Das dünne rechtliche Eis von IT-Sicherheitsaudits

Die European Expert Group for IT Security (EICAR) stellt ein neues Positionspapier zur strafrechtlichen Relevanz von IT-Sicherheitsaudits vor, das Sicherheitsüberprüfungen vor dem Hintergrund des neuen Computerstrafrechts beleuchtet.

Demnach ist die überwiegende Zahl der IT-Sicherheitsüberprüfungen nur dann zulässig, wenn zuvor durch den Rechtsgutsträger eine Gestattung der entsprechenden Tätigkeiten im vorzunehmenden Umfang erfolgt. Die Durchführung von IT-Sicherheitsüberprüfungen ist essentielle Voraussetzung für die Gewährleistung von Informationsschutz, Daten- und Netwerksicherheit im eigenen Unternehmen. Sie liegt damit nicht nur im ureigenen wirtschaftlichen Interesse, sondern ist zumindest für Aktiengesellschaften aufgrund § 91 II AktG auch rechtlich geboten.

“Die rechtlichen Rahmenbedingungen sind allerdings, gerade mit Blick auf das im Sommer 2007 erheblich ausgeweitete deutsche Computerstrafrecht, alles andere als trivial und erschließen sich nicht etwa durch einfachen Blick in das Gesetz”, heißt es in einer Mitteilung von EICAR. Ein hohes Maß an Rechtssicherheit für die beteiligten Fachkreise ist aber Grundvoraussetzung für die Durchführung effektiver Sicherheitsaudits.

Der Autor Christian Hawellek stellt in dem Papier fest, dass nach neuer Rechtslage ausschließlich rein passive Scans nach Sicherheitslücken gestattet sind, die ohne jegliche weitere Penetration der gescannten Systeme erfolgen. Jede darüber hinausgehende Überprüfung hingegen fällt üblicherweise in den Anwendungsbereich des Computerstrafrechts und ist damit erst bei Vorliegen weiterer besonderer Voraussetzungen zulässig.

So stellt das Ausnutzen von Sicherheitslücken zur Erlangung des Zugangs zu Daten oder Systemen – sei es mit Hilfe der erweiterten Funktionen von Scan-Software wie AppScan, der Nutzung eigener oder fremder Exploits, XSS, SQL-Injections oder aber Passwortcracks – ein Ausspähen von Daten im Sinne des § 202a des StrafGB dar. Handlungen zur Überprüfung der Leistungsfähigkeit von Antivirus- und Antispy-Programmen können in den Anwendungsbereich des § 303a StGB (Datenveränderung) fallen. Der Einsatz sogenannter Sniffer schließlich ist ein klassischer Fall des Abfangens von Daten (§ 202b StGB).

Zwingende Voraussetzung für die strafrechtliche Zulässigkeit der vorgenannten Handlungen ist damit die Gestattung durch den jeweiligen Rechtsgutsträger, soweit nicht sonstige Rechtfertigungsgründe eingreifen. Problematisch ist dabei vor allem die exakte Bestimmung des jeweils geschützten Personenkreises, insbesondere dann, wenn Informationssysteme in bestimmtem Umfang auch privat genutzt werden dürfen. Sind auch Rechtsgüter Dritter betroffen, so sind Eingriffe nur zulässig, wenn entweder auch deren jeweilige Zustimmung vorliegt.

Das EICAR Legal Advisory Board, Herausgeber der neuen Broschüre, ist ein neu gegründeter Fachbereich unter dem Dach der europäischen Sicherheitsorganisation. Als Vorsitzender des Boards konnte der renommierte IT-Rechtsexperte Prof. Dr. Nikolaus Forgo gewonnen werden. Das EICAR Legal Advisory Board wird sich in Zukunft mit aktuellen Rechtsfragen, die in einem Zusammenhang mit Informationssicherheit stehen, auseinander setzen.

Silicon-Redaktion

View Comments

  • X
    Das zeigt nur wieder einmal, wie dumm unsere Politiker sind.
    Man stelle sich vor, die Hersteller von schusssicheren Westen dürften diese nicht mehr mit Schüssen testen.
    Lächerlich. Schilda lässt grüßen.

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago