Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Malware, Virtuelle Güter und Rechtslagen...
Rokop Security > Security > Trojaner, Viren und Würmer
Nightwatch
Für mich ein ganz interessantes Thema, welches in naher Zukunft an Bedeutung gewinnen kann.

Auf der FOCUS’08 McAfee Security Conference in Las Vegas wurde am letzten Wochenende erstmals richtig ernsthaft über diese Thematik gesprochen.

Aber worum geht´s ?
In den Niederlanden wurden vor ein paar Tagen zwei Minderjährige vom Bezirksgericht verurteilt, weil sie zwei virtuelle Güter aus einem Online-Spiel von einem dritten Spieler stahlen.
(Quelle: http://www.heise.de/newsticker/Strafe-fuer...meldung/117765)

Dass sich Malware auf solche Spiele spezialisiert hat, ist ja nicht sonderlich neu. Aber die rechtlichen Konsequenzen gehen nun einen Schritt weiter. Von (ehemalig) einem Account-Bann bis (nun) zum umfassenden Gerichtsurteil.

Das Online-Rollenspiel "World of Warcraft" hat nun offiziell bestätigt, dass es die 11 Millionen User-Grenze überschritten hat. Und es existieren ja bekanntlicherweise auch noch viele andere (gut besuchte) Spiele, die mit virtuellen Gütern handeln (z.B. Second Life).
(Quelle: http://eu.blizzard.com/de/press/081028.html)

Und damit kommen wir zu ganz neuen Rechtslagen. Francois Paget von Mc Afee umreißt die Thematik für die (Anti-)Malware-Branche folgendermaßen:
ZITAT
On Monday afternoon, I was busy with my own session: “Malware on Second Life–Myth or Reality?” As businesses begin to embrace virtual worlds, there’s more and more money involved. I conducted some research on this platform to demonstrate that Trojans, worms, phishing, and counterfeiting activities were not a myth. Here’s one incident I found: Two teenagers, 15 and 14 years old, have been convicted for virtual theft in the Netherlands. They had stolen a virtual amulet and mask in the multiplayer RuneScape game by forcing another player to transfer the items under the threat of violence. One defendant was sentenced to 200 hours service, the other to 160 hours. Yes, threats in virtual worlds are a new cause for concern.

(Quelle: http://www.avertlabs.com/research/blog/ind...-of-las-vegas/)

Wenn virtuelle Güter realen Strafverfolgungsmaßnahmen unterliegen und der (an sich schon überwältigende) Markt noch mehr expandiert, bin ich gespannt, welch´neues Zeitalter hier eventuell angebrochen wird. Denn die Auswirkungen können auch auf andere Dinge übergreifen.


Nur ein Thema zur Info & Diskussion.

Grüße,
Nightwatch
Nightwatch
So wenig Resonanz?

Bin etwas überrascht. Ist das Thema zu speziell? Oder für die "breite" Masse (noch) zu unwichtig? Oder eventuell auch zu schwere Kost?

blueX
Mich würde die Rechtslage in Deutschland mehr interessieren.

Insbesondere würde mich eine Diskussion um/über §202c StGB interessieren.
Einige Rechtsexperten sind hier der Ansicht, dass allein der Besitz von Malware strafbar wäre.

Demzufolge dürfte man ja auch keine Samples den Herstellern von Virenschutzprogrammen zur Verfügung stellen.




Heike
ich spiele nicht, deshalb interessiert mich eigentlich nichts, was mit Spielen zusammenhängt. smile.gif

ZITAT
Die beiden Jugendlichen hatten einen 13-Jährigen im September des letzten Jahres gezwungen, mit ihnen nach Hause zu gehen. Dort schlugen sie ihn und bedrohten ihn mit einem Messer – der 13-Jährige sollte die beiden virtuellen Gegenstände, die dieser gewonnen hatte, auf ihr Spielkonto übertragen.

unabhängig ob die beiden Jugendlichen etwas virtuelles geklaut haben oder nicht, das Schlagen und das Bedrohen mit einem Messer sollte in jedem Fall bestraft werden. Wie hoch die Richter dies, und zusätzlich den Diebstahl, bewertet haben, läßt sich sicherlich nur im Urteil nachlesen.

Caimbeul
ZITAT(Nightwatch @ 29.10.2008, 02:30) *
In den Niederlanden wurden vor ein paar Tagen zwei Minderjährige vom Bezirksgericht verurteilt, weil sie zwei virtuelle Güter aus einem Online-Spiel von einem dritten Spieler stahlen.
(Quelle: http://www.heise.de/newsticker/Strafe-fuer...meldung/117765)


Es handelte sich dabei nach dem deutschen Strafgesetzbuch eher um Räuberische Erpressung ggf. Raub, ein Tatbestand derdeutlich höher bestraft wird als Diebstahl, da hier mit Gewalt gedroht bzw. diese sogar angewandt wurde. Desweiteren wurden keine beweglichen Sachen gestohlen sondern Vermögenswerte erpresst. Ein virtueller Gegenstand kann nicht Sache im Sinne des §90 BGB sein, jedoch Vermögenswert bzw. Rechtsposition.

Das dieser Fall so entschieden wurde, hat also mit dem Straftatbestand und dem Verwerflichkeitszusammenhang zu tun, erst nachgeordnet überhaupt mit virtuellen Gegenständen.

Den Rest muss ich mal in Ruhe lesen und update mein Postings dann noch. Die Zeit als Student ist aber knapp bemessen. wink.gif Dennoch ein interessantes und aktuelles Thema zum Stichwort Cyberlaw.

Edit:
ZITAT(Nightwatch @ 29.10.2008, 02:30) *
Wenn virtuelle Güter realen Strafverfolgungsmaßnahmen unterliegen und der (an sich schon überwältigende) Markt noch mehr expandiert, bin ich gespannt, welch´neues Zeitalter hier eventuell angebrochen wird. Denn die Auswirkungen können auch auf andere Dinge übergreifen.


Virtuelle Güter die eine Vermögensposition oder ein Recht darstellen unterlagen schon immer den geltenden Gesetzen. Einzig der Sachenbegriff des BGB (§90) läßt sich nur auf körperliche Gegenstände anwenden. Somit ist Diebstahl an virtuellen Gegenständen nicht möglich, durchaus aber z.B. Betrug, da hier nur eine Vermögensverschiebung nebst Vermögensschaden gefordert wird, oder eben die klassische Urheberrechtsverletzung welche fälschlicher Weise als Raubkopie bezeichnet wird, obwohl für Raub sowohl Gewaltanwendung als auch die Wegnahme einer beweglichen Sache notwendig ist.

Edit:
ZITAT(blueX @ 30.10.2008, 10:28) *
Insbesondere würde mich eine Diskussion um/über §202c StGB interessieren.
Einige Rechtsexperten sind hier der Ansicht, dass allein der Besitz von Malware strafbar wäre.


Hierzu u.a.:
http://de.wikipedia.org/wiki/Hackerparagraf
http://medien-internet-und-recht.de/vollte...?mir_dok_id=398

Auszug Wikipedia:
Der Rechtsausschuss des Deutschen Bundestages hat 2007 in einem Bericht (Bundestags-Drucksache 16/5449[5]) darauf hingewiesen, dass der gutwillige Umgang mit Hackertools durch IT-Sicherheitsexperten nicht vom § 202c StGB erfasst werde. Auch die Bundesjustizministerin Brigitte Zypries verwies im Juli 2007 mehrfach darauf, dass dieser Paragraph nur die Vorbereitungshandlungen zu Computerstraftaten unter Strafe stelle.[6]
Quellen: http://www.abgeordnetenwatch.de/brigitte_z...html#frage67105 wiedergegeben in http://de.wikipedia.org/wiki/Hackerparagraf
Nightwatch
ZITAT(Caimbeul @ 30.10.2008, 12:07) *
Hierzu u.a.:
http://de.wikipedia.org/wiki/Hackerparagraf
http://medien-internet-und-recht.de/vollte...?mir_dok_id=398

Auszug Wikipedia:
Der Rechtsausschuss des Deutschen Bundestages hat 2007 in einem Bericht (Bundestags-Drucksache 16/5449[5]) darauf hingewiesen, dass der gutwillige Umgang mit Hackertools durch IT-Sicherheitsexperten nicht vom § 202c StGB erfasst werde. Auch die Bundesjustizministerin Brigitte Zypries verwies im Juli 2007 mehrfach darauf, dass dieser Paragraph nur die Vorbereitungshandlungen zu Computerstraftaten unter Strafe stelle.[6]
Quellen: http://www.abgeordnetenwatch.de/brigitte_z...html#frage67105 wiedergegeben in http://de.wikipedia.org/wiki/Hackerparagraf


Hallo smile.gif

Vielen Dank für Deine ausführliche, rechtliche Situationsbeschreibung Caimbeul ! thumbup.gif

In der Tat muss überprüft werden, inwieweit der "Diebstahl" gegenüber der räuberischen Erpressung zum Urteil beigetragen hat. Natürlich muss Erpressung hier als Tatbestand betraft werden und rechtliche Konsequenzen nach sich ziehen.

Ich selbst spiele auch kein oben genanntes Spiel. Kenne aber einige aus der Firma, die das tun smile.gif .

Interessant wird die strafrechtliche Entwicklung sein, die sich nur auf die Entwendung virtueller Güter bezieht. Zumindest in der Rechtspolitik der Unternehmen, die die Spiele vertreiben, wird das mutmaßliche Enwenden von Gegenständen, welches ohne Absprache der Gruppenmitglieder stattgefunden hat, mit Sanktionen bestraft (nach den AGB).

Das Problem, dass ich sehe, ist die Erfassung von Vermögenswerten virtueller Gegenstände, wenn sich hier die Rechtslage in Zukunft ändern sollte (auch in Verbindung mit Hacktools). Heute wird das z.T. eher durch die Höhe von Aufwandsentschädigungen geregelt, weil man eben keinen materiellen Wert feststellen kann.
Caimbeul
Huhu Nightwatch, mach ich gerne wenn ich Zeit und Lust hab. wink.gif

Da ich selber vor einiger Zeit sogenannte MMORPGs gespielt habe und ja bekanntlich Jura studiere, ist es wirklich ein sehr interessantes Thema für mich.

Aufzuzeigen wäre noch der Unterschied zwischen Strafrecht und Zivilrecht (Abmahnungen, Schadensersatz etc.)

Klar ist, das der oben schon angesprochene Sachenbegriff für virtuelle Ding nicht ausreicht, sogar komplett leerläuft. Desweiteren haben wir schon angesprochen, dass strafrechtlich gesehen verschiedene Vermögensbegriffe durchaus anwendbar sind.

Fragen wir uns also an ein paar Beispielen wie im Zivilrecht ein Ausgleichsanspruch des Geschädigten aussehen könnte. Warscheinlich ließe sich über das Thema eine Dissertation schreiben. Daher umreiße ich das ganze möglichst kurz und möglichst ohne mich in juristischen Formulierungen zu ergehen.

Beispiel 1:
Es gibt ein Spiel bei dem Ingame-Geld zu offiziell festen Preisen gekauft werden kann. Eine Person wird durch eine Straftat geschädigt und verliert Ingame-Geld. Aufgrund der klaren Beweisbarkeit des Vermögenswertes dürfte es hier einfach sein Schadensersatz in Real-Geld oder was vermutlich auch möglich ist Naturalrestitution also Ingameersatz zu fordern.

Beispiel 2:
Es gibt keinen festen offiziellen Preis aber Werte die über Auktionshäuser im Internet oder Webseiten ermittelt werden können. Warscheinlich müsste man einen Mittelwert ansetzt.

Probleme:
Naturalresitution ist nicht möglich. Zerstörte oder andersweitig beeinträchtigte Items können nicht Ingame ersetzt werden. Es muss also über Schadensersatz gelößt werden.

Die Gegenstände gehören meistens in Spielen nicht dem Spieler sondern dem Hoster also der Spielefirma. Es gibt hier viele Ideen die mir durch den Kopf gehen.Das offensichtliche Problem, dass man hier die Spielzeit also den Aufwand zur Erlangung bewerten müsste, da der virtuelle Gegenstand nicht der Vermögensschaden ist, sondern nur die dafür aufgewandte Zeit. Der Zeitansatz könnte auch für selbsterstellte Gegenstände in Spielen als Maßstab fungieren, da hier ggf. kein Markt existiert bzw. vielleicht Einzelstücke gefretigt wurden.

Die Situation im Zivilrecht ist m.E. deutlich komplexer als es im Strafrecht der Fall ist. Auch wann das Strafrecht und meistens buntere Beispiele bescheert.

Um abschließend nochmal auf "virtuellen Diebstahl" einzugehen. Nehmen wir das Beispiel, dass Spieler A dem Spieler B Ingame ein Item/Gold stiehlt oder "ninjat" wie man t.w. sagt. Gehen wir weiterhin davon aus unser Diebstahl §242 wäre auf virtuelle Dinge anwendbar, so würden wir an der Eigentumsstellung scheitern, denn alle Items sind Eigentum der Spielefirma egal welcher Charakter sie besitzt, ein Bruch fremden Gewahrsahms scheidet somit m.E. zu Recht aus, eine deartige Regelung ist nicht Aufgabe des Strafrechtes sondern des Zivilrechtes und kann und wird richtiger Weise über die AGB oder EULA gelößt (welche nebenbeibemerkt dem deutschen Recht unterworfen sind und t.w. auch skeptisch betrachtet werden sollten).
Nightwatch
Wow ohmy.gif

Du wirst mit Sicherheit ein guter Jurist! Vielen Dank für Deine Ausführungen. Hast für mich als absoluten Rechts-Laien einen komplexen Sachverhalt in "einfacher/verständlicher" Sprache so zusammengefasst, dass keine Fragen mehr bleiben. Top.
Heike
Ein Aspekt spielt vielleicht zusätzlich noch eine Rolle:

Bei solchen Spielen wird auch gerne "gemogelt", dazu gibt es dann irgendwo irgendwelche Downloads, die dann auch schon mal mit "netter" Beigabe versehen sind. Der WoW-Betreiber scheint Spieler teilweise darüber zu informieren, wenn sie offensichtlich infiziert sind, es gab mal einen Topic darüber bei swerat.com.

Nun haben wir also 2 Personen:
1) jemand, der "Spiel-Sachen" zu stehlen versucht
2) jemand, der u. U. zu mogeln versucht, und somit ebenfalls gegen die Regeln verstößt.

Unter Umständen sitzen jetzt beide im selben Boot, zumindestens aus Sicht des Betreibers. lmfao.gif
Vielleicht gbt es auch in den EULAs des Spiel eine Vorgabe, wie man seinen "Spiel-PC" zu sichern hat? Ich könnte es mir vorstellen, wenn noch nicht, werden die EULAs sicherlich bei Bedarf ergänzt werden.
Nightwatch
ZITAT(Heike @ 30.10.2008, 15:41) *
Vielleicht gbt es auch in den EULAs des Spiel eine Vorgabe, wie man seinen "Spiel-PC" zu sichern hat?


Hallo Heike smile.gif

Das übernimmt Blizzard schon von allein lmfao.gif :
ZITAT
The Blizzard Launcher has detected the Trojan "Heur.Trojan.Generic" on your machine which may be used to steal your World of Warcraft account name and password.
ZITAT
Der World of Warcraft Launcher hat den Trojaner Virus.Win32.Ardamax.AG auf Ihrem System entdeckt, der möglicherweise Ihren World of Warcraft Accountnamen und das Passwort stehlen kann.

http://us.blizzard.com/support/article.xml?articleId=22707
http://eu.blizzard.com/support/article.xml?articleId=24252

Vielleicht kommt ja bald ein eigenes HIPS mit Verwendungsauflage smile.gif

Aber gut ist die Maßnahme schon. Und sollte auch nicht von mir durch den Kakao gezogen werden.
blueX
@Caimbeul

Da du ja Jura studierst, weisst du das Berichte ohne jeglicher rechtlicher Bedeutung sind.
Es muss erst die Rechtssprechung herausurteilen, was unter die Strafrechtsverfolgung fällt.

Die Subsumtion des §202c StGB ist für mich nicht eindeutig.





Caimbeul
ZITAT(blueX @ 30.10.2008, 10:28) *
Mich würde die Rechtslage in Deutschland mehr interessieren.

Insbesondere würde mich eine Diskussion um/über §202c StGB interessieren.


ZITAT(blueX @ 30.10.2008, 17:37) *
@Caimbeul

Da du ja Jura studierst, weisst du das Berichte ohne jeglicher rechtlicher Bedeutung sind.
Es muss erst die Rechtssprechung herausurteilen, was unter die Strafrechtsverfolgung fällt.

Die Subsumtion des §202c StGB ist für mich nicht eindeutig.


Willst Du mich verarschen? Ich hätte auch gleich schreiben können "warte auf ein BGH-Urteil", denn eine Diskussion (die Du ja dann wohl doch nicht möchtest) bringt ja noch weniger als Fach-Berichte von juristischen Zeitschriften oder Aussagen der Justizministerin. Ich gehe mal davon aus Du hast den Artikel in MIR 2006 zum § 202c StGB nicht gelesen.

Also nochmal zum mitschreiben: Warte auf ein BGH-Urteil.
blueX
ZITAT(Caimbeul @ 30.10.2008, 20:55) *
Ich gehe mal davon aus Du hast den Artikel in MIR 2006 zum § 202c StGB nicht gelesen.



Schon nach Inkraftreten des Änderungsgesetzes habe ich mich mit dem Thema beschäftigt und auch mit den Rechtsanwälten bzw. Rechtsabteilungen einiger großen Virenschutzhersteller unterhalten.

Fakt ist, dass die Aussagen von Ministern, Berichte und Ausschussvorlagen niemanden interessieren.

Im übrigen sehen es die führenden IT-Security-Anwälte weitaus kritischer als du.




Caimbeul
ZITAT(blueX @ 30.10.2008, 21:17) *
Im übrigen sehen es die führenden IT-Security-Anwälte weitaus kritischer als du.


Warum sollte ich das kritisch sehen? Sollen sie 5 Millionen Leute anklagen ist mir sowas von egal, mein Schwerpunkt liegt nicht bei Cyberlaw und ich habe nicht ein Programm welches unter den §202c fällt noch arbeite ich in der IT-Branche, das hier ist alles Hobby.

Aber da Du ja so unfassbar informiert bist und mit den richtig wichtigen Leuten gesprochen hast, möchstest Du uns vielleicht mal näher erleutern was die Leute gesagt haben. Außer "auf den BGH warten", "Die Subsumstion ist nicht eindeutig" und "das sollte man kritisch sehen". Was ungefähr soviel Aussagekraft hat wie die allgemein beliebte Juristenantwort "das kommt drauf an" biggrin.gif

PS: Ich glaube immernoch, dass Du den Artikel nicht gelesen hast.
blueX
Lieber Caimbeul,

solltest du dich umfassend informieren wollen, stelle ich dir gerne einen Kontakt her.
PM an mich bitte!


Heike
blueX, warum postest Du nicht hier ausführlicher? Verstehe ich jetzt nicht, es interessiert vielleicht auch andere Mitglieder.
Caimbeul
ZITAT(blueX @ 31.10.2008, 16:30) *
Lieber Caimbeul,

solltest du dich umfassend informieren wollen, stelle ich dir gerne einen Kontakt her.
PM an mich bitte!


Ich kann mit meinen Professoren selber Termine ausmachen danke. QED.
blueX
ZITAT(Heike @ 31.10.2008, 18:33) *
blueX, warum postest Du nicht hier ausführlicher? Verstehe ich jetzt nicht, es interessiert vielleicht auch andere Mitglieder.



Da sich auch die Juristen hier nicht alle einig sind, warten wir einfach mal auf das herbeigesehnte höchstrichterliche Urteil. ;-)

Gleiches verhält sich doch derzeit mit dem neuen VVG. Alles ist anders, aber wo genau die Grenzen liegen, muss erst ausgeurteilt werden um realistische Aussagen treffen zu können.
Nightwatch
Hallo smile.gif

Ein aktueller und durchaus interessanter Fall in Sachen Diebstahl virtueller Güter lasst sich hier nachlesen:
http://www.spiegel.de/netzwelt/web/0,1518,604334,00.html

Da es sich bei den entwendeten Schuhe aus einem Online-Fantasy-Spiel natürlich nur um ein Konstrukt aus Pixeln handelt, wird strafrechtlich folgendermaßen beurteilt:
ZITAT
Dort ist man sich darüber bewusst, dass man einen potentiellen Täter nicht wirklich wegen Diebstahls wird belangen können: Paragraph 242 Abs. 1 StGB definiert den Diebstahl als Entwendung einer fremden beweglichen Sache. Das wird bei Pixelschuhen ziemlich schwer.

Was aber durchaus vorliegen könnte, glaubt man bei der Bochumer Polizei, ist ein Computervergehen auf der Linie von Datenausspähung und -veränderung. Laut Paragraph 303a StGB ein Vergehen, für das ein Täter mit Geldstrafen oder bis zu zwei Jahren Haft bestraft werden könnte. Außerdem: Bestehe wirklich ein Unterschied darin, ob jemand bei einem Online-Pokerspiel um Geld betrogen wird oder in einem Fantasy-Spiel um geldwerte virtuelle Gegenstände? Abgesehen davon, dass letzteres legal ist, ersteres als Geldspiel nicht.


Maximal 1-2 Jahre Haftstrafe. Das ist schon ordentlich.


Gruß,
Nightwatch
Heike
ZITAT
Ob es im Bochumer Fall je zu einer Verhaftung, Klage und Verurteilung kommen wird, darf bezweifelt werden. Das Versprechen, es werde "im Cyberspace" ermittelt, ist nicht umzusetzen - und ist natürlich ein kleiner PR-Gag.


PR-Gag, das ist auch meine Einschätzung.
Nightwatch
ZITAT(Heike @ 29.01.2009, 22:40) *
PR-Gag, das ist auch meine Einschätzung.


Hi smile.gif

Meinst Du, dass es in naher Zukunft hier in Deutschland möglich sein wird, solche Strafen wegen eines solchen Diebstahls durchzusetzen? Wir hatten hier ja das Beispiel in den Niederlanden. In manchen Ländern geht es schon so.


Gruß,
Nightwatch
Heike
die erste Frage ist ja: wie will man so etwas beweisen? Ich denke, das wird eine nicht zu unterschätzende Hürde sein.
gelogte IPs? die werden in so einem Fall nichts nützen, es werden bestimmt Proxys genutzt.

Ich spiele nicht, aber ich weiß von Spielern, dass es einige Tools gibt, mit denen man angeblich "mogeln" kann, diese wiederum sind dann auch schon mal infiziert. Dann haben auf einmal beide Seiten etwas Verbotenes gemacht.

Ich bin sicher, in diesem Fall passiert gar nichts. smile.gif

Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2019 Invision Power Services, Inc.