Einsatz von Hacker-Tools:
Viel Lärm um nichts
Der Anti-Hacker-Paragraf 202c Strafgesetzbuch (StGB) ist erst seit August in Kraft, hat aber große Unruhe gestiftet. Andreas Bröhl von Integralis schafft Klarheit. Dienstleister und Administratoren dürfen weiterhin ein aggressives Werkzeug ungestraft in Audits einsetzen, wenn sie dazu offiziell befugt wurden.
Die deutsche Gesetzgebung hat ein wichtiges Ziel verfehlt. Sie hat mit ihrem Anti-Hacker-Paragrafen 202c StGB zwar juristische Richtlinien gegen Cyberkriminelle und ihre Einbruchswerkzeuge geschaffen. Sie hat zugleich alle Tools diskreditiert, mit denen Security-Dienstleister und IT-Verantwortliche das Sicherheitsniveau im Netzwerk evaluieren.
Andreas Bröhl, Leiter Systems Security Services (S3) CISSP bei Integralis
Damit nicht genug, es werden prinzipiell alle verdächtigt, die solche Tools für legale Zwecke einsetzen. Begeht also ein Dienstleister wie Integralis [1] oder ein IT-Administrator eine Straftat, wenn er mit Hilfe eines Passwort-Crackers, Port-Sniffers oder Vulnerability-Assessment-Scanners das Sicherheitsniveau seines Netzwerks untersucht?
»Die Idee hinter dem Paragraf ist gut, die aktuelle Umsetzung allerdings erzeugt viel Verwirrung«, klagt Andreas Bröhl, Leiter Systems Security Services (S3) CISSP beim Security-Dienstleister Integralis. »Denn der Gesetztext ist an wichtigen Stellen unsauber formuliert und lässt so zu viel Freiraum für Spekulationen.«
Bei befugtem Handeln keine Probleme
Aber einige Stellungnahmen von offizieller Seite und jüngste Entscheidungen vor Gericht haben Fakten geschaffen, die die Lage eindeutig klären. Die gesamte Novelle, aus den drei Teilen 202a, 202b und 202c bestehend, trennt einmal eindeutig zwischen »unbefugtem« und »befugtem Handeln«.
»Wer Hacking-Tools in einem genehmigten Audit einsetzt, fällt nicht unter die Paragrafen. Damit ist das Aufspüren von Sicherheitslücken im Netz legal, sofern wir als Dienstleister vom Inhaber des Unternehmens mit dieser Aufgabe beauftragt wurden. Dies hat das Bundesministerium für Justiz in einer Erläuterung bestätigt«, erklärt Bröhl.
»Wir handeln Befugnisse ohnehin seit je her in den Service-Level-Agreements für unsere Security-Audits aus, die übrigens auf Grund der Natur der Aufgabe zu den strengsten auf dem Markt gehören.« Außerdem handelt ein Dienstleister per se niemals ohne ausdrücklichen Auftrag.
»Interessant wird es bei Administratoren, die nicht ausdrücklich befugt wurden. Ich empfehle ihnen, sich diese Befugnis in schriftlicher Form einzuholen, um alle Unklarheiten zu beseitigen«, rät Bröhl.
Selbst BSI setzt »Hacker-Tools« ein
Die Novelle stellt auch unter Strafe, dass jemand solche Computerprogramme herstellt und vertreibt. Die Kritiker führen an, damit würden sämtliche Entwickler, Distributoren und Händler solcher Programme, auch die mit guten Absichten, ins Visier der Straffahndung geraten.
Bröhl schränkt ein: »Kürzlich wurde das Bundesamt für Sicherheit in der Informationstechnik (BSI) angeklagt, weil es die Toolsammlung »BOSS« herausgibt. Darin sind Werkzeuge wie Nessus und Snort-2 enthalten, die als Hackertools angesehen werden.«
Das BSI erklärt selbst: »Nach 202c wird das Herstellen, Überlassen, Verbreiten oder Verschaffen von Hacker-Tools nicht als solches unter Strafe gestellt. Nach dieser Vorschrift ist nur derjenige zu belangen, der eine Straftat nach 202a oder 202b vorbereitet, indem er sich solche Tools verschafft.«
Eindeutige Regelung
Im Gesetz ist übereinstimmend die Rede davon, dass diese Tathandlung »unbefugt« geschehen muss. Das Gesetz greife also nicht, sofern der Besitz und der Einsatz solcher Hacking-Werkzeuge befugt erfolgt, so Bröhl.
»Damit ist die Situation eindeutig und ich erwarte ‚Business as usual`. Die Motivation der Klagen gegen das Gesetz liegt zum Teil auch in der möglichen Öffentlichkeitswirkung, die die Kläger erzielen«, vermutet der Sicherheitsexperte. »Immerhin hat die Novelle unserem Geschäft nicht geschadet, es sogar eher gefördert.«
Administratoren in Unternehmen seien verstärkt auf Integralis zugekommen, damit sie die Verantwortung für den Einsatz von Hacking-Tools nicht tragen müssten.
[1] http://www.integralis.de
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Das sind die Top-Notebooks
Auf der Suche nach neuen Notebooks sieht man oft den Wald vor lauter Bäumen nicht. Unsere Kollegen von der PC Go haben daher die besten Geräte für Sie getestet.
NEC prämiert die schönste Installation
Einen Fotowettbewerb der etwas anderen Art startet NEC Display Solutions für seine Partner. Unter dem Motto »Application Picture Competition« können NEC-Partner Bilder einsenden, die NEC-Produkte im Einsatz zeigen. Für die kreativsten Fotografen winkt als Preis ein iPhone.
SAP will den Cloud-Anbieter Ariba übernehmen
Der Softwareanbieter SAP steht vor einem weiteren großen Zukauf im SaaS-Segment: Für 4,3 Milliarden Dollar wollen sich die Walldorfer den kalifornischen Beschaffungsspezialisten Ariba einverleiben und das Cloud-Geschäft auf diese Weise ausbauen.
» Bilderstrecken
» Meistgelesene News
So sexy sind Deutschlands Bäuerinnen
Vor kurzem war es wieder soweit: Die Macher des Deutschen Bauernkalenders suchten nach den schönsten Botschafterinnen für die Landwirtschaft. Die ansprechendsten Bewerberinnen kamen zum Casting nach München und Hamburg. Wir zeigen Ihnen die besten Bilder der Vorauswahlen in unserer Bilderstrecke ...
Massenentlassungen bei HP geplant
Der Rückgang der PC-Nachfrage und die Zusammenlegung von PC-und Druckersparte haben einschneidende Konsequenzen für die Mitarbeiter von HP. Es sollen laut Medienberichten 30.000 Mitarbeiter entlassen werden.