Suchen

Mit lückenloser Dokumentation und Genehmigung den Hackerparagraphen aushebeln EICAR veröffentlicht Leitfaden zum Einsatz von Hackertools

| Autor / Redakteur: Peter Hempel / Martin Hensel

Die European Expert Group for IT Security (EICAR) stellt ein Positionspapier zum Einsatz von Sicherheitstools vor. Der Nachwuchspreisträger der deutschen Stiftung für Recht und Informatik Dennis Jlussi gibt unter Berücksichtigung der kürzlichen Gesetzesänderung und der Einführung des „Hacker“-Paragraphen 202c StGB Tipps für Administratoren.

Firma zum Thema

Der § 202c StGB: IT-Administratoren vor dem Strafrichter
Der § 202c StGB: IT-Administratoren vor dem Strafrichter
( Archiv: Vogel Business Media )

Dennis Jlussi, Nachwuchspreisträger der deutschen Stiftung für Recht und Informatik, hat für die European Expert Group for IT Security (EICAR) ein Positionspapier verfasst. Darin beschreibt er, wie man trotz Kriminalisierung von Pen-Testern und ähnlichen Hackerwerkzeugen sein Netzwerk überprüfen kann. Allerdings beschreibt der Autor eigentlich nur eine Methode, sich frei nach dem Motto „Wo kein Kläger, da kein Richter“ aus der Affäre zu ziehen: Durch genaue Dokumentation und schriftliche Genehmigung des Inhabers der IT-Infrastruktur kann man den Paragraphen zwar nicht außer Kraft setzen, aber sich gegen eine mögliche Anklage absichern.

Als Kernthese geht aus dem Papier hervor, dass der deutsche Gesetzgeber es versäumt hat, entsprechend der internationalen Cybercrime Convention gutartige Tätigkeiten im Rahmen der IT-Sicherheit klar von den Strafbeständen auszunehmen. Das gilt speziell dann, wenn sich Sicherheitsexperten oder Programmierer mit Viren auseinandersetzen, um entsprechende Sicherheitssoftware herzustellen.

Die Rechtsunsicherheit geht um

Mit der Einführung des Paragraphen 202c StGB im Zuge des 41. Strafrechtänderungsgesetzes zur Bekämpfung der Computerkriminalität ist in großen Teilen der IT-Branche Rechtsunsicherheit entstanden: Auch gutartiger Einsatz von Penetrationstests und Exploits, um den Ist-Zustand eines Firmennetzwerks unter realen Bedingungen abzubilden, sind ohne Ausnahme strafbar. Administratoren, die zu solchen Mitteln greifen, um mit tatsächlichen Angreifern mitzuhalten, handeln illegal und unterliegen der Gnade der Richter und der Verschwiegenheit der Vorgesetzten.

Von Vorgesetzten sollen sich laut Jlussi IT-Experten eine schriftliche Einverständniserklärung einholen, um Pen-Tests durchzuführen: „Es ist auf eine geschlossene Legitimationskette von der Unternehmensleitung bis hin zu derjenigen Person zu achten, die die Einwilligung gibt. Dabei sind auch die Arbeitnehmerbeteiligungsrechte zu wahren“. Zusätzlich rät der Verfasser zu einer lückenlosen Dokumentation: „Aus der Dokumentation sollte sich zweifelsfrei ergeben, dass die Software nicht beschafft wurde, um Straftaten zu begehen, sondern um gutartige Tätigkeiten auszuüben. Auch der Einsatz des Programms ist entsprechend – schriftlich und veränderungssicher – zu dokumentieren“.

EICAR fordert Klärung vom BVerfG

Die EICAR fordert das Bundesverfassungsgericht (BVerfG) zur Klärung auf. Dabei wird auf die Verfassungsbeschwerde hingewiesen, die ein Hersteller von Computerprogrammen zur Kilometerzählerverfälschung eingelegt hat, um Rechtssicherheit für sein Programm zu bekommen.

Die EICAR sieht sich als neutraler Fachbereich der europäischen Sicherheitsorganisation. Zum Austausch wurde ein „Legal Advisory Board“ gegründet. Als Vorsitzender konnte der Rechtsexperte Prof. Dr. Nikolaus Forgo gewonnen werden. Das Forum wird sich zukünftig mit aktuellen Rechtsfragen beschäftigen, die mit Informationssicherheit in Zusammenhang stehen. Darüber hinaus steht das Board als neutrale Informationsstelle für IT-Rechtsfragen zur Verfügung.

Artikelfiles und Artikellinks

(ID:2008648)