Hackerparagraf: Schützt die IT-Haftpflicht den Sicherheitsexperten?
Interview mit Ralph Günther, Versicherungsexperte
(Januar 2008)
|
Ein neues Gesetz mit zwei Seiten: Dank des so genannten "Hackerparagrafen" (§ 202c StGB) werden
künftig kriminelle Hacker rigoros bestraft. Andererseits bewegen sich IT-Sicherheitsexperten nunmehr auf unsicherem Terrain, wenn sie Computersysteme mit einschlägiger Software auf
deren Schwachstellen testen sollen. Wie steht es um den Versicherungsschutz, wenn IT-Experten vom Gesetzgeber als verboten deklarierte, aber für ihre Arbeit notwendige und vom Auftraggeber gebilligte oder geforderte Hackertools nutzen? Auskunft über den aktuellen IT-Haftpflicht-Stand gibt der Versicherungsexperte Ralph Günther. |
| GULP | Herr Günther, der neu eingeführte "Hackerparagraf" ist ein schwieriges und heißt diskutiertes Thema, … |
| Günther | …was man ohne jegliche Übertreibung behaupten kann. Das liegt unter anderem daran, dass die Definition des Gesetzgebers ausgesprochen schwammig ist und die Anwendung des Gesetzes grundsätzlich alle Methoden und Werkzeuge rund um das sehr weite Thema "Datenermittlung" zulässt. Das sind unter anderem Protokollanalysatoren, die zum normalen Handwerkszeug eines Entwicklers von Kommunikationssoftware gehören, aber auch Programme die z. B. zum Testen von Anwendungen auf Sicherheitslücken benötigt werden. |
| GULP | Aber es gibt eine Stellungnahme des Justizministeriums? | ||
| Günther | Ja. Und sie besagt, dass dieser Paragraf nur im Zusammenhang mit kriminellen Handlungen
angewendet
|
| GULP | Kommen wir zum versicherungsrechtlichen Aspekt der Entscheidung. Ein IT-Experte nutzt besagte Werkzeuge – wie sieht es mit seinem Versicherungsschutz aus? |
| Günther | Die wichtigste Feststellung ist, dass keine Versicherung für den Täter den Schaden aus vorsätzlich kriminellen Handlungen abdeckt – ob dies nun die Folgen eines Diebstahls oder eines Hackerangriffs sind. In dem hier diskutierten Falle eines IT-Sicherheitsexperten bietet die IT-Haftpflichtversicherung über die HISCOX dem IT-Freiberufler und IT-Dienstleister zivilrechtlichen Schutz gegenüber Ansprüchen Dritter. |
| GULP | Was bedeutet zivilrechtlicher Schutz genau? |
| Günther | Nehmen wir als Beispiel den IT-Experten, der sich auf so genannte und in der Branche durchaus übliche Penetrationstests spezialisiert hat. Dieser soll im Auftrag einer Bank Sicherheitslücken im System aufspüren – und bewirkt dabei einen zeitweisen Serverausfall, für dessen Folgen wiederum die Bank Schadenersatz fordert. Dies ist ein zivilrechtlicher Anspruch eines Dritten, der z. B. über unser exali IT-Haftpflichtkonzept für GULP Member oder auch andere IT-Haftpflichtversicherungen abgedeckt ist. |
| GULP | Neben zivilrechtlichen kann es aber auch strafrechtliche Ansprüche geben. | ||
| Günther |
|
| GULP | Das würde bedeuten, dass ich gegen das Strafgesetz verstoßen kann und dennoch hinsichtlich des entstandenen Schadens Versicherungsschutz genieße? |
| Günther | Seriös ist diese Frage zum jetzigen Zeitpunkt nicht abschließend zu beantworten – nicht zuletzt wegen der bereits erwähnten Stellungnahme des Justizministeriums, die eine Anwendung des Paragrafen nur in Zusammenhang mit kriminellen Handlungen vorsieht. |
| GULP | Aber wie ist das dann im Falle unseres Penetrationstesters? Handelt er kriminell? |
| Günther | Genau dieses Beispiel zeigt die Problematik sehr deutlich auf, denn hier hat der Auftraggeber ja ganz bewusst den Test des Sicherheitssystems vom IT-Experten gefordert. Und ein solcher macht ja nur Sinn, wenn ich genau das Handwerkszeug eines Hackers einsetze. Allerdings: Der Einsatz war hier Bestandteil des gewünschten Auftrages und nicht mit "krimineller" Absicht, was nach Logik der nicht rechtsverbindlichen Stellungnahme des Justizministeriums ja zur Straffreiheit führt. |
| GULP | Wie also raus aus dem Dilemma? | ||
| Günther | Verständlicherweise gibt es so kurze Zeit nach Inkrafttreten des
Gesetzes noch keine
Grundsatzentscheidungen -
|
| GULP | Inwiefern? |
| Günther | Lassen Sie uns den Penetrationstest noch einmal betrachten. Wenn dieser den Serverausfall verursacht hat und das Gesetz die für den Test verwendetet Software als "Hackersoftware" ansehen würde, dann könnte der Versicherer argumentieren, dass der Schaden durch bewusstes Abweichen vom Gesetz eingetreten ist. Die Konsequenz: Es besteht kein Versicherungsschutz! Ich gebe zu, bei diesem Beispiel muss man sich auch als Laie fragen, ob dies der Gesetzgeber tatsächlich wollte. Aber in dieser Grauzone bewegen wir uns derzeit! |
| GULP | Können Sie denn wenigstens für die über exali versicherten IT-Experten Entwarnung geben? | ||
| Günther | Ja. Für unser IT-Haftpflichtkonzept haben wir uns sehr schnell nach Verabschiedung des Gesetzes ein Statement zur Sichtweise der HISCOX eingeholt. Wir haben
hier die Zusage, dass in der Schadenabwicklung nur die Anweisung oder der Auftrag des Kunden zählt und nicht ein eventueller Verstoß gegen den § 202 c StGB eingewendet wird. Wenn
also für die ordnungsgemäße Erfüllung des Projektes ein "Hackertool" verwendet werden muss und es zu einem Schaden kommt, dann ist der IT-Experte auch versichert. Damit stellt sich ein IT-Haftpflichtversicherer in dieser sensiblen
|
 |
|
||
|
|||
