Rechtsratgeber Pentesting

Was Security Analysts dürfen und was nicht

Unternehmensvorstände sind gesetzlich verpflichtet, mögliche Risiken fürs Business zu minimieren. Sicherheitsanalysen und Penetrationstest durch Dienstleister helfen ihnen dabei - solche Methoden bewegen sich aber oft im juristischen Graubereich. Was ist also vorher vertraglich zu regeln?

Der Schutz von Daten ist in Deutschland ein hohes Gut: Neben dem Schutz des Post- und Fernmeldegeheimnisses und dem Schutz sogenannter fremder Geheimnisse vor Verwertung gibt es Gesetze zum Schutz vor Computerbetrug, Datenveränderung und Computersabotage. Von besonders hoher Relevanz ist der sogenannte "Hackerparagraf" (§ 202c StGB): Dieser bestimmt, dass nicht nur die Vorbereitung des Ausspähens und Abfangens von Daten als Tatbestand genügt. Schon die Beschaffung und die Verbreitung von Zugangscodes zu geschützten Daten sowie die Herstellung und der Einsatz geeigneter Werkzeuge ("Hacker-Tools") werden als Vorbereitung einer Straftat gewertet, die mit einer Freiheitsstrafe geahndet werden kann. Dabei ist es nicht einmal mehr erforderlich, sich die Daten anzueignen oder Einsicht zu nehmen.

Wer Pentester und Security Analysts im Auftrag beschäftigt, muss rechtssichere Dienstleisterverträge abschließen, um nicht in Teufels Küche zu kommen.
Wer Pentester und Security Analysts im Auftrag beschäftigt, muss rechtssichere Dienstleisterverträge abschließen, um nicht in Teufels Küche zu kommen.
Foto: Martin Fally - Fotolia.com

Auch wer unautorisiert in ein Firmennetzwerk eindringt und die Ergebnisse als "besonderes Mittel" für den Vertrieb seiner Dienstleistungen rund um IT-Sicherheit verwendet oder - um den Druck auf den potenziellen Auftraggeber zu erhöhen - die Ergebnisse veröffentlicht, macht sich strafbar.