Die European Expert Group for IT Security (EICAR) hat jetzt ein Positionspapier zur strafrechtlichen Relevanz von IT-Sicherheitsaudits vorgestellt. Wichtigste Erkenntnis: Die überwiegende Zahl der IT-Sicherheitsüberprüfungen ist nach dem neuen deutschen Computerstrafrecht nur noch mit Genehmigung zulässig.
Die rechtlichen Rahmenbedingungen für IT-Sicherheitsüberprüfungen sind durch das im Sommer 2007 erheblich ausgeweitete deutsche Computerstrafrecht deutlich komplexer geworden. Für das Legal Advisory Board der EICAR hat daher Christian Hawellek am Lehrstuhl für Rechtsinformatik der Universität Hannover ein kostenlos zum Download erhältliches Positionspapier erstellt, dass die neue Rechtslage umreißt.
Generell gestattet sind nach neuer Rechtslage ausschließlich rein passive Scans auf Sicherheitslücken. Jede darüber hinausgehende Überprüfung fällt in der Regel in den Anwendungsbereich des Computerstrafrechts. Beispielsweise stellt das Ausnutzen von Sicherheitslücken zur Erlangung des Zugangs zu Daten oder Systemen ein Ausspähen von Daten im Sinne des § 202a StGB dar. Die Überprüfung der Leistungsfähigkeit von Antivirus- und Antispy-Programmen kann in den Anwendungsbereich des § 303a StGB fallen. Werden Sniffer eingesetzt, droht § 202b StGB mit Strafe.
Da solche Tests und Scans aber für einige Firmen unabdingbar sind – etwa für Aktiengesellschaften aufgrund § 91 II AktG – lassen sie sich nach ausdrücklicher Genehmigung trotzdem durchführen. Für die Verantwortlichen ist es jedoch schwierig, den geschützten Personenkreises zu identifizieren, insbesondere wenn Systeme im Unternehmen auch privat genutzt werden dürfen.
Um dieser Problematik Rechnung zu tragen, hat das EICAR mit dem Legal Advisory Board einen neuen Fachbereich gegründet. Vorsitzender ist der IT-Rechtsexperte Nikolaus Forgo. Der Bereich soll sich mit aktuellen Rechtsfragen beschäftigen, die in einem Zusammenhang mit Informationssicherheit stehen und als neutrale Informationsstelle für IT-Rechtsfragen zur Verfügung stehen. Ein Forum soll die Bemühungen unterstützen.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…