Open source intelligence

Open Source Intelligence (OSINT) has gained importance in more fields of application than just in intelligence agencies. This paper provides an overview of the fundamental methods used to conduct OSINT investigations and presents different use cases where OSINT techniques are applied. Different models of the information cycle applied to OSINT are addressed. Additionally, the terms data, information, and intelligence are explained and correlated with the intelligence cycle. A classification system for entities during OSINT investigations is introduced. By presenting the capabilities of modern search engines, techniques for research within social networks and for penetration tests, the fundamental methods used for information gathering are explained. Furthermore, possible countermeasures to protect one’s privacy against the misuse of openly available information as well as the legal environment in Germany, and the ethical perspective are discussed.

Die Strafbarkeit des Betreibens krimineller Handelsplattformen im Internet – Der neue § 127 StGB

ZusammenfassungAm 1. Oktober 2021 ist der neue § 127 StGB in Kraft getreten, mit dem eine eigenständige Strafbarkeit für das Betreiben von kriminellen Handelsplattformen im Internet eingeführt wird. Allerdings bestand für diese Neuregelung schon keine Regelungslücke und damit auch keine Legitimation für eine erneute Erweiterung des Strafgesetzbuchs. Zudem weist die gesetzliche Ausgestaltung – allen Warnungen aus der Wissenschaft zum Trotz – massive gesetzestechnische Mängel auf. Außerdem wurden ihre praktischen Auswirkungen erkennbar nicht konsequent durchdacht. Der nachfolgende Beitrag benennt die neuralgischen Punkte dieser neuen Strafnorm und bemüht sich um erste Überlegungen zu Auslegungs- und Anwendungsfragen.

Portscans im Lichte des Rechts: eine straf- und zivilrechtliche Analyse

ZusammenfassungDie Prüfung von IT-Sicherheitsstrukturen mithilfe von Portscans wurde im Rahmen des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (nachfolgend auch „IT-SiG 2.0“ genannt) kontrovers diskutiert. Das Bundesamt für Sicherheit in der Informationstechnik (nachfolgend „BSI“ genannt) ist nach Umsetzung des IT-SiG 2.0 zur Vornahme von Portscans zur Prüfung der IT-Sicherheitsstruktur bestimmter Unternehmen berechtigt. Angesichts des dem IT-SiG 2.0 vorgelagerten Gesetzgebungsverfahrens haben sich die Schwächen bei der rechtlichen Einschätzung von Portscans unter dem StGB und dem Deliktsrecht offenbart. Mit unterschiedlichen oder gänzlich ohne Begründungen wurden Portscans durch verschiedene Interessenverbände als Computerstraftat oder deliktsrechtlich relevant eingestuft, während andere diese minimal-invasive Maßnahme zur Sicherstellung der IT-Sicherheit von Unternehmen uneingeschränkt willkommen geheißen haben. Die vorgenannte Diskrepanz in der rechtlichen Beurteilung von Portscans ist auch in der juristischen Literatur und Praxis wiederzufinden. Der Beitrag versucht diese Unsicherheiten aufzugreifen und Klarheit in den Fragen der rechtlichen Bewertung von Portscans unter dem StGB und dem Deliktsrecht zu schaffen. Richtungsweisende Rechtsprechung hierzu existiert bislang nicht. Angesichts der steigenden Bedeutung der IT-Sicherheit für alle Marktteilnehmer unterschiedlichster Art und Größe ist die Frage nach der rechtskonformen Einsatzmöglichkeit dieses Sicherheitstools auch abseits vertraglicher Beziehungen von elementarer Bedeutung. Die besonderen Anforderungen für Portscans staatlicher Stellen bleiben bei der hiesigen Analyse außen vor.