Sie sind hier: Home » Fachartikel » Recht

Sicherheitsüberprüfungen und Computerstrafrecht


Eicar Legal Advisory Board veröffentlicht Stellungnahme zur strafrechtlichen Relevanz von IT-Sicherheitsaudits
Generell gestattet sind nach neuer Rechtslage ausschließlich rein passive Scans nach Sicherheitslücken, die ohne jegliche weitere Penetration der gescannten Systeme erfolgen




Strafrechtliche Relevanz von IT-Sicherheitsaudits
Strafrechtliche Relevanz von IT-Sicherheitsaudits Voraussetzung für die Gewährleistung von Informationsschutz

(17.04.08) - Die European Expert Group for IT Security (Eicar) stellt ihr Positionspapier zur strafrechtlichen Relevanz von IT-Sicherheitsaudits der Öffentlichkeit vor. Kernthese des Papiers ist, dass die überwiegende Zahl der IT-Sicherheitsüberprüfungen jeweils nur dann zulässig sind, wenn zuvor durch den Rechtsgutsträger eine Gestattung der entsprechenden Tätigkeiten im vorzunehmenden Umfang erfolgt. Der Autor Christian Hawellek hat das Papier im Rahmen einer Projektarbeit am Lehrstuhl für Rechtsinformatik der Universität Hannover für das Legal Advisory Board der Eicar erstellt.

Die Durchführung von IT-Sicherheitsüberprüfungen ist essentielle Voraussetzung für die Gewährleistung von Informationsschutz, Daten- und Netwerksicherheit im eigenen Unternehmen. Sie liegt damit nicht nur im ureigenen wirtschaftlichen Interesse, sondern ist zumindest für Aktiengesellschaften aufgrund § 91 II AktG auch rechtlich geboten. Die rechtlichen Rahmenbedingungen sind allerdings, gerade mit Blick auf das im Sommer 2007 erheblich ausgeweitete deutsche Computerstrafrecht, alles andere als trivial und erschließen sich nicht etwa durch einfachen Blick in das Gesetz. Ein hohes Maß an Rechtssicherheit für die beteiligten Fachkreise ist aber Grundvoraussetzung für die Durchführung effektiver Sicherheits-Audits.

Generell gestattet sind nach neuer Rechtslage ausschließlich rein passive Scans nach Sicherheitslücken, die ohne jegliche weitere Penetration der gescannten Systeme erfolgen. Jede darüber hinausgehende Überprüfung hingegen fällt üblicherweise in den Anwendungsbereich des Computerstrafrechts und ist damit erst bei Vorliegen weiterer besonderer Voraussetzungen zulässig.

So stellt das Ausnutzen von Sicherheitslücken zur Erlangung des Zugangs zu Daten oder Systemen – sei es mit Hilfe der erweiterten Funktionen von Scan-Software wie AppScan, der Nutzung eigener oder fremder Exploits, XSS, SQL-Injections oder aber Passwortcracks – ein Ausspähen von Daten i. S. d. § 202a StGB dar. Handlungen zur Überprüfung der Leistungsfähigkeit von Antivirus- und Antispy-Programmen können in den Anwendungsbereich des § 303a StGB (Datenveränderung) fallen, der Einsatz sog. "Sniffer" schließlich ist ein klassischer Fall des Abfangens von Daten (§ 202b StGB).

Zwingende Voraussetzung für die strafrechtliche Zulässigkeit der vorgenannten Handlungen ist damit die Gestattung durch den jeweiligen Rechtsgutsträger, soweit nicht sonstige Rechtfertigungsgründe eingreifen. Problematisch ist dabei vor allem die exakte Bestimmung des jeweils geschützten Personenkreises, insbesondere wenn Informationssysteme in bestimmtem Umfang auch privat genutzt werden dürfen.

Sind ausschließlich Rechtsgüter des überprüften Unternehmens betroffen, ist die Genehmigung durch dessen rechtlichen Vertreter zu erteilen, wobei dieses Recht im Rahmen der Unternehmensorganisation an nachgeordnete Stellen delegiert werden kann. Die Einverständniserklärung ist dabei hinreichend umfänglich und präzise zu formulieren, generell gilt: je stärker der Eingriff und je größer das Risiko, desto höher sind die hiern zu stellenden Anforderungen.

Sind auch Rechtsgüter Dritter betroffen, so sind Eingriffe nur zulässig, wenn entweder auch deren jeweilige Zustimmung vorliegt – ggf. auch in Form entsprechender Betriebsvereinbarungen mit den Arbeitnehmern –, oder aber spezielle Rechtfertigungsgründe eingreifen. So ist etwa der Einsatz von "Sniffern", soweit zur Sicherstellung der Netzwerkfunktionalität erforderlich, aufgrund § 88 III TKG gerechtfertigt, das Löschen privater Daten auf Unternehmenssystemen schließlich kann bei entsprechender Gefahrenlage als Notstandshandlung zulässig sein. Werden ansonsten die Überprüfungen im Rahmen der rechtswirksamen Gestattung durchgeführt, ist auch nach neuer Rechtslage ein hohes Maß an Rechtssicherheit möglich.

Lesen Sie mehr:
Stellungnahme zur strafrechtlichen Relevanz von IT-Sicherheitsaudits [734 KB]

Eicar Legal Advisory Board beschäftigt sich mit neutralen Rechtseinschätzungen
Das Eicar Legal Advisory Board ist ein neu gegründeter Fachbereich unter dem Dach der europäischen Sicherheitsorganisation. Als Vorsitzender des Boards konnte der renommierte IT-Rechtsexperte Prof. Dr. Nikolaus Forgo gewonnen werden. Das Eicar Legal Advisory Board wird sich in Zukunft mit aktuellen Rechtsfragen, die in einem Zusammenhang mit Informationssicherheit stehen, auseinander setzen. Darüber hinaus steht das Board als neutrale Informationsstelle für IT-Rechtsfragen zur Verfügung. Hierbei soll insbesondere das neue Eicar Forum (https://secure.eicar.org/forum/)als interaktive Kommunikationsplattform unterstützen.

Kurzprofil Eicar:
Die Eicar wurde 1991 als eingetragener Verein in Deutschland gegründet. Zunächst mit dem Ziel, Know-how im Bereich der Antivirenforschung zu bündeln, gilt die Eicar mittlerweile als anerkanntes IT-Security Expertennetzwerk. Das Institut versteht sich als Plattform für den Informationsaustausch für alle Sicherheitsexperten, die in den Bereichen Forschung und Entwicklung, Implementierung sowie Management tätig sind. Hierdurch soll die globale Zusammenarbeit im Bereich der Computersicherheit gefördert werden.

Ziel des Instituts ist es, Lösungen und Präventivmaßnahmen gegenüber allen Arten der Computerkriminalität, wie z.B. das Schreiben und Verbreiten von Computer-Viren, Betrug sowie das Ausspähen von personenbezogenen Daten, zu entwickeln. Dabei arbeitet das Institut sowohl sehr eng mit Unternehmen, politischen Organisationen oder universitären Einrichtungen als auch Medien, Technik- und Rechtsexperten zusammen.



Meldungen: Recht

  • Cyberkrieg: Wenn der Verhandlungspartner fehlt

    Produzenten und Versorger in den Bereichen Energie, Wasser, Finanzwesen und Gesundheit sowie Industrieunternehmen geraten zunehmend ins Visier von Angreifern. Die Folge: millionenschwere Produktionsausfälle und Versorgungsengpässe, bis hin zur Gefährdung von Menschenleben. Jüngste Beispiele sind etwa Attacken auf die größte Pipeline der USA, die irische Gesundheitsbehörde oder ein Vorfall in einem kroatischen Umspannwerk, der Europa an den Rand eines Strom-Blackouts führte.

  • Nutzung von "Compliance-Storage"

    Auf dem Weg zur Digitalisierung von Akten müssen Unternehmen gesetzliche Vorgaben, Branchenanforderungen sowie Vorschriften für spezielle Akten oder Steuerunterlagen berücksichtigen. Das macht ihnen die Wahl einer geeigneten IT-Lösung nicht unbedingt leichter. Eine Orientierungshilfe bieten hier Zertifizierungen die den Nachweis für die Konformität der Archivierungsmaßnahmen mit gesetzlichen Vorschriften wie der GoBD oder der Schweizer GeBüV erbringen. In Zusammenarbeit mit Daniel Spichty, Partner beim Schweizer Kompetenzzentrum Records Management, gibt DMS-Spezialist Kendox einen Überblick über den Status Quo, die Anforderungen sowie Herausforderungen und fasst zusammen, worauf Unternehmen zukünftig bei der digitalen Archivierung achten müssen und warum die GeBüV als Benchmark für Compliance-Anforderungen gilt.

  • Umsetzung in nationales Recht: FATCA wird konkret

    Die iBS - Innovative Banking Solutions AG kommentiert das zwischen den USA und den fünf größten EU-Staaten getroffene zwischenstaatliche Musterabkommen zur Verbesserung der Steuerehrlichkeit und Umsetzung des Foreign Account Tax Compliance Act (FATCA). Vor dem Hintergrund der US-amerikanischen Bestrebungen, FATCA international durchzusetzen, haben sich die USA und die fünf großen europäischen Volkswirtschaften Deutschland, Frankreich, Großbritannien, Italien und Spanien auf ein Musterabkommen zur bilateralen Bekämpfung von Steuerhinterziehung verständigt. Die Zusammenarbeit hatten die Staaten im Februar 2012 angekündigt.

  • Compliance im Außenhandel

    Im Außenhandel spielen heute über die reine Einfuhr- und Ausfuhranmeldung hinaus zahlreiche steuerliche und rechtliche Aspekte eine Rolle. Sanktionsverordnungen und Präferenzkalkulation sind hierfür nur zwei Beispiele. Hinzu kommt, dass Einfuhren, Ausfuhren und alle weiteren zollrechtlich relevanten Vorgänge zukünftig ausschließlich elektronisch über das ATLAS-Verfahren abgewickelt werden sollen. Zoll und Außenhandel sind heute derart komplex, dass Unternehmen sie - ähnlich wie Steuerangelegenheiten - nur noch mit Hilfe erfahrener Experten und einer leistungsstarken Software effizient und konform mit den geltenden rechtlichen Bestimmungen abwickeln können.

  • Herausgehobene Bedeutung einer Criminal Compliance

    Der III. Zivilsenat des BGH hatte unlängst über die Frage zu entscheiden, ob bzw. nach welchen Maßgaben eine Kapitalanlage-Vertriebsorganisation für strafbare Handlungen eines von ihr eingesetzten Handelsvertreters dem geschädigten Anleger gegenüber haftbar gemacht werden kann (BGH, Urteil v. 15.03.2012 - III ZR 148/11).

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen