Die European Expert Group for IT Security (EICAR) hat jetzt ein Positionspapier zur strafrechtlichen Relevanz von IT-Sicherheitsaudits vorgestellt. Wichtigste Erkenntnis: Die überwiegende Zahl der IT-Sicherheitsüberprüfungen ist nach dem neuen deutschen Computerstrafrecht nur noch mit Genehmigung zulässig.
Die rechtlichen Rahmenbedingungen für IT-Sicherheitsüberprüfungen sind durch das im Sommer 2007 erheblich ausgeweitete deutsche Computerstrafrecht deutlich komplexer geworden. Für das Legal Advisory Board der EICAR hat daher Christian Hawellek am Lehrstuhl für Rechtsinformatik der Universität Hannover ein kostenlos zum Download erhältliches Positionspapier erstellt, dass die neue Rechtslage umreißt.
Generell gestattet sind nach neuer Rechtslage ausschließlich rein passive Scans auf Sicherheitslücken. Jede darüber hinausgehende Überprüfung fällt in der Regel in den Anwendungsbereich des Computerstrafrechts. Beispielsweise stellt das Ausnutzen von Sicherheitslücken zur Erlangung des Zugangs zu Daten oder Systemen ein Ausspähen von Daten im Sinne des § 202a StGB dar. Die Überprüfung der Leistungsfähigkeit von Antivirus- und Antispy-Programmen kann in den Anwendungsbereich des § 303a StGB fallen. Werden Sniffer eingesetzt, droht § 202b StGB mit Strafe.
Da solche Tests und Scans aber für einige Firmen unabdingbar sind – etwa für Aktiengesellschaften aufgrund § 91 II AktG – lassen sie sich nach ausdrücklicher Genehmigung trotzdem durchführen. Für die Verantwortlichen ist es jedoch schwierig, den geschützten Personenkreises zu identifizieren, insbesondere wenn Systeme im Unternehmen auch privat genutzt werden dürfen.
Um dieser Problematik Rechnung zu tragen, hat das EICAR mit dem Legal Advisory Board einen neuen Fachbereich gegründet. Vorsitzender ist der IT-Rechtsexperte Nikolaus Forgo. Der Bereich soll sich mit aktuellen Rechtsfragen beschäftigen, die in einem Zusammenhang mit Informationssicherheit stehen und als neutrale Informationsstelle für IT-Rechtsfragen zur Verfügung stehen. Ein Forum soll die Bemühungen unterstützen.
Neueste Kommentare
Noch keine Kommentare zu Leitfaden zur Rechtslage bei IT-Sicherheitsaudits erhältlich
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.