Thema der Woche

22. April 2008

IT-Sicherheitsaudits und Strafrecht

Die [externer Link] European Expert Group for IT Security (Eicar) hat ein [externer Link] 16-seitiges Positionspapier zur strafrechtlichen Relevanz von IT-Sicherheitsaudits veröffentlicht. Kernthese: Die überwiegende Zahl von IT-Sicherheitsüberprüfungen ist nur dann zulässig, wenn der oder die Rechtsgutsträger zuvor die entsprechenden Tätigkeiten explizit gestatten. Problematisch sei dabei vor allem die exakte Bestimmung des jeweils geschützten Personenkreises, vor allem wenn Informationssysteme in bestimmtem Umfang auch privat genutzt werden.

Sind ausschließlich Rechtsgüter des überprüften Unternehmens betroffen, ist die Genehmigung durch dessen rechtlichen Vertreter zu erteilen, wobei dieses Recht im Rahmen der Unternehmensorganisation an nachgeordnete Stellen delegiert werden kann. Einverständniserklärungen sollte man hinreichend umfänglich und präzise formulieren – generell gelte: Je stärker ein Eingriff und je größer das damit eventuell verbundene Risiko, desto höher sind die an eine Einwilligung zu stellenden Anforderungen. Sind auch Rechtsgüter Dritter betroffen, sind Eingriffe nur zulässig, wenn entweder auch deren jeweilige Zustimmung vorliegt (ggf. in Form entsprechender Betriebsvereinbarungen) oder spezielle Rechtfertigungsgründe greifen. So stelle beispielsweise im Allgemeinen der Einsatz so genannter Network Sniffer einen Fall des Abfangens von Daten dar (§ 202b StGB), der jedoch durch das Telekommunikationsgesetz (§ 88 III TKG) gerechtfertigt sei, soweit dies zur Sicherstellung der Netzwerkfunktionalität erforderlich ist. Selbst das Löschen privater Daten auf Unternehmenssystemen könne bei entsprechender Gefahrenlage als Notstandshandlung zulässig sein.

Generell gestattet sind nach neuer Rechtslage ausschließlich rein passive Scans nach Sicherheitslücken, die ohne jegliche Penetration der überprüften Systeme erfolgen. Jeder darüber hinaus gehende Eingriff falle jedoch üblicherweise in den Anwendungsbereich des Computerstrafrechts und sei damit erst bei Vorliegen besonderer Voraussetzungen oder Einwilligungen zulässig.

Der Autor Christian Hawellek hat das Positionspapier im Rahmen einer Projektarbeit am [externer Link] Lehrstuhl für Rechtsinformatik der Universität Hannover für das Legal Advisory Board erstellt. Als Vorsitzender des neu gegründeten Eicar-Fachbereichs konnte der IT-Rechtsexperte Prof. Dr. Nikolaus Forgó gewonnen werden. Das Eicar Legal Advisory Board soll sich in Zukunft mit aktuellen Rechtsfragen auseinandersetzen, die in einem Zusammenhang mit Informationssicherheit stehen, und stehe als neutrale Informationsstelle für IT-Rechtsfragen zur Verfügung. Hierbei soll laut Eicar nicht zuletzt das neue [externer Link] Online-Forum als interaktive Kommunikationsplattform helfen.