IT-Sicherheitsaudits strafrechtlichsicher durchführen

Das Computerstrafrecht sieht für zahlreiche Testverfahren von IT-Sicherheitsaudits strafrechtliche Konsequenzen vor. Doch die European Expert Group for IT-Security hält fest: Werden vorab alle nötigen Einwilligungen erteilt, haben IT-Sicherheitsaudits keine strafrechtliche Relevanz.

Rechtliche Situation

Diese Paragraphen sind für IT-Sicherheitsaudits relevant

Gerade Aktiengesellschaften sind durch §91 III AktG dazu verpflichtet, ein Risikomanagement zu etablieren. Dazu gehören auch regelmäßige Überprüfungen der IT-Systeme und dazugehöriger Netzwerkstrukturen. Ein Ausfall oder ein Datenraub könnten dem Unternehmen schließlich einen nicht unerheblichen Schaden zufügen.

Allerdings müssen sich Vorstände und Geschäftsführer genauso wie Dienstleister bewusst sein, dass die meisten gängigen Audit-Verfahren einige Straftatbestände des Computerstrafrechts berühren. Gerade die Beschaffung von sogenannten Hacker-Tools könnte seit der Einführung des Paragraphen 202c Strafgesetzbuches (StGB) schon als strafrechtlich relevant betrachtet werden.

Zwei Abschnitte des Strafgesetzbuches sind für IT-Sicherheitsaudits besonders relevant: Der 15. Abschnitt „Verletzung des persönlichen Lebens- und Geheimnisbereichs“ sowie der 27. Abschnitt „Sachbeschädigung“. Konkret wurden von der European Expert Group for IT-Security die Paragraphen 202a, 202b, 303a und 303b StGB betrachtet.

Leitfaden jetzt downloaden

15. Abschnitt StGB:
 „Verletzung des persönlichen Lebens- und Geheimbereichs“ 

§202a StGB Ausspähen von Daten

Der Paragraph 202a StGB benennt die Erlangung fremder Daten als strafbar, 
wenn

sie gegen fremden Zugang gesichert wurden und

die Sicherung umgangen wurde.

Mit der Reformierung des Computerstrafrechts reicht seit 2007 schon die Möglichkeit zum Abruf der Daten als strafbar. Ebenso ist auch das Abfangen und Entschlüsseln von Daten erfasst, unabhängig davon, ob der Datenraub von einem lokalen Speicher oder während einer Übertragung erfolgt.

Entscheidend für diese Norm ist die Zugriffssicherung. Das bedeutet, auch wenn die verschlüsselten Daten frei heruntergeladen werden können, ist die Entschlüsselung strafbar.

Für IT-Sicherheitsaudits gilt: Sobald die Zustimmung für die Sicherheitsüberprüfung erteilt wurde, entfällt die Strafbarkeit, weil die Daten damit nicht mehr als „nicht für den Täter bestimmt“ gelten.

§202b StGB Abfangen von Daten

Die Norm 202b StGB widmet sich dem Abfangen unverschlüsselter Daten. Er schützt das Recht auf die Nicht-Öffentlichkeit der Kommunikation im Allgemeinen. In der Praxis bedeutet das: Es ist unerheblich, ob die Daten hinter einem Zugriffsschutz verborgen waren, um den unbefugten Zugriff als strafbar einzustufen.

Im IT-Sicherheitsaudit betrifft dies vor allem den Einsatz von sogenannten Sniffern, die zur Wartung und Fehlersuche in IT-Sicherheitsnetzwerken eingesetzt werden. Auch hier gilt: Mit der Zustimmung zur Überprüfung entfällt die Strafbarkeit, weil der Zugriff auf unverschlüsselte Daten so nicht mehr unbefugt erfolgt.

27. Abschnitt StGB:
 "Sachbeschädigung" 

§303a StGB Datenveränderung

In diesem Paragraphen wird das Recht auf Unversehrtheit der Daten festgelegt.

Das bedeutet:

die Veränderung,

der Entzug und

die Vernichtung von Daten

durch unbefugte Dritte wird unter Strafe gestellt. Ob und welchen Zugriffsschutz die Daten hatten, ist hierbei irrelevant.

Für IT-Sicherheitsaudits bedeutet das, dass auch Viren und Trojaner, die zum Test von Sicherheitssoftware eingesetzt werden und Registry-Einträge verändern, davon erfasst wären. Auch die Änderung von schwachen Passwörtern und damit die Sperrung von Daten wird durch den Paragraphen erfasst.
Allerdings gilt auch hier: Durch die erteilte Zustimmung für das Audit entfällt die Strafbarkeit.

§303b StGB Computersabotage

Diese Norm schützt das Interesse des Inhabers an einer störungsfreien Datenverarbeitung in seinen IT-Systemen. Damit stellt dieser Paragraph seit 2007 auch DDOS-Attacken auf Produktivsysteme unter Strafe. Hierbei gilt allerdings: Die Störung muss derart erheblich sein, dass sie nur durch großen Aufwand behoben und eine nicht unerhebliche Beeinträchtigung darstellt. Die reine Gefährdung der Datenverarbeitung reicht also nicht aus.

Im IT-Sicherheitsaudit hebt die Einwilligung zu dieser Testmethode die Strafbarkeit des Tests allerdings ebenfalls auf.

IT-Sicherheitstestverfahren und ihre strafrechtliche Relevanz  

Passwort-Manager für Unternehmen gibt es als On-Premise- und als Cloud-Lösung. Während die Daten bei der Cloud-Variante in einem externen Rechenzentrum (auf einem externen Server) gespeichert werden, liegen diese bei einer On-Premise-Variante auf einem unternehmensinternen Server.

Welche Variante sicherer ist, muss im Einzelfall bewertet werden.

Passive Scans gelten nach §202a StGB nicht als strafrechtlich relevant, weil die abgefragten Informationen vor der Zugriffssicherung liegen.

Die Ausnutzung gefundener Schwachstellen, um das System auf einer tieferen Ebene zu scannen, fällt allerdings schon unter die Strafbarkeit von §202a StGB. Auch die Ausnutzung sogenannter Trap Doors ist demnach strafbar, da hier auf das ganze System abzustellen ist und somit die Zugriffssicherung umgangen wird.

Honeypots, die installiert werden, um Angreifer in Sackgassen zu führen, gelten als zulässig. Anders als oft behauptet, sind sie auch keine Anstiftung zu einer Straftat.

Das Hacking von Testsystemen im Rahmen des Audits ist ebenfalls nicht strafbar. Die Bereitstellung eines solchen Systems wird rechtlich als Einwilligung gewertet.

Zugriffe auf Produktivsysteme, auch durch IP-SpoofingÜbernahme einer SessionSQL-Injections oder Cross-Site-Scripting müssen explizit durch die Einwilligung des Rechteinhabers gedeckt werden, um nicht als strafbar zu gelten.

Das Durchbrechen von Passwortsperren gilt als Straftat, sobald der Durchbruch erfolgreich ist. Werden für das Cracken eines Passworts Daten aus dem System benötigt, gilt schon das Auslesen dieser Daten als strafbar.

Das Einschleusen von Trojanern gilt dann als strafbar, wenn:

  • zur Installation auf ein geschütztes System zugegriffen wurde
  • sobald die Möglichkeit zur Übermittlung geschützter Daten besteht, auch wenn der Trojaner durch einen E-Mail-Anhang oder Ähnliches übermittelt wurde
  • wenn beispielsweise Registry-Einträge geändert wurden.

Das Ändern unsicherer Passwörter darf nur mit dem Einverständnis des Rechteinhabers erfolgen

Die Implementierung von Virensoftware auf Testsystemen zum Zweck der Sicherheitsüberprüfung ist zulässig. Ansonsten fällt diese Implementierung unter die Strafbarkeit nach §303a StGB, sofern keine Einwilligung vorliegt. Die Programmierung von Virensoftware ist allerdings nicht strafbar, solange sie nachweisbar zu Testzwecken erfolgte und die Software nicht an Dritte weitergegeben wird.

Sniffer sind ein klassisches Beispiel für die Strafbarkeit nach §202b StGB. Da vorab auch nicht festgelegt werden kann, wessen Daten abgefangen werden, kann auch niemand eine Einwilligung erteilen, die eine Strafbarkeit aufheben würde. Hier können sich Dienstleister und Rechtinhaber allerdings auf die Sicherung der Funktionalität des Telekommunikationsnetzes gemäß §88 III 1 TKG berufen, wonach ein Einsatz gerechtfertigt sein könnte.

So sollte die Einverständniserklärung für das
IT-Sicherheitsaudit aussehen

Da die Strafbarkeit der Sicherheitsüberprüfung im Computerstrafrecht durch eine Einwilligung aufgehoben werden kann, sollten Dienstleister und Rechtinhaber vor dem Audit gemeinsam eine Einverständniserklärung aufsetzen.

Diese sollte folgende Punkte beinhalten:

eine Aufzählung der durchzuführenden Tests

die Zielsetzung dieser Tests

ggf. die angedachte Vorgehensweise

eine Aufführung der zu überprüfenden Systeme

eine Aufklärung über mögliche Risiken und Gefahrenpotentiale

die Befugnis der gestattenden Person auf Seiten des Rechteinhabers

In Unternehmen erteilt die Einwilligung in der Regel die Geschäftsführung bzw. der Vorstand, wenn es sich um eine Aktiengesellschaft handelt. Besitzt das Unternehmen eine IT-Abteilung, kann durch eine mögliche Vereinbarung diese Befugnis auch an eine Abteilung oder Einzelpersonen delegiert werden. Um Rechtssicherheit für alle Beteiligten herzustellen, sollte die Einverständniserklärung für die IT-Sicherheitsüberprüfung schriftlich fixiert werden.

Private Daten von Arbeitnehmern in 
IT-Sicherheitsaudits

Eine juristisch umstrittene Konstellation für IT-Sicherheitsaudits ist die, dass Unternehmen ihren Arbeitnehmerinnen und Arbeitnehmern erlaubt haben, die IT-Infrastruktur auch für private Zwecke zu nutzen. Hier ist strittig, wer Rechteinhaber an den im System gespeicherten privaten Daten der Arbeitnehmer ist.

In der Regel überwiegt allerdings das berechtigte Interesse des Unternehmens an der Funktionalität seiner Systeme gegenüber dem Geheimbereich des Arbeitnehmers. Es ist anzuraten, für IT-Sicherheitsaudits dennoch das Einverständnis der Arbeitnehmer einzuholen. Gängig ist hierfür der Abschluss einer Betriebsvereinbarung.

Telefon
Kontakt
envelope-ocheckheadphonescheck-square-ophonecaret-rightangle-double-downmobilefile-pdf-ovolume-control-phone