Article
Security-Tools vs. Computer-Strafrecht: Good Practice bei IT-Sicherheitsaudits
IT-SICHERHEIT - Fachmagazin für Informationssicherheit und Compliance
01/2011;
ABSTRACT Für Unternehmen und deren Mitarbeiter der IT-Sicherheit ist die Frage, ob ihr Handeln strafbar ist, existenziell. Dies gilt gleichermaßen für Kunden, denn professionelle IT-Sicherheitsaudits sind wichtiger Bestandteil des betrieblichen Informationsschutzes und nicht zuletzt des unternehmerischen Risikomanagements. Gerade realitätsnahe Simulationen von Angriffen unter Einsatz sog. „Hackertools“ sind dabei wichtige Mittel zur Gewährleistung der Penetrationssicherheit. Der Umgang mit derlei Tools allerdings kann bereits gefährlich nah am Bereich der Strafbarkeit liegen. Was genau ist also strafbar – und wie lassen sich Strafbarkeitsrisiken minimieren?
0
0
·
0 Bookmarks
·
156 Views
-
Citations (0)
-
Cited In (0)
Data provided are for informational purposes only. Although carefully collected, accuracy cannot be guaranteed.
The impact factor represents a rough estimation of the journal's impact factor and does not reflect the actual
current impact factor.
Publisher conditions are provided by RoMEO. Differing provisions from the publisher's actual policy or licence
agreement may be applicable.
Page 1
Security Tools vs. Computer-Strafrecht:
Good Practice bei IT-Sicherheitsaudits
Für Unternehmen und deren Mitarbeiter der IT-Sicherheit ist die Frage, ob ihr Handeln
strafbar ist, existenziell. Dies gilt gleichermaßen für Kunden, denn professionelle IT-
Sicherheitsaudits sind wichtiger Bestandteil des betrieblichen Informationsschutzes und nicht
zuletzt des unternehmerischen Risikomanagements. Gerade realitätsnahe Simulationen von
Angriffen unter Einsatz sog. „Hackertools“ sind dabei wichtige Mittel zur Gewährleistung
der Penetrationssicherheit. Der Umgang mit derlei Tools allerdings kann bereits gefährlich
nah am Bereich der Strafbarkeit liegen. Was genau ist also strafbar – und wie lassen sich
Strafbarkeitsrisiken minimieren?
Ausgangspunkt solcher Strafbarkeitsrisiken ist § 202c StGB, der als „Hackerparagraf“ bekannt ist.
Er wurde 2007 eingeführt und hat einen völkerrechtlichen Hintergrund: Er dient der Umsetzung
der „Cybercrime Convention“1 in deutsches Recht, die in Artikel 6 eine entsprechende
Bestimmung vorsieht.
Sicherheitsrelevante Tätigkeiten, die in den Strafbarkeitsbereich des § 202c StGB fallen können,
sind insbesondere Beschaffung, Erstellung, Anpassung und Verwendung von für die IT-
Sicherheit designter Software zur Schwachstellenanalyse (z. B. AppScan, GFI Languard, Nessus).
Daneben kann als Teil verschärfter Penetrationstest aber auch „echte“ Schadsoftware (Viren,
Trojaner, Würmer, Exploits etc.) beschafft und angewendet werden, um die Resistenz der
Systeme gegen akute Bedrohungen zu testen. Häufig kommt es auch zum Austausch von zum
Beispiel angepassten Exploits zwischen befreundeten Unternehmen oder im Rahmen von
unternehmensübergreifenden Arbeitsgruppen.2
§ 202c – Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2)
ermöglichen, oder
1 Übereinkommen über Computerkriminalität des Europarates vom 23.11.2001.
2 Z. B. im CERT-Verbund, sh. http://www.cert-verbund.de.
Page 2
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich
oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst
zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.
Rechtsnatur des § 202c StGB
Bei § 202c StGB handelt es sich um ein selbständiges Vorbereitungsdelikt, das die Strafbarkeit
bereits in das Vorfeld der eigentlichen Straftat verlagert. Solche Delikte sind ein Mittel, das der
Gesetzgeber wählt, um bei typischerweise schwierigen Beweislagen noch eine Strafbarkeit
herbeizuführen.3 Es handelt sich außerdem um ein abstraktes Gefährdungsdelikt; solche Delikte
stellen – anders als der Großteil des Strafrechts – nicht erst einen bestimmten konkreten
Taterfolg unter Strafe, sondern stellen auf eine abstrakte Gefährlichkeit des Handelns ab.
Zutreffend ist daher beim „Hackerparagrafen“ eine Parallele zum Waffenrecht (auch der Besitz
einer Waffe allein, ohne damit jemanden konkret zu gefährden, ist im Grundsatz verboten)
gezogen worden - § 202c ist sozusagen das Waffenrecht der IT. Das bedeutet, dass es gerade
nicht darauf ankommt, ob tatsächlich ein Computersystem bedroht wird oder nicht, es geht
schon um den schieren Umgang mit „Hackertools“.
Der objektive Tatbestand
Als Varianten der Tathandlung nennt das Gesetz „herstellen“, „sich oder einem anderen
verschaffen“, „verkaufen“, „einem anderen überlassen“ sowie „verbreiten oder sonst zugänglich
machen“ entsprechender Software.
Als Tatobjekte kommen Passwörter und sonstige Sicherheitscodes (§ 202c Abs. 1 Nr. 1) sowie
Computerprogramme (Nr. 2) in Betracht. Was ein Computerprogramm ist, ist im Gesetz nicht
definiert, und auch allgemein akzeptierte technische Definitionen scheint es nicht zu geben. Nach
einem Definitionsversuch sind Computerprogramme Abfolgen von Befehlen, die auf einem
Computer zur Ausführung gebracht werden, um eine bestimmte Funktionalität zur Verfügung zu
stellen.4 Der Begriff ist aber vor allem am Schutzzweck § 202c auszulegen, also der Vermeidung
der Vorbereitung der Straftaten nach §§ 202a, 202b sowie §§ 303a, 303b StGB.
3 Ähnliche Vorschriften gibt es gegen die Beschaffung von Gerätschaften zur Geld- und Passfälschung.
4 Wikipedia: Computerprogramm; ganz ähnlich Zimmermann (Hrsg.), Das Lexikon der Datenverarbeitung.
Page 3
Computerprogramme i.S.d. § 202c können daher zunächst all solche sein, die geeignet sind, diese
Straftaten zu begehen. Erfasst sind auch Skripte, die (z. B. Betriebssystem-) Funktionen am
Computer anstoßen, die für sich genommen neutrale Zwecke verfolgen, durch das Skript aber in
bösartiger Absicht ausgelöst oder kombiniert werden5. Nicht erfasst hingegen dürften reine
Verweise auf Schadsoftware sein, etwa die einbettende HTML-Seite als solche. Sicher keine
Computerprogramme sind Informationen in „Menschensprache“ darüber, wie – also mit
welchem Ablauf und welcher Programmlogik – eine Sicherheitslücke ausgenutzt werden kann.
Weitere Voraussetzung der Strafbarkeit ist, dass die objektivierte Zweckbestimmung der
genannten Software die Begehung einer Tat nach §§ 202a, 202b, 303a, 303b StGB6 ist. Dies
Während eine Zweckbestimmung naturgemäß subjektiv ist, will der Gesetzgeber diese
Zweckbestimmung objektivieren. Dabei wird es auf die Anschauung der Verkehrskreise
ankommen. Malware fällt daher stets unter den objektiven Tatbestand, da ihr eigentlicher Zweck
„bösartig“ ist, auch wenn man sie zu Testzwecken in „gutartiger“ Absicht einsetzen kann.
Die Cybercrime Convention will eine Erfassung von „dual use tools“ – also Software, die für ‚gute‘ wie
‚böse‘ Zwecke eingesetzt werden kann, was sich erst bei konkreter Anwendung entscheidet –
durch Abstellung auf den primären Zweck der Software ausschließen.7 Ähnlich hatte es der
deutsche Gesetzgeber in der amtlichen Gesetzesbegründung dargestellt;8 die Begründung ist
allerdings nicht verbindlich für Staatsanwaltschaften und Gerichte, so dass erhebliche
Unsicherheit in dieser Richtung verblieb. Diese sollte durch die Entscheidung des
Bundesverfassungsgerichts9 ausgeräumt sein; aus dem objektiven Tatbestand fallen
verkehrsübliche IT-Sicherheitstools heraus, auch wenn sie im Einzelfall „bösartig“ eingesetzt
werden können.
Der subjektive Tatbestand
Voraussetzung ist weiterhin, dass der Täter mindestens damit rechnet und billigend in Kauf
nimmt, dass seine Handlung eine Computerstraftat vorbereitet, die er oder ein Dritter zum
Zeitpunkt der Tathandlung schon ins Auge gefasst hat.10 Beim Zurverfügungstellen (zum
Download) genügt es hierfür, dass sich andere zur Begehung einer Straftat das Hackertool
5 Man denke an den simpelsten Fall der Batch-Datei mit dem Befehl „format c:“.
6 Also Ausspähen und Abfangen von Daten, Datenveränderung oder Computersabotage.
7 Explanatory Report, Rn. 73.
8 BT-Drs. 16/3656, S. 12.
9 BVerfG, Beschluss vom 18.05.2009, 2 BvR 2233/07 u.a.
10 Vor allem an diesem Kriterium der „hinreichenden Konkretisierung“ hat die Staatsanwaltschaft Bonn die
Strafanzeige der TecChannel-Redaktion gegen das BSI scheitern lassen: StA Bonn, Einstellungsbescheid vom
8.10.2007, 430 Js 1496/07.
Page 4
beschaffen und dies in Kauf genommen wird. Ohne Kenntnis der einzelnen Modalitäten reicht
also ein Bewusstsein der Förderung einer entsprechenden Straftat.
Die nachgelagerten Delikte
Die vorzubereitenden Straftatbestände finden sich in den §§ 202a, 202b, 303a und 303b. § 202a
(Ausspähen von Daten) stellt das Sich-Zugang-Verschaffen zu jeglichen Daten unter Strafe,
soweit diese hiergegen geschützt sind und der Zugriff widerrechtlich erfolgt. Gemeint ist damit
im Wesentlichen das klassische „Hacking“. Tools i.S.v. § 202c sind insofern also entsprechende
Kits, aber auch Trojaner. § 202b StGB begründet daneben auch für das Abfangen von
unverschlüsselten Daten in Kommunikationsnetzen eine Strafbarkeit. Klassischer Fall insoweit ist
Sniffersoftware. § 303a bestraft eine widerrechtliche Datenveränderung. Entsprechende Software
ist typischerweise Virensoftware, aber auch andere Malware, die etwas Registryeinträge
manipuliert. § 303b (Computersabotage) schließlich ist besonders im Bereich von DOS-Attacken
einschlägig.
Allen Delikten gemeinsam ist, dass sie gegen den Willen des Verfügungsberechtigten geschehen
müssen. Solange klare, ausreichende und legitimierte Einwilligungen vorliegen, sind – egal wie
scharfe – IT-Sicherheitstests nicht rechtswidrig und daher nicht strafbar. Eine Einwilligung in die
Vorbereitung gem. § 202c StGB ist an sich nicht möglich, denn solange die Gefährdung nur
abstrakt ist, gibt es kein „Opfer“, das einwilligen könnte. Die Einwilligung in die nachgelagerten
Delikte wirkt aber mittelbar auch für § 202c: Beschafft der Handelnde eine von § 202c erfasste
Software ausschließlich, um damit Handlungen vorzunehmen, für die er eine Einwilligung der
Betroffenen hat (oder glaubhaft haben wird), fehlt es an der Vorbereitung einer Straftat.
Allerdings werden in der Praxis einige Regeln zu beachten sein, um diesen Umstand einwandfrei
nachweisen zu können.
Good Practice
Im Umgang mit Hackertools etc. zu Testzwecken ist besondere Sorgfalt geboten. Es sollte keine
Weitergabe erfolgen jenseits bekannter, zuverlässiger Partner (inbs. nicht an einen unbekannten
Empfängerkreis). Installationsdateien sollten sicher verwahrt werden.
Beschaffung – darunter fallen auch kostenlose Downloads – und Erstellung sollten hinsichtlich
genauer Testzwecke nachvollziehbar protokolliert werden. Aus der möglichst
veränderungssicheren Dokumentation sollte sich zweifelsfrei ergeben, dass die Software keinen
Straftaten dienen soll.
Page 5
Die Einwilligungen für die Tests sollten schriftlich erfolgen und möglichst konkret und genau
diejenigen Maßnahmen nennen, in die eingewilligt wird. Es ist auf eine geschlossene
Legitimationskette von der Unternehmensleitung (Vorstand) bis hin zu derjenigen Person zu
achten, die die Einwilligung gibt. Bei Unternehmen, in denen die Privatnutzung von Computern
und Internet gestattet ist, sollte der Betriebsrat einbezogen werden.
Hundertprozentigen Schutz vor übereifrigen Ermittlungsmaßnahmen gibt es in diesem Bereich
nicht. Nach der Entscheidung des Bundesverfassungsgerichts einerseits und bei Beachtung der
genannten Sorgfaltskriterien andererseits sollte sich aber sicherstellen lassen, dass IT Security
Professionals nicht ständig „mit einem Bein im Knast“ stehen.
Christian Hawellek, Dennis Jlussi
Wissenschaftliche Mitarbeiter am Institut für Rechtsinformatik der Juristischen Fakultät der
Leibniz Universität Hannover
Mehr zum Thema:
Jlussi/Hawellek: IT-Sicherheit im Lichte des Strafrechts
München 2007, ISBN 978-3-638-85444-3, 76 Seiten
Erstveröffentlicht in IT-SICHERHEIT 1/2011
