IT-Security-Dienstleister treibt die Angst vor Freiheits- und Geldstrafe

Visukom reicht Verfassungsbeschwerde gegen »Hackerparagraf« ein

Visukom-Geschäftsführer Marco Di Filippo geht gegen die Rechtsunsicherheit vor, die der Paragraf 202c StGB verursacht.

Die wirtschaftliche Existenz von Firmen, deren Geschäft die IT-Sicherheit ist, sei durch den im August dieses Jahres eingeführten Paragraf 202c Strafgesetzbuch in Frage gestellt. Davon ist Marco Di Filippo, Geschäftsführer des Security-Consulting-Dienstleisters Visukom Deutschland, überzeugt. Er hat deshalb Verfassungsbeschwerde eingereicht. Bis zu einer Entscheidung sollten Reseller und Systemhäuser zu Vorsichtsmaßnahmen bei Sicherheitstests greifen.

Gemeinsam mit dem IT-Rechtsanwalt Thomas Feil hat er deshalb Verfassungsbeschwerde eingereicht. Das Verfahren soll Klarheit über die Strafbarkeit von Tätigkeiten der Security-Dienstleister und deren Kunden bringen. Konkret moniert Visukom, dass Penetrationstests von Netzwerken und Softwaresystemen mittels simulierten Hackerangriffen entsprechend Paragraf 202c strafbar seien.

Entsprechend eines aktuellen Positionspapiers der »European Expert Group for IT Security« (EICAR, nach der früheren Bezeichnung »European Institute for Computer Antivirus Research«) könnte unter anderem Software zur Schwachstellenanalyse, die potenziell schädliche Werte an IT-Systeme übergibt und die Reaktionsmuster auswertet, unter den Paragraf fallen. Auch Schadsoftware wie Viren, Trojaner oder Würmer, mit denen die Anfälligkeit überprüft wird, käme in Frage.

Für den Umgang mit solchen Tools habe es der deutsche Gesetzgeber »nicht vermocht, entsprechend der Cybercrime Convention gutartige Tätigkeiten im Rahmen der IT-Sicherheit klar von Straftatbeständen auszunehmen«, kritisiert die EICAR. Die Cybercrime Convention, ein Übereinkommen über Computerkriminalität, wurde am 23.11.2001 vom Europarat beschlossen. Paragraf 202c StGB setzt den Artikel 6 der Convention in deutsches Recht um.

Wie die EICAR weiter anmerkt, verlasse sich der deutsche Gesetzgeber auf eine angemessene, einzelfallbezogene Anwendung des Paragraf 202c durch die Gerichte. Damit werde aber »den im IT-Sicherheitsbereich Beschäftigten und Unternehmen zugemutet, entsprechende Strafbarkeits- beziehungsweise Ordnungswidrigkeiten auf sich zu nehmen und es darauf ankommen zu lassen«. Dabei sei es nicht völlig ausgeschlossen, dass Staatsanwaltschaften und Gerichte zu Ungunsten der Security-Dienstleister oder deren Kunden entscheiden. Eine Klärung, so auch der Rat der EICAR, könnte das Bundesverfassungsgericht herbeiführen.

Um Strafbarkeitsrisiken bis zu einer Entscheidung zu minimieren, sollten IT-Dienstleister Sorgfalt bei der Aufbewahrung und Weitergabe von Hackertools walten lassen, den Ablauf von Tests genauestens protokollieren und vom Kunden die schriftliche Einwilligung zu geplanten Tests einholen, rät der Verein.

Tipps der EICAR für Sicherheitschecks

Hackertools und Malware, die zu Testzwecken beschafft oder erstellt werden, sollten an niemanden weitergegeben werden, bei dem nicht sicher ist, dass er die Software zu gutartigen Testzwecken einsetzen will. Eine Weitergabe sollte nur an bekannte und zuverlässige Partner erfolgen. Die betroffenen Computerprogramme sollten überdies sicher gehalten werden, und zwar sowohl was eventuelle Installations-Datenträger angeht, als auch hinsichtlich der Sicherung der Computer, auf denen sie installiert sind.

Es sollte nachvollziehbar protokolliert werden, für welche Test- und Sicherheitszwecke das Programm beschafft wird und welche Verwendung vorgesehen ist. Aus der Dokumentation sollte sich zweifelsfrei ergeben, dass die Software nicht beschafft wurde, um Straftaten zu begehen, sondern um gutartige Tätigkeiten auszuüben. Auch der Einsatz des Programms ist schriftlich und veränderungssicher zu dokumentieren.

Liegt von denjenigen, auf dessen Computersystem Testangriffe verübt werden sollen, eine Einwilligung in die Maßnahmen vor, so entfällt die Strafbarkeit einer vorbereiteten Tat. Die Einwilligung sollte möglichst schriftlich erfolgen und hinreichend konkret die Maßnahmen benennen, in die eingewilligt wird. Es ist auf eine geschlossene Legitimationskette von der Unternehmensleitung (Vorstand) bis hin zu derjenigen Person zu achten, die die Einwilligung gibt.