Die Absicht zählt: Hacker-Tools nicht automatisch verboten
Der sogenannte „Hackerparagraph“ hat bei IT-Sicherheitsexperten und Datenschützern viele Fragen aufgeworfen: Wann macht sich ein IT-Freiberufler strafbar, wenn er IT-Systeme mit Hilfe von sogenannten „Hacker-Tools“ auf Lücken hin überprüft – weil er erst dadurch deren Sicherheit gewährleisten kann? Dazu hat das Bundesverfassungsgericht (BVerfG) nun ein klares Urteil gefällt – und das ganz im Sinne der IT-Sicherheitsexperten: Sie dürfen künftig einschlägige Hacker-Software nutzen, wenn diese eindeutig zur Überprüfung der IT-Security verwendet wird – und es darüber hinaus einen vertraglich fixierten, detaillierten Auftrag gibt.
Hacker-Tool unverzichtbar zur Überprüfung der IT-Security
In seinem Urteil vom 18. Mai 2009 (Az.: 2 BvR 2233/07 u. a) gab das BVerfG dem Geschäftsführers eines IT-Dienstleisters Recht. Dieser Kläger – der eben im Auftrag von Kunden immer wieder Sicherheitsanalyseprogramme einsetzt – hatte argumentiert, dass solche Hacker-Tools unverzichtbar bei der Sicherheitsprüfung von IT-Systemen seien.
Schon vor dem BVerfG -Urteil: Im Gegensatz zu vielen Versicherern gibt Hiscox die Zusicherung, dass in der Schadensabwicklung nur die Anweisung oder der Auftrag des Kunden zählen und nicht ein eventueller Verstoß gegen Paragraf 202c StGB. Im Gegensatz dazu findet sich nämlich in den meisten Versicherungsbedingungen der Ausschluss für Schäden durch bewusstes Abweichen von Vorschriften und Gesetzen.
Dadurch besteht die Gefahr, dass ein Versicherer Schaden, der z.B. bei einem Penetrationstest entsteht, mit der Begründung abgelehnt, dass hier vom Gesetz zur Verwendung von Hackertools bewusst abgewichen wurde.
Das Problem: Egal ob es sich um einen Cyberkriminellen oder rechtschaffenen freiberuflichen IT-Sicherheitsexperten handelt – der Hackerparagraph verbietet per se die Beschaffung bzw. Überlassung solcher Programme.
IT-Dienstleister und Systemadministratoren stelle dies vor die Wahl, sich entweder strafbar zu machen oder Rechnersysteme nur unzureichend vor etwaigen Angriffen schützen zu können.
Absicherung: Es muss ein Auftrag vorliegen
Das Bundesverfassungsgericht (BVerfG) beschloss, die Verfassungsbeschwerden nicht zur Entscheidung anzunehmen, weil die Tätigkeit der Beschwerdeführer nach Paragraf 202c StGB nicht strafbar sei. Insbesondere die Grenzen des Paragraf 202c Abs. 1 Nr. 2 StGB wurden deutlich, denn laut BVerfG fällt Software, die sowohl legalen als auch illegalen Zwecken (Dual Use Tools) dienen kann, nicht automatisch unter die Vorschrift.
Die wichtigsten Ergebnisse in Kürze:
- 1.Für die Feststellung einer Straftat muss erkennbar (Gestalt des Programms bzw. Werbung für illegalen Einsatz) sein, dass die Software in erster Linie als ein Programm geschrieben wurde, das Computerstraftaten ermöglichen soll.
- Die Absicht zählt: Selbst der Umgang mit eindeutig zu illegalen Zwecken gedachter Software ist nur dann strafbar, wenn der Anwender nachweisbar billigend in Kauf nimmt, dass diese künftig zur Begehung von Straftaten gebraucht wird.
- Keine Straftat liegt vor, wenn Hackerprogramme im Auftrag des Betreibers eines Computersystems verwendet werden, z. B. bei Penetrationstests.
Wichtig: Damit IT-Dienstleister und Systemadministratoren in jedem Fall auf der sicheren Seite sind, sollten sie darauf achten: Auftrag und die einzelnen Schritte einer Sicherheitsüberprüfung mit Hacker-Tools müssen vertraglich geregelt und dokumentiert sein.
Keine klare Entscheidung hat das BVerfG allerdings hinsichtlich der Überlassung von Software an Dritte gefällt.
Für die Nutzer der Hiscox IT-Haftpflicht über exali gilt aber weiterhin:
Wenn für die ordnungsgemäße Erfüllung eines Projekts ein "Hacker-Tool" verwendet werden muss und es zu einem Schaden kommt, dann ist der IT-Experte auch versichert.