Neben den Auditierungen nach ISO oder BSI hat sich seit langem auch die technisch orientierte Schwachstellensuche mittels Scan- und Penetrationstests etabliert. Bei solchen „Hackertests“ ist neben dem Einsatz ständig aktualisierter Testmethoden insbesondere eine hohe Sorgfalt bei der Durchführung zu beachten, denn ansonsten können erhebliche Haftungsrisiken oder sogar der Staatsanwalt auf den Tester zukommen.

Schon immer befanden sich Unternehmen, die im Dienste ihrer Kunden Schwachstellentests mittels automatisierter Security-Scanner (Nessus und Co.) und manueller Penetrationstests durchführten in einer prekären Situation. Tests in Produktionsumgebungen bargen schon immer das Risiko bei Ausfall wichtiger Systeme in Regress genommen zu werden und ein kleiner Irrtum beim Eintippen einer IP-Adresse in ein Scanner-Tool konnte den Tester teuer zu stehen kommen. Zumindest in einem Punkte war man sich aber weitgehend einig, die nicht explizit erlaubte Durchführung von solchen Tests war schon immer verpönt. Wer quasi als besseres Akquise-Instrument eine Schwachstellensuche durchführte, um den betroffenen Unternehmen danach die Ergebnisse und weitere Dienstleistungen anbieten zu können, setzte sich damit schnell dem Verdacht der versuchten Erpressung aus. War aber lange Zeit das Suchen von Schwachstellen und auch das bloße Eindringen in fremde Systeme nicht strafbar, wenn man es nur unterließ fremde Daten zu stehlen oder Manipulationen daran vorzunehmen, so hat sich das seit 2007 mit dem Inkraftsetzen des sog. „Hackerparagraphen“ in Deutschland geändert, da damit die eigentlich positiv zu sehenden Aktivitäten von testenden Sicherheitsfirmen unter Strafandrohung zu stehen schienen. Hierzu ein kurzer historischer Abriss:

Große Aufregung um den „Hackerparagraphen“

Auslöser der in weiten Kreisen geäußerten Kritik war die Einführung des Paragraphen § 202c StGB „Vorbereiten des Ausspähens und Abfangens von Daten“ im Zuge des 41. Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität. Der Umsetzung von Vorgaben zum materiellen Strafrecht des Europarat-Übereinkommens und der Vorgaben des Rahmenbeschlusses in nationales Recht dienten verschiedene Gesetzesänderungen im deutschen Recht (u.a. Einfügung der §§ 202b und 202c in das Strafgesetzbuch (StGB), Änderung und Ergänzung der §§ 202a). In den Fällen des §202a und §202b wird die Tat nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält. Der §202c fehlt in dieser Aufzählung, damit handelt es sich aber um ein Offizialdelikt und wird sogar von Amtes wegen verfolgt. War die Intention des Gesetzgebers, den Schutz vor Virenschreibern oder Hackern zu verbessern, durchaus begrüßenswert, so wurde die Umsetzung zu Recht heftig kritisiert. Sämtliche Bedenken von Sicherheitsexperten und Verbandsvertretern der IT-Branche blieben jedoch unberücksichtigt und fanden keinen Eingang in das Gesetz, das kurz vor dem Pfingsturlaub nachts um 2:00 Uhr von den Abgeordneten ohne Aussprache abgenickt wurde.

Was hat nun die bis heute so vehement geäußerte Kritik eigentlich hervorgerufen? Mit dem neuen § 202c schießt die Bundesregierung weit über die EU-Vorgaben hinaus, denn im neuen Regelwerk wird bereits das Vorbereiten von vermeintlichen Hacker-Angriffen unter Strafe gestellt. Wer also ein Programm schreibt, mit dem sich Sicherheitslücken ausfindig machen lassen, würde sich demnach bereits strafbar machen - aber auch derjenige, der solche Programme besitzt oder verbreitet. Und wer eine Sicherheitslücke findet und diese veröffentlicht, würde ebenfalls unter das neue Gesetz fallen. Offensichtlich hat niemand bei der Abfassung des Gesetzes daran gedacht, dass es durchaus sinnvolle Anwendungen von „Hackertools“ geben kann, z.B. Einsatz von Penetrationstests und Vulnerability-Scannern zur präventiven Aufdeckung von Schwachstellen in System- und Anwendungssoftware. Selbst der Einsatz solcher Tools von eigenen Mitarbeitern im internen Netz durchgeführt, würde streng genommen unter diese Strafandrohung fallen. Anderes Beispiel: In Unix- und Windows-Auslieferungen sind standardmäßig Tools wie „John-the-Ripper“ enthalten, die es einem Administrator ermöglichen, schwache Passwörter zu entdecken und damit die Systemsicherheit zu erhöhen. Der Download und die Verbreitung wären aber nach § 202c strafbar, die Nutzung im o.g. Sinne nach § 202a möglicherweise auch.

Mit der Einführung des Paragraphen 202c StGB ist in großen Teilen der IT-Branche eine hohe Rechtsunsicherheit entstanden. Wesentlicher Grund dafür ist, dass der deutsche Gesetzgeber es versäumt hat, entsprechend der internationalen „Cybercrime Convention“ gutartige Tätigkeiten im Rahmen der IT-Sicherheit klar von den Strafbeständen auszunehmen.

• Verwandte Themen
• Risiken bei „Cloud Computing“
• Sicherheit im elektronischen Geschäfts- und Behördenverkehr (2)
• Sicherheit im elektronischen Geschäfts- und Behördenverkehr (1)
• Adobe Flash und die Super Cookies
• GAI NetConsult: Secure Mail Gateways – Anmerkungen aus der Praxis
• GAI NetConsult: „Sicheres Produktionsnetz“