• Embed Doc
  • Copy Link
  • Readcast
  • Collections
  • CommentGo Back
Download
 
DIE STRAFRECHTLICHE RELEVANZ VON IT-SICHERHEITSAUDITS
von Christian Hawellek*entstanden aus einer Projektarbeit gemeinsam mit Dennis Jlussi**candi. iur. an der Gottried Wilhelm Leibniz Universität Hannover
WEGE ZUR RECHTSSICHERHEIT BEI IT-SICHER-HEITSÜBERPRÜFUNGEN VOR DEM HINTERGRUNDDES NEUEN COMPUTERSTRAFRECHTS
 
Christian Hawellek:
Die strarechtliche Relevanz von IT-Sicherheitsaudits
Inhalt
AbstractA.EinleitungB.DieeinzelnenStraftatbestände
I. § 202a StGB Ausspähen von Daten 4II. § 202a StGB Ausspähen von Daten 5III. § 303a StGB Datenveränderung 5IV. § 303b StGB Computersabotage 6
C.IT-SicherheitsüberprüfungeninderPraxisundihrestrafrechtlicheRelevanz
I. Inormationsbeschaung über „Hacker-Foren“ und ähnliche Quellen 7II. „Honeypots“ als Angrisziele 7III. Einsatz von Scannersotware zur Schwachstellenanalyse 8IV. Die Ausnutzung von Schwachstellen 8VI. Passwortcracks und Einsatz von Trojanersotware 8VII. Das Ändern unsicherer Passwörter 9VIII. Einsatz von Virensotware 9IX. Einsatz von „Sniern“ zur Gewährleistung der Netzwerksicherheit 10
D.RechtlicheAnforderungenandieEinverständniserklärung1
 
I. Bestimmung der Rechtsgutsträger 11
1. Personeller Schutzbereich des § 202a StGB 11
a)Unternehmensdaten1b)PrivateDaten1
2. Personeller Schutzbereich der §§ 202b, 303a, 303b StGB 13
II. Weitere Anorderung an die Einverständniserklärung 13
1. Person des Gestattenden 132. Individuelle Vereinbarung oder generelle Regelung 143. Zeitpunkt und Form der Befugnis 144. Inhalt der Einverständniserklärung 15
 
1
 
2
IT-Sicherheitsüberprüungen sind unabdingbar zurGewährleistung des Inormationsschutzes und derDaten- und Netwerksicherheit. Die rechtlichen Rah-menbedingungen hingegen sind, gerade mit Blickau das deutsche Computerstrarecht – seit Sommer2007 erheblich ausgeweitet –, keineswegs trivial.Während einzig rein passive Scans nach Sicherheits-lücken keinen Stratatbestand verwirklichen, älltüblicherweise jede Art der Ausnutzung dieser in denAnwendungsbereich des § 202a StGB (Ausspähen vonDaten). Simulierte DOS-Attacken stellen eine Comput-ersabotage im Sinne des § 303b StGB dar, Handlungenin Zusammenhang mit Überprüungen der Leistungs-ähigkeit von Antivirus- und Antispy-Programmenkönnen in den Anwendungsbereich des § 303a StGB(Datenveränderung) allen. Der Einsatz sog. „Snier“– unabdingbar zur Sicherstellung der Netzwerkunk-tionalität – ist schließlich ein klassischer Fall desAbangens von Daten (§ 202b StGB). Während letzteresVorgehen augrund § 88 III 1 TKG gerechtertigt ist,ist hinsichtlich jeder der vorgenannten Handlungen– abgesehen von den seltenen Fällen des Eingreienseines Rechtertigungsgrundes wie etwa Notstand– die Gestattung durch den jeweiligen Rechtsgutsträ-ger zwingende Voraussetzung ür die strarechtlicheZulässigkeit. Im Falle von Unternehmen geschiehtdies durch deren rechtliche Vertreter, wie etwa denVorstand bei Aktiengesellschaten, wobei dieses Rechtauch im Rahmen der Unternehmensorganisation anbestimmte einzelne Abteilungen delegiert werdenkann. In den wenigen Konstellationen, da privateDaten au Unternehmenssytemen gespeichert sindund kein Rechtertigungsgrund eingreit, ist die Zu-stimmung des jeweiligen betroenen Arbeitnehmersobligatorisch, soweit nicht entsprechende Betriebs-vereinbarungen existieren. Die Einverständniserklä-rung sollte die jeweiligen Überprüungen und ihreZielsetzung umassen sowie die zu untersuchendenSysteme und jedwedes gg. bestehende Risiko benen-nen.IT security audits are essential to grant inormati-on protection as well as data and network security.However, the legal ramework, especially regardinggerman computerrelated criminal law – considerablyextended since summer 2007 –, is anything else thantrivial. While mere passive scanning or vulnerabilitiesalone constitutes no oence, any kind o exploita-tion generally meets the scope o § 202a StGB (dataespionage). Simulated DOS attacks represent a systemintererence in terms o § 303b StGB, actions relatedto antivirus and antispy sotware eciency testingmay all within the scope o § 303a StGB (data inter-erence). Finally the usage o any socalled „sniersotware“ – indispensable in context o securingnetwork unctionality – would constitute a classicalcase o data interception (§ 202b StGB). While the lat-ter is justied due to § 88 III 1 TKG, any o the ormeractions – apart rom those rare cases when it wouldbe justied as an act o necessity (such as §§ 228 BGB,34 StGB) – will demand approval o the respectiveauthorised person to remain legal. Authorised personsto legitimate security audits in case o companies aretheir legal representatives, such as the managementboard o a corporation, whereas this right can bedelegated in terms o company organisation to singledepartments, too. In those ew constellations, whereprivate data on company systems is aected and therespective action is not justied, the approval o theparticular employee is mandatory, i there is no cor-responding employer/works council agreement. Thedeclaration o approval should name the particulartests and their purpose, the systems to be auditedand any existing risk in that context.
Christian Hawellek:
Die strarechtliche Relevanz von IT-Sicherheitsaudits
Abstract 
of 00

Leave a Comment

You must be to leave a comment.
Submit
Characters: ...
You must be to leave a comment.
Submit
Characters: ...