Menü
Security

EICAR: Sicherheitsexperten dürfen Hacker-Werkzeuge einsetzen

vorlesen Drucken Kommentare lesen 80 Beiträge

Die European Expert Group for IT Security (EICAR) hat im Rahmen ihres Information Security Summit eine juristische Stellungnahme zur Einführung des § 202c StGB veröffentlicht. Danach lässt der so genannte Hackerparagraph Sicherheitsexperten genügend Raum, Hacker-Werkzeuge zum Testen von Software-Exploits oder Lücken Netzwerken einzusetzen. Voraussetzung dafür sei allerdings, dass die "gutartige Tätigkeit" ausführlich dokumentiert wird. Beim Angriff auf Unternehmensnetze müsse obendrein das schriftliche Einverständnis der betroffenen Firma vorliegen.

Das EICAR-Positionspapier (PDF-Datei) zum 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität wurde von Dennis Jlussi und Christian Hawellek verfasst. Die Autoren kommen zum Schluss, dass es im Gesetz versäumt wurde, gutartige Tätigkeiten im Rahmen der IT-Sicherheit im Sinne der europäischen Cybercrime Convention klar von den Straftatbeständen abzugrenzen. Daher erzeuge der § 202c eine Rechtsunsicherheit, zumal bisher keine höchstrichterliche oder obergerichtliche Rechtssprechung in der Frage vorliege. Sicherheitsspezialisten, die Software wie Nessus und AppScan zur Schwachstellenanalyse einsetzen müssen, aber auch Malware wie Viren, Trojaner und Exploits verwenden, um bestehende System zu testen, sollten ihre Arbeit genau dokumentieren.

"Aus der Dokumentation sollte sich zweifelsfrei ergeben, dass die Software nicht beschafft wurde, um Straftaten zu begehen, sondern um gutartige Tätigkeiten auszuüben. Auch der Einsatz des Programms ist entsprechend – schriftlich und veränderungssicher – zu dokumentieren", heißt es in dem Positionspapier, das auch auf die Einwilligung von betroffenen Unternehmen zum Eindringen in Netzwerke hinweist: "Es ist auf eine geschlossene Legitimationskette von der Unternehmensleitung bis hin zu derjenigen Person zu achten, die die Einwilligung gibt. Dabei sind auch die Arbeitnehmerbeteiligungsrechte zu wahren." Obendrein halten die Autoren eine Klärung durch das Bundesverfassungsgericht für wünschenswert. Sie verweisen dabei auf die Verfassungsbeschwerde, die ein Hersteller von Computerprogrammen für die Kilometerzählerverfälschung eingelegt hat, um Rechtssicherheit für sein Programm zu bekommen.

Als problematische Grauzone werden im Positionspapier vor allem die Exploits dargestellt, die etwa bei der Erstellung von Software für eine verdeckte Online-Durchsuchung eine wichtige Rolle spielen sollen. "Ein Exploit ist z.B. an sich nach objektiver Zweckbestimmung strafwürdig. Ob das aber etwa auch für Exploits gilt, die von IT-Sicherheitsmitarbeitern erstellt werden und Sicherheitslücken testweise ausnutzen, die bekannt sind und geschlossen sein sollten, ist sehr fraglich; diese können möglicherweise bereits nach objektivierter Bestimmung auch zur gutartigen Verwendung bestimmt sein", heißt es in der Stellungnahme der Juristen.

Siehe dazu auch:

(Detlef Borchers) / (Detlef Borchers) / (jk)