Die European Expert Group for IT Security (EICAR) hat jetzt ein Positionspapier zur strafrechtlichen Relevanz von IT-Sicherheitsaudits vorgestellt. Wichtigste Erkenntnis: Die überwiegende Zahl der IT-Sicherheitsüberprüfungen ist nach dem neuen deutschen Computerstrafrecht nur noch mit Genehmigung zulässig.
Die rechtlichen Rahmenbedingungen für IT-Sicherheitsüberprüfungen sind durch das im Sommer 2007 erheblich ausgeweitete deutsche Computerstrafrecht deutlich komplexer geworden. Für das Legal Advisory Board der EICAR hat daher Christian Hawellek am Lehrstuhl für Rechtsinformatik der Universität Hannover ein kostenlos zum Download erhältliches Positionspapier erstellt, dass die neue Rechtslage umreißt.
Generell gestattet sind nach neuer Rechtslage ausschließlich rein passive Scans auf Sicherheitslücken. Jede darüber hinausgehende Überprüfung fällt in der Regel in den Anwendungsbereich des Computerstrafrechts. Beispielsweise stellt das Ausnutzen von Sicherheitslücken zur Erlangung des Zugangs zu Daten oder Systemen ein Ausspähen von Daten im Sinne des § 202a StGB dar. Die Überprüfung der Leistungsfähigkeit von Antivirus- und Antispy-Programmen kann in den Anwendungsbereich des § 303a StGB fallen. Werden Sniffer eingesetzt, droht § 202b StGB mit Strafe.
Da solche Tests und Scans aber für einige Firmen unabdingbar sind – etwa für Aktiengesellschaften aufgrund § 91 II AktG – lassen sie sich nach ausdrücklicher Genehmigung trotzdem durchführen. Für die Verantwortlichen ist es jedoch schwierig, den geschützten Personenkreises zu identifizieren, insbesondere wenn Systeme im Unternehmen auch privat genutzt werden dürfen.
Um dieser Problematik Rechnung zu tragen, hat das EICAR mit dem Legal Advisory Board einen neuen Fachbereich gegründet. Vorsitzender ist der IT-Rechtsexperte Nikolaus Forgo. Der Bereich soll sich mit aktuellen Rechtsfragen beschäftigen, die in einem Zusammenhang mit Informationssicherheit stehen und als neutrale Informationsstelle für IT-Rechtsfragen zur Verfügung stehen. Ein Forum soll die Bemühungen unterstützen.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…