EICAR: Sicherheitsexperten dürfen Hacker-Werkzeuge einsetzen
Sicherheitsspezialisten, die Software zur Schwachstellenanalyse nutzen, aber auch Malware verwenden, um bestehende System zu testen, sollten ihre Arbeit genau dokumentieren, heißt es in einer Analyse des so genannten Hackerparagraphen.
- Detlef Borchers
Die European Expert Group for IT Security (EICAR) hat im Rahmen ihres Information Security Summit eine juristische Stellungnahme zur Einführung des § 202c StGB veröffentlicht. Danach lässt der so genannte Hackerparagraph Sicherheitsexperten genügend Raum, Hacker-Werkzeuge zum Testen von Software-Exploits oder Lücken Netzwerken einzusetzen. Voraussetzung dafür sei allerdings, dass die "gutartige Tätigkeit" ausführlich dokumentiert wird. Beim Angriff auf Unternehmensnetze müsse obendrein das schriftliche Einverständnis der betroffenen Firma vorliegen.
Das EICAR-Positionspapier (PDF-Datei) zum 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität wurde von Dennis Jlussi und Christian Hawellek verfasst. Die Autoren kommen zum Schluss, dass es im Gesetz versäumt wurde, gutartige Tätigkeiten im Rahmen der IT-Sicherheit im Sinne der europäischen Cybercrime Convention klar von den Straftatbeständen abzugrenzen. Daher erzeuge der § 202c eine Rechtsunsicherheit, zumal bisher keine höchstrichterliche oder obergerichtliche Rechtssprechung in der Frage vorliege. Sicherheitsspezialisten, die Software wie Nessus und AppScan zur Schwachstellenanalyse einsetzen müssen, aber auch Malware wie Viren, Trojaner und Exploits verwenden, um bestehende System zu testen, sollten ihre Arbeit genau dokumentieren.
"Aus der Dokumentation sollte sich zweifelsfrei ergeben, dass die Software nicht beschafft wurde, um Straftaten zu begehen, sondern um gutartige Tätigkeiten auszuüben. Auch der Einsatz des Programms ist entsprechend – schriftlich und veränderungssicher – zu dokumentieren", heißt es in dem Positionspapier, das auch auf die Einwilligung von betroffenen Unternehmen zum Eindringen in Netzwerke hinweist: "Es ist auf eine geschlossene Legitimationskette von der Unternehmensleitung bis hin zu derjenigen Person zu achten, die die Einwilligung gibt. Dabei sind auch die Arbeitnehmerbeteiligungsrechte zu wahren." Obendrein halten die Autoren eine Klärung durch das Bundesverfassungsgericht für wünschenswert. Sie verweisen dabei auf die Verfassungsbeschwerde, die ein Hersteller von Computerprogrammen für die Kilometerzählerverfälschung eingelegt hat, um Rechtssicherheit für sein Programm zu bekommen.
Als problematische Grauzone werden im Positionspapier vor allem die Exploits dargestellt, die etwa bei der Erstellung von Software für eine verdeckte Online-Durchsuchung eine wichtige Rolle spielen sollen. "Ein Exploit ist z.B. an sich nach objektiver Zweckbestimmung strafwürdig. Ob das aber etwa auch für Exploits gilt, die von IT-Sicherheitsmitarbeitern erstellt werden und Sicherheitslücken testweise ausnutzen, die bekannt sind und geschlossen sein sollten, ist sehr fraglich; diese können möglicherweise bereits nach objektivierter Bestimmung auch zur gutartigen Verwendung bestimmt sein", heißt es in der Stellungnahme der Juristen.
Siehe dazu auch:
- Bundesgesetzblatt Nr. 38 vom 10.8.2007
- Einundvierzigstes Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität (41. StrÄndG) (PDF-Datei), veröffentlicht im Bundesgesetzblatt Nr. 38
- IT-Branchenverband fordert rasche Korrektur der Hackerparagraphen
- Keine PHP-Exploits mehr wegen Hackerparagraphen
- Chaos Communication Camp: Mit Massenfesselung gegen den Hackerparagraphen
- Verschärfte Hackerparagraphen treten in Kraft
- Bundesrat billigt verschärfte Hackerparagraphen
- Bundesrat will Hackerparagraphen durchwinken
- Scharfe Kritik am neuen Hackerparagraphen
- Risikoberuf Sicherheitsexperte?, Bundestag winkt aufgebohrtes Computerstrafrecht durch, c't 13/07, S. 42
- Bundestag winkt verschärften Hackerparagraphen durch
- Grünes Licht für Verschärfung der Hackerparagraphen
- Klarstellungen bei neuen Hackerparagraphen gefordert
- 23C3: Geplante Hackerparagraphen bringen "absolute Rechtsunsicherheit"
- Bundesregierung hält an Verschärfung der "Hackerparagraphen" fest
- Bundesrat kritisiert Gesetzentwurf zur Bekämpfung der Computerkriminalität scharf
- Kritik am Gesetzesentwurf zu "Hacker-Tools" hält an
- IT-Branchenverband gegen pauschales Verbot von "Hacker-Tools"
- Justizministerium sieht keinen Änderungsbedarf bei Paragraphen über "Hacker-Tools"
- CCC warnt vor Verbot von "Hacker-Tools"
- Regierung will "letzte Lücken" im Computerstrafrecht schließen
- EU geht schärfer gegen Hacker vor
- Neue Strafbarkeiten und Probleme, Der Entwurf des Strafrechtsänderungsgesetzes (StrafÄndG) zur Bekämpfung der Computerkriminalität vom 20. September 2006, Analyse von Alexander Schultz
- IT-Sicherheit und § 202c StGB, Strafbarkeit beim Umgang mit IT-Sicherheitstools nach dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität, Analyse von Dennis Jlussi und Christian Hawellek für die European Expert Group for IT Security
(Detlef Borchers) / (jk)
