Security Tools vs. Computer-Strafrecht: Good Practice bei IT-Sicherheitsaudits Für Unternehmen und deren Mitarbeiter der IT-Sicherheit ist die Frage, ob ihr Handeln strafbar ist, existenziell. Dies gilt gleichermaßen für Kunden, denn professionelle IT- Sicherheitsaudits sind wichtiger Bestandteil des betrieblichen Informationsschutzes und nicht zuletzt des unternehmerischen Risikomanagements. Gerade realitätsnahe Simulationen von Angriffen unter Einsatz sog. Hackertools sind dabei wichtige Mittel zur Gewährleistung der Penetrationssicherheit. Der Umgang mit derlei Tools allerdings kann bereits gefährlich nah am Bereich der Strafbarkeit liegen. Was genau ist also strafbar und wie lassen sich Strafbarkeitsrisiken minimieren? Ausgangspunkt solcher Strafbarkeitsrisiken ist 202c StGB, der als Hackerparagraf bekannt ist. Er wurde 2007 eingeführt und hat einen völkerrechtlichen Hintergrund: Er dient der Umsetzung der Cybercrime Convention 1 in deutsches Recht, die in Artikel 6 eine entsprechende Bestimmung vorsieht. Sicherheitsrelevante Tätigkeiten, die in den Strafbarkeitsbereich des 202c StGB fallen können, sind insbesondere Beschaffung, Erstellung, Anpassung und Verwendung von für die IT- Sicherheit designter Software zur Schwachstellenanalyse (z. B. AppScan, GFI Languard, Nessus). Daneben kann als Teil verschärfter Penetrationstest aber auch echte Schadsoftware (Viren, Trojaner, Würmer, Exploits etc.) beschafft und angewendet werden, um die Resistenz der Systeme gegen akute Bedrohungen zu testen. Häufig kommt es auch zum Austausch von zum Beispiel angepassten Exploits zwischen befreundeten Unternehmen oder im Rahmen von unternehmensübergreifenden Arbeitsgruppen. 2 202c Vorbereiten des Ausspähens und Abfangens von Daten (1) Wer eine Straftat nach 202a oder 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ( 202a Abs. 2) ermöglichen, oder 1 Übereinkommen über Computerkriminalität des Europarates vom 23.11.2001. 2 Z. B. im CERT-Verbund, sh. http://www.cert-verbund.de.
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) 149 Abs. 2 und 3 gilt entsprechend. Rechtsnatur des 202c StGB Bei 202c StGB handelt es sich um ein selbständiges Vorbereitungsdelikt, das die Strafbarkeit bereits in das Vorfeld der eigentlichen Straftat verlagert. Solche Delikte sind ein Mittel, das der Gesetzgeber wählt, um bei typischerweise schwierigen Beweislagen noch eine Strafbarkeit herbeizuführen. 3 Es handelt sich außerdem um ein abstraktes Gefährdungsdelikt; solche Delikte stellen anders als der Großteil des Strafrechts nicht erst einen bestimmten konkreten Taterfolg unter Strafe, sondern stellen auf eine abstrakte Gefährlichkeit des Handelns ab. Zutreffend ist daher beim Hackerparagrafen eine Parallele zum Waffenrecht (auch der Besitz einer Waffe allein, ohne damit jemanden konkret zu gefährden, ist im Grundsatz verboten) gezogen worden - 202c ist sozusagen das Waffenrecht der IT. Das bedeutet, dass es gerade nicht darauf ankommt, ob tatsächlich ein Computersystem bedroht wird oder nicht, es geht schon um den schieren Umgang mit Hackertools. Der objektive Tatbestand Als Varianten der Tathandlung nennt das Gesetz herstellen, sich oder einem anderen verschaffen, verkaufen, einem anderen überlassen sowie verbreiten oder sonst zugänglich machen entsprechender Software. Als Tatobjekte kommen Passwörter und sonstige Sicherheitscodes ( 202c Abs. 1 Nr. 1) sowie Computerprogramme (Nr. 2) in Betracht. Was ein Computerprogramm ist, ist im Gesetz nicht definiert, und auch allgemein akzeptierte technische Definitionen scheint es nicht zu geben. Nach einem Definitionsversuch sind Computerprogramme Abfolgen von Befehlen, die auf einem Computer zur Ausführung gebracht werden, um eine bestimmte Funktionalität zur Verfügung zu stellen. 4 Der Begriff ist aber vor allem am Schutzzweck 202c auszulegen, also der Vermeidung der Vorbereitung der Straftaten nach 202a, 202b sowie 303a, 303b StGB. 3 Ähnliche Vorschriften gibt es gegen die Beschaffung von Gerätschaften zur Geld- und Passfälschung. 4 Wikipedia: Computerprogramm; ganz ähnlich Zimmermann (Hrsg.), Das Lexikon der Datenverarbeitung.
Computerprogramme i.s.d. 202c können daher zunächst all solche sein, die geeignet sind, diese Straftaten zu begehen. Erfasst sind auch Skripte, die (z. B. Betriebssystem-) Funktionen am Computer anstoßen, die für sich genommen neutrale Zwecke verfolgen, durch das Skript aber in bösartiger Absicht ausgelöst oder kombiniert werden 5. Nicht erfasst hingegen dürften reine Verweise auf Schadsoftware sein, etwa die einbettende HTML-Seite als solche. Sicher keine Computerprogramme sind Informationen in Menschensprache darüber, wie also mit welchem Ablauf und welcher Programmlogik eine Sicherheitslücke ausgenutzt werden kann. Weitere Voraussetzung der Strafbarkeit ist, dass die objektivierte Zweckbestimmung der genannten Software die Begehung einer Tat nach 202a, 202b, 303a, 303b StGB 6 ist. Dies Während eine Zweckbestimmung naturgemäß subjektiv ist, will der Gesetzgeber diese Zweckbestimmung objektivieren. Dabei wird es auf die Anschauung der Verkehrskreise ankommen. Malware fällt daher stets unter den objektiven Tatbestand, da ihr eigentlicher Zweck bösartig ist, auch wenn man sie zu Testzwecken in gutartiger Absicht einsetzen kann. Die Cybercrime Convention will eine Erfassung von dual use tools also Software, die für gute wie böse Zwecke eingesetzt werden kann, was sich erst bei konkreter Anwendung entscheidet durch Abstellung auf den primären Zweck der Software ausschließen. 7 Ähnlich hatte es der deutsche Gesetzgeber in der amtlichen Gesetzesbegründung dargestellt; 8 die Begründung ist allerdings nicht verbindlich für Staatsanwaltschaften und Gerichte, so dass erhebliche Unsicherheit in dieser Richtung verblieb. Diese sollte durch die Entscheidung des Bundesverfassungsgerichts 9 ausgeräumt sein; aus dem objektiven Tatbestand fallen verkehrsübliche IT-Sicherheitstools heraus, auch wenn sie im Einzelfall bösartig eingesetzt werden können. Der subjektive Tatbestand Voraussetzung ist weiterhin, dass der Täter mindestens damit rechnet und billigend in Kauf nimmt, dass seine Handlung eine Computerstraftat vorbereitet, die er oder ein Dritter zum Zeitpunkt der Tathandlung schon ins Auge gefasst hat. 10 Beim Zurverfügungstellen (zum Download) genügt es hierfür, dass sich andere zur Begehung einer Straftat das Hackertool 5 Man denke an den simpelsten Fall der Batch-Datei mit dem Befehl format c:. 6 Also Ausspähen und Abfangen von Daten, Datenveränderung oder Computersabotage. 7 Explanatory Report, Rn. 73. 8 BT-Drs. 16/3656, S. 12. 9 BVerfG, Beschluss vom 18.05.2009, 2 BvR 2233/07 u.a. 10 Vor allem an diesem Kriterium der hinreichenden Konkretisierung hat die Staatsanwaltschaft Bonn die Strafanzeige der TecChannel-Redaktion gegen das BSI scheitern lassen: StA Bonn, Einstellungsbescheid vom 8.10.2007, 430 Js 1496/07.
beschaffen und dies in Kauf genommen wird. Ohne Kenntnis der einzelnen Modalitäten reicht also ein Bewusstsein der Förderung einer entsprechenden Straftat. Die nachgelagerten Delikte Die vorzubereitenden Straftatbestände finden sich in den 202a, 202b, 303a und 303b. 202a (Ausspähen von Daten) stellt das Sich-Zugang-Verschaffen zu jeglichen Daten unter Strafe, soweit diese hiergegen geschützt sind und der Zugriff widerrechtlich erfolgt. Gemeint ist damit im Wesentlichen das klassische Hacking. Tools i.s.v. 202c sind insofern also entsprechende Kits, aber auch Trojaner. 202b StGB begründet daneben auch für das Abfangen von unverschlüsselten Daten in Kommunikationsnetzen eine Strafbarkeit. Klassischer Fall insoweit ist Sniffersoftware. 303a bestraft eine widerrechtliche Datenveränderung. Entsprechende Software ist typischerweise Virensoftware, aber auch andere Malware, die etwas Registryeinträge manipuliert. 303b (Computersabotage) schließlich ist besonders im Bereich von DOS-Attacken einschlägig. Allen Delikten gemeinsam ist, dass sie gegen den Willen des Verfügungsberechtigten geschehen müssen. Solange klare, ausreichende und legitimierte Einwilligungen vorliegen, sind egal wie scharfe IT-Sicherheitstests nicht rechtswidrig und daher nicht strafbar. Eine Einwilligung in die Vorbereitung gem. 202c StGB ist an sich nicht möglich, denn solange die Gefährdung nur abstrakt ist, gibt es kein Opfer, das einwilligen könnte. Die Einwilligung in die nachgelagerten Delikte wirkt aber mittelbar auch für 202c: Beschafft der Handelnde eine von 202c erfasste Software ausschließlich, um damit Handlungen vorzunehmen, für die er eine Einwilligung der Betroffenen hat (oder glaubhaft haben wird), fehlt es an der Vorbereitung einer Straftat. Allerdings werden in der Praxis einige Regeln zu beachten sein, um diesen Umstand einwandfrei nachweisen zu können. Good Practice Im Umgang mit Hackertools etc. zu Testzwecken ist besondere Sorgfalt geboten. Es sollte keine Weitergabe erfolgen jenseits bekannter, zuverlässiger Partner (inbs. nicht an einen unbekannten Empfängerkreis). Installationsdateien sollten sicher verwahrt werden. Beschaffung darunter fallen auch kostenlose Downloads und Erstellung sollten hinsichtlich genauer Testzwecke nachvollziehbar protokolliert werden. Aus der möglichst veränderungssicheren Dokumentation sollte sich zweifelsfrei ergeben, dass die Software keinen Straftaten dienen soll.
Die Einwilligungen für die Tests sollten schriftlich erfolgen und möglichst konkret und genau diejenigen Maßnahmen nennen, in die eingewilligt wird. Es ist auf eine geschlossene Legitimationskette von der Unternehmensleitung (Vorstand) bis hin zu derjenigen Person zu achten, die die Einwilligung gibt. Bei Unternehmen, in denen die Privatnutzung von Computern und Internet gestattet ist, sollte der Betriebsrat einbezogen werden. Hundertprozentigen Schutz vor übereifrigen Ermittlungsmaßnahmen gibt es in diesem Bereich nicht. Nach der Entscheidung des Bundesverfassungsgerichts einerseits und bei Beachtung der genannten Sorgfaltskriterien andererseits sollte sich aber sicherstellen lassen, dass IT Security Professionals nicht ständig mit einem Bein im Knast stehen. Christian Hawellek, Dennis Jlussi Wissenschaftliche Mitarbeiter am Institut für Rechtsinformatik der Juristischen Fakultät der Leibniz Universität Hannover Mehr zum Thema: Jlussi/Hawellek: IT-Sicherheit im Lichte des Strafrechts München 2007, ISBN 978-3-638-85444-3, 76 Seiten Erstveröffentlicht in IT-SICHERHEIT 1/2011