Die Absicht zählt: Hacker-Tools nicht automatisch verboten
Bundesverfassungsgericht urteilt im Sinne der IT-Sicherheitsexperten
(August 2009)
Autor: Ralph Günther, Versicherungsexperte
Wann macht sich ein IT-Sicherheitsexperte strafbar, wenn er IT-Systeme mit Hilfe von Hacker-Tools auf Lücken hin überprüft – und erst damit deren Sicherheit gewährleisten kann? Diese Frage, die der so genannte Hackerparagraf (§ 202c StGB) aufwarf, haben wir im Interview "Hackerparagraf: Schützt die IT-Haftpflicht den Sicherheitsexperten?" erläutert – mit dem Ergebnis, dass die Definition des Gesetzgebers sehr schwammig ist. Nun hat sie sich etwas konkretisiert, denn das Bundesverfassungsgericht (BVerfG) hat ein Urteil zum Thema gefällt: Man darf Hacker-Tools verwenden, wenn sie eindeutig zur Sicherheitsprüfung benutzt werden – und es einen vertraglich fixierten, detaillierten Auftrag gibt.
Wann macht sich ein IT-Sicherheitsexperte strafbar, wenn er IT-Systeme mit Hilfe von Hacker-Tools auf Lücken hin überprüft – und erst damit deren Sicherheit gewährleisten kann? Diese Frage, die der so genannte Hackerparagraf (§ 202c StGB) aufwarf, haben wir im Interview "Hackerparagraf: Schützt die IT-Haftpflicht den Sicherheitsexperten?" erläutert – mit dem Ergebnis, dass die Definition des Gesetzgebers sehr schwammig ist. Nun hat sie sich etwas konkretisiert, denn das Bundesverfassungsgericht (BVerfG) hat ein Urteil zum Thema gefällt: Man darf Hacker-Tools verwenden, wenn sie eindeutig zur Sicherheitsprüfung benutzt werden – und es einen vertraglich fixierten, detaillierten Auftrag gibt.
In seinem Urteil vom 18. Mai 2009 (Az.: 2 BvR 2233/07 u.a.) gab das Gericht dem Geschäftsführer eines IT-Dienstleisters Recht: Der Kläger, der im Auftrag von
Kunden ein Sicherheitsanalyseprogramm einsetzt, hatte angeführt, dass so genannte Hacker-Tools unverzichtbar bei der Sicherheitsprüfung von IT-Systemen sind. Im Gegensatz dazu verbiete aber
der Hackerparagraf generell die Beschaffung bzw. Überlassung solcher Programme, was IT-Dienstleister und Systemadministratoren vor die Wahl stelle: Entweder sich strafbar machen oder Rechnersysteme
nur unzureichend vor etwaigen Angriffen schützen können.
Das Bundesverfassungsgericht beschloss, die Verfassungsbeschwerden nicht zur Entscheidung anzunehmen, weil die Tätigkeit der Beschwerdeführer nach § 202c StGB
nicht strafbar sei. Insbesondere die Grenzen des § 202c
Abs. 1 Nr. 2 StGB wurden deutlich, denn laut BVerfG fällt Software, die sowohl legalen als auch illegalen Zwecken (Dual Use Tools) dienen kann, nicht automatisch unter die Vorschrift.
Die wichtigsten Ergebnisse in Kürze:
Für die Nutzer des IT-Haftpflichtkonzepts von exali im Rahmen der GULP Membership gilt weiterhin: Wenn für die ordnungsgemäße Erfüllung
eines Projekts ein "Hacker-Tool" verwendet werden muss und es zu einem Schaden kommt, ist der IT-Experte auch versichert.
Das Bundesverfassungsgericht beschloss, die Verfassungsbeschwerden nicht zur Entscheidung anzunehmen, weil die Tätigkeit der Beschwerdeführer nach § 202c StGB
nicht strafbar sei. Insbesondere die Grenzen des § 202c
Abs. 1 Nr. 2 StGB wurden deutlich, denn laut BVerfG fällt Software, die sowohl legalen als auch illegalen Zwecken (Dual Use Tools) dienen kann, nicht automatisch unter die Vorschrift.Die wichtigsten Ergebnisse in Kürze:
- Für die Feststellung einer Straftat muss erkennbar sein (Gestalt des Programms bzw. Werbung für illegalen Einsatz), dass die Software in erster Linie als ein Programm geschrieben wurde, das Computerstraftaten ermöglichen soll.
- Die Absicht zählt: Selbst der Umgang mit eindeutig zu illegalen Zwecken gedachter Software ist nur dann strafbar, wenn der Anwender nachweisbar billigend in Kauf nimmt, dass diese künftig zur Begehung von Straftaten gebraucht wird.
- Keine Straftat liegt vor, wenn Hackerprogramme im Auftrag des Betreibers eines Computersystems verwendet werden, z. B. bei Penetrationstests.
 |
Hinweis: Damit IT-Dienstleister und Systemadministratoren auf der sicheren Seite sind, sollten sie darauf achten: Der Auftrag und die einzelnen Schritte einer Sicherheitsüberprüfung mit Hacker-Tools müssen vertraglich geregelt und dokumentiert sein. |
Nähere Informationen bei Ralph Günther.
Der Autor behält sich alle Rechte am Artikel vor. © 2009 exali GmbH .
.
Mehr Informationen zum Thema bei GULP:
- Artikel in der GULP Knowledge Base
 |
|
||
|
|||
