Strafbarkeitsrisiken bei White-Hat und Grey-Hat-Hacking


Hausarbeit, 2020

40 Seiten, Note: 1,7


Leseprobe

Inhaltsverzeichnis

Abkürzungsverzeichnis

A. Zusammenfassung

B. Einführun
I Untersuchungsgegenstand
II Zielsetzu

C. Haupttei
I Einführung in die Welt des Hackings
1 Hackereinteilun
a White Hat
b BlackHat
c GreyHat
2 Penetrationste
a Definition
b Rahmenbedingungen
b Gesetzlicher Hintergrund
3 BugBoun
4 Dual-Use-Problemati
II Strafbarkeit des Hacking
1 § 202a StGB - Das Ausspähen von Daten
a Objektiver Tatbestand
b Subjektiver Tatbestand
c Rechtswidrigkeit
d KeinVersuch
e Antragsdelikt
2 § 202b StGB - Abfangen von Dat
a Objektiver Tatbestand
b Subjektiver Tatbestand
c Rechtswidrigkeit
d KeinVersuch
e Antragsdelikt
3 § 202c StGB - Vorbereiten des Ausspähens und Abfangens von Daten
a Objektiver Tatbestand
b SubjektiverTatbestand
c Rechtswidrigkeit
d KeinVersuch
e Antragsdelikt
4 § 303a StGB - Datenveränderung.
a Objektiver Tatbestand
b SubjektiverTatbestand
c Rechtswidrigkeit
d Versuch
e Antragsdelikt
5 § 303b StGB - Computersabotage
a ObjektiverTatbestand
b Subjektiver Tatbestand
d Versuch e Antragsdelikt

Literaturverzeichnis

Internetquellenverzeichnis

Abkürzungsverzeichnis

AGB Allgemeine Geschäftsbedingungen

BGB Bürgerliches Gesetzbuch

IT Informationstechnik

StGB Strafgesetzbuch

BSI Bundesamt für Sicherheit in der

Informationstechnik

RAM Random-Access Memory

HDD Hard Disk Drive

SSD Solid State Drive

BVerfG Bundesverfassungsgericht

DSGVO Datenschutz-Grundverordnung

A. Zusammenfassung

Die vorliegende Facharbeit befasst sich mit den Strafbarkeitsrisiken bei White- sowie Grey Hat Hacking. Dabei werden die §§ 202a, 202b, 303a, 303b StGB und insbesondere der mit der Einführung des 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität scharf kritisierte § 202c StGB - besser bekannt als „Hackerparagraph“ - näher betrachtet. Denn Hacker sind nicht gleich Hacker. Die einfachste Kategorisierung, der in der Gesellschaft eher negativ behafteten Begrifflichkeit des Hackers, lässt sich anhand der Ziele, die sie verfolgen, differenzierter ausmachen.

Wer sich an die Hacker-Ethik und geltendes Recht hält, sowie niemanden mit seiner Arbeit schaden möchte, wird als White Hat definiert. Überwiegend arbeiten White Hats im Auftrag von Firmen und decken durch Nutzung von Dual-Use-Software bzw. Penetrationstests Sicher­heitslücken in IT-Infrastrukturen auf.

Andere Unternehmen fordern die Hacker durch sogenannte Bug-Bounty-Programme öffentlich auf, die eigenen Systeme zu testen. Dabei zahlt das Unternehmen dem Entdecker der Sicher­heitslücke eine Belohnung. Durch die Gestaltung von Verträgen für Penetrationstest bzw. Bug­Bounty-Programme kann der „Hackerparagraph“ zwar nicht außer Kraft gesetzt werden, aller­dings kann sich ein White Hat gegen eine mögliche Anklage weitgehend absichern.

Im Gegensatz zu den White Hats handeln die sogenannten Black Hats ausschließlich mit kri­mineller Energie. Sie dringen unerlaubt in fremde Netzwerke ein, fangen Passwörter durch Tro­janer ab oder nutzen Sicherheitslücken ausschließlich für eigene Zwecke sowie zum Schaden der Betroffenen. Black Hats werden auch als Cracker bezeichnet, um Sie von den White Hats genauer abzugrenzen.

Eine Mischung aus White- und Black Hats bilden die Grey Hats. Grey Hats sind nicht eindeutig als positiv oder negativ einzustufen. Anders als White Hats penetrieren Sie u.a. mit Dual-Use­Software fremde IT-Systeme ohnejegliche vertragliche Grundlage, Aufforderung oder Erlaub­nis im Sinne eines Bug-Bounty-Programms. In der Regel verfolgen Sie ein idealistisches Ziel. Sofern Sicherheitslücken aufgedeckt wurden, teilen Sie diese den Betroffenen mit. Reagieren jene nicht, werden die Sicherheitslücken im Internet öffentlich gemacht, um die Betroffenen zur Schließung der Lücken zu zwingen. Grey Hats werden oftmals auch als Hacktivisten bezeichnet.

Bis auf § 202c StGB handelt es sich um Antragsdelikte. Sie werden nur auf Antrag des Be­troffenen verfolgt. Bereits der unbefugte Zugang zu besonders gesicherten Daten unter Über­windung von Sicherheitsmaßnahmen ist unter Strafe gestellt. In Summe bestehen jedoch weit über den Anwendungsbereich des § 202c StGB hinaus erhebliche, in der Praxis mitunter kaum wahrgenommene Strafbarkeitsrisiken. Bei umfangreichen Penetrationstest werden beinahe alle einschlägigen Straftatbestände des Computerstrafrechts berührt.

B. Einführung

I Untersuchungsgegenstand

Die Gewährleistung der Funktionalität sowie Integrität der eigenen IT-Systeme ist für Unter­nehmen von erheblicher Relevanz. Dabei bedarf die heutige Bedeutung von Internet sowie In­formationstechnik für die Gesellschaft und Unternehmen keiner ausführlichen Erklärung. Die Informationstechnik ist allgegenwärtig und aus dem wirtschaftlichen sowie gesellschaftlichen Leben nicht mehr wegzudenken. Insbesondere die Nutzungjener Technologie in Unternehmen hat einen stetigen Zuwachs.

Ein potenzielles Versagen informationeller Infrastrukturen bringt erhebliche wirtschaftliche Ri­siken für Unternehmen mit sich. Wie hoch die Gefahr durch Angriffe, seitens Hacker, über das Internet ist, lässt sich nur erahnen. Wirklich verlässliche Statistiken über das Ausmaß der Com­puterkriminalität liegen kaum vor. Die Dunkelziffer der Straftaten wird wohl immer überwie­gen.

Die Sicherheit der IT-Systeme, die über Verbindungen in öffentliche Netze verfügen, unterliegt in besonderer Weise unautorisierten, oftmals anonymen Versuchen des Eindringens in die IT- Infrastruktur der Unternehmen. Für Unternehmen ist es umso wichtiger sich gegen solch unau­torisierte Zugriffsversuche zu schützen.

In solcher Situation werden, seitens des Unternehmens, Testmethoden benötigt, die die Sicher­heit der eigenen IT-Systeme, aus dem Blickwinkel der Angreifer bzw. Hacker testet, um mög­lichst realistische Bedingungen schaffen zu können. Die dabei gängigste Methode ist der Pe­netrationstest.

Für die Penetrationstester, die sogenannten White Hats, ist die Frage, ob ihr Handeln strafbar ist, existenziell. Gleichermaßen gilt dies auch für die Unternehmen, da Penetrationstests ein wichtiger Bestandteil des betrieblichen Informationsschutzes und des Risikomanagements sind. Realitätsnahe Simulationen von Angriffen unter Anwendung von Hackertools sind dabei wich­tige Instrumente zur Feststellung der Penetrationssicherheit. Ein solcher Umgang mit diesen Anwendungen kannjedoch gefährlich nah im Bereich der Strafbarkeit des StGB liegen.

Die vorliegende Facharbeit soll klären was genau strafbar im Sinne des StGB ist und wie sich die Strafbarkeitsrisiken minimieren lassen.

Hacker handeln heutzutage in international organisierten und spezialisierten Gruppierungen. Der Auftrag der Cyberkriminellen reicht von der Suche nach Sicherheitslücken über die Pro­grammierung von Schadsoftware bis hin zum Verkauf dieser Software.

II Zielsetzung

Die vorliegende Facharbeit setzt sich zum Ziel folgende Fragen zu beantworten:

- Ist das White Hat Hacking strafbar?
- Ist das Grey Hat Hacking strafbar?
- Was gilt es beim Penetrationstest zu beachten?
- Wie steht es bei Anwendung eines Penetrationstest um die Rechte Dritter?

C. Hauptteil

I Einführung in die Welt des Hackings

Infolge der rasant zunehmenden Zahl der Angriffe auf IT-Systeme über das Internet haben sich auch die Motive der Hacker und das Hacking verändert. Einst war es vor allem der Fabel für Technik und Digitalisierung, die Hacker bei ihrem Handeln antrieb. Ein Hacker der „alten Schule“ ist als ein Computerspezialist mit ausgeprägtem Sicherheitsbewusstsein. Es ist schlicht sein Hobby Sicherheitslücken zu überwinden. Nicht selten macht er die vermeintlichen Opfer auf die Sicherheitslücken aufmerksam. Im Vordergrund steht das Erfolgserlebnis, in eine fremde IT-Infrastruktur eingedrungen zu sein. Der Inhalt der Daten ist für den Hacker dabei nicht von Interesse. Vor circa 30 Jahren stand neben der Faszination für Technik noch ein an­derer Motivationsgrund im Fokus - die Kapazitäten von Großrechenanlagen. Durch die mitt­lerweile erschwinglichen Hardwarepreise hat dieses Phänomen allerding erheblich an Bedeu­tung verloren, da heutzutage leistungsstarke Computer fürjedermann erschwinglich sind.1

Auf der anderen Seite gab es auch Hacker, die ihre Fähigkeiten bewusst missbräuchlich einge­setzt haben und den Betroffenen dadurch erheblichen Schaden zugefügt haben. Ein derartiger, kriminell motivierter Hacker dringt gezielt in IT-Systeme ein, um Daten zu manipulieren oder auch auszuspionieren. Hierbei steht das finanzielle Interesse klar im Vordergrund. Aber auch Ärger und Frustration kann ein Antrieb für das Handeln des Hackers in Form eines Racheaktes sein.

Resultierend lässt sich festhalten, dass ein Hacker nicht immer ein Hacker ist. Daher ist sinnvoll die Hacker in verschiedene Kategorien einzuteilen.

1 Hackereinteilung

Hacker beschäftigten sich überwiegend mit Sicherheitsmechanismen von IT-Infrastrukturen und deren Sicherheitslücken. Ein Hacker ist eine Person, die sich über ein Netzwerk einen un­erlaubten Zugang zu fremden IT-Systemen und Daten verschafft. Das Ergebnis seiner Arbeit wird oft als „Hack“ bezeichnet.2

Mit dem Wort „Hacker“ wird zunächstjemand in Verbindung gebracht, der Schäden bei den IT-Systemen von Unternehmen, Einzelpersonen sowie Webseiten anrichtet. Ein weit verbrei­teter Mythos ist, das Hacker nach Wegen suchen, Daten von Unternehmen zu stehlen und In­formationen von deren Kunden zu löschen oder zu ändern. Diese Art von Hackern gibt es durch­aus, keine Frage. Allerdings ist die Begrifflichkeit des Hackers weiter auszulegen als zunächst gedacht.

Der Begriff Hacker umschreibt Personen, die Sicherheitslücken aufsuchen, um jene aufzuzei­gen oder zu beheben. Aber auch Personen, die Sicherheitslücken für ihre eigenen Zwecke nut­zen und ohne Befugnis in fremde IT-Infrastrukturen eindringen werden als Hacker bezeichnet.

Um die Hacker mit guten Absichten, von denen mit schlechten Absichten besser unterscheiden zu können, wurde die Begrifflichkeit des „Crackers“ geschaffen. Ein Cracker verfolgt immer eine Schädigungsabsicht oder beabsichtigt, die Umgehung bzw. Entfernung von Kopierschutz­mechanismen für Software, so dass diese unbegrenzt vervielfältigt oder verwendet werden kön­nen.3

Auch wenn der nicht immer mit Schädigungsabsicht unterwegs ist, können die Handlungen - wie die eines Crackers - gleichwohl unter die Tatbestandsmerkmale des StGB fallen. Gleich­wohl unter §§ 202a, 202b, 202c StGB und bei Veränderung von Daten unter §§ 303a, 303b StGB fallen. Dabei entstanden die Begriffe „White-Hat“, „Grey-Hat“ und „Black-Hat“.4 Je nach Loyalität sowie Ethik gegenüber den Strafvorschriften des StGB, wird zwischen den nach­folgenden Kategorisierungen von Hackern unterschieden.5

a White Hat

Hacker, die sich an die Ethik und rechtlichen Vorgaben halten, werden als ethische Hacker oder auch White Hat bezeichnet. White Hat nutzen ihre Fähigkeit, Unternehmen zu schaden, aller­dings nur rein hypothetisch. Denn White Hat treten überwiegend als Penetrationstester von IT- Infrastrukturen bzw. IT-Systemen auf. Sie decken dadurch Sicherheitslücken in IT-Systemen auf, sodass sich ein Unternehmen besser vor den wahrhaft schädlichen Hackern (Black Hat6 ) schützen kann.

Dabei beauftragten Unternehmen White-Hat-Hacker, um die eigenen IT-Systeme zu testen. White-Hats führen umfassende Scans von der IT-Infrastruktur durch, versuchen die IT-Systeme mithilfe von Hackertools und Methoden zu hacken, die auch Black-Hats verwenden würden und versuchen sogar, Angestellte dazu zu bringen, auf Verlinkungen in E-Mails zu klicken, die zu einem Befall von Malware führen würden.

b Black Hat

Im Gegensatz zu den White-Hat-Hacker agieren die Black-Hat-Hacker mit dem Ziel und Motiv Schaden anzurichten und unautorisiert auf IT-Infrastrukturen zuzugreifen. Dabei stehlen Sie Daten und legen Software oder sogar ganze IT-Systeme lahm. Das Ziel des Angriffs hat neben der Bloßstellung oder Erpressung des Betroffenen immer einen monetären Hintergrund mit Auslegung auf Gewinnmaximierung.7

c Grey Hat

Grey-Hat-Hacker lassen sich zwischen White-Hat und Black-Hat-Hackem einstufen. Oftmals verstoßen Grey-Hat-Hacker zwar gegen die strafrechtlichen Vorgaben des StGB, haltenjedoch die ethischen Grenzen ein. Grey-Hat-Hacker sind davon überzeugt, dass sie mit der Aufdeckung von Sicherheitslücken Unternehmen helfen, indem sie ihre IT-Systeme und Webseiten hacken und ohne Einwilligung des Unternehmens Zugang zu deren IT-Infrastruktur schaffen.

Dabei wollen Grey-Hat-Hacker nur ihr Können unter Beweis stellen sowie ihren Bekanntheits­grad in der Hacker-Szene erhöhen und dadurch Lob und Anerkennung gewinnen. Viele Grey­Hat-Hacker versprechen sich so auch einen lukrativen Job in der Cybersicherheitsbranche.

Grey-Hat-Hacker behaupten, dass hinter ihren Aktivitäten in Form von unbefugtem Eindringen in Fremde IT-Infrastrukturen keine böse Absicht steckt, vielmehr verstehen sie sich als „Robin- Hood“ des Internets und möchten die Konsumenten darüber aufklären, wie mit Ihren Daten umgegangen wird. Im Zuge der Einführung der Datenschutz-Grundverordnung hat das Thema nochmal an Bedeutung gewonnen. Kurz gesagt: Grey-Hat-Hacker wollen das Internet sicherer machen. Hierbei hacken Siejedoch unbefugt Webseiten und IT-Systeme, um zu beweisen, dass Sie im Recht sind.

Der Spagat vom Grey-Hat-Hacker zu einem Black-Hat-Hacker zu mutieren ist marginal. Sofern die Grey-Hat-Hacker eine Sicherheitslücke aufgedeckt haben, treten sie an den IT-Infrastruk­tur-Besitzer heran, um diesen über die Lücke aufzuklären. Handeltjener nicht, veröffentlichen die Grey-Hat-Hacker die Sicherheitslücke im Internet. Man könnte annehmen das es hierbei schon um Erpressung handeln könnte.

2 Penetrationstest

Aufgrund der stetig steigenden Aktivitäten der Hacker sind viele Unternehmen angehalten, ihre IT-Infrastruktur gegen unberechtigte Zugriffe Dritter abzusichem. Die Unternehmen wollen damit auch den Vorgaben des IT-Sicherheitsgesetzes von 17.07.20158 gerecht werden. Ein Weg, den Zustand der IT-Infrastruktur zu überprüfen und eventuell zu optimieren, besteht da­rin, einen fremden Dienstleister damit zu beauftragen, die Sicherheitslücken der IT-Infrastruk­tur aufzufinden, indem der Dienstleister im Einvernehmen mit dem Unternehmen versucht, durch simulierte Angriffe auf die IT-Infrastruktur des Unternehmen einzudringen. Derartige Dienstleistungen werden mit dem englischen Fachbegriff „Penetrationtest“, zu deutsch „Penet­rationstest“ bezeichnet. Synonym wird auch derBegriff„Pentest“ verwendet.9

Die Identifizierung von Schwachstellen und deren Ausnutzung ist ein hochspezialisiertes Ge­werbe, in dem man auch auf legale Weise Geld verdienen kann (Miller, 2007). So gibt es auch in Deutschland eine Vielzahl an Unternehmen, die so genannte Penetrationstests anbieten. Dies sind kontrollierte Angriffe auf IT-Systeme, die von den Eigentümern der Systeme selbst in Auftrag gegeben werden. Derartige Tests gehören mittlerweile zum Standardvorgehen bei der Absicherung von IT-Infrastrukturen und werden in der Regel mit höchster Diskretion durchgeführt. Auch das Bundesamt für Sicherheit in der Informationstechnik bietet derartige Dienstleistungen für Behörden an. Des Weiteren gibt es Unternehmen, die aktiv nach Schwach­stellen in existierender Software suchen und entsprechende Exploits entwickeln oder auch aus unterschiedlichen Quellen ankaufen. Das Wissen über diese Exploits und entsprechende Schutzmöglichkeiten wird dann exklusiv an den eigenen Kundenkreis weitergegeben. Schließ­lich nutzen auch die Hersteller von Antivirenprodukten ihr Wissen über Schwachstellen und Schadsoftware, um auf legale Weise Geld zu verdienen.10

a Definition

Der reine Begriff Penetration bedeutet „durchdringen“ oder aber auch „eindringen“.11 In der Informationstechnik versteht man unter der Penetration das unautorisierte Durchdringen von Sicherheitsmaßnahmen eines Netzwerkes oder IT-Systems, durch eine Fremdperson.12

Ein Penetrationstest ist ein geeignetes und erprobtes Prozedere, um eine Prüfung der Sicherheit eines einzelnen IT-Systems, einer IT-Infrastruktur oder einer (Web-)Applikation, durch die Anwendung von Software und Methoden, die ein Hacker zur Durchführung einer Penetration verwenden könnte, festzustellen.13 Im Detail werden dabei die wichtigsten IT-Applikationen (Mailserver, Fileserver, etc.) bzw. die zugrunde liegenden Trä­gersystem (Datenbanken, Betriebssysteme, etc.) sowie Hardware (Router, Switches, Firewall, TK-Anlagen, etc.) getestet.14

Bei der Durchführung solcher Angriffe auf eine IT-Infrastruktur soll ein realer Angriff simuliert werden, so dass das Verhalten eines Angreifers nachgeahmt wird und die Penetration aus des­sen Sichtweise erfolgt.

Ein wesentlicher Unterschied zu einem echten Angriff ist, dass die Angriffe von dem Eigentü­mer der zu penetrierten IT-Infrastruktur in Auftrag gegeben oder initiiert werden. Da ein An­griff auf IT-Systeme erhebliche Schäden anrichten und auch rechtliche Folgen mit sich bringen kann, müssen sämtliche Angriffe vom Auftraggeber rechtlich und ethisch kontrolliert werden sowie vorab schriftlich festgehalten werden.

Ein Penetrationstest bietet die Grundlage, um eine Aussage über die Sicherheit einer IT-Infra­struktur machen zu können. In der Literatur sind mehrere Definitionen zu finden. Eine wirkli­che, wiederholende Legaldefinition ist nicht zu finden. Am besten lässt sich ein Penetrationstest jedoch wie folgt definieren:

Ein Penetrationstest ist eine kontrollierte, und seitens Verantwortlichen, beauftragte Durchführung von Angriffen auf die eigene IT-Infrastruktur aus Sichtweise eines Hackers unter Einhaltung recht­licher sowie ethischer Gesichtspunkten.25

Penetrationstests werden seit circa 25 Jahren durchgeführt, haben sich aber erst in den vergan­genen fünf Jahren, nicht zuletzt durch die zunehmende Bedeutung des Internets, richtig etab­liert. Seither ist auch die Begrifflichkeit des Penetrationstester aufgekommen. Im Detail handelt es sich dabei um eine Tätigkeit und nicht um einen Beruf, da es bis dato noch keine anerkannte Ausbildung dazu gibt sowie der Berufsbegriff nicht geschützt ist.

Bei der Durchführung von Penetrationstest kann technisch zwischen Blackbox- und Whitebox­Tests unterschieden werden.15 16

aa Whitebox- vs. Blackbox-Test

Während dem Penetrationstester für einen Blackbox-Test keine oder wenig zusätzliche Infor­mation zu der IT-Infrastruktur des Auftraggebers zur Verfügung gestellt werden, stellt der Auf­traggeber bei einem Whitebox-Test weitere Information oder Zugangsdaten der IT-Infrastruk­tur zur Verfügung.

Der Blackbox-Test ist die reellere Variante des Penetrationstest, da die Informationsgrundlage des Testers vergleichbar mit der eines „echten“ Hackers ist.17 Bei einem Blackbox-Test werden dem White-Hat nur die Adressinformation (IP-Adresse, Domain, etc.) des Zielobjektes zur Ver­fügung gestellt. Der Tester verfügt weiterhin über keine weiteren Informationen.18

White-Box-Tests werden eher einsetzt, um Sicherheitslücken in den Teilkomponenten der ge­samten IT-Infrastruktur aufzudecken und zu lokalisieren.19 Der Penetrationstester erhält beim White-Box-Test von Auftraggeber dagegen weitergehende Informationen über die einzelnen zu testenden IT-Systeme (genaue IP-Adressen, Informationen über das interne Netz, Hard- und Software-Informationen, Adminrechte, etc.)

Elemente des „Social Engineering“ beinhaltet ein Penetrationstest nicht. Beim Social Enginee­ring (CEO-Fraud, Enkeltrick 2.0) werden Informationen des Unternehmens über die einzelnen Mitarbeiter abgefragt und gesammelt, um damit tiefere Erkenntnisse über die IT-Infrastruktur erhalten zu können.20

bb Ethical hacking

Aufgrund der Einhaltung von ethischen Vorgaben wird der Penetrationstest oftmals auch als „ethical hacking“ synonym bezeichnet.

Die Handlung des White Hat Hackers befindet sich nicht nur strafrechtlich gesehen am Rande der Legalität, sondern ist auch aus ethischer Sicht äußerst kritisch zu begutachten. Das Dilemma ist, dass ein Penetrationstest zum einen eine vorsätzliche kriminelle Handlung ist, zum anderen aber zur Vorbeugung genau solcher kriminellen Taten dient. Ein gutes Beispiel womit diese Situation zu vergleichen ist, ist das Handeln eines Arztes, der seinem Patienten kontrolliert Schmerz zufügen muss und dadurch vorsätzliche Körperverletzung begeht, dies aber in derje- weiligen Situation zum Genesungsprozess beitragen kann.21 Das zentrale Problem liegt auf der Hand: Penetrationstester müssen nicht nur gegen rechtliche sondern auch ethische Werte ver­stoßen, um ein reelles Ergebnis zu erhalten.

b Rahmenbedingungen

Penetrationstests müssen ausschließlich von fachkundigen qualifizierten Personen durchge­führt werden, die nicht bei der Konzeption und beim Aufbau der zu untersuchenden Bereichen der IT-Infrastruktur mitgewirkt haben. Hierbei sollen so die Betriebsblindheit und ein mögli­cher Interessenskonflikt verhindert werden.22 Injedem Fall sollte der Penetrationstester fachlich geeignet, unabhängig und zuverlässig sein.

Ferner müssen folgende Rahmenbedingungen bei einer Beauftragung eines Penetrationstests beachtet werden. Dem Auftraggeber sollte klar sein, dass ein Penetrationstest auch Daten be­rührt, die den gesetzlichen Vorschriften unterliegen.23

b Gesetzlicher Hintergrund

In der Bundesrepublik Deutschland herrschen keine speziellen Regelungen zum Penetrations­test.

Im Sinne des § 202a StGB ist das unbefugte Eindringen in fremde IT-Infrastrukturen grund­sätzlich strafbar, sofern hier Zugang zu Daten erlangt wird, die nicht für den Eindringenden bestimmt sind und die IT-Infrastruktur gegen unbefugten Zugriff besonders gesichert ist.24 Eine Penetrationstester oder auch White-Hat dringt immer mit Zustimmung des Eigentümers in die fremde IT-Infrastruktur ein, so dass es am Tatbestandsmerkmal der „unbefugten“ Handlung fehlt, wenn der White-Hat seine Dienstleistung ausführt.

Im Zuge eines Penetrationstest werden durch den Penetrationstester durchaus Handlungen aus­geführt die, wenn sie nicht mit dem Einverständnis des Auftraggebers geschehen, gegen gel­tendes Recht verstoßen können.

aa Strafrechtliche Vorschriften

Wenn auch der Penetrationstester zumeist schon nicht tatbestandsmäßig im Sinne der Vor­schriften §§ 202a, 202b, 202c, 303a und 303b StGB handeln wird, da ihm die Absichten, wie z.B. die Rechtswidrigkeit in Form einer fehlenden Einwilligung zum „hacken“ oder Bereiche­rungsabsicht fehlt, sollten die Leistungen des Penetrationstest exakt festgehalten werden. Auf die einzelnen Strafbestandsmerkmale wird in Kapitel II genauer eingegangen.

bb Vertragstyp

White Hats sowie Auftraggeber sollten bei Beauftragung eines Penetrationstest auf mögliche Schwachstellen der IT-Infrastruktur, diese nie ohne einen schriftlichen Auftrag testen. Daher ist immer ein Vertrag zwischen Penetrationstestern und Auftraggeber zu schließen. Sind Ap­plikationen oder IT-Dienste bei einem Hoster ausgelagert oder sind Daten von Dritten betrof­fen, sind die Parteien ebenfalls mit in den Vertrag einzubeziehen.25 Insbesondere sollte der Ver­trag Regelungen wie Zeitraum, Prüfobjekte (Applikationen, Server, Firewall, Mailserver, etc.) und die jeweilige Tiefe der Penetration spezifizieren. Auch von der Prüfung ausgenommene Assets sollten vorab vertraglich festgelegt werden.

Die vertraglichen Vereinbarungen über eine Durchführung des Penetrationstest dürften entwe­der als Dienstvertrag im Sinne von § 611 BGB oder als Werkvertrag im Sinne des § 631 BGB zu qualifizieren sein. Kemtätigkeit des Vertrages ist die Tätigkeit des Penetrationstesters, die eine klassische Dienstleistung darstellt. Aufgrund der Aufgabenstellung ist nicht davon auszu­gehen das ein Erfolg geschuldet ist. Sofern eine IT-Infrastruktur 100% sicher wäre, könnte der Penetrationstester im Zuge dessen gar keine Sicherheitslücke aufdecken. Der Penetrationstest soll zunächst nur den Ist-Zustand der Beschaffenheit der IT-Infrastruktur offenlegen, so dass das Unternehmen im Anschluss die Sicherheitslücken beheben kann.

Anders würde es sich verhalten, wenn im Zuge der Penetration ein Gutachten der IT-Infrastruk­tur vereinbart wird, welches Vorschläge zur konkreten Behebung von Sicherheitslücken bein­haltet. Jene Vorschläge könnte man als geschuldete Erfolge verbuchen und damit als eine werk­vertragliche Leistung verstehen.

Die Einordnung des Vertragstyp wird letztendlich von den genauen vertraglichen Verpflichtun­gen des Penetrationstesters abhängen und istje Fall gesondert zu bewerten.26

Des Weiteren sollten vertragliche Regelungen bezüglich der Haftung des White Hats sowie der Verschwiegenheit, in Form eines Non Disclosure Agreements getroffen werden.

[...]


1 Rogge, Hacking intern, S. 22

2 Schmidl, IT-Recht von A-Z, Hacker, beck-online

3 Schmidt, IT-RechtvonA-Z, Hacker, beck-online

4 Huber, Cybercrime, S. 34

5 Schmidt, IT-RechtvonA-Z, Hacker, beck-online

6 siehe unten

7 Huber, Cybercrime, S.34

8 BGBl. I 2015 v. 24.07.2015, 1324

9 Lejeune, ITRB 2016, 43

10 Brodowski/Freiling, Cyberkriminalität, S.67

11 [durch etwas hindurch] sich einen Weg bahnend in etwas dringen, hineingelangen

12 https://de.wikipedia.org/wiki/Hackerethik

13 BSI, Praxisleitfaden, S.5

14 BSI, Praxisleitfaden, S.5

15 eigene Definition

16 BSI, Praxisleitfaden S.6

17 Beck'sche Online-Formulare IT- und Datenrecht, Form. 1.17 Anm. 1-17 Rn. 12, beck-online

18 Lejeune, ITRB 2016, 44

19 Auer-Reinsdorff/Conrad, HdB-ITR, § 1, Rn. 434

20 Lejeune, ITRB 2016, 43

21 Schreiber, Entwurf eines Berufsethik für Penetrationstester, 247

22 BSI, Praxisleitfaden, S.9

23 BSI, Praxisleitfaden, S.13

24 Lejeune, ITRB 2016, 43

25 BSI, Praxisleitfaden, S.14

26 Lejeune, ITRB 2016, 43

Ende der Leseprobe aus 40 Seiten

Details

Titel
Strafbarkeitsrisiken bei White-Hat und Grey-Hat-Hacking
Hochschule
Carl von Ossietzky Universität Oldenburg  (Informationsrecht LL.M.)
Veranstaltung
Computer-Strafrecht
Note
1,7
Autor
Jahr
2020
Seiten
40
Katalognummer
V941374
ISBN (eBook)
9783346273345
ISBN (Buch)
9783346273352
Sprache
Deutsch
Schlagworte
Hacking, Greyhat, Grey-Hat, StGB, Penetrationstest, Bug Bounty, Strafbarkeit, 202a, 202b, Dual Use, 202c, 303a, 303b, hackerparagraph, pentest, NDA, Betriebsrat, DSGVO
Arbeit zitieren
Sascha Beer (Autor), 2020, Strafbarkeitsrisiken bei White-Hat und Grey-Hat-Hacking, München, GRIN Verlag, https://www.grin.com/document/941374

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Strafbarkeitsrisiken bei White-Hat und Grey-Hat-Hacking



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden