Kostenloser Leitfaden zum Umgang mit dem Hackerparagrafen

Ein von Bitkom veröffentlichter Leitfaden soll IT-Unternehmen und Mitarbeiter von Strafverfolgungsbehörden bei der Einschätzung helfen, ob sich ein Nutzer beim Einsatz von Computerprogrammen zum Aufspüren von Sicherheitslücken im Rahmen des Hackerparagrafen 202c strafbar gemacht hat. Allerdings trägt der Leitfaden unter Umständen eher zur Verwirrung bei als zur Aufklärung.

Das 16-seitige zum freien Download angebotene Dokument "Praktischer Leitfaden für die Bewertung von Software im Hinblick auf den § 202c, StGB" schlägt ein dreistufiges Bewertungsschema vor, anhand dessen sich mit hoher Wahrscheinlichkeit ermitteln lassen soll, ob eine strafbare Handlung vorliegt. Vier von den Autoren aufgeführte Praxisbeispiele sollen den Einsatz dabei verdeutlichen.

Die drei Bewertungskriterien sind "Funktion des Programmes", dessen "Einsatzzweck" und "Intention der handelnden Person". Der Einsatz eines Schwachstellenscanners ist nach Meinung von Bitkom ebenso unkritisch wie der Einsatz eines Portscanners. Selbstpropagierender Code (sprich Würmer und Viren), das Umleiten von Netzwerkverkehr sowie Passwörter erraten ist indes im Leitfaden als kritisch eingestuft. Sofern solch ein Tool aber zur Qualitätssicherung eingesetzt wird, gilt die Nutzung als unkritisch. Andersherum kann aus dem Schwachstellenscan ein kritischer Vorgang werden, wenn er im Rahmen eines Penetrationstests oder der Sicherheitsadministration durchgeführt wird – professionelle Sicherheitstester dürften mit dieser Definition eher unglücklich sein. Allerdings tauchen sie dafür in der Whitelist der handelnden Personen auf, deren Intention als unkritisch einzustufen ist. Dazu gehören aber auch "Sicherheitsforscher", die im Rahmen der Responsible Disclosure nach Schwachstellen suchen.

Als Praxisbeispiel zur Anwendung des Leitfadens führt Bitkom einen Passwort-Cracker auf, der beim Einsatzzweck fälschlicherweise entgegen der vorherigen Definition als unkritisch klassifiziert wird. Auf diesen Widerspruch angesprochen, räumte Lutz Neugebauer von Bitkom gegenüber heise Security ein, dass das Beispiel überarbeitet werden soll. Als Beispiele dienen im Weiteren Portscanner und Software-Analyse-Tools. Beispiel vier befasst sich mit einem Zero-Day-Exploit gegen ein fremdes System durch eine kleine Gruppe. Wenig überraschend kommen die Autoren zu der Erkenntnis, dass wahrscheinlich eine Straftat geplant ist – was sicherlich auch ohne Leitfaden gelingt.

Ein sinnvolleres Beispiel wäre ein oft bereits im Vorfeld des Beschlusses des Hackerparagrafen skizzierten Szenario gewesen: Wie steht es um den Einsatz bekannter Exploits gegen fremde Systeme im Rahmen eines beauftragten Penetrationtests? Abschließend liefert das Dokument im Kapitel "Best Practices" noch eine Liste von Punkten, dies es im Rahmen von Tests in Unternehmen zu beachten gilt.

Bereits im Oktober des vergangenen Jahres kam die EICAR in einer juristischen Stellungnahme zur Einführung des § 202c StGB zu dem Schluss, dass Sicherheitsexperten genügend Raum hätten, Hacker-Werkzeuge zum Testen von Software-Exploits oder Lücken in Netzwerken einzusetzen. Voraussetzung dafür sei allerdings, dass die "gutartige Tätigkeit" ausführlich dokumentiert wird. Beim Angriff auf Unternehmensnetze müsse obendrein das schriftliche Einverständnis der betroffenen Firma vorliegen.

Siehe dazu auch:

• Praktischer Leitfaden für die Bewertung von Software im Hinblick auf den § 202c, StGB, Dokument von Bitkom

• EICAR: Sicherheitsexperten dürfen Hacker-Werkzeuge einsetzen
• Verschärfte Hackerparagraphen treten in Kraft

(dab)