+49 (0) 821 80 99 46-0
Rückruf anfordern
zum Kontaktformular
+49 (0) 821 80 99 46-0
exali.de Mein Business bestens versichert
Mein exali Login
exali.de
  • Versicherungen

    IT und Engineering

    IT-Haftpflicht

    Kreative und Agenturen

    Media-Haftpflicht

    Unternehmensberater

    Consulting-Haftpflicht

    Rechtsanwälte

    Anwalts-Haftpflicht

    eCommerce-Versicherungen

    Webshop-Versicherung
    Portal-Versicherung

    Architekten und Ingenieure

    Architektenhaftpflicht
    Haftpflicht für Ingenieure

    Manager und Beauftragte

    Firmen D&O-Versicherung
    Persönliche D&O Versicherung

    Weitere Versicherungen

    Haftpflicht für Dienstleister
    Cyber-Versicherung

    Allgemein

    Berufshaftpflichtversicherung
    Betriebshaftpflichtversicherung
    Vermögensschadenhaftpflicht
     

    Versicherungslexikon

    Glossar
    Ausgewählte Berufe
  • News & Stories
  • Blog
  • Produktfinder
    Produktfinder
  • Mein exali Login
"Versicherungsschutz, der auf Ihre Bedürfnisse angepasst ist"
Alberto Solorzano Kraemer
Software-/Webentwicklung & Projektassistenz
Ihr Business bestens versichert
Alberto Solorzano Kraemer
Software-/Webentwicklung & Projektassistenz
Home / News&Stories /
Interview zum Hackerparagraph: Schützt die IT-Haftpflicht den Sicherheitsexperten?
Interview Hackerparagraph: IT-Haftpflicht schützt

Interview zum Hackerparagraph: Schützt die IT-Haftpflicht den Sicherheitsexperten?

Beitrag von exaliBeitrag von exaliexali
Beitrag von exaliBeitrag von exaliexali
Dienstag, 6. November 2007
Dienstag, 6. November 2007
Zurück zur Übersicht

Ein neues Gesetz - zwei Seiten: Dank des so genannten “Hackerparagraphen” (§ 202c StGB) werden kriminelle Hacker künftig rigoros bestraft. Das Problem: Andererseits bewegen sich nun auch IT-Sicherheitsexperten auf rechtlich unsicherem Terrain, wenn sie Computersysteme mit einschlägiger (Hacker-)Software auf deren Schwachstellen testen. Doch wie steht es um den Versicherungsschutz, wenn IT-Experten vom Gesetzgeber als verboten deklarierte, aber für ihre Arbeit notwendige Hackertools nutzen? exali Geschäftsführer Ralph Günther spricht mit dem Journalisten Michael Hitzek über den aktuellen Stand.

Update: Das Bundesverfassungsgericht hat am 18. Mai 2009 durch eine für IT-Experten positive Entscheidung für etwas mehr Rechtssicherheit gesorgt. Das Urteil: Hacker-Tools dürfen verwendet werden, wenn sie eindeutig zur Sicherheitsprüfung eingesetzt werden - und es einen Auftrag dazu gibt.
Keine klare Entscheidung fällte das BVerfG leider hinsichtlich der Überlassung dieser Software-Tools an Dritte. Hier gibt es weiterhin eine Grauzone.

Weitere Informationen:
Die Absicht zählt: Hacker-Tools nicht automatisch verboten

Der neu eingeführte “Hackerparagraph” ist ein schwieriges und heiß diskutiertes Thema ...

Günther: ...was man ohne jegliche Übertreibung behaupten kann. Das liegt unter anderem daran, dass die Definition des Gesetzgebers ausgesprochen schwammig ist und die Anwendung des Gesetzes grundsätzlich alle Methoden und Werkzeuge rund um das sehr weite Thema “Datenermittlung” zulässt.

Das sind unter anderem Protokollanalysatoren, die zum normalen Handwerkszeug eines Entwicklers von Kommunikationssoftware gehören aber auch Programme die etwa zum Testen von Anwendungen auf Sicherheitslücken benötigt werden.

Aber es gibt eine Stellungnahme des Justizministeriums?

Günther Ja. Und sie besagt, dass der Hackerparagraph nur im Zusammenhang mit kriminellen Handlungen angewendet werden soll. Leider geht diese Stellungnahme natürlich an der Wirklichkeit deutscher Gerichtsbarkeit vorbei, die sich an Gesetzestexte und nicht an Stellungnahmen halten muss. Oder pointiert formuliert: Willkür sind hier Tür und Tor geöffnet.

Kommen wir zum versicherungsrechtlichen Aspekt der Entscheidung: Ein IT-Experte nutzt besagte Tools - wie steht es um seinen Versicherungsschutz?

Günther: Wichtigste Feststellung: keine IT-Haftpflicht Versicherung deckt für den Täter den Schaden aus vorsätzlich kriminellen Handlungen ab - ob dies nun die Folgen eines Diebstahls oder eines Hackerangriffs sind.

In dem hier diskutierten Falle eines IT-Sicherheitsexperten bietet die Hiscox IT-Haftpflicht über exali dem IT-Freiberufler und IT-Dienstleister zivilrechtlichen Schutz gegenüber Ansprüchen von Dritten.

Was bedeutet zivilrechtlicher Schutz genau?

Günther: Nehmen wir als Beispiel den IT-Experten, der sich auf sogenannte und in der Branche durchaus übliche Penetrationstests spezialisiert hat. Dieser soll im Auftrag einer Bank Sicherheitslücken im System aufspüren - und bewirkt dabei einen zeitweisen Serverausfall, für dessen Folgen wiederum die Bank Schadenersatz fordert.

Dies ist ein zivilrechtlicher Anspruch eines Dritten, der z. B. über unser IT-Haftpflicht oder auch andere IT-Haftpflichtversicherungen abgedeckt ist.

Neben zivilrechtlichen kann es aber auch strafrechtliche Ansprüche geben ...

Günther: Bleiben wir bei unserem Beispiel. Es könnte sein, dass nach möglicher Auslegung des erst ein paar Wochen alten Hackerparagraphen ein Gericht der Ansicht ist, dass hier für den Penetrationstest strafbare Hackertools verwendet worden sind.

Unter Umständen gibt es dann einen Konflikt mit dem Strafgesetzbuch, vor dem die Haftpflichtversicherung natürlich den IT-Experten nicht bewahren kann.

Für den Versicherer ist aber etwas anderes entscheidend - und zwar, dass der entstandene Schaden versichert ist!

Das würde bedeuten, dass ich gegen das Strafgesetz verstoßen kann und dennoch hinsichtlich des entstandenen Schadens Versicherungsschutz genieße?

Günther: Seriös ist diese Frage zum jetzigen Zeitpunkt nicht abschließend zu beantworten - nicht zuletzt wegen der bereits erwähnten Stellungnahme des Justizministeriums, die eine Anwendung des Paragraphen nur in Zusammenhang mit kriminellen Handlungen vorsieht.

Aber wie ist das dann im Falle des Penetrationstesters? Handelt er kriminell?

Günther: Genau dieses Beispiel zeigt die Problematik sehr deutlich auf, denn hier hat der Auftraggeber ja ganz bewusst den Test des Sicherheitssystems vom IT-Experten gefordert. Und ein solcher macht ja nur Sinn, wenn zur Prüfung genau das Handwerkszeug eines Hackers eingesetzt wird.

Allerdings: Der Einsatz ist hier Bestandteil eines gewünschten Auftrages und folgt keiner “kriminellen” Absicht, was nach Logik der nicht rechtsverbindlichen Stellungnahme des Justizministeriums ja zur Straffreiheit führt.

Wie also raus aus dem Dilemma?

Günther: Verständlicherweise gibt es so kurze Zeit nach Inkrafttreten des Gesetzes noch keine Grundsatzentscheidungen - und weil die meisten Versicherer wissentliches Abweichen von Gesetz, Vorschrift oder Anweisung des Auftraggebers in den Versicherungsbedingungen ausschließen, besteht hier durchaus eine gewisse Brisanz.

Inwiefern?

Günther: Lassen Sie uns den Penetrationstest noch einmal betrachten. Wenn dieser den Serverausfall verursacht hat und das Gesetz die für den Test verwendeten Tools als “Hackersoftware” ansehen würde, dann könnte der Versicherer argumentieren, dass der Schaden durch bewusstes Abweichen vom Gesetz eingetreten ist.

Die Konsequenz: Es besteht kein Versicherungsschutz. Ich gebe zu, bei diesem Beispiel muss man sich auch als Laie fragen, ob dies der Gesetzgeber tatsächlich wollte. Aber in dieser Grauzone bewegen wir uns derzeit!

Können Sie denn für die über exali versicherten IT-Experten Entwarnung geben?

Günther: Ja. Für die IT-Haftpflicht die wir bei exali anbieten haben wir uns sehr schnell nach Verabschiedung des Gesetzes ein Statement zur Sichtweise der de Versicherers Hiscox eingeholt. Wir haben hier die Zusage, dass in der Schadenabwicklung nur die Anweisung oder der Auftrag des Kunden zählt und nicht ein eventueller Verstoß gegen den § 202 c StGB eingewendet wird.

Wenn also für die ordnungsgemäße Erfüllung des Projektes ein “Hackertool” verwendet werden muss und es zu einem Schaden kommt, dann ist der IT-Experte auch versichert.

Damit stellt sich ein IT-Haftpflicht Versicherer in dieser sensiblen Thematik nicht über den Gesetzgeber. Zu unterscheiden sind der zivilrechtliche Schadenersatzanspruch einerseits und die möglichen strafrechtlichen Konsequenzen andererseits. Dazu muss jedoch beachtet werden: Der zivilrechtliche Versicherungsschutz bewahrt den Versicherungsnehmer nicht vor möglichen strafrechtlichen Konsequenzen.

Weiterführende Informationen

  • Gesetzes Text § 202 c StGB
  • GULP: Verschärfte Hackerparagrafen kriminalisieren auch Sicherheitsexperten
  • Erste Verfassungsbeschwerde durch Visukom GmbH
  • Auswirkungen von § 202c StGB auf die IT-Landschaft in Deutschland
vorheriger Artikel
 
zurück
 
nächster Artikel
0 Kommentare
Schreiben Sie einen Kommentar
Bitte füllen Sie alle als * Pflichtfelder gekennzeichneten Bereiche aus.

Durch Betätigen des Buttons „Absenden“ werden die in das obige Formular eingetragenen Daten zum Zwecke der Verarbeitung Ihrer Anfrage erhoben und verarbeitet. Sämtliche Daten werden verschlüsselt übertragen und nur im Rahmen der Angaben in den Datenschutzhinweisen verarbeitet. Sie haben ein Widerspruchsrecht mit Wirkung für die Zukunft.
Kooperationspartner
Kooperationspartner
Kooperationspartner

Versicherungen

  • IT-Haftpflicht
  • Media-Haftpflicht
  • Consulting-Haftpflicht
  • Anwalts-Haftpflicht
  • eCommerce-Versicherungen
  • D&O Versicherung
  • Architektenhaftpflicht
  • Haftpflicht für Ingenieure
  • Haftpflicht für Dienstleister
  • Cyber-Versicherung
  • Hausverwalter-Haftpflicht
  • Ausgewählte Berufe
  • Schaden melden

News & Stories

  • Artikel
  • Videos
  • Glossar
  • Newsflash abonnieren
  • RSS Feed abonnieren

Kooperationspartner

  • GULP
  • freelancermap
  • BITMi
  • k2 Partnering Solutions
  • Kontist
  • sevDesk
  • Kooperationspartner werden

Über uns

  • Über exali.de
  • Karriere
  • Kontakt
  • Impressum
  • Nutzungsbedingungen
  • Datenschutz
  • Widerrufsbelehrung
© exali AG, alle Rechte vorbehalten
Ihr Webbrowser ist leider veraltet! Aktualisieren Sie bitte Ihren Browser, um alle Funktionen im Beitragsrechner nutzen zu können.
Wählen Sie das Land, in dem Sie Ihren Geschäftssitz haben
Choose the location of your headquarter
Je nach Land können die von exali angebotenen Versicherungen leicht variieren. Bitte wählen Sie das Land, in dem Sie Ihren Geschäftssitz haben, um das für Sie passende Angebot zu erhalten.
Depending on your country, the insurance offered by exali may vary slightly. Please select the country where you have your headquarter to get the offer that suits you best.