Good Practice bei IT-Sicherheitsaudits



Ähnliche Dokumente
Das BVerfG und 202c StGB. Dominik Boecker Rechtsanwalt

Der Hackerparagraph im StGB: Was nun?

Rückspiegel Ein Blick zurück auf Themen vergangener Betriebstagungen

Die Reform des Computerstrafrechts

Strafrechtliche Aspekte der Betriebssystemadministration

Wirtschafts- und Europastrafrecht

IT-SICHERHEIT UND 202c StGB

Aktuelle Kriminalpolitik

Dorothee Krutisch. Strafbarkeit des unberechtigten Zugangs zu Computerdaten und -Systemen. PETER LANG Europäischer Verlag der Wissenschaften

Nomos. Strafbarkeit der Datenbzw. Informationsspionage in Deutschland und Polen. Münsterische Beiträge zur Rechtswissenschaft Neue Folge 14

Datendiebe oder Betrüger? Strafrecht vor der Herausforderung von IT-Delikten Prof. Dr. Sabine Gless, Uni Basel

6: Rechtliche Regelungen

Strafrecht. Eine Einführung für die. Schulung des kommunalen Ordnungsdienstes der Stadt Kiel. Die gezeigten PowerPoint Folien

Schutzgut Daten 202 a StGB Ausspähen von Daten 303 a Datenveränderung 303 b Computersabotage 269 Fälschung beweiserheblicher Daten

STRAFRECHTLICHE ASPEKTE DES DROHNENFLUGS

Hacking ist einfach!

Strafrechtliche Konsequenzen bei der Weitergabe von Informationen

13: Vollrausch ( 323 a)

Der Tatbestand der Geldwäsche ( 261 StGB)

Fall 4. Indem R dem J mit dem Baseballschläger hart auf den Kopf schlug, könnte sie sich wegen Totschlags gemäß 212 Abs.1 StGB strafbar gemacht haben.

Einführung in das deutsche und europäische Computer- und Internetstrafrecht

Regelungen zur Zulässigkeit ärztlicher Informationen über Schwangerschaftsabbrüche in ausgewählten Mitgliedstaaten der EU

Verpflichtungserklärung

Lösungsskizze Fall 3

Willkommen in der Anfängerübung zur Falllösung aus Strafrecht. Susanne Reindl-Krauskopf Wien,

Straftaten gegen die sexuelle Selbstbestimmung im Strafgesetzbuch die für die Jugendarbeit von Bedeutung sein können

Vorlesung Lehren des Strafrecht AT und Delikte gegen die Person

32: Versicherungsmissbrauch ( 265 StGB)

Schriften zu Compliance 3. Jörg Eisele. Compliance und Datenschutzstrafrecht. Strafrechtliche Grenzen der Arbeitnehmerüberwachung.

Inhaltsübersicht Abkürzungsverzeichnis Literaturverzeichnis. 1 Grundlagen 1

Strafrecht BT III Frühjahrssemester 2015

22: Die Verwirklichungsstufen der vorsätzlichen Tat und Strafbarkeit des Versuch

3. In einem minder schweren Fall wird der Täter mit Geldstrafe, mit Freiheitsbeschränkungsstrafe oder Freiheitsstrafe bis zu einem Jahr bestraft.

Übung Strafrecht WS 2012/ 2013 Lösungshinweise Übungsfall 3

Konversatorium Strafrecht III Nichtvermögensdelikte

Zulässiger Umgang mit SPAM-Mails

AUGSBURGER PAPIERE ZUR KRIMINALPOLITIK AUGSBURG PAPERS ON CRIMINAL LAW POLICY

Grundkurs Strafrecht II Prof. Dr. Luís Greco Teil 4: Straftaten gegen die persönliche Freiheit. Teil 4: Straftaten gegen die persönliche Freiheit

Tötungs- und Körperverletzungsdelikte

Anwendungskurs Strafrecht Allgemeiner Teil II und Eigentumsdelikte. SoSe Fall 2: Lösungsskizze -

Universität Heidelberg Besprechungsfall 8 Wintersemester 2014/15

B. Unterschlagung ( 246 StGB)

Strafbarkeit unbefugter und ehrverletzender Fotos. Änderungen beim 201 a StGB zum

9: Aussetzung ( 221 StGB)

Schwerpunkte der geplanten Änderungen des Sexualstrafrechts

Ordnungswidrigkeiten Materielles Recht. Das Gesetzlichkeitsprinzip im OWiG Prof. Dr. D. Klesczewski

Brandenburgisches Oberlandesgericht. Beschluss

68: Mittelbare Falschbeurkundung ( 271)

18: Weitere Delikte gegen die persönliche Freiheit

Prof. Dr. Michael Jasch

Begriffsbestimmungen

Klausur Strafrecht AT Sabine Gless

Fall 4 I. Strafbarkeit des K 1. Tatbestand

Angebot und Verkauf der Kunstlederschuhe

Konversatorium Strafrecht IV Vermögensdelikte

Dezember 18. Prof. Dr. Michael Jasch

Gewahrsamsbruch erst mit Verlassen der Räumlichkeit, vgl. BGH NStZ 2008, 624= JuS 2008, 1119 (betreffend die Wegnahme eines Laptops).

Verfassungsrechtliche Grundlagen des Strafrechts Das Bestimmtheitsgebot

Die Strafbarkeit der sexuellen Handlungen mit Kindern nach Art. 187 StGB

Fall 6. A. Strafbarkeit der J wegen Körperverletzung gem. 223 Abs. 1 StGB durch Werfen der Coladose

Eric Hilgendorf Thomas Frank Brian Valerius. Internetstrafrecht. Ein Grundriss. 4y Springer

Die ganze Wahrheit über Hackingangriffe? Motive und Auswirkungen Daten nützen Daten schützen. Gerhard Haider CEO

Strafrechtliche Risiken im Zusammenhang mit Kampfmitteln Referent: LB FAStR Florian Englert RA F. Englert

Strafrechtliche Folgen von Cyber- Angriffen. Dr. Eren Basar Cyberkonferenz: IT Sicherheit für den Mittelstand ist Chefsache Düsseldorf,

BVerfG, Urteil vom 30. März 2004, BVerfGE 110, 226 Verteidigerhonorar

Strafgesetzbuch (StGB) Auszug:

STELLUNGNAHME. 1. Einleitung

Klausur Viel Spreu, wenig Weizen

Cyber-Alarm 10 Tipps, wie Sie Ihre Daten schützen

Neue Entwicklungen im Internetrecht

Europäisches Strafrecht

Das aktuelle Computerstrafrecht

Netzsicherheit SS 2006 NS-1 1

Alles was Recht ist. Der Verantwortungsbereich des Übungsleiters aus rechtlicher Sicht. Übersicht. Strafrechtliche Haftung

Strafrecht BT Lösungsskizze

4. Rechtswidrigkeit: Die Verwerflichkeitsklausel ( 240 Abs. 2)

Wintersemester 2010 / Klausurenkurs zur Examensvorbereitung im Strafrecht. 2. Klausur / Tritte auf die Unrechtsseite

Einführung in das Strafrecht

Kanton Zürich Direktion der Justiz und des Innern Oberjugendanwaltschaft. Missbräuchliche Mediennutzung

Anwendungskurs Strafrecht Allgemeiner Teil II und Eigentumsdelikte

Security-Testing. UnFUG WS 11/12. Christian Fischer. 17. November Rechtliches Tools Spielwiese Workshop

Rechtliche Aspekte beim Kampf gegen Botnetze. Frank Ackermann Senior Legal Counsel, eco

Fachhochschule Frankfurt am Main Fachbereich 2: Informatik WS 2008/2009. IT-Security. Teil 10: Hacking Dr. Erwin Hoffmann

21: Objektive Strafbarkeitsbedingungen und Strafausschließungsgründe

VO STRAFRECHT Besonderer Teil

Strafrecht Allgemeiner Teil

STRAFVERTEIDIGUNG IM KREUZFEUER

Bundesrat Drucksache 41/18 (Beschluss) Gesetzentwurf des Bundesrates

Strafrecht, Virtualisierung und Digitalisierung die gute alte Zukunft. Weiterbildungstage SAV, UNIVERSITÄT FREIBURG PROF. DR.

Durch das Halten des metallischen Gegenstandes an den Hals und das Ansichnehmen von 30 und eines Mobiltelefons. Prof. Dr.

In dem Verfahren über die Verfassungsbeschwerde

Lösungsskizze Fall 3

BUNDESGERICHTSHOF BESCHLUSS

Methodenlehre der Rechtswissenschaft. Wintersemester 2016/17

Einführung in das Strafrecht

Vorlesung Strafrecht Allgemeiner Teil I. Prof. Dr. Dr. Eric Hilgendorf

Rechtliche Aspekte beim praxisorientierten Vermitteln von Cyberkriminalität

Merkblatt. c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung");

5 IX: Beteiligung an einer Schlägerei ( 231)

Transkript:

Security Tools vs. Computer-Strafrecht: Good Practice bei IT-Sicherheitsaudits Für Unternehmen und deren Mitarbeiter der IT-Sicherheit ist die Frage, ob ihr Handeln strafbar ist, existenziell. Dies gilt gleichermaßen für Kunden, denn professionelle IT- Sicherheitsaudits sind wichtiger Bestandteil des betrieblichen Informationsschutzes und nicht zuletzt des unternehmerischen Risikomanagements. Gerade realitätsnahe Simulationen von Angriffen unter Einsatz sog. Hackertools sind dabei wichtige Mittel zur Gewährleistung der Penetrationssicherheit. Der Umgang mit derlei Tools allerdings kann bereits gefährlich nah am Bereich der Strafbarkeit liegen. Was genau ist also strafbar und wie lassen sich Strafbarkeitsrisiken minimieren? Ausgangspunkt solcher Strafbarkeitsrisiken ist 202c StGB, der als Hackerparagraf bekannt ist. Er wurde 2007 eingeführt und hat einen völkerrechtlichen Hintergrund: Er dient der Umsetzung der Cybercrime Convention 1 in deutsches Recht, die in Artikel 6 eine entsprechende Bestimmung vorsieht. Sicherheitsrelevante Tätigkeiten, die in den Strafbarkeitsbereich des 202c StGB fallen können, sind insbesondere Beschaffung, Erstellung, Anpassung und Verwendung von für die IT- Sicherheit designter Software zur Schwachstellenanalyse (z. B. AppScan, GFI Languard, Nessus). Daneben kann als Teil verschärfter Penetrationstest aber auch echte Schadsoftware (Viren, Trojaner, Würmer, Exploits etc.) beschafft und angewendet werden, um die Resistenz der Systeme gegen akute Bedrohungen zu testen. Häufig kommt es auch zum Austausch von zum Beispiel angepassten Exploits zwischen befreundeten Unternehmen oder im Rahmen von unternehmensübergreifenden Arbeitsgruppen. 2 202c Vorbereiten des Ausspähens und Abfangens von Daten (1) Wer eine Straftat nach 202a oder 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten ( 202a Abs. 2) ermöglichen, oder 1 Übereinkommen über Computerkriminalität des Europarates vom 23.11.2001. 2 Z. B. im CERT-Verbund, sh. http://www.cert-verbund.de.

2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) 149 Abs. 2 und 3 gilt entsprechend. Rechtsnatur des 202c StGB Bei 202c StGB handelt es sich um ein selbständiges Vorbereitungsdelikt, das die Strafbarkeit bereits in das Vorfeld der eigentlichen Straftat verlagert. Solche Delikte sind ein Mittel, das der Gesetzgeber wählt, um bei typischerweise schwierigen Beweislagen noch eine Strafbarkeit herbeizuführen. 3 Es handelt sich außerdem um ein abstraktes Gefährdungsdelikt; solche Delikte stellen anders als der Großteil des Strafrechts nicht erst einen bestimmten konkreten Taterfolg unter Strafe, sondern stellen auf eine abstrakte Gefährlichkeit des Handelns ab. Zutreffend ist daher beim Hackerparagrafen eine Parallele zum Waffenrecht (auch der Besitz einer Waffe allein, ohne damit jemanden konkret zu gefährden, ist im Grundsatz verboten) gezogen worden - 202c ist sozusagen das Waffenrecht der IT. Das bedeutet, dass es gerade nicht darauf ankommt, ob tatsächlich ein Computersystem bedroht wird oder nicht, es geht schon um den schieren Umgang mit Hackertools. Der objektive Tatbestand Als Varianten der Tathandlung nennt das Gesetz herstellen, sich oder einem anderen verschaffen, verkaufen, einem anderen überlassen sowie verbreiten oder sonst zugänglich machen entsprechender Software. Als Tatobjekte kommen Passwörter und sonstige Sicherheitscodes ( 202c Abs. 1 Nr. 1) sowie Computerprogramme (Nr. 2) in Betracht. Was ein Computerprogramm ist, ist im Gesetz nicht definiert, und auch allgemein akzeptierte technische Definitionen scheint es nicht zu geben. Nach einem Definitionsversuch sind Computerprogramme Abfolgen von Befehlen, die auf einem Computer zur Ausführung gebracht werden, um eine bestimmte Funktionalität zur Verfügung zu stellen. 4 Der Begriff ist aber vor allem am Schutzzweck 202c auszulegen, also der Vermeidung der Vorbereitung der Straftaten nach 202a, 202b sowie 303a, 303b StGB. 3 Ähnliche Vorschriften gibt es gegen die Beschaffung von Gerätschaften zur Geld- und Passfälschung. 4 Wikipedia: Computerprogramm; ganz ähnlich Zimmermann (Hrsg.), Das Lexikon der Datenverarbeitung.

Computerprogramme i.s.d. 202c können daher zunächst all solche sein, die geeignet sind, diese Straftaten zu begehen. Erfasst sind auch Skripte, die (z. B. Betriebssystem-) Funktionen am Computer anstoßen, die für sich genommen neutrale Zwecke verfolgen, durch das Skript aber in bösartiger Absicht ausgelöst oder kombiniert werden 5. Nicht erfasst hingegen dürften reine Verweise auf Schadsoftware sein, etwa die einbettende HTML-Seite als solche. Sicher keine Computerprogramme sind Informationen in Menschensprache darüber, wie also mit welchem Ablauf und welcher Programmlogik eine Sicherheitslücke ausgenutzt werden kann. Weitere Voraussetzung der Strafbarkeit ist, dass die objektivierte Zweckbestimmung der genannten Software die Begehung einer Tat nach 202a, 202b, 303a, 303b StGB 6 ist. Dies Während eine Zweckbestimmung naturgemäß subjektiv ist, will der Gesetzgeber diese Zweckbestimmung objektivieren. Dabei wird es auf die Anschauung der Verkehrskreise ankommen. Malware fällt daher stets unter den objektiven Tatbestand, da ihr eigentlicher Zweck bösartig ist, auch wenn man sie zu Testzwecken in gutartiger Absicht einsetzen kann. Die Cybercrime Convention will eine Erfassung von dual use tools also Software, die für gute wie böse Zwecke eingesetzt werden kann, was sich erst bei konkreter Anwendung entscheidet durch Abstellung auf den primären Zweck der Software ausschließen. 7 Ähnlich hatte es der deutsche Gesetzgeber in der amtlichen Gesetzesbegründung dargestellt; 8 die Begründung ist allerdings nicht verbindlich für Staatsanwaltschaften und Gerichte, so dass erhebliche Unsicherheit in dieser Richtung verblieb. Diese sollte durch die Entscheidung des Bundesverfassungsgerichts 9 ausgeräumt sein; aus dem objektiven Tatbestand fallen verkehrsübliche IT-Sicherheitstools heraus, auch wenn sie im Einzelfall bösartig eingesetzt werden können. Der subjektive Tatbestand Voraussetzung ist weiterhin, dass der Täter mindestens damit rechnet und billigend in Kauf nimmt, dass seine Handlung eine Computerstraftat vorbereitet, die er oder ein Dritter zum Zeitpunkt der Tathandlung schon ins Auge gefasst hat. 10 Beim Zurverfügungstellen (zum Download) genügt es hierfür, dass sich andere zur Begehung einer Straftat das Hackertool 5 Man denke an den simpelsten Fall der Batch-Datei mit dem Befehl format c:. 6 Also Ausspähen und Abfangen von Daten, Datenveränderung oder Computersabotage. 7 Explanatory Report, Rn. 73. 8 BT-Drs. 16/3656, S. 12. 9 BVerfG, Beschluss vom 18.05.2009, 2 BvR 2233/07 u.a. 10 Vor allem an diesem Kriterium der hinreichenden Konkretisierung hat die Staatsanwaltschaft Bonn die Strafanzeige der TecChannel-Redaktion gegen das BSI scheitern lassen: StA Bonn, Einstellungsbescheid vom 8.10.2007, 430 Js 1496/07.

beschaffen und dies in Kauf genommen wird. Ohne Kenntnis der einzelnen Modalitäten reicht also ein Bewusstsein der Förderung einer entsprechenden Straftat. Die nachgelagerten Delikte Die vorzubereitenden Straftatbestände finden sich in den 202a, 202b, 303a und 303b. 202a (Ausspähen von Daten) stellt das Sich-Zugang-Verschaffen zu jeglichen Daten unter Strafe, soweit diese hiergegen geschützt sind und der Zugriff widerrechtlich erfolgt. Gemeint ist damit im Wesentlichen das klassische Hacking. Tools i.s.v. 202c sind insofern also entsprechende Kits, aber auch Trojaner. 202b StGB begründet daneben auch für das Abfangen von unverschlüsselten Daten in Kommunikationsnetzen eine Strafbarkeit. Klassischer Fall insoweit ist Sniffersoftware. 303a bestraft eine widerrechtliche Datenveränderung. Entsprechende Software ist typischerweise Virensoftware, aber auch andere Malware, die etwas Registryeinträge manipuliert. 303b (Computersabotage) schließlich ist besonders im Bereich von DOS-Attacken einschlägig. Allen Delikten gemeinsam ist, dass sie gegen den Willen des Verfügungsberechtigten geschehen müssen. Solange klare, ausreichende und legitimierte Einwilligungen vorliegen, sind egal wie scharfe IT-Sicherheitstests nicht rechtswidrig und daher nicht strafbar. Eine Einwilligung in die Vorbereitung gem. 202c StGB ist an sich nicht möglich, denn solange die Gefährdung nur abstrakt ist, gibt es kein Opfer, das einwilligen könnte. Die Einwilligung in die nachgelagerten Delikte wirkt aber mittelbar auch für 202c: Beschafft der Handelnde eine von 202c erfasste Software ausschließlich, um damit Handlungen vorzunehmen, für die er eine Einwilligung der Betroffenen hat (oder glaubhaft haben wird), fehlt es an der Vorbereitung einer Straftat. Allerdings werden in der Praxis einige Regeln zu beachten sein, um diesen Umstand einwandfrei nachweisen zu können. Good Practice Im Umgang mit Hackertools etc. zu Testzwecken ist besondere Sorgfalt geboten. Es sollte keine Weitergabe erfolgen jenseits bekannter, zuverlässiger Partner (inbs. nicht an einen unbekannten Empfängerkreis). Installationsdateien sollten sicher verwahrt werden. Beschaffung darunter fallen auch kostenlose Downloads und Erstellung sollten hinsichtlich genauer Testzwecke nachvollziehbar protokolliert werden. Aus der möglichst veränderungssicheren Dokumentation sollte sich zweifelsfrei ergeben, dass die Software keinen Straftaten dienen soll.

Die Einwilligungen für die Tests sollten schriftlich erfolgen und möglichst konkret und genau diejenigen Maßnahmen nennen, in die eingewilligt wird. Es ist auf eine geschlossene Legitimationskette von der Unternehmensleitung (Vorstand) bis hin zu derjenigen Person zu achten, die die Einwilligung gibt. Bei Unternehmen, in denen die Privatnutzung von Computern und Internet gestattet ist, sollte der Betriebsrat einbezogen werden. Hundertprozentigen Schutz vor übereifrigen Ermittlungsmaßnahmen gibt es in diesem Bereich nicht. Nach der Entscheidung des Bundesverfassungsgerichts einerseits und bei Beachtung der genannten Sorgfaltskriterien andererseits sollte sich aber sicherstellen lassen, dass IT Security Professionals nicht ständig mit einem Bein im Knast stehen. Christian Hawellek, Dennis Jlussi Wissenschaftliche Mitarbeiter am Institut für Rechtsinformatik der Juristischen Fakultät der Leibniz Universität Hannover Mehr zum Thema: Jlussi/Hawellek: IT-Sicherheit im Lichte des Strafrechts München 2007, ISBN 978-3-638-85444-3, 76 Seiten Erstveröffentlicht in IT-SICHERHEIT 1/2011

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback