Honeytokens: Digitale Köder mit rechtlichen Tücken
Artikel erschienen in Swiss IT Magazine 2004/07
Ein Honeytoken ist eine Art digitaler Köder in Form einer Datei, eines Datenbankeintrags oder eines anderen, für Nicht-Eingeweihte interessant erscheinenden Datenstücks. Wichtig ist, dass die Benutzer eines Netzwerks oder Computers nicht darauf zugreifen dürfen und auch sonst niemand einen rechtmässigen Grund hat, das Honeytoken zu nutzen. Wird dennoch ein Zugriff registriert, so der Umkehrschluss, muss es sich um einen unautorisierten Vorgang handeln und der Täter ist «überführt» (vgl. InfoWeek 6/04).
Die Idee klingt einfach und bestechend. Sollen so gewonnene Erkenntnisse über scheinbar fehlbare Mitarbeiter jedoch auch rechtlich verwertet werden, wird es etwas komplizierter. Dies beginnt bereits bei der Protokollierung der Honeytoken-Zugriffe und Erstellung der entsprechenden Logbücher. Zwar ist die Verwendung von elektronischen Aufzeichnungen in Rechtsstreitigkeiten heute üblich und akzeptiert, doch in der Würdigung des Beweiswerts solcher Daten ist der Richter frei. Er muss von ihrer Richtigkeit überzeugt werden, was wiederum voraussetzt, dass die Herstellung des «Beweismaterials» gut dokumentiert und nötigenfalls mit Gutachten von Sachverständigen unterstützt werden kann.
Die Problematik in der Praxis liegt dabei meist nicht im Nachweis, ob es zu bestimmten Zugriffen gekommen ist, sondern dass diese tatsächlich von der angeschuldigten Person verübt wurden. Wer Honeytokens einsetzen will, muss daher nicht nur den Zugriff auf den «Köder» protokollieren, sondern auch sicherstellen, dass er diesen Zugriff einem bestimmten Benutzer zuordnen kann. Das setzt zum Beispiel voraus, dass der betreffende Betrieb darlegen kann, dass seine Benutzer eigene Benutzernamen mit individuellen, nicht nach einem Standardschema festgelegten Passwörter haben und nur die Benutzer diese Passwörter kennen. Ansonsten ist der sichere Rückschluss vom Logbucheintrag auf den Benutzer nicht gewährleistet. Das ist deshalb wichtig, weil es der Betrieb ist, der dem Mitarbeiter dessen Fehlverhalten nachweisen muss und nicht umgekehrt. Bezichtigt eine Firma ihren Mitarbeiter ohne entsprechende Nachweise einer unerlaubten Handlung oder gar einer Straftat, kann der Mitarbeiter den «Spiess» unter Umständen umdrehen und seinerseits gegen seinen Arbeitgeber vorgehen.
Das Unternehmen sollte ferner vor dem Einsatz von Honeytokens den erlaubten und unerlaubten Einsatz von IT-Systemen schriftlich regeln und darin die Pflichten des Benutzers, wie zum Beispiel die Geheimhaltung des eigenen Passworts, festhalten. Solche Reglemente sollten ebenso darüber informieren, wie das Unternehmen die Einhaltung der Bestimmungen überwachen will. Das ist deshalb wichtig, weil die Überwachung von Arbeitnehmern in der Schweiz nur unter sehr restriktiven Bedingungen gestattet ist. Der Persönlichkeits- und Arbeitnehmerschutz verbietet eine systematische Überwachung der einzelnen Mitarbeiter; eine präventive Überwachung der Belegschaft ist nur auf anonymer Basis erlaubt. Hält sich ein Unternehmen nicht daran, darf es die gewonnenen Erkenntnisse möglicherweise nicht verwenden. Eine personenbezogene Überwachung wird meist erst dann möglich, wenn konkrete Verdachtsmomente für eine Vertrags- oder Gesetzesverletzung des Mitarbeiters vorliegen, dessen Überwachung verhältnismässig ist und über die Überwachungsmassnahmen im Voraus informiert wurde und der Mitarbeiter daher wissen konnte, was ihn erwartet.
Auf Honeytokens angewandt, bedeutet dies dreierlei: Erstens muss die Persönlichkeit «unschuldiger» Mitarbeiter geschützt werden, wo zu Beweiszwecken zusätzlich zur Protokollierung von Zugriffen auf den Honeytoken begleitende Überwachungsmassnahmen etwa in Form von zusätzlichen Aufzeichnungen unvermeidbar sind. Von diesen «auf Vorrat» gesammelten Daten müssen all jene ungelesen gelöscht werden, die für die Auswertung von zwischenzeitlich festgestellten Zugriffen auf den Honeytoken nicht mehr benötigt werden. Für andere Zwecke dürfen sie nicht verwendet werden.
Zweitens sollte der Honeytoken im eigenen Interesse so gewählt sein, dass ein zufälliger oder ungewollter Zugriff ausgeschlossen ist. Denn nur so können entsprechende Zugriffsprotokolle auch hinreichende Verdachtsmomente auf eine unerlaubte Handlung und damit weitere Überwachungsmassnahmen begründen.
Drittens darf ein Unternehmen einen «ertappten» Mitarbeiter nicht zum Verstoss gegen die Regeln verleitet haben. Es würde gegen den Rechtsgrundsatz von Treu und Glauben verstossen, wenn es der Arbeitgeber ist, der mit seinem
Honeytoken bei seinem Arbeitnehmer überhaupt erst den Entschluss hervorgerufen hat, gegen die Regeln des Arbeitgebers zu verstossen. Rechtlich hätte dies zur Folge, dass zwar ein Regelverstoss vorliegen würde, der Arbeitgeber diesen gegen den Arbeitnehmer aber nicht geltend machen könnte.
Honeytokens sind eine Weiterentwicklung der Honeypot-Technik. Auch deren Einsatz birgt rechtliche Tücken.
Hacking und unbefugte Datenbeschaffung sind in der Schweiz zwar seit vielen Jahren unter Strafe gestellt. Nicht jedes Eindringen in ein fremdes System und Abrufen von Daten ist jedoch strafbar. So setzt die Erfüllung des Straftatbestands der «unbefugten Datenbeschaffung» (Art. 143 StGB) voraus, dass die fraglichen Daten nicht für den Täter bestimmt waren. Dabei wird in der Rechtslehre mitunter der Standpunkt vertreten, dass unbefugte Datenbeschaffung nicht vorliegt, wenn die Daten für die Zwecke des Täters zur Verfügung gestellt wurden. Im Falle eines Honeypots oder Honeytokens ist aber genau das der Fall, wenngleich der Täter sich dessen natürlich nicht bewusst ist und daher zumindest wegen versuchter unbefugter Datenschaffung verfolgt werden könnte.
Eine weitere Voraussetzung der Strafbarkeit ist, dass die angegriffenen Systeme gegen den Zugriff des Datendiebs oder Hackers «besonders gesichert» sein müssen. Was das genau heisst, ist bisher nicht geklärt. Klar ist jedoch: Macht es der Betreiber eines Honeypots dem Hacker zu einfach, so liegt zumindest rechtlich gesehen gar kein Hacking beziehungsweise keine unbefugte Datenbeschaffung vor.
Umgekehrt muss der Betreiber eines Honeypots auf der Hut sein, um nicht zum Gehilfen des Täters zu werden. Gelingt es dem Hacker, den Honeypot als Basis für Angriffe auf Systeme Dritter umzufunktionieren, so kann der Betreiber des Honeypots dafür unter Umständen zur Verantwortung gezogen werden: Erstens besteht der Zweck eines Honeypots gerade darin, dem Hacker eine Spielwiese zu bieten. Zweitens wird der Betreiber kaum glaubhaft einwenden können, er habe nicht gewusst, wozu der Hacker seinen Honeypot verwende.