Passwort ab Werk schützt vor Abmahnungen

Für manchen ist die Einrichtung eines WLANs ein Kinderspiel. Die weitaus meisten Nutzer sind aber froh, wenn sie das Technikgedöns bewältigt und eine Netzwerkverbindung hergestellt haben. Auch ans WLAN-Passwort denkt nicht jeder. Deshalb sind Hersteller dazu übergegangen, ihre Geräte serienmäßig mit einem Passwortschutz zu versehen. Aber reicht dieses voreingestellte Passwort aus, um sich wirksam gegen Filesharing-Abmahnungen zu schützen? Das Amtsgericht Frankfurt musste diese Frage jetzt entscheiden.

Der Prozess lief eigentlich wie so häufig. Eine Plattenfirma warf einem Familienvater vor, er habe über seinen Anschluss ein Popalbum runtergeladen. Dafür sollte er Schadensersatz zahlen. Der Betroffene verteidigte sich damit, weder er noch seine Frau hätten die Songs runtergeladen. Seine Kinder im Alter von 16 und 20 Jahren habe er belehrt, dass sie über seinen Anschluss keine illegalen Downloads machen dürfen.

Damit war die Klage an sich für die Plattenfirma nicht mehr zu gewinnen. Denn wenn ein Anschlussinhaber nachvollziehbar darlegt, dass er es selbst nicht war, dass er seine Kinder ausreichend belehrt und sein WLAN ausreichend gesichert hat, ist er nach der Rechtsprechung des Bundesgerichthofs nicht haftbar zu machen. Auch wenn, worauf Rechtsanwalt Thomas Stadler zutreffend hinweist, insbesondere die Gerichte in Hamburg und München diese Vorgaben nach wie vor geflissentlich ignorieren.

Da aber in Frankfurt geklagt wurde und man dort die Rechtslage richtig einschätzt, blieb für die Abmahner nur, die wirksame Verschlüsselung des Routers in Frage zu stellen. Im vorliegenden Fall hatte der Anschlussinhaber selbst gesagt, er habe seine Fritzbox mit dem ab Werk vergebenen Schlüssel gesichert. Das WLAN-Passwort ist für jede aktuelle Fritzbox individuell vergeben (steht auf einem Aufkleber auf der Geräteverpackung).

Nach Auffassung des Amtsgerichts Frankfurt reicht die standardmäßige Sicherung der Fritzbox aus. Bei dem Passwort handele es sich gerade nicht um einen werksseitig vergebenen Schlüssel, der für alle Geräte gleich sei, zum Beispiel das berühmte “1111”. Nur in diesem Fall müsse der Nutzer sich ein eigenes Passwort ausdenken und seinen Router entsprechend konfigurieren. Das voreingestellte Passwort habe im übrigen mit 13 Ziffern mehr Stellen, als ein normaler Nutzer selbst verwenden würde (Urteil vom 24. Mai 2013, Aktenzeichen 30 C 3078/12).

  • Tobias R

    Denn wenn ein Anschlussinhaber nachvollziehbar darlegt, dass er es selbst nicht war, dass er seine Kinder ausreichend belehrt und sein WLAN ausreichend gesichert hat, ist er nach der Rechtsprechung des Bundesgerichthofs nicht haftbar zu machen.

    mal als theoretische Frage (sorry): Wenn ich Kinder durch Mitbewohner bzw. Untermieter ersetzte (und die ungemein sinnstiftende Belehrung schriftlich festhalte, das verpohtenes in diesem Internetz verpohten ist…), genügt das dann auch. Das sind dann immerhin 4 Person, in 2 unabhängigen Wohnparteien…

  • Momo

    Man kann AVM echt Vieles vorwerfen. Aber das mit der vorkonfigurierten Verschlüsselung ab Werk haben die schon ganz früh in ihren Geräten gehabt. Was ich ihnen ankreide ist, dass deren WPA-PSKs selbst heute noch nur aus Zahlen bestehen, was selbst bei 13 Zeichen heutzutage eher trivial ist…

  • Dr. Nym, Arno

    Das dreizehnstellige Passwort klingt aber verdächtig nach WEP.

  • KopieKönig

    @Dr. Nym, Arno: Naja, der Hersteller wird schon wissen, ob’s WPA ist, wenn er’s d’rauf schreibt!

  • Dominik B.

    ich hab zuerst “Popelalbum” gelesen

  • erforderlich

    Ist doch praktisch, solange sie belehrt sind, können die Kinder alles für die Familie runterladen, ohne belangt werden zu können. :)

  • Jan

    Warum muss ein volljähriges Kind belehrt werden,.der Ehepartner aber nicht?

  • Dr. Nym, Arno

    @KopieKönig: Hab im Beitrag kein Hinweis auf WPA gefunden, dewegen hatte ich das gesagt.

  • MaxR

    @Jan:
    Klar! Ehepartner sind per se unbelehrbar.

  • KopieKönig

    @Dr. Nym, Arno: Ups, Sie haben Recht:Im Urteil steht, der Bekagte habe sich verteidigt damit, dass “der internetanschluss …WEP verschlüsselt” gewesen sei!

  • 08/15

    @Momo: Zur Berechnung ist es eher wenig interessant, wieviele Möglichkeiten eine Stelle hat, sondern viel mehr, wie viele Stellen ich ingesamt herausfinden muss.

  • Mr. J

    @08/15: Das mag bei WPA sicherlich richtig sein, allerdings hat WEP dummerweise eine Schwachstelle, so dass das Abhören des Netzwerks über einen bestimmten Zeitraum hinweg der Schlüssel erlangt werden kann.

    MfG
    Mr. J

  • 08/15

    @Mr. J: Absolut. Wenn ich aber einerseits verschlüsseln will, und andererseits so nett sein will, meine Verbindung auch anderen zugänglich zu machen, bietet sich WEP ja eigentlich an, oder sehe ich das falsch? “Echte” Sicherheit hab ich natürlich nur durch WPA.

  • Dr. Nym, Arno

    @08/15: Da könnte ich falsch liegen, aber ich glaube das gilt nur, wenn es fabrikseitig so eingerichtet ist. Dann sei es dem Käufer nicht zuzumuten (oder zuzutrauen) daraus zu erkennen, ob die Verbindung sicher ist oder nicht. Da gabs glaub ich schonmal n Lawblog Artikel zu. Aber ja, WEP ist im Grunde offen für die, die wollen.

    Bei WPA muss das Passwort aber sicher sein.

  • Bernd Fachinger

    Und wieder findet keine Erwähnung, dass wir mit der Geräteabgabe auf Speichermedien genau solches Downloaden bereits bezahlt haben. Wieso fällt das regelmäßig unter den Tisch? Wieso baut die Verteidigung nicht darauf auf?

  • Chris

    @Bernd Fachinger: Weil es nicht so ist. Die Geräteabgabe ist nur für legale Vervielfältigungen (§53 UrhG) gedacht, die der Urheber nicht untersagen kann.

  • Elmar

    Wurde wirklich das Herunterladen angeklagt? Das ergäbe einen Streitwert von vielleicht 20 oder 30 Euro.

    Oder ging es um das Anbieten eines heruntergeladenen Albums über einen Torrent-Client?

  • Tillmann F.

    Für den versierten Nutzer oder gar den Profi stellt auch WPA nur ein begrenztes Hindernis dar. Interessant wäre hier allerdings die Frage, ob die Gerichte da einen Unterschied machen. Immerhin ist ja deutlich geworden dass es durchaus eine gewisse Menge an Verbrauchern gibt, die die Unterschiede beider Verschlüsselungen nicht kennen und somit auch nicht das Sicherheitsrisiko sehen, dass WEP darstellt.
    Zusätzlich wäre auch noch zu klären, ob ich als Verbraucher verpflichtet bin die aktuellste Hardware mit dem aktuellsten Verschlüsselungsstandard zu kaufen (teilweise nicht geringe Summen, wenn man z.B. von AVM ausgeht). Ich persönliche kenne noch genug unbedarfte Personen, die mit veralteter Hardware durch die Internetgeschichte gondeln, weil sie ja funktioniert. Der Gedanke, dass der alte Access-Point noch gar kein WPA unterstützt kommt diesen Menschen gar nicht, weil sie von WPA noch nie gehört haben: Ein Techniker des entsprechenden Providers hat alles eingerichtet, seitdem hat niemand mehr das Backend gesehen…

  • Dr. Nym, Arno

    @Tillmann F.: Dass WEP ja eigentlich nur eine Bitte ist, nicht das Internet zu benutzen ist ja schon länger klar. Aber das WPA mit einem vernünftigen Passwort nur ein begrenztes Hindernis ist müssten sie mir mal erläutern, bitte.

  • jj preston

    @Tillmann F.:

    Zusätzlich wäre auch noch zu klären, ob ich als Verbraucher verpflichtet bin die aktuellste Hardware mit dem aktuellsten Verschlüsselungsstandard zu kaufen (teilweise nicht geringe Summen, wenn man z.B. von AVM ausgeht).

    Halte ich für nicht zumutbar, zumal viele Anbieter mittlerweile wieder dazu übergehen, per Vertrag nur noch eigene, vorkonfigurierte Boxen zuzulassen und keine Zugangsdaten an den Kunden zu übergeben (in Ignoranz gegenüber der Rechtslage, aber das ist ja nicht neu).

    Eine Verpflichtung zu zeitgemäßer Hardware würde bedeuten, dass ein funktionsfähiges Gerät alle drei Jahre auf Kundenkosten auszutauschen wäre – sofern sich der Provider nicht dagegen sträubt -, oder der Kunde müsste hinter den Zugangsrouter noch eine zusätzliche eigene Box packen, die dann ebenfalls auf eigene Kosten auszutauschen ist, sobald die Gerätelinie erneuert wird. Abgesehen davon, dass ich kaum glaube, die breite Masse wäre dazu überhaupt in der Lage, zwei Boxen entsprechend zu konfigurieren, wäre auch der Verhältnismäßigkeitsgrundsatz verletzt, da sich 99,x Prozent der Vertragspartner der Provider rechtmäßig verhalten.

  • bicycleday

    Das Urteil ist imho begrüßenswert. Aber… 13stelliges Passwort… süß ^^

  • Benny

    @bicycleday:
    na komm 13 stellig, das ist schon nen Hindernis. Quasi 10 Billionen Möglichkeiten, wenn das Passwort nur aus Zahlen besteht. Das bekommst du mit keinem PC “mal eben” geknackt und für nen bissl runterladen macht sich sicherlich auch keiner die Mühe so ein Passwort knacken zu lassen.

  • Judas

    @Dr. Nym, Arno: Vielleicht sollten Sie einmal einen Kursus ‘Recherche im Internet’ belegen. Oder Sie probieren folgenden Link aus: http://www.google.com/search?q=wpa2+knacken
    Inkl. Video-Anleitungen für Analphabeten.

  • bicycleday

    @Benny:

    Hängt natürlich stark von der Zusammensetzung des Passworts ab. ;-)
    https://xkcd.com/936/

    (Und auch nur so lange, bis schnellere Verfahren gefunden werden – was wahrscheinlich schneller passieren wird, als die meisten Router-Passwörter geändert werden)

  • Lars

    Die ersten AVM Fritzboxen 7050 waren WEP mit 13 Zeichen, das wurde dann irgendwann umgestellt auf WPA mit 16 Zeichen. Die aktuelle Serie kommt mit WPA2.

  • Flying Circus

    @Judas: Hängt von der Schlüssellänge und -komplexität ab. Mein 63-stelliges Paßwort knackt niemand mit einigermaßen verhältnismäßigem Zeit- und Ressourcenaufwand. Und das ist ja der ganze Sinn der Sache, es dem Angreifer so aufwendig (= teuer) zu gestalten, daß er es lieber woanders probiert.

  • Nobody

    Der BGH hat damals gesagt: “Die Prüfpflicht des Beklagten bezieht sich aber auf die Einhaltung der im Kaufzeitpunkt des Routers für den privaten Bereich marktüblichen Sicherungen”.
    (Sommer unseres Lebens).

    Daraus kann man ableiten, keine fortlaufende Anpassung der Konfiguration geschuldet ist, die Anlage aber bei Einrichtung dem Stand der Technik entsprechen muß.

  • Lars

    @Flying Circus:

    Auch ein 63-stelliges Passwort erzeugt nur einen 256-Bit-Schlüssel.

    Solange man sich nichtmal einig ist, über was für einen Schutz man eigentlich redet (Wörterbuchangriff gegen das Passwort oder Angriff gegen die Verschlüsselung?), ist die Längenangabe von irgendetwas ziemlich sinnlos.

    Bei WEP richtet sich der Angriff gegen die Verschlüsselung, da spielt es effektiv gar keine Rolle, wie superschön die 13 Zeichen sind.

  • Name

    @Judas: Mit Brute-Force lässt sich alles brechen, irgendwann, das ist evident und kann mit “stellt auch WPA nur ein begrenztes Hindernis dar” nicht gemeint sein wenn man weiter zählen kann als bis “Mausi123″.

  • CodAv

    @Elmar: Im verlinkten Urteil steht, dass das Album “als Musikdatei zum Herunterladen verfügbar gemacht worden sei”. Es geht hier also wie üblich um Filesharing, vermutlich BitTorrent. Interessant liest sich auch die Passage zur Störerhaftung – hier hat das Gericht m.E. nach eine gute und realitätsnahe Begründung geliefert, warum diese in dem Fall nicht greift.
    Ich vermute mal, dass Universal Music nach diesem Urteil beim nächsten Mal wieder das LG Hamburg mit der Wahrnehmung der eigenen Interessen beauftragt.

  • Autolykos

    @Name: Je nachdem wie schlecht WPA2 konfiguriert wurde, muss man es gar nicht bruteforcen. Beliebtester Fehler ist, die ab Werk eingestellte SSID (oder eine andere häufige, wie “Heimnetz”, “Home” oder “Internet”) zu nehmen, die in die Berechnung des Schlüssels einfließt. Dann kann man nämlich mit vorher berechneten “Rainbow Tables” dran gehen und spart sich ‘ne Menge Zeit.
    Völlig nutzlos hingegen ist es, MAC-Adressen zu filtern. Die werden nämlich im Klartext gesendet und lassen sich auf jedem Gerät nach belieben ändern. Das macht es bloß schwieriger, Freunde/Besucher das WLAN nutzen zu lassen.

  • TKEDM

    @Lars:

    Naja, “die aktuelle Serie kommt mit WPA2″.

    Die Fritzbox 7170 (1&1 Version) hatte im Jahr 2006 definitiv auch schon von Haus aus WPA2, ich hab noch die alte CD-Hülle mit dem Key hier gefunden :D

    Dann muss AVM es ja (wenn die 7050 im Jahr 2005 rausgekommen ist, wie auf der Homepage zu lesen) innerhalb eines Jahres von WEP auf WPA und dann auf WPA2 umgestellt haben?!

  • marcus05

    @Dr. Nym, Arno:

    warum genau klingt 13-stellig nach wep?

  • Name

    @Autolykos: Rainbow Table, Wordlist, Waterboarding, egal, ist alles Brute-Force.
    Und MAC-Filter können durchaus sinnvoll eingesetzt werden, allerdings tragen sie nicht zur Sicherheit eines Netzes bei.
    Was ist also mit “stellt auch WPA nur ein begrenztes Hindernis dar” gemeint wenn das Problem nicht vor dem Bildschirm sitzt?
    Für mich klingt das so als sei WPA gebrochen. Ist es das?

  • Sven

    “Denn wenn ein Anschlussinhaber nachvollziehbar darlegt, dass er es selbst nicht war, (…) ist er nach der Rechtsprechung des Bundesgerichthofs nicht haftbar zu machen.”

    Wie sind denn da die Anforderungen?
    Bzw. wie hat sich das Gericht denn davon im konkreten Prozess überzeugen lassen?

  • Der Steuerzahler

    Ich finde man sollte eine Vollumfängliche Inhaberhaftung einführen. Schließlich geht es um die Kinder!

    mfg

    Ralf

  • igel

    @Dr. Nym, Arno: Quatsch. Du missverstehst Computersicherheit schon ziemlich gründlich. Hier ein Rechenbeispiel: https://xkcd.com/936/

  • Andii S.

    na dann hätte ich in so einem fall noch weniger zu befürchten.
    63 zeichen in hex, plus ein extra accesspoint in einem anderen subnet, der auch mit 63 zeichen in hex verschlüsselt ist, auf dem sämtliche one click hoster und das ganze filesharing zeug gesperrt ist.

  • wonko

    @Andii S.:

    63 zeichen in hex

    Wow, beeindruckend. Das ist ja dann bestimmt mindestens doppelt so sicher wie 63 Zeichen in oktal!!!elf

    sämtliche one click hoster und das ganze filesharing zeug

    Die Sie natürlich dem offiziellen Verzeichnis entnommen haben, um sie sperren zu können?

  • Zweifler

    Wieso konnte der Familienvater überzeugend darlegen, daß er es nicht selber war?
    Ich dachte, das sei eine nicht zu widerlegende Annahme, daß man selbst die Datei zum Upload angeboten habe?

  • Dr. Nym, Arno

    @Judas: Ja, diese Methoden kenn ich, eine Methode nutzt aber eine Schwäche bei WPS aus und nicht das eigenltiche WPA2, und die andere ist hauptsächlich Brute-Force, das mit einem guten Passwort wiederum nicht praktisch nutzbar ist. Und da stand auch irgendwo, dass einige Hersteller das Passwort auf der MAC-Adresse basieren, das sind aber alles keine direkten Schwächen von WPA2, wenn man das korrekt nutzt.

  • Dr. Nym, Arno

    @igel: Huch? Wo hab ich was behauptet, was dem widerspricht?

  • Dr. Nym, Arno

    @marcus05: Weil viele Implementationen, die ein “Nicht-Hex-Passwort” annehmen, dieses direkt in Hex umsetzen und von daher ein Passwort fordern, dass entweder genau 5 oder genau 13 Stellen lang ist. Besonders von einigen Fritzboxen ist mir das bekannt. Das ist natürlich kein Beweis für WEP, kann reiner Zufall sein. Aber wie KopieKönig bereits sagte, stand auch im Urteil, dass es WEP war.

  • Dr. Nym, Arno

    @Judas: Die Schwäche besteht übrigens zum Großteil darauf, dass der Preshared-Masterkey aus Passwort und SSID berechnet werden kann. Wenn man also ein paar Millionen Passwörter für die SSID “netgear” vorberechnet kann man also durch die Stadt fahren, bei allen Netzen mit der SSID “netgear” die Anmeldung abgreifen und dann den Rest berechnen, der aber nur ein Bruchteil der Vorberechnung darstellt. Deswegen sind auch einige Routerhersteller dazu übergegangen, an die SSID eine Zahl dranzuhängen, die zufällig (oder in reihe) erzeugt wird, so dass es nur sehr wenige Netze mit gleicher SSID geben sollte. Ein Bruteforceangriff auf ein Netz mit guten Passwort ist immer noch sehr aufwändig.

  • Chris

    @Lars: “Nur” einen 256-Bit-Schlüssel? Auch, wenn alle Computer der Welt mitarbeiten (und auch, wenn wir deren Rechenleistung mit einem großen Faktor, sagen wir mal 1 Milliarde multiplizieren), ist die Wahrscheinlichkeit, mit einem Brute-Force-Angriff in einigen Milliarden Jahren den richtigen Schlüssel zu finden, noch verschwindend gering.

  • Lars

    @Chris:

    Ja, nur. Du musst schon den Kontext der Aussage mitlesen.

  • Klaus

    “Seine Kinder im Alter von 16 und 20 Jahren habe er belehrt, dass sie über seinen Anschluss keine illegalen Downloads machen dürfen.”
    Muss dahinter nicht (mindestens:) ein Smiley?
    Ich vermute, sein Anwalt hat ihm zu dieser hilfreichen Formulierung geraten.

  • Tillmann F.

    Für alle Zweifler: WPA lässt sich ziemlich leicht über den “Handshake” knacken, dafür braucht es nur einen aktiven, im Netzwerk angemeldeten Client, dessen Verkehr (verschlüsselt) mitgehört werden kann. Selbstverständlich befindet sich dieser Client nicht in der Hand des Hackers. Haben wir nun eines der oben erwähnten “Standard-WLANs”, mit vorgegebener SSID, egal ob mit oder ohne angehangene Nummernfolge, und am besten noch ein darauf basierendes Passwort kann man das Netzwerk auch gleich offen lassen. Bei WPA2 natürlich genau das Gleiche. Dagegen schützt selbstverständlich ein gutes Passwort, wie von vielen bereits erwähnt, da es sich auch hierbei nur um eine Bruteforceattacke handelt. Da aber, im Gegensatz zu einigen Behauptungen weiter oben, nichts gerechnet sondern nur Listen abgeglichen werden (bei über 40.000 keys/s arbeitet sich so ein Programm schnell durch) und die einschlägigen Listen immer länger werden wird die Wahrscheinlichkeit, dass ein sicheres Passwort unsicher wird immer größer.

    Da die Gerichte aber offensichtlich auch WEP anerkennen ist die ganze Diskussion ohnehin überflüssig. Wenn schon die Richter weder Fachwissen haben, noch verpflichtet sind es sich anzueignen oder Experten zu befragen, wie soll man selbiges dann vom Normalbürger erwarten? Oder hat das Gericht das Wissen um die Unsicherheit WEPs einfach ignoriert?

    P.S.: Eigentlich kann man es schon fast Ironie nennen, dass eben die Provider, die vertraglich nur eigene Hardware zulassen genau solche Hardware einkaufen, die eine Standard-SSID mit darauf basierenden Passwort vergibt…

  • Der Steuerzahler

    [Ironie OFF]

    Warten wir mal ab wann das Erste Gericht, ich Tippe auf Hamburg oder München den Anschlussinhaber eines vom Provider gelieferten und verschlossenen Router, der nicht getauscht werden kann so richtig “verknackt”. Vorzugsweise noch mit bekanntem Hintereingang und Uralt Firmware.

    Das ist nur eine Frage der Zeit.

    mfg

    Ralf

    [Ironie ON]

  • Dr. Nym, Arno

    @Tillmann F.: Diese Listen müssen schon vorberechnet werden. Und das schafft man mit etwa 40.000 Keys pro Sekunde. Der Abgleich geht deutlich schneller. Aber bei einem 256 Bit Schlüssel kann man auch bei 40000 Versuchen pro Sekunde nicht mal eben an nem Wochendende alles durchrechnen. Brute-Force ist eine Schwäche von eigentlich allen Verschlüsselungen, abgesehen vom One-Time-Pad.

  • erforderlich

    Gegen diese “Schwäche” von Bruteforce (Ich würde ja sagen, unzureichende Länge wäre eine Schwäche, nicht das Verfahren Trial&Error) könnte man ja was unternehmen. Wenn das Passwort 3 mal falsch eingegeben wurde, implodiert der Router. Das wär doch was.

  • Stefan G.

    Deshalb wird sowas ja auch gegen die Kopie der verschlüsselten Passwort-Vergleichsdatei getestet und nicht live ins Gerät eingegeben. Sonst würde ja eine halbe Sekunde Verzögerung bei der Eingabe schon alle Versuche ins Leere laufen lassen…

    Merke: Es gibt keine sicheren WLAN-Router, es gibt nur Router, in die schwerer einzudringen ist als in die der Nachbarn…

  • tobi

    @Tillmann F.: Klingt nach unfug. Bitte mit Quellen belegen.
    Mir ist nicht bekannt das WPA “ziemlich leicht” knackbar ist.

    (wenn auch WPA angeknackst ist und man auf WPA2 umsteigen sollte; einfach ist es trotzdem noch nicht WPA zu knacken.
    http://arstechnica.com/security/2008/11/wpa-cracked/

  • wonko

    @Stefan G.:

    Deshalb wird sowas ja auch gegen die Kopie der verschlüsselten Passwort-Vergleichsdatei getestet

    Und woher nehme ich die Kopie?

  • grasdackel

    Die Diskussion ist irgendwie krank. Da urteilt ein Amtsgericht in einer Richtung, die nach meiner Einschätzung dem “gesunden Rechtsempfinden” entspricht, und schon debattiert man über Sicherheit von WLAN-Verschlüsselung.
    Warum die Diskussion eigentlich hirnrissig ist:
    - Bei kryptographischen Verfahren ist fast nichts wirklich (mathematisch) beweisbar. Von daher müsste man diese ganze Technik komplett abschaffen, weil per Definition nicht sicher.
    - Leider geht der Ansatz an der Lebensrealität und Juristen tun sich im Allgemeinen gut daran, sich nicht mit mathematischer Beweisbarkeit auseinanderzusetzen (mathematische und juristische Logik stehen nicht selten im Widerspruch zueinander). Bleibt also das Stück Lebenswirklichkeit, in der die Frage zu stellen ist, ob jedwede Form von (im juristischen Sinne) nicht trivialer Verschlüsselung ausreicht, um das Treiben der Musikindustrie ein wenig zu bremsen. Das Gericht hat nun Grenzen aufgezeigt und das ist auch gut so. Es wäre doch etwas lebensfremd anzunehmen, dass Menschen mit weitgehendem technischen Wissen und entsprechender Ausrüstung auf Tour gehen, um sich an zufällig ausgesuchten verschlüsselten Netzwerken ein dämliches Popalbum herunter zu laden. Da steht Aufwand und Nutzen in keinem Verhältnis mehr.

  • Der Steuerzahler

    @grasdackel:

    Fangen wir doch mal an der Quelle an, der Rechteverwertekomplex behauptet das Person X was getan hat. Er muss aber i.d.R. keine Beweise für die Richtigkeit seiner Behauptung vorlegen. Weder das die Zeitsyncronisationen der Beteiligen System (Sein Messrechner, der Einwahlrouter des Providers, der DHCP Server und der Radiusserver) stimmt, noch das die IP Richtig ist und die Adresse wirklich dazu gehört.

    Und die Angaben öfters aus einander als man Denkt, da reicht ein Reboot und das System braucht bis zu 24 Stunde um wieder Zeitsynchron zu sein. Und Datenbanken sind in Zeiten von Flatrates auch nicht mehr so zuverlässig gepflegt wie man Denken könnte.

    Keiner weis wie die Schnifferprogramme so genau arbeiten, die Sub-Unternehmer die die Messungen machen sitzen oft in Staaten wo man so seine bedenken hinsichtlich der Zuverlässigkeit hat. z.B. weil man als Mitarbeiter so und so viel Erfolge haben muss sonst fliegt man, da ist MS-Paint ein prima Helfer. Falsche Deutsche Eidesstattliche Versicherungen kann man in Südamerika auch schlecht verfolgen. Werden aber Bedenkenlos von Deutschen Richte anerkannt, Hauptsache man kann jemand Verurteilen.

    Das ist so als wenn eine Private Blitzerfirma aus Rumänien hier mit einem Zusammengebastelten Selbstbaublitzer blitzt und selbst für die Zuverlässigkeit der Messungen bürgt und dann das Bußgeld kassiert darf.

    Und bevor wir weiter über Verschlüsselung Debattieren, wie viel Löcher gibt es in Routerfirmwaren, die Jahrelang nicht geschlossen werden oder die noch nicht mal bekannt sind. In Untergrundforen bekommt man Listen bekannter WPA und WEP WPA2 keys. Ein leichtes für den Scripkidis von Nebenan die Durchlaufen zu lassen weil Vater den eigenen Zugang dicht gemacht hat und man keine Nackigen Frauen mehr Schauen kann.

    Und Suchmaschinen für Sicherheitslöcher sind auch keine geheime NSA Sache. Über die IP-Zuweisung weis ich dann auch ganz schnell wo das Opfer sitzt.

    Die Verurteilungen in den Bereich erinnern mich immer an die Französische Revolution: “…Sie sind zwar nicht die die wir gesucht haben, aber weil Sie gerade hier sind verurteilen wir Sie zum Tode…rabumsss, Rübe ab”.

    mfg

    Ralf

  • mumps

    @Der Steuerzahler:

    Schöne Schwarzmalerei.

    Ich bin aus der Branche. Solange es nicht um Pornos geht, gibt jeder Mandant zu, dass er oder seine Kinder es waren. Die Aufzeichnungen sind daher zutreffend.

    Mir sind nur Ermittlungsunternehmen aus Deutschland, UK und der Schweiz bekannt, ominöse US-Unternehmen sind mir noch nicht untergekommen.

  • le D

    @mumps: Mit anderen Worten: die Ertmittlungsfirmen haben eine BlackBox, behaupten dass die Daten stimmen und weil sie (angeblich) oft stimmen, soll kein Beweis mehr erbracht werden müssen?

    Mag sein, dass das gewünscht ist. Die gesetzliche Verteilung der zivilprozessualen Darlegungs- und Beweislast sieht anders aus.

  • Siggi

    Mal ne blöde Frage zu “brute force”: es ist ja toll, wenn 40000 Keys pro Sekunde berechnet werden können, aber können diese auch am Router getestet werden? Kann man da nicht in die Firmware implementieren, dass zB nur ein Versuch pro Sekunde stattfinden darf pro MAC?