Mit lückenloser Dokumentation und Genehmigung den Hackerparagraphen aushebeln

EICAR veröffentlicht Leitfaden zum Einsatz von Hackertools

25.10.2007 | Autor / Redakteur: Peter Hempel / Martin Hensel

Der § 202c StGB: IT-Administratoren vor dem Strafrichter
Der § 202c StGB: IT-Administratoren vor dem Strafrichter

Die European Expert Group for IT Security (EICAR) stellt ein Positionspapier zum Einsatz von Sicherheitstools vor. Der Nachwuchspreisträger der deutschen Stiftung für Recht und Informatik Dennis Jlussi gibt unter Berücksichtigung der kürzlichen Gesetzesänderung und der Einführung des „Hacker“-Paragraphen 202c StGB Tipps für Administratoren.

Dennis Jlussi, Nachwuchspreisträger der deutschen Stiftung für Recht und Informatik, hat für die European Expert Group for IT Security (EICAR) ein Positionspapier verfasst. Darin beschreibt er, wie man trotz Kriminalisierung von Pen-Testern und ähnlichen Hackerwerkzeugen sein Netzwerk überprüfen kann. Allerdings beschreibt der Autor eigentlich nur eine Methode, sich frei nach dem Motto „Wo kein Kläger, da kein Richter“ aus der Affäre zu ziehen: Durch genaue Dokumentation und schriftliche Genehmigung des Inhabers der IT-Infrastruktur kann man den Paragraphen zwar nicht außer Kraft setzen, aber sich gegen eine mögliche Anklage absichern.

Als Kernthese geht aus dem Papier hervor, dass der deutsche Gesetzgeber es versäumt hat, entsprechend der internationalen Cybercrime Convention gutartige Tätigkeiten im Rahmen der IT-Sicherheit klar von den Strafbeständen auszunehmen. Das gilt speziell dann, wenn sich Sicherheitsexperten oder Programmierer mit Viren auseinandersetzen, um entsprechende Sicherheitssoftware herzustellen.

Die Rechtsunsicherheit geht um

Mit der Einführung des Paragraphen 202c StGB im Zuge des 41. Strafrechtänderungsgesetzes zur Bekämpfung der Computerkriminalität ist in großen Teilen der IT-Branche Rechtsunsicherheit entstanden: Auch gutartiger Einsatz von Penetrationstests und Exploits, um den Ist-Zustand eines Firmennetzwerks unter realen Bedingungen abzubilden, sind ohne Ausnahme strafbar. Administratoren, die zu solchen Mitteln greifen, um mit tatsächlichen Angreifern mitzuhalten, handeln illegal und unterliegen der Gnade der Richter und der Verschwiegenheit der Vorgesetzten.

Von Vorgesetzten sollen sich laut Jlussi IT-Experten eine schriftliche Einverständniserklärung einholen, um Pen-Tests durchzuführen: „Es ist auf eine geschlossene Legitimationskette von der Unternehmensleitung bis hin zu derjenigen Person zu achten, die die Einwilligung gibt. Dabei sind auch die Arbeitnehmerbeteiligungsrechte zu wahren“. Zusätzlich rät der Verfasser zu einer lückenlosen Dokumentation: „Aus der Dokumentation sollte sich zweifelsfrei ergeben, dass die Software nicht beschafft wurde, um Straftaten zu begehen, sondern um gutartige Tätigkeiten auszuüben. Auch der Einsatz des Programms ist entsprechend – schriftlich und veränderungssicher – zu dokumentieren“.

EICAR fordert Klärung vom BVerfG

Die EICAR fordert das Bundesverfassungsgericht (BVerfG) zur Klärung auf. Dabei wird auf die Verfassungsbeschwerde hingewiesen, die ein Hersteller von Computerprogrammen zur Kilometerzählerverfälschung eingelegt hat, um Rechtssicherheit für sein Programm zu bekommen.

Die EICAR sieht sich als neutraler Fachbereich der europäischen Sicherheitsorganisation. Zum Austausch wurde ein „Legal Advisory Board“ gegründet. Als Vorsitzender konnte der Rechtsexperte Prof. Dr. Nikolaus Forgo gewonnen werden. Das Forum wird sich zukünftig mit aktuellen Rechtsfragen beschäftigen, die mit Informationssicherheit in Zusammenhang stehen. Darüber hinaus steht das Board als neutrale Informationsstelle für IT-Rechtsfragen zur Verfügung.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2008648 / Security-Testing)