Verfahrensregeln für eine erfolgreiche Prüfung

Augen auf bei IT-Sicherheits-Audits

07. Mai 2008
Von Alexander Galdy
Immer noch finden viele Unternehmen genug Ausreden dafür, warum sie ihre IT-Sicherheitskonzepte nicht überprüfen wollen: Audits behindern die Arbeit und sind nur Zeitvergeudung. Dass sie die essentielle Voraussetzung für die Gewährleistung von Informationsschutz sowie Daten- und Netzwerksicherheit sind, wird dabei nicht beachtet. Aber Vorsicht, auch hier gilt es, Stolperfallen zu umgehen.
Christian Hawellek: "Generell gestattet sind nach neuer Rechtslage ausschließlich rein passive Scans nach Sicherheitslücken."
Christian Hawellek: "Generell gestattet sind nach neuer Rechtslage ausschließlich rein passive Scans nach Sicherheitslücken."

Seit vergangenem Sommer hat sich einiges beim deutschen Computer-Strafrecht getan. Die überwiegende Zahl der IT-Sicherheitsüberprüfungen ist nun nur noch mit Genehmigung der jeweiligen Rechtsgutträger zulässig. Darauf weist aktuell auch die European Expert Group for IT SecuritySecurity (EICAR) hin, die ein Positionspapier zur strafrechtlichen Relevanz von IT-Sicherheits-Audits veröffentlicht hat. Alles zu Security auf CIO.de

Die rechtlichen Rahmenbedingungen sind gerade mit Blick auf das im Sommer 2007 erheblich ausgeweitete deutsche Computer-Strafrecht alles andere als trivial und erschließen sich nicht durch einen einfachen Blick in das Gesetz, heißt es von Seiten der EICAR. Für die Durchführung effektiver Sicherheitsüberprüfungen ist deshalb ein hohes Maß an Rechtssicherheit bei den Fachkreisen Grundvoraussetzung.

Passive Scans gehen in Ordnung

"Generell gestattet sind nach neuer Rechtslage ausschließlich rein passive Scans nach Sicherheitslücken, die ohne jegliche weitere Penetration der gescannten Systeme erfolgen", sagt Christian Hawellek, der das Papier für die EICAR erstellt hat. Jede darüber hinausgehende Überprüfung hingegen fällt üblicherweise in den Anwendungsbereich des Computer-Strafrechts und ist damit erst bei Vorliegen weiterer besonderer Voraussetzungen zulässig.

So stellt das Ausnutzen von Sicherheitslücken zum Erlangen des Zugangs zu Daten oder Systemen ein Ausspähen von Daten im Sinne Paragrafen 202a Strafgesetzbuch dar - sei es mit Hilfe der erweiterten Funktionen von Scan-Software, der Nutzung eigener oder fremder Exploits, XSS,SQL-Injections oder Passwortcracks. Handlungen zur Überprüfung der Leistungsfähigkeit von Antivirurs- und Antispy-Programmen können in den Anwendungsbereich des Paragrafen 303a StGB (Datenveränderung) fallen. "Es reicht, dass die Möglichkeit besteht, an die Daten heranzukommen. Ob dies auch erfolgt ist egal", sagt Hawellek. Der Einsatz sogenannter Sniffer schließlich ist ein klassischer Fall des Abfangens von Daten, das im Paragraf 202b StGB geregelt ist.

Zur Startseite