieben.