Categories: SicherheitUnternehmen

Leitfaden zur Rechtslage bei IT-Sicherheitsaudits erhältlich

Die European Expert Group for IT Security (EICAR) hat jetzt ein Positionspapier zur strafrechtlichen Relevanz von IT-Sicherheitsaudits vorgestellt. Wichtigste Erkenntnis: Die überwiegende Zahl der IT-Sicherheitsüberprüfungen ist nach dem neuen deutschen Computerstrafrecht nur noch mit Genehmigung zulässig.

Die rechtlichen Rahmenbedingungen für IT-Sicherheitsüberprüfungen sind durch das im Sommer 2007 erheblich ausgeweitete deutsche Computerstrafrecht deutlich komplexer geworden. Für das Legal Advisory Board der EICAR hat daher Christian Hawellek am Lehrstuhl für Rechtsinformatik der Universität Hannover ein kostenlos zum Download erhältliches Positionspapier erstellt, dass die neue Rechtslage umreißt.

Generell gestattet sind nach neuer Rechtslage ausschließlich rein passive Scans auf Sicherheitslücken. Jede darüber hinausgehende Überprüfung fällt in der Regel in den Anwendungsbereich des Computerstrafrechts. Beispielsweise stellt das Ausnutzen von Sicherheitslücken zur Erlangung des Zugangs zu Daten oder Systemen ein Ausspähen von Daten im Sinne des § 202a StGB dar. Die Überprüfung der Leistungsfähigkeit von Antivirus- und Antispy-Programmen kann in den Anwendungsbereich des § 303a StGB fallen. Werden Sniffer eingesetzt, droht § 202b StGB mit Strafe.

Da solche Tests und Scans aber für einige Firmen unabdingbar sind – etwa für Aktiengesellschaften aufgrund § 91 II AktG – lassen sie sich nach ausdrücklicher Genehmigung trotzdem durchführen. Für die Verantwortlichen ist es jedoch schwierig, den geschützten Personenkreises zu identifizieren, insbesondere wenn Systeme im Unternehmen auch privat genutzt werden dürfen.

Um dieser Problematik Rechnung zu tragen, hat das EICAR mit dem Legal Advisory Board einen neuen Fachbereich gegründet. Vorsitzender ist der IT-Rechtsexperte Nikolaus Forgo. Der Bereich soll sich mit aktuellen Rechtsfragen beschäftigen, die in einem Zusammenhang mit Informationssicherheit stehen und als neutrale Informationsstelle für IT-Rechtsfragen zur Verfügung stehen. Ein Forum soll die Bemühungen unterstützen.

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

13 Stunden ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

4 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

5 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

5 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago